[[oktatas:hálózat:cisco_szerint_a_hálózat|< Cisco szerint a hálózat]]

====== A kapcsolás alapjai és beállítása ======
  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2017, 2018
  * Licenc: GNU Free Documentation License 1.3
  * Web: http://szit.hu
===== Kapcsolók =====


==== Egy kapcsoló rendszerindítási folyamata ====


  - A ROM-ból elindul a POST (Power On Selft Test; bekapcsolási önteszt. A POST ellenőrzi a CPU-t, a DRAM-ot és a flash memórai fájlrendszerét.
  - A vezérlés ezek utána betöltő programra adódik át (boot loader).
  - A betöltő program felkészíti a CPU-t, a memóriát.
  - A betöltő ezek után felkészíti a flash memóra fájlrendszerét.
  - A betöltő végül betölti a memóriába a IOS-t, majd átadja számára a vezérlést.

==== Kapcsoló ledjei ====

| SYST  | system, rendszer |
| RPS  | Redundant Power System, redundáns tápellátás |
| STAT  | Status, portállapot |
| DUPLX  | port duplex |
| SPEED  | Port Speed, portsebesség |
| PoE  | Power over Ethernet, hálózti tápellátás |


SYST
  * nem világít -- a rendszer ki van kapcsolva
  * zöld -- normális működés
  * borostyán -- van tápellátás, de valami hiba van
  * zöld és borostyán felváltva -- vezeték nélküli vezérlő hiba

A kapcsoló bekapcsolás után elindul a POST folyamat (önteszt). 
Ilyenkor a rendszerled villogni kezd lassan. Sikeres POSt esetén a
rendszerled gyorsan villog. Sikertelen esetben borostyán színben. 

RPS
  * nem világit -- nincs RPS
  * zöld -- Az RPS készen áll, szükség szerint plusz tápellátást biztosít.
  * zöld villog -- Az RPS rendben van, de éppen másik eszközhöz nyújt áramellátást
  * borostyán -- Az RPS készenléti állapotban van
  * borostyán villog -- Az tápellátás hibás, RSP-én kap áramot

MASTER
  * nem világít -- Nem Stack mester
  * zöld -- A switch stack mester vagy egyedül dolgozik
  * borostyán -- hiba


A következő ledek a portmód ledek. Azt mutatják, hogy 
a portledeknél mit látunk éppen. 


^  Mód  led  ^  Port mód  ^  Leírás  ^
|  STAT  |  Státusz.  |  Ez az alapértelmezett  |
|  DUPLX  |  Duplex mód  |  A port duplexmódban vagy half-duplex módbvan van-e.  \\ A 10/100/1000 portok csak full-duplex módban működnek.  |
|  SPEED  | Port sebesség  |  10, 100 vagy 1000 Mb/s  |
|  STACK  | Stack tagság  |  Stack tagság státusza  |
|  PoE  | 10/100 és 10/100/1000 PoE port áramellátás  |  A PoE státusz  |

==== SVI ====

Az SVI a Switch Virtual Interface rövidítése, magyarul kapcsoló virtuális interfész.
Az SVI nem egy fizikai port, csak virtuálisan van jelen. 
A kapcsoló távoli felügyeletéhez használható.

==== Töredék keretek ====

  * runt keret
  * méretük kisebb mint 64 bájt
Ha egy hálózaton növekszik a runt keretek száma a hálózati kártya valószínűleg
rosszul működik, vagy túl sok az ütközés.
==== Óriás keretek ====
  * giant keret
  * a maximálisan megengedett keretnél nagyobbak

A kiváltó oka ennek is a hibásan működő hálózati kártya, vagy a túl
sok ütközés lehet.

==== CRC hibák ====

  * kábel probléma lehet (átviteli közeg)

A kiváltó ok lehet elektromos interferencia, meglazult, sérült csatlakozó vagy a rossz kábeltípus.


===== A kapcsolók védelme =====
==== MAC-cím túlterhelés ====

Angolul MAC flooding. A támadó hamis MAC címekkel árasztja el a kapcsolót,
ami szórásra kapcsol.



==== DHCP éheztetés ====

Angolul DHCP starvation. A hálózat elárasztása DHCP kérésekkel.

Ellenőrizhetjük a DHCP kéréseket, vagy portbiztonságot állíthatunk be.

==== Hamis DHCP szerver ====

Valaki beüzemel egy hamis DHCP szervert.
DHCP-snooping bekapcsolása.


A portok lehetnek
  * megbízhatók -- trusted
    * jöhet DHCP válasz is
  * nem megbízható -- untrusted
    * DHCP válasz innen nem jöhet

<code>
S1(config)#ip dhcp snooping
S1(config)#int g0/22
S1(config-if)#ip dhcp snooping trust
...
S1#show ip dhcp snooping
</code>


Melyik VLAN-t akarjuk védeni:
  S1(config)#ip dhcp snoop vlan 99

  S1(config)#ip dhcp snoop vlan 99,999

==== Brute force ====

Egy szógyűjtemény felhasználásával egy program próbálgatja a szavakat
jelszónak.

===== Védekezési módszerek =====

  * mentés rendszeresen
  * SSL használata
  * írásos biztonságpolitika
  * erős jelszavak
  * gyakran cserélt jelszavak
  * nem használt szolgáltatások tiltása
  * a nem használt programok törlése
  * fizikai hozzáférés szabályozás
  * a dolgozók oktatása
    * szabályok
    * megtévesztések ellen
  * szoftverek firssítése
  * tűzfal
  * biztonsági hardver
  * fontos információk kódolása


===== Portbiztonság =====
==== Beállítható ====

  * csak egy MAC címről használható a port
  * több MAC címről használható a port (2, 3 vagy 4, stb.)

==== A védelem típusai ====
Beállíthatjuk, hogy egy kapcsoló adott portról csak megadott MAC címet fogadjon el.
Ezeket a MAC címek háromféle módon határozhatók meg:

  * statikus MAC-cím védelem
    * manuálisan megadott címek
  * dinamikus MAC-cím védelem
    * automatikusan megadott címek
    * újraindítás után elvesznek
  * sticky MAC-cím védelem
    * dinamikusan tanult
    * de tárolva van a konfigurációban

==== A biztonság megsértése ====

Ha egyik porton mégis újabb MAC címmel jelentkezik valaki,
szankciókat léptetünk életbe. A következő lépések fordulhatnak elő:
  * védelem (protect)
    * szabályszegési számláló nem nő
  * korlátozás (restrict)
    * szabályszegési számláló nő, értesítést küld
  * titltás (shutdown)
    * azonnali tiltás
    * üzenet: hiba miatt letiltott

Beállítás:

  switchport port-security violation {protect | restrict | shutdonw}

^  Büntetési módok  ^^^^^^
^  Büntetés  \\  módja  ^  Forgalom  \\  továbbítása  ^  Syslogba  \\  ír  ^  Hibát  \\  jelez  ^  Büntetés \\ számláló növelése  ^  Port leállítása  ^
|  protect   |  nem   |  nem   |  nem  |   nem  |  nem  |
|  restrict  |  nem   |  igen  |  nem  |  igen  |  nem  |
|  shutdown  |  nem   |  igen  |  nem  |  igen  |  igen  |


===== NTP =====
A pontos idő egy időkiszolgálóról lesz meghatáorzva. 

A IOS lehet NTP szerver és NTP kliens is.

  R1(config)# ntp master 1

  R2(config)# ntp server 192.168.10.1