Úvod PS cvicenia (OK) PS (OK) – Cvičenie 5: Prepínané siete a VLAN

    PS (OK) – Cvičenie 5: Prepínané siete a VLAN

    1009
    0

    Obláčik nekonfigurujete (ak robíte zadanie doma tak po kliknutí na odkaz sa otovrí konfigurácia, skopírujte a vložte ju na smerovač v topológii). Zapojte zariadenia podľa topológie. SWxy je označený a zapájate ho podľa priradeného čísla.

    Overte, že zariadenie je bez konfigurácie zobrazením bežiacej konfigurácie.


    1. Základná konfigurácia

    Podobne ako na smerovači konfigurujte:

    • meno zariadenia podľa topológie,
    • heslo do konzoly,
    • hlášku: „Vstup zakazany“ pri vstupe do konzoly.

    Otázka 1: Prečo nie je na rozhraniach prepínača možné konfigurovať IP adresu?

    Na rozhraní je možné nastaviť typ duplexu príkazom duplex, rýchlosť príkazom speed a spôsob preusporiadania odosielajúcich a prijímajúcich pinov príkazom mdix auto.

    (config)# interface [rozhraniePrepinaca]
    (config-if)# duplex [typDuplexu]
    (config-if)# speed [rychlost]
    (config-if)# mdix auto

    Konfiguráciu rozhrania je možné zobraziť príkazom show interface.


    2. Konfigurácia rozhraní do access/trunk

    Základný rozdiel medzi accesstrunk je jednoduchý, access sa používa na rozhrania, kt. sa väčšinou pripájajú na koncové zariadenia s jednou VLAN a trunk sa používa tam, kde je prenos viacerých VLAN.

    Otázka 2: Na akom rozhraní bude konfigurovaný mód access a na akom trunk?

    Príkazy:

    (config)# int fastEthernet [cisloRozrhania]
    (config-if)# switchport mode access
    Pozn.: Priradzujeme rozhraniam kde sú napojené koncové zariadenia. Patrí jednej VLAN.
    (config-if)# switchport mode trunk
    Pozn.: Priradzujeme tam, kde potrebujeme prenos viacerých VLAN.

    Pozor! Ak po zadaní vyššie uvedeného príkazu máte hlášku:

    „Command rejected: An interface whose trunk encapsulation is "Auto"...“

    Tak zadajte príkaz:

    (config-if)# switchport trunk encapsulation dot1q

    a vyššie uvedený príkaz opakujte.


    3. Konfigurácia VLAN

    Virtuálne LAN al. VLAN umožňujú logickú segmentáciu siete. Také rozdelenie je vhodné z viacerých dôvodov napr. bezpečnosť, zjednodušenie administrácie alebo izolácia chýb. Napríklad – rozhrania na prepínači od Fa0/1 po Fa0/10 môžu patriť oddeleniu  IT, a inému oddeleniu MANAŽMENT zasa rozhrania Fa0/11 až Fa0/20. Napriek tomu, že ide o prepínač sa budú rozhrania správať ako v oddelených sieťach s vlastnými IP.

    Jedno rozhranie môže mať jednu VLAN, ide väčšinou a koncové zariadenie. Toto rozhranie musí byť súčasne v stave access.

    3.1 Vytvorenie a pomenovanie VLAN

    Názvy VLAN sú 10 – IT, 20 – HR. Vytvorte a pomenujte.

    (config)# vlan [cisloVlan]
    (config-vlan)# name [menoVlan]

     

    3.2 Priradenie VLAN rozhraniu na prepínači

    Konkrétne rozhranie v stave access môže byť priradené konkrétnej VLAN. VLAN na rozhraní ktorým sa pripájate z PC je v stave access a patrí do VLAN 10 alebo 20. To závisí od toho či máte priradené cvičiacim párne alebo nepárne číslo. Párne má VLAN 20nepárne 10. Svoje rozhranie v stave access konfigurujte, cez príkaz:

    (config-if)# switchport access vlan [cisloVlan]

    Po tejto konfigurácii by malo nastať nasledujúce: zariadenia vo VLAN 10 by mali byt schopné komunikácie so zariadeniami vo VLAN 10, to isté platí pre zariadenia vo VLAN 20. Otestujte to.


    4. Bezpečnosť na rozhraniach prepínača

    Bezpečnosť na rozhraniach prepínača je dôležitým prvkom konfigurácie prepínača. Na to, aby sme boli schopní konfigurovať bezpečnostné prvky na prepínači musí byť rozhranie v stave access alebo trunk.

     

    4.1. Nastavenie maximál. počtu MAC adries na rozhraní

    Po presiahnutí daného počtu sa vyvolá mód narušenia (bod. 4.4). Konfigurujte na maximálny počet 3 MAC adries.

    (config-if)# switchport port-security maximum [max]

     

    4.2. Nastavenie statickej MAC adresy na rozhraní (nekonfigurujte)

    Predpokladá manuálne zadanie MAC adresy, ktorá bude povolená na rozhraní.

    (config-if)# switchport port-security mac-address [mac_adresa]

     

    4.3. Konfigurácia dynamického učenia MAC adresy na rozhraní

    Predpokladá dynamické učenie MAC adries, ktoré budú povolené na rozhraní. Uložené sú v bežiacej konfigurácii, pre ich trvalé uloženie je potrebné uložiť bežiacu konfiguráciu do pamäte prepínača. Zadajte tento príkaz na rozhranie, kt. máte nastavené ako access.

    (config-if)# switchport port-security mac-address sticky

     

    4.4. Konfigurácia módu narušenia

    K narušeniu bezpečnosti dochádza po prekročení povoleného počtu MAC adries na rozhraní. Existujú tri módy narušenia:

    • protect – PDU je zahodené bez notifikácie,
    • restrict – PDU je zahodené s notifikáciou,
    • shutdown (predvolený) – deaktivuje rozhranie (je potrebné vypnúť a zapnúť rozhranie).

    Nastavte rozhrania v access móde tak, aby sa rozhranie nevyplo a nedochádzalo k notifikácii. Príkaz:

    (config-if)# switchport port-security violation [protect, restrict, shutdown]

     

    4.5 Zapnutie bezpečnosti na rozhraní

    Pre aktiváciu práve konfigurovaných bezpečnostných prvkov je potrebné zapnúť bezpečnostnú kontrolu. Zapnutie sa odporúča až po konfigurácii 4.1 až 4.4, keďže v opačnom prípade sú použité predvolené (prednastavené) hodnoty, napr. maximálny počet MAC na rozhranie 1.

    (config)# int fastEthernet [cislo_rozrhania]
    (config-if)# switchport port-security

     

    4.6 Vypnutie nepoužívaných rozhraní:

    Dobrou bezpečnostnou praxou je vypnúť rozhrania, ktoré sa nepoužívajú. Vypnutie alebo aj samotná konfigurácia viacerých rozhraní naraz je možná. Vhodné je prv zobraziť existujúce rozhrania na prepínači a zistiť ich stav.

    (config)# show ip interface brief

    Výber viacerých rozhraní je možný jedným príkazom, druhý príkaz rozhrania vypne:

    (config)# int ra [rozh.][rozsah] (interface range)
    (config)# shut

    Napr.:

    (config)# int ra fa0/1-24
    (config)# shut

    Vypnite nepoužívané (nezapojené) rozhrania.


    5. Konfigurácia manažmentovej VLAN

    Otázka 3: Akú IP adresu zadáte ak sa chcete pripojiť na prepínač a prečo?

    Prepínač je primárne zariadenie 2. vrstvy ISO OSI modelu a teda nepracuje s IP adresami. Ak chceme zariadenie spravovať na diaľku (bez káblu), tak musíme konfigurovať špeciálny typ rozhrania, tzv. angl. management VLAN. Rozhraniu tohto typu je možné priradiť IP adresu a teda umožňuje vzdialene pripojenie. Korektná konfigurácia predpokladá:

    • nastavené heslo do privilegovaného módu
      (ako heslo zadajte cnl123),
    • zapnuté a nastavené Telnet/SSH pripojenie
      (konfigurujte Telnet pripojenie pre 2 paralelné pripojenia),
    • nastavenú bránu, pre pripojenie z vonkajšej siete:
    (config)# ip default-gateway [ipAdresaBrany]
    • nastavené a zapnuté VLAN rozhranie ako IP adresu použite 168.10.[cislo+30]/24, ak máte priradené nepárne číslo a 192.168.20.[cislo+30]/24, ak máte priradené párne číslo):
    (config)# int [vlanRozhranie]
    (config-if)# ip address [ipAdresa]
    (config-if)# no shut

    Pozn.: Číslo VLAN rozhrania dajte rovnaké ako VLAN v ktorej máte pripojený PC, ale vhodné je aby bolo vo vlastnej VLAN (pre to by však muselo byť konfigurované na sub-rozhraní na smerovači.

    5.1 Overenie

    Na prepínači zobrazte rozhrania a overte konfiguráciu manažmentovej VLAN.

    Na PC je priradená ľubovoľná dostupná IPv4 adresa cez z VLAN 10/20, overte funkčnosť na bránu siete. Realizujte Telnet pripojenie cez softvérový nástroj PuTTy na IP adresu manažmentového VLAN rozhrania.


    6. Iné nastavenia

    Otázka 4: V akej VLAN sú zvyšné rozhrania na prepínači?

    Nastavte nižšie uvedené rozhrania do módu access a priraďte ich: od Fa0/10 do Fa0/14 VLAN10 a
    od Fa0/15 do Fa0/20 VLAN20, na týchto rozhraniach zapnite predvolenú kontrolu bezpečnostných nastavení.