gigacampus » start page » ufs109
Table of Contents

UFS 109: Oppskrift for konfigurasjon av cisco IOS svitsjer i campusnett

UFS nr 109
Status Utkast
Dato 12.10.2006
Tittel Oppskrift for konfigurasjon av cisco IOS svitsjer i campusnett
Arbeidsgruppe Nettarkitektur
Forfattere Børge Brunes, Vidar Faltinsen, Einar Lillebrygfjeld, Roar Pettersen, Knut-Helge Vindheim
Ansvarlig Vidar Faltinsen
Kategori Oppskrift

Sammendrag

Dette dokumenter gir en oppskrift for konfigurasjon av cisco IOS svitsjer. Dokumentet understøtter UFS105 som er en generell anbefaling for konfigurasjon av svitsjer i campusnett.

Vi følger samme struktur som UFS105, samt at vi gir en komplett konfigurasjon tilslutt.

1. Introduksjon

2. Definisjoner

3. Fysiske krav

4 Programvare

4.1 Programvareoppgradering

(1) Sjekk at det er ledig plass på flash. Hvis det ikke er nok plass, så slett det gamle først (se punkt 4)

  Switch#sh flash:
  Directory of flash:/
    2  -rwx         796   Mar 1 1993 00:35:16 +00:00  vlan.dat
    6  drwx         192   Mar 1 1993 00:06:45 +00:00  c2960-lanbase-mz.122-25.SEE2

(2) Kopier ny programvare over til ledig plass på flash

  Switch#copy tftp://10.20.30.10//tftpboot/c2960-lanbasek9-mz.122-25.SEE2 flash:
  Switch#copy scp://brukernavn@10.20.30.10//tftpboot/c2960-lanbasek9-mz.122-25.SEE2 flash:
  Switxh#copy ftp://user:password@10.20.30.10//tftpboot/filnavn flash:

(3) Sjekk at fila nå ligger på flash

  Switch#sh flash:
  Directory of flash:/
    2  -rwx         796   Mar 1 1993 00:35:16 +00:00  vlan.dat
    3  -rwx     5170561   Mar 1 1993 00:57:01 +00:00  c2960-lanbasek9-mz.122-25.SEE2
    6  drwx         192   Mar 1 1993 00:06:45 +00:00  c2960-lanbase-mz.122-25.SEE2
  32514048 bytes total (19633152 bytes free)

(4) Slett det gamle imaget

  Switch#delet /recursive /force flash:c2960-lanbase-mz.122-25.SEE2

(5) Fjern eventuelle bootvariabler.

  Switch(config)#no boot system

(6) Restart svitsjen

  Switch#reload

Man kan også bruke archive kommandoen, hvis man laster opp .tar filer. Da kan hele prosedyren gjøres i en kommando.

  Switch#archive download-sw /overwrite tftp://10.20.30.10//tftpboot/c2960-lanbasek9-tar.122-25.SEE2.tar

5. Navning

5.1 Sett navn på svitsjen

  Switch(config)# hostname svitsjens-navn

5.2 Dns-oppsett

Dns tjener har bl.a. relevans for at du kan pinge på navn ut fra cli:

Switch(config)# ip domain-name dittdomene.no
Switch(config)# ip name-server 10.20.70.70 (din navnetjener)

5.3 Konfigurer portnavn

Switch(config)# interface FastEthernet0/1
Switch(config-if)# description ditt-portnavn

6. Administrasjon av svitsjen

6.1 Managementadresse

VlanX bør være et managementnett dedikert for nettelektronikk:

Switch(config)# interface VlanX
Switch(config-if)# ip address 10.20.30.101 255.255.255.0

Statisk default rute:

Switch(config)# ip route 0.0.0.0 0.0.0.0 10.20.30.1 

Dersom dette ikke virker, bruk:

ip default-gateway 10.20.30.1 

6.2 Fjernpålogning (med banner)

Sørg for at passord blir kryptert (enkel kryptering) i config:

Switch(config)# service password-encryption

Sett enable passord:

Switch(config)# enable secret aller-helligste-hemmelighet

For telnet (og da uten radius/tacacs plus);

Switch(config)# line vty 0 15
Switch(config-line)# password gabagabago

For ssh må man først konfigurere følgende parametre på svitsjen:

Switch(config)# hostname svitsjens-navn
Switch(config)# ip doman-name domenet-ditt
! ssh krever brukerpålogning, derfor aaa. Dersom du ikke konfigurer aaa
! utover new-model linja så fordres lokal brukernavn, ellers se 6.3 under.
Switch(config)# aaa new-model
Switch(config)# username krytpofyr password 0 min-storste-hemmelighet
! Genererer ssh nøkkel 
Switch(config)# crypto key generate rsa
! evt juster attributter
Switch(config)# ip ssh time-out 60
Switch(config)# ip ssh authentication-retries 2
!
! åpne for ssh som innlogging (ekskluderer denne telnet?)
Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh

Sett tid for autologout fra vty (telnet/ssh) (evt sett dette likt for alle vty):

! ingen logout på første vty
Switch(config)# line vty 0
Switch(config-line)# exec-timeout 0
! øvrige kastes ut etter 15 minutter
Switch(config)# line vty 1-15
Switch(config-line)# exec-timeout 15

Sett escape character slik at ctr-c kan brukes (dette kan gi bieffekter for bruken av ctr-c i terminalen du telneter inn fra):

Switch(config)# line vty 0 15
Switch(config-line)# escape-character 3

Beskytt gjerne hvem som kan ta telnet/ssh til svitsjen:

Switch(config)# line vty 0 15
Switch(config-line)# access-class 95 in
!
! Dette eksempel tillater innlogging fra hele UH-Norge:
Switch(config)# access-list 95 permit 128.39.0.0 0.0.255.255 
Switch(config)# access-list 95 permit 129.177.0.0 0.0.255.255 
Switch(config)# access-list 95 permit 129.240.0.0 0.1.255.255 
Switch(config)# access-list 95 permit 129.242.0.0 0.0.255.255 
Switch(config)# access-list 95 permit 158.36.0.0 0.3.255.255 
Switch(config)# access-list 95 permit 193.156.0.0 0.1.255.255 
Switch(config)# access-list 95 deny   any  log

Konfigurer banner:

Switch(config)#banner motd %
  This is "myswitch.mydomain.no"
 
                              WARNING!!
  This device is owned by "myorg". All unauthorized access to this device
  is  illegal. Repeated  attempts (e.g. with telnet or other tools) to
  access it  will be treated as attacks, and will be reported to the
  proper authority.
 
%

6.3 Autentisering ved fjernpålogning

Tacacs + oppsett:

Switch(config)# aaa new-model
Switch(config)# aaa authentication login tacplus-login local group tacacs+ enable
Switch(config)# aaa accounting exec default start-stop group tacacs+
Switch(config)# aaa accounting system default start-stop group tacacs+
! lokalt brukernavn kan brukes, som alternativ til tac+ bruker
Switch(config)# username brukernavn password <gaba gaba>
!
Switch(config)# tacacs-server host 10.20.50.10
Switch(config)# tacacs-server timeout 10
Switch(config)# tacacs-server directed-request
Switch(config)# tacacs-server key felles-kjent-hemmelighet
!
Switch(config)# line vty 0 4
Switch(config-line)# login authentication tacplus-login

Tacacs+ konfigurasjon på serversiden som gir direkte enable tilgang for en bruker:

user = kjernekar { 
      login = file /etc/passwd
      name = "K. Jerne Kar"
      service = exec {
              priv-lvl = 15
      }
}

Radius oppsett:

Switch(config)# aaa new-model
Switch(config)# aaa authentication login radius-login local group radius enable
Switch(config)# aaa accounting exec default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius
! lokalt brukernavn kan brukes, som alternativ til radiusbruker
Switch(config)# username brukernavn password <gaba gaba>
!
Switch(config)# radius-server host 10.20.50.20 auth-port 1812 acct-port 1813 non-standard
Switch(config)# radius-server key felles-kjent-hemmelighet
!
Switch(config)# line vty 0 15
Switch(config-line)# login authentication radius-login

6.4 Lagring av konfigurasjon

Sørg for at lagring av config skjer fra loopback (relevant for ruter/gsw, ellers ikke):

GSW(config)# ip tftp source-interface Loopback0

Kommando for å lagre til tftp:

Switch# write network

evt:

Switch# copy running-config tftp:

6.5 SNMP tilgang

SNMP les oppsett beskyttet med et filter (98):

Switch(config)# snmp-server community ditt-snmp-les-passord RO 98
Switch(config)# access-list 98 permit 10.20.60.10 (ip adresse til din overvåkningsmaskin)

Mer avansert kan man vurdere å bruke 'snmp-server view' kommandoen for å avgrense gitte ip adresser å se gitte subsett av MIB-treet.

SNMP skriv oppsett:

Switch(config)# snmp-server community ditt-snmp-skriv-passord RW 98

SNMP trap oppsett:

Switch(config)# snmp-server host 10.20.60.10 ditt-snmp-les-passord
! sett avsender til loopback0, relvant for ruter/gsw:
Switch(config)# snmp-server trap-source loopback 0
! Det er også mulig å begrense hvilke traps som skal sendes med:
Switch(config)# snmp-server enable traps <bruk ? for å se liste å velge fra>

6.6 Naboppdagelsesprotokoll - lldp / cdp e.l.

CDP er default skrudd på, da med global kommando:

Switch(config)# cdp run

Og per interface:

 Switch(config-if)# cdp enable

6.7 Syslogging

Switch(config)# service timestamps debug datetime msec localtime show-timezone
Switch(config)# service timestamps log datetime msec localtime show-timezone
! skrur på logging nivå, denne tar alt:
Switch(config)# logging trap debugging 
! evt ekskluder debugging, ta med resten:
Switch(config)# logging trap informational
Switch(config)# logging 10.20.60.10 (ip adresse til din sysloggserver)

6.8 NTP

Switch(config)# clock timezone MET 1
Switch(config)# clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00
Switch(config)# ntp server 10.20.30.1 (svitsjens defaultruter)
Switch(config)# ntp server 10.20.80.80 (sentral ntp tjener)

6.9 Øvrige servertjenester på svitsjen

Skru av mest mulig (en del av dette kan være default, å lime inn kommandoen skader uansett ikke):

! Rutere som ikke kjører X.25 PAD (packet assembler/disassembler)
! trenger ikke å kjøre service pad.
Switch(config)# no service pad
! Cisco støtter "small servers" (bla. echo og chargen)
! Disse tjenestene kan brukes i DoS angrep. Slås av med
Switch(config)# no service udp-small-servers
Switch(config)# no service tcp-small-servers
! slå av flere tjenester
Switch(config)# no ip identd
Switch(config)# no service finger
Switch(config)# no ip finger
Switch(config)# no tftp server
! Slå av mulighet for automatisk lasting av konfig fra nett
Switch(config)# no service config
Switch(config)# no boot network
! skrur av web-server, vi anbefaler dette:
Switch(config)# no ip http server

Dersom du velger å kjøre web-server, kjør det sikkert:

! http
Switch(config)# ip http server
Switch(config)# no access-list 60
Switch(config)# access-list 60 permit host 10.20.90.10 (din klient som trenger web aksess)
Switch(config)# access-list 60 deny any any
Switch(config)# ip http access-class 60
! https
Switch(config)# ip http secure-server
Switch(config)# ip http authentication aaa
Switch(config)# access-list 60 permit host 10.20.90.10 (din klient som trenger ssl aksess)
Switch(config)# access-list 60 deny any any
Switch(config)# ip http access-class 60

6.10 Stacking

FIXME Mangler info

6.11 Fjernkonsol, konsollogg

! utelukk debug til console da dette kan potensielt overstrømme console og
! gi heng situasjoner:
Switch(config)# logging console informational
! logging til vty er default debugging, ingen grunn til å endre dette.
! kommandoen 'terminal monitor' gjør at du får se meldingene
Switch(config)# logging monitor debugging

Dersom svitsj er i et beskyttet miljø trengs ikke passord på console, heller ingen autologout:

line con 0
   exec-timeout 0

7. Vlankonfigurasjon

7.1 Trunkoppsett

! Reguler bruken av autoforhandling 
! Svitsjene er som standard satt opp til å kunne forhandle seg frem
! til å kjøre trunkt hvis begge parter støtter det. Dette er ingen god
! ide siden en hvilken som helst maskin da kan forhandle seg frem til
! å bruke trunkport og dermed få tilgang til alle vlan.
! Sett derfor alle hostporter til access og slå av forhandling for å
! hindre utsendelse av DTP-rammer.
Switch(config)# switchport mode access
! Vurder også å skru av autoforhandling på porter du skal ha trunk på:
Switch(config)# switchport nonegotiate

Trunk konfigurasjon

Switch(config)# switchport trunk encapsulation dot1q
Switch(config)# switchport mode trunk
! Begrens vlan til de som skal kjøre over trunken, vurder å gjør dette
! kun nedstrøms av bekvemmelighetshensyn (da bør du ikke kjøre vtp)
Switch(config)# switchport trunk allowed vlan 1,10,20,30 (liste med vlan tillat over trunk

7.2 Administrasjonsløsning for vlan (VTP el.l)

VTP oppsett:

! Cisco VTP kan lett skape problemer og har en del åpenbare svakheter. 
! - En malkonfigurert vtp server kan f.eks. slette vlan fra alle svitsjene.
! - Videre kan man i store nett oppleve at vtp vlan smitting skaper problemer med at
!   et uheldig sett av vtp instansene blir kjørende
! - vtp støtter heller ikke vlan over 1024 (???)
!
! *** Vi anbefaler vtp transparent - altså ikke bruk av vtp ***
Switch(config)# vtp mode transparent
Switch(config)# no vtp password
Switch(config)# no vtp pruning
!
! Velger man allikvel å bruke VTP bør man sette opp et VTP domene og
! passord for å dele VTP informasjon.
! Husk at VTP-tjeneren alltid må ha høyeste revisjonsnummer på
! VTP-databasen. Klienter med en VTP-database med høyere
! revisjonnummer enn tjeneren vil ikke godta oppdateringer.
Switch(config)# vtp domain <navn>
Switch(config)# vtp password <passord>
Switch(config)# vtp mode [ server | client ]
! Normalt har du en, evt to servere og resten klienter. For server så definerer du vlan slik:
Switch(config)# vlan 123
Switch(config-vlan)# name navnet-til-vlanet
! Dette blir da smittet ut til alle klienter.
! Tilsvarende registrering gjøres på alle svitsjer som står til transparent, da er det
! ingen smitting, kun en lokal registrering.

7.3 Vlan på ubrukte porter / vlan 1

! VLAN Hopping: I noen situasjoner er det mulig å sende pakker fra et
! vlan til et annet, uten å gå veien om en ruter. På cisco svitsjer er dette
! bare mulig når svitsjen bruker "VLAN 1" som native vlan.  Bruk derfor
! aldri native "VLAN 1" og ha heller ikke maskiner koblet til native vlan.
Switch(config-if)# switchport trunk native vlan 99
! Videre sett ubrukte aksessporter til et "dummy vlan"
Switch(config-if)# switchport access vlan 666

8. Spanningtree konfigurasjon

8.1 Rapid spanningtree

FIXME Her mangler vi input…

8.2 Rot i spanningtree

! Tenk igjen spanningtree design. Sett rot i spanning tree på kjernesvitsj.
! Konfigurer denne eksplisitt til å være root, per vlan:
Switch(config)# spanning-tree vlan xx root primary 
! tilsvarende kan man konfigurere en svitsj som er secondary til root.
! STP root Guard er en annen funksjon for å hindre angrep på STP.
! Her godtar man STP trafikk over porten så lenge ingen bak denne
! porten prøver å bli STP root.
! Kommandoen settes på interface der man ikke ønsker STP root forhandligner.
Switch(config-if)# spanning-tree guard root

8.3 Portfast

! Når man kjører vanlig spanning tree bør alle klientporter settes til portfast. Dette gjør
! at forwarding av pakker tillates raskere, før spanning tree er ferdig rekalkulert. Det
! er viktig at dette kun settes der man vet at man ikke har løkker i topologien. Kommando er:
Switch(config-if)# spanning-tree portfast

! I tillegg bør uplinkfast settes for alle svitsjer som ikke er root i spanning tree,
! typisk relevant på kantsvisjer. 
! Global kommando er:
Switch(config)# spanning-tree uplinkfast
! Da blir bridge priority satt til 49512, hvilket gjør at svitsjen ikke blir valgt til root.

8.4 BPDU guard

! Spanning Tree Protocol (STP) kan misbrukes ved å modifisere
! STP-topologien. Det finnes ikke noen passord som kan hindre hvem som
! helst å generere pakker som gjør dette. Vi er derfor nødt til å
! spesifisere hvilke porter vi ikke ønsker å få slik informasjon fra.
! Kommandoen under forteller at vi ikke ønsker STP
! trafikk fra porter der portfast er enablet.
Switch(config)# spanning-tree portfast bpduguard default
! Man kan også sette dette direkte på interface slik.
Switch(config-if)# spanning-tree bpduguard enable
! Når dette slår til vil porten bli slått av og satt i error-disable
! modus. Man må da enten manuelt gå inn å åpne porten igjen eller
! sette en timeout verdi. Under setter vi verdien til 300 sekunder
Switch(config)# errdisable recovery cause bpduguard
Switch(config)# errdisable recovery interval 300

9. Trafikkegenskaper

9.1 Hastighet, dupleks, autokryssing

For fastethernet porter og 10/100/1000T:

Switch(config-if)# duplex auto
Switch(config-if)# speed auto  

For gigabit fiberporter er ikke speed og duplex konfigurerbart. Men link negotiation kan brukes og dette er per default påskrudd. Link negotiation ser på flow-control parametre, fjern ende feil informasjon med mer. Det som er viktig er at det er samstemt konfigurert på hver side av en link. Kommando for å skru dette av er:

Switch(config-if)# speed nonegiotate

Og på igjen med:

Switch(config-if)# no speed nonegiotate

Autokryssing støttes på noen cisco switcher/linjekort og må typisk skrus på eksplisitt:

Switch(config-if)# mdix auto

9.2 Jumboframes

På interfacenivå kan man øke MTU til jumboframe med kommandoen:

Switch(config-if)# mtu 9216

Man kan også globalt konfigurere mtu med:

Switch(config)# system jumbomtu 9216

9.3 Bundling av porter (ether channel) /lastbalansering

Man definerer en eller flere porter som en del av en “channel-group”

Switch(config-if)##channel-group 1 mode passive

Når man har definert hvilke porter som skal være med i gruppen Kan man velge på hvilken måte trafikken skal lastbalanseres over portene. Man kan velge mellom følgende dst-ip,dst-mac,src-dst-ip,src-dst-mac,src-ip,src-mac src-mac er standard.

Switch(config)#port-channel load-balance dst-mac

9.4 Trafikkadministrasjon / tjenestekvalitet

FIXME Mangler info

9.5 Strøm over ethernet

FIXME Mangler info

9.6 Beskyttelse av kontrollplanet

! Mange angrep går på DoS, altså å gjøre nettverksutstyr
! utilgjengelig. I slike tilfeller kan det være viktig å kunne få
! tilgang til svitsjen. I standard oppsett vil svitsjen bruke all sin
! kapasitet på å skyfle pakker og man får problemer med å logge seg
! inn.  For å kunne gi lavere prioriterte prosesser CPU tid kan man
! sette maks mellom hver gang man kjører lavere prioriterte prosesser.
! eksempelet under setter tiden til 500ms
!
Switch(config)# scheduler interval 500
!
! Alternativt kan man bruke følgende kommando til å la 10% av CPU
! tiden brukes til andre lavere prioriterte pakker. Med en interupt tid
! på 4000ms og en prosesstid på 400ms

Switch(config)# scheduler allocate 4000 400

9.7 Fysisk link monitorering

UDLD er cisco proprietært og står for UniDirectional Link Detection. UDLD er en lag2 protokoll som arbeider med lag1 protokoller for å detektere den fysiske statusen til linken. Dette gjelder både kobber (categori 5) og fiberkabling.

UDLD kan skrus på globalt:

Switch(config)# udld enable

eller per interface:

Switch(config-if)# udld port 

10. Multicast snooping

Global kommando:

Switch(config)# ip igmp snooping

11. Sikkerhetsfunksjoner

11.1 Port security

! Port-security styrer hvor mange mac-adresser som er tillat på en
! port. Hindrer mulighet for å overfylle cam-tabellen  på svitsjen og
! gjøre den om til en hub. Man kan velge om man vil sette mac-adressen
! statisk eller den skal læres dynamisk.
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security aging time 60
Switch(config-if)# switchport port-security aging type inactivity

11.2 IEEE 802.1X

Global konfigurasjon for authentisering mot radius

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# dot1x system-auth-control
Switch(config)# radius-server host 10.20.50.20 auth-port 1812 acct-port 1813 non-standard
Switch(config)# radius-server key felles-kjent-hemmelighet

Per interface

Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
Switch(config-if)# dot1x timeout reauth-period 900
Switch(config-if)# dot1x guest-vlan vlannummer
Switch(config-if)# dot1x reauthentication

11.3 Traffic storm control

Cisco støtter storm control for broadcast (alle porter), multicast (gigabitporter) og unicast (gigabitporter) på interface nivå med kommandoen:

Switch(config-if)# storm-control [ broadcast | multicast | unicast ] level prosent-av-kapasitet

Når trafikken overgår terskelen du har konfigurert innenfor et 1-sekundsintervall blir overskytende trafikk av aktuell type droppes.

11.4 DHCP snooping

Slår på dhcp snooping på vlan XXX med option82 globalt på svitsjen

Switch(config)# ip dhcp snooping vlan XXX
Switch(config)# ip dhcp snooping information option

Setter på uplinkport der DHCP-tjenere befinner seg bak

Switch(config-if)# ip dhcp snooping trust

Slår på rate-limit av DHCP-pakker på en port i pps. Settes på aksessporter

Switch(config-if)# ip dhcp snooping limit rate 100

Lagrer DHCP snooping databasen til en tftp tjener.

Switch(config)# ip dhcp snooping database tftp://10.1.1.1/directory/file 

11.5 IP source guard / dynamic IP lockdown

Slås på pr. port på svitsjen. Sjekker at avsender IP- og mac-adresse stemmer med DHCP-snooping databasen. Option 82 må være påslått for at dette skal fungere.

Switch(config-if)# ip verify source vlan dhcp-snooping port-security

11.6 Dynamic arp inspection

Dette vil kun tillate arp trafikk med en mac-ip binding lik den som befinner seg i DHCP-snooping tabellen. Dette krever altså at DHCP snooping er påslått.

! Dynamic arp inspection skrus på per vlan:
Switch(config)# ip arp inspection vlan 10-12,15
! Sett trust på trunkporter:
Switch(config-if)# ip arp inspection trust
Switch(config-if)# ip arp inspection limit rate 20 burst interval 2

11.7 Port unicast og multicast flood blocking

Trafikk til en ukjent mac adresse vil alltid floodes på en svitsj. For porter du har kontroll på og ikke vil skal motta denne “støyen” kan du beskytte med denne funksjonen. Eksempel på konfigurasjon:

Switch(config)# interface gigabitethernet1/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch# show interface gigabitethernet1/1 switchport
Name: Gi1/3
Switchport: Enabled
<output truncated>
Port Protected: On
Unknown Unicast Traffic: Not Allowed
Unknown Multicast Traffic: Not Allowed

11.8 Mac address notification

Denne funksjonaliteten er ikke så nødvendig når man bruker overvåkningsprogram (f.eks. NAV) som gjør maskinsporing.

! Setter notification intervall på 60 sek og sender traps oftere dersom mer enn
! 100 innslag inntrer i perioden.
Switch(config)# snmp-server enable traps mac-notification
Switch(config)# mac address-table notification threshold interval 60
Switch(config)# mac address-table notification threshold history-size 100
! Du kan også få særskilt beskjed om mac-adresser som flytter seg:
Switch(config)# mac-address-table notification mac-move
! Du må i tillegg sku på funksjonaliteten per interface:
Switch(config-if)# snmp trap mac-notification change added

12. Nyttige funksjoner for daglig drift

12.1 Portspeiling

Et eksempel her slår på portspeiling av trafikk inn på port FastEthernet? 0/1 og trafikken blir sendt ut på port FastEthernet? 0/2

Switch(config)#monitor session 1 source interface Fa0/1
Switch(config)#monitor session 1 destination interface Fa0/2

For igjen å fjerne dette:

Switch(config)#no monitor session 1

12.2 Sperre en mac adresse

Dette kan gjøres på flere måter. Man kan lage et statisk mac adresseinnslag på aktuelle vlan og sette på attributten drop:

Switch(config)# mac-address-table static 0018.abcd.ef12 vlan 40 drop

Et alternativ er å skrive en mac-access-list og skru denne på på aktuelle interface:

Switch(config)# mac access-list extended SPERRET
Switch(config-ext-macl)# deny host 0018.abcd.ef12 any
Switch(config-ext-macl)# permit any any
Switch(config-ext-macl)# exit
Switch(config)# interface FastEthernet0/1
Switch(config-if)# mac access-group SPERRET in

12.3 Statisk binding av mac adresse til port

FIXME Mangler info

13. Komplett konfigurasjon

13.1 Globale kommandoer

Kommandoer som kan klippes rett inn

service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
aaa new-model
aaa authentication login radius-login local group radius enable
aaa accounting exec default start-stop group radius
aaa accounting system default start-stop group radius
clock timezone MET 1
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 2:00
vtp mode transparent
errdisable recovery cause bpduguard
errdisable recovery interval 300
spanning-tree portfast bpduguard default
no ip http server
logging trap debugging
access-list 95 permit 128.39.0.0 0.0.255.255
access-list 95 permit 129.177.0.0 0.0.255.255
access-list 95 permit 129.240.0.0 0.1.255.255
access-list 95 permit 129.242.0.0 0.0.255.255
access-list 95 permit 158.36.0.0 0.3.255.255
access-list 95 permit 193.156.0.0 0.1.255.255
access-list 95 deny   any log
radius-server source-ports 1645-1646
line vty 0
  access-class 95 in
  exec-timeout 0
  login authentication radius-login
  escape-character 3
  exit
line vty 1 15
  access-class 95 in
  exec-timeout 15
  login authentication radius-login
  escape-character 3
  exit 

Kommandoer som må editeres først

hostname <svitsjens-navn>
ip domain-name <domenenavn>
ip name-server <ip-adresse>
enable secret <enable-passord>
username <brukernavn> password <passord>
ip default-gateway <ip-adresse til gateway>
logging <ip-adresse til syslogtjener>
snmp-server host <ip-adresse> <ditt-snmp-les-passord>
radius-server host <ip-adresse> auth-port 1812 acct-port 1813 non-standard
radius-server key <delt-hemmelighet>
line vty 0 16
  password <login-passord>
  exit
ntp server <ip-adresse>
ntp server <ip-adresse>
crypto key generate rsa
banner motd x
   Your banner
x

13.2 interface / line kommandoer

Eksempel på host-port

interface GigabitEthernet0/2
  description hostport
  switchport mode access
  switchport nonegotiate
  switchport block multicast
  switchport block unicast
  switchport port-security maximum 3
  switchport port-security
  switchport port-security aging time 60
  switchport port-security violation restrict
  switchport port-security aging type inactivity
  storm-control broadcast level 80.00
  no cdp enable
  spanning-tree portfast
  spanning-tree bpduguard enable
  spanning-tree guard root
  ip dhcp snooping limit rate 100
  exit

Eksempel på trunk-port:

interface GigabitEthernet0/3
  description trunkport
  switchport trunk native vlan 99
  switchport mode trunk
  exit

Eksempel på 802.1x port:

interface GigabitEthernet0/4
  description dot1x
  dot1x port-control auto
  dot1x host-mode multi-host
  dot1x timeout reauth-period 900
  dot1x guest-vlan vlannummer
  dot1x reauthentication
  exit

Eksempel på ubrukt port:

interface GigabitEthernet0/5
  description ubrukt port
  switchport access vlan 666
  shutdown
  exit

14. Intellektuelt eierskap

Forfatter med arbeidsgruppe står ansvarlig for innholdet i dette dokument. UNINETT, UiT, UiB eller NTNU står ikke anvarlig for innholdet.

15. Forfatterenes adresse

   Børge Brunes 
   IT-avdelingen
   Universitetet i Tromsø
   9037 Tromsø
   Telefon: 77644113
   Epost: borge.brunes@cc.uit.no

   Vidar Faltinsen
   UNINETT
   Abels gt 5 - Teknobyen
   7465 Trondheim
   Norway
   Telefon: 735 57825
   Epost  : faltin@uninett.no

   Einar Lillebrygfjeld
   UNINETT
   Abels gt 5 - Teknobyen
   7465 Trondheim
   Norway
   Telefon: 735 57942
   Epost  : Einar.Lillebrygfjeld@uninett.no

   Roar Pettersen
   IT-avdelingen
   Universitetet i Bergen
   Postboks 7800,
   5020 Bergen
   Telefon: 55 58 40 55
   Epost: Roar.Pettersen@it.uib.no

   Knut-Helge Vindheim
   IT-seksjonen (ITEA)
   NTNU
   7491 Trondheim
   Telefon: 73597610
   Epost: knut-helge.vindheim@ntnu.no
 
 
gigacampus/ufs109.txt · Last modified: 2011/09/30 10:10 by faltin@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups