A kapcsolás alapjai és beállítása

• Szerző: Sallai András
• Copyright © Sallai András, 2017, 2018
• Licenc: GNU Free Documentation License 1.3
• Web: http://szit.hu

1. A ROM-ból elindul a POST (Power On Selft Test; bekapcsolási önteszt. A POST ellenőrzi a CPU-t, a DRAM-ot és a flash memórai fájlrendszerét.
2. A vezérlés ezek utána betöltő programra adódik át (boot loader).
3. A betöltő program felkészíti a CPU-t, a memóriát.
4. A betöltő ezek után felkészíti a flash memóra fájlrendszerét.
5. A betöltő végül betölti a memóriába a IOS-t, majd átadja számára a vezérlést.

SYST

• nem világít – a rendszer ki van kapcsolva
• zöld – normális működés
• borostyán – van tápellátás, de valami hiba van
• zöld és borostyán felváltva – vezeték nélküli vezérlő hiba

A kapcsoló bekapcsolás után elindul a POST folyamat (önteszt). Ilyenkor a rendszerled villogni kezd lassan. Sikeres POSt esetén a rendszerled gyorsan villog. Sikertelen esetben borostyán színben.

RPS

• nem világit – nincs RPS
• zöld – Az RPS készen áll, szükség szerint plusz tápellátást biztosít.
• zöld villog – Az RPS rendben van, de éppen másik eszközhöz nyújt áramellátást
• borostyán – Az RPS készenléti állapotban van
• borostyán villog – Az tápellátás hibás, RSP-én kap áramot

MASTER

• nem világít – Nem Stack mester
• zöld – A switch stack mester vagy egyedül dolgozik
• borostyán – hiba

A következő ledek a portmód ledek. Azt mutatják, hogy a portledeknél mit látunk éppen.

Az SVI a Switch Virtual Interface rövidítése, magyarul kapcsoló virtuális interfész. Az SVI nem egy fizikai port, csak virtuálisan van jelen. A kapcsoló távoli felügyeletéhez használható.

• runt keret
• méretük kisebb mint 64 bájt

Ha egy hálózaton növekszik a runt keretek száma a hálózati kártya valószínűleg rosszul működik, vagy túl sok az ütközés.

• giant keret
• a maximálisan megengedett keretnél nagyobbak

A kiváltó oka ennek is a hibásan működő hálózati kártya, vagy a túl sok ütközés lehet.

• kábel probléma lehet (átviteli közeg)

A kiváltó ok lehet elektromos interferencia, meglazult, sérült csatlakozó vagy a rossz kábeltípus.

Angolul MAC flooding. A támadó hamis MAC címekkel árasztja el a kapcsolót, ami szórásra kapcsol.

Angolul DHCP starvation. A hálózat elárasztása DHCP kérésekkel.

Ellenőrizhetjük a DHCP kéréseket, vagy portbiztonságot állíthatunk be.

Valaki beüzemel egy hamis DHCP szervert. DHCP-snooping bekapcsolása.

A portok lehetnek

• megbízhatók – trusted
  • jöhet DHCP válasz is
• nem megbízható – untrusted
  • DHCP válasz innen nem jöhet

S1(config)#ip dhcp snooping
S1(config)#int g0/22
S1(config-if)#ip dhcp snooping trust
...
S1#show ip dhcp snooping

Melyik VLAN-t akarjuk védeni:

S1(config)#ip dhcp snoop vlan 99

S1(config)#ip dhcp snoop vlan 99,999

Egy szógyűjtemény felhasználásával egy program próbálgatja a szavakat jelszónak.

• mentés rendszeresen
• SSL használata
• írásos biztonságpolitika
• erős jelszavak
• gyakran cserélt jelszavak
• nem használt szolgáltatások tiltása
• a nem használt programok törlése
• fizikai hozzáférés szabályozás
• a dolgozók oktatása
  • szabályok
  • megtévesztések ellen
• szoftverek firssítése
• tűzfal
• biztonsági hardver
• fontos információk kódolása

• csak egy MAC címről használható a port
• több MAC címről használható a port (2, 3 vagy 4, stb.)

Beállíthatjuk, hogy egy kapcsoló adott portról csak megadott MAC címet fogadjon el. Ezeket a MAC címek háromféle módon határozhatók meg:

• statikus MAC-cím védelem
  • manuálisan megadott címek
• dinamikus MAC-cím védelem
  • automatikusan megadott címek
  • újraindítás után elvesznek
• sticky MAC-cím védelem
  • dinamikusan tanult
  • de tárolva van a konfigurációban

Ha egyik porton mégis újabb MAC címmel jelentkezik valaki, szankciókat léptetünk életbe. A következő lépések fordulhatnak elő:

• védelem (protect)
  • szabályszegési számláló nem nő
• korlátozás (restrict)
  • szabályszegési számláló nő, értesítést küld
• titltás (shutdown)
  • azonnali tiltás
  • üzenet: hiba miatt letiltott

Beállítás:

switchport port-security violation {protect | restrict | shutdonw}

A pontos idő egy időkiszolgálóról lesz meghatáorzva.

A IOS lehet NTP szerver és NTP kliens is.

R1(config)# ntp master 1

R2(config)# ntp server 192.168.10.1