Topológia:
Prepojte sa a pomenujte zariadenia podľa obr. Zariadeniu PC1 dajte prvú adresu a PC2 druhú adresu danej siete.
- Konfigurácia základných vlastností rozhrania:
Na rozhraní je možné nastaviť typ duplexu príkazom duplex, rýchlosť príkazom speed a spôsob preusporiadania odosielajúcich a prijímajúcich pinov príkazom mdix auto.
SW1(config)# interface FastEthernet 0/1 SW1(config-if)# duplex full SW1(config-if)# speed 100 SW1(config-if)# mdix auto
Konfiguráciu rozhrania je možné zobraziť príkazom show interface.
- VLAN:
VLAN je virtuálna LAN sieť, ktorá rozdelí prepínač na viac logických prepínačov (rozdeľuje broadcastovu doménu). Komunikovať vedia len zariadenia patriace do rovnakej VLAN. Vytvorenú VLAN je možné pomenovať. Následne je potrebné priradiť fyzické rozhrania do vytvorených VLAN. Rozhranie patriace do práve jednej VLAN (prenáša dáta z 1 VLAN) je v móde Access.
SW1(config)#vlan 10 SW1(config-vlan)#name VLAN10 SW1(config)#int fa0/1 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 10
| Poznámka: Na zobrazenie VLAN databázy používame príkaz show vlan brief. |
| Poznámka: Ak je potrebné konfigurovať naraz viacero rozhraní, tak je možné použiť príkaz interface range fa0/1-10, kde vieme definovať rozsah rozhraní, na ktoré následne budú aplikované všetky zadané príkazy. |
- Trunk:
Rozhranie, ktoré prenáša viacero VLAN musí byť v móde Trunk. Na trunku je možné definovať VLAN, ktorá bude prenášať neznačenú prevádzku a tiež je možné definovať rozsah povolených VLAN.
SW1(config)#int fa0/24 SW1(config-if)#switchport mode trunk SW1(config-if)# switchport trunk native vlan 99 SW1(config-if)# switchport trunk allowed vlan 10,20,30,99
| Poznámka: Informácie o trunku zobrazíme príkazom show interfaces trunk. |
| Poznámka: Informácie rozhrania týkajúce sa switchportu zobrazíme príkazom show interface fa0/24 switchport. |
Vyjednávanie trunk rozhrania je možné využitím protokolu DTP, kde je možné využiť módy dynamic auto (vyjedná trunk ale nesnaží sa) a dynamic desirable (snaží sa vyjednať trunk). Príkazom switchport nonegotiate vypíname protokol DTP.
- Filtrovanie výpisov:
Posledné zadané príkazy je možné zobraziť príkazom show history pričom počet takto zobrazených príkazov je možné definovať príkazom terminal history size.
V prípade rozsiahlych výpisov, akými je napríklad výpis bežiacej konfigurácie je možné využiť filtrovanie výpisu použitím znaku „|“ a jedným z kľúčových slov include, exclude, begin a section.
- Port-Security:
Port-Security predstavuje mechanizmus umožňujúci zabezpečiť prístup do siete na prepínačoch. Obmedzujeme ním počet MAC adries, definujeme povolené MAC adresy a v prípade porušenia sa vykoná istá operácia na základe nakonfigurovaného módu narušenia.
Módy pri narušení sú:
- Protect – zahodí nepovolenú komunikáciu
- Restrict – zahodí nepovolenú komunikáciu a vygeneruje správu o porušení
- Shutdown – pri prijatí rámca, ktorý porušuje bezpečnostnú konfiguráciu uvedie dané rozhranie do stavu Error-disabled (Softvérovo vypnuté rozhranie – rozhranie prestane preposielať dáta a v prípade potreby jeho zapnutia je potrebné zadať najskôr príkaz shutdown a následne no shutdown)
Port-Security je možné konfigurovať len na rozhraniach, ktoré sú typu access alebo trunk. Nie je možné konfigurovať port-security na rozhraniach, ktoré sú z pohľadu protokolu DTP v móde dynamic. Nasledujúca konfigurácia znázorňuje konfiguráciu port-security na rozhraní Fa0/1. Dobrým zvykom je zapnúť port-security až po nastavení všetkých požadovaných parametrov. V opačnom prípade sa zapne port-security s štandardným nastavením (max. 1, sticky je vypnuté, mód narušenia je shutdown, aging typ je Absolute a aging time je 0 mins čo znamená, že naučená MAC adresa neexpiruje).
SW1(config)#int fa0/1
SW1(config-if)#switchport port-security maximum 1
SW1(config-if)#switchport port-security mac-address < mac_adresa >
SW1(config-if)#switchport port-security mac-address sticky
SW1(config-if)#switchport port-security violation {shutdown|restrict|protect}
SW1(config-if)#switchport port-security aging { static | time time | type {absolute | inactivity}}
SW1(config-if)#switchport port-security
Bezpečné MAC adresy sa prepínač môže naučiť staticky, dynamicky po prijatí rámcov. Pri využití kľúčového slova sticky sa dynamicky naučené MAC adresy automaticky zapíšu do bežiacej konfigurácie. Výhodou je to, že pri reštarte zariadenia nedôjde k vymazaniu bezpečných MAC adries.
Aging slúži na nastavenie času a spôsobu expirácie bezpečných MAC adries, kde je možné využiť nasledujúce kľúčové slová:
- Static = nastavenie expirácie staticky naučených MAC adries
- Time = definuje čas, po ktorom dôjde k expirácií
- Type = určuje typ expirácie
- absolute = expirácia po definovanom čase expirácie
- inactivity = expirácia po definovanom čase pre neaktívnu komunikáciu
Príkazy na overenie konfigurácie port-security sú:
S1# show port-security S1# show port-security interface fastethernet 0/1 S1# show port-security address