Documente Academic
Documente Profesional
Documente Cultură
Pagina 1 din 74
2.1. CONFIGURAREA INIȚIALĂ A UNUI SWITCH
Switch-urile sunt folosite pentru a conecta mai multe echipamente în aceeași rețea. Într-o
rețea configurată corect, switch-urile LAN au rolul de a direcționa și controla fluxul de date la
layer-ul de acces către resursele rețelei.
În plus, switch-urile pot fi administrate atât local cât și de la distanță. Pentru a administra
un switch remote, acesta trebuie să aibă configurate o adresa IP și default gateway-ul.
Pagina 2 din 74
2.1.1 Configurarea inițială a unui switch
După ce este pornit, un switch Cisco, acesta trece prin următoarea secvență de boot:
1. În primul rând, switch-ul încarcă un POST (power-on self-test) care se află stocat în
ROM. POST testează componentele de procesare de bază. Testează CPU, DRAM
și componenta flash care conține sistemul de fișiere flash.
2. Apoi, switch-ul încarcă software-ul bootloader. Boot loader-ul este un program
scurt, stocat în memoria ROM, care este rulat imediat după ce POST este încheiat
cu succes.
3. Boot loader-ul efectuează inițializarea low-level a CPU-ului, respectiv, inițializează
regiștrii CPU, care controlează locul unde este localizată memoria fizică, cantitatea
de memorie și viteza ei.
4. Boot loader-ul inițializează sistemul de fișiere flash.
5. În final, boot loader localizează și încarcă imaginea software implicită a sistemului
de operare IOS în memorie și predă IOS-ului controlul asupra switch-ului.
Boot loader-ul găsește imaginea Cisco IOS în switch astfel: switch-ul încearcă să
pornească automat utilizând variabila de mediu BOOT. Dacă acestă variabilă nu este setată,
switch-ul încearcă mai întâi să încarce și să ruleze primul fișier executabil disponibil printr-o
căutare recursivă în adâncime prin întregul sistem de fișiere flash. Într-o căutare în adâncime a
unui director, fiecare subdirector întâlnit este căutat complet înainte de a continua căutarea în
directorul original. În switch-urile din seria Catalyst 2960, fișierul imagine este conținut, de
obicei, într-un director care are același nume ca și imaginea (cu excepția extensiei de fișier .bin).
Sistemul de operare IOS inițializează apoi interfețele utilizând comenzile Cisco IOS găsite
în fișierul de configurare, startup-config, care este stocat în NVRAM.
În figură, variabila mediului de BOOT este setată folosind comanda boot system în modul
global de configurare. Folosind comanda show bootvar (show boot în versiuni mai vechi de
IOS) se poate vedea cum este setat fișierul de boot IOS.
Pagina 3 din 74
2.1.1.2 Recuperarea fișierelor sistem
Boot loader-ul oferă acces la switch în cazul în care sistemul de operare nu poate fi folosit
datorită unor fișiere de sistem corupte sau lipsă. Boot loader-ul conține o linie de comandă care
oferă acces la fișierele stocate în memoria flash.
Boot loader-ul poate fi accesat printr-o conexiune de tip consolă executând următorii pași:
Pasul 3. Reconectăm cablul de alimentare la switch și, timp de 15 secunde, ținem apăsat
pe butonul Mode cât timp ledul System clipește verde.
Pasul 4. Ținem apăsat în continuare pe butonul Mode până când ledul System devine
pentru scurt timp galben iar apoi verde continuu; apoi eliberăm butonul Mode.
Linia de comandă boot loader suportă comenzi pentru formatarea sistemului de fișiere
flash, de reinstalare a software-ului IOS și de recuperare a unei parole pierdute sau uitate. De
Pagina 4 din 74
exemplu, comanda dir poate fi folosită pentru a vedea o listă cu toate fișierele dintr-un director
specificat, așa cum se arată în figura următoare.
Notă: Procesul de boot loader poate fi diferit în funcție de tipul echipamentului și de modelul
acestuia.
SVI este un concept legat de VLAN-uri. VLAN-urile sunt grupuri logice numerotate
cărora li se pot atribui porturi fizice. Configurările şi setările aplicate unui VLAN sunt, de
asemenea, aplicate tuturor porturilor atribuite acelui VLAN.
În mod implicit, switch-ul este configurat să fie gestionat prin VLAN 1. Toate porturile
sunt atribuite în mod implicit lui VLAN 1. Din motive de securitate, este bine să se folosească ca
VLAN de management alt VLAN în afară de VLAN 1.
Aceste setări IP sunt doar pentru management-ul şi accesul remote al switch-ului; setările
IP nu permit switch-ului să ruteze pachete de Layer 3.
Pagina 5 din 74
2.1.1.4 Configurarea accesului la managementul switch-ului
Pagina 6 din 74
SVI-ul interfeţei VLAN 99 nu va apărea ca "up/up" până când VLAN 99 nu este creat şi nu
este un echipament conectat la un port al switch-ului atribuit la VLAN 99. Pentru a crea un
VLAN cu VLAN_ID 99 şi pentru a-i atribui o interfeţă, se folosește următoarea secvență de
comenzi:
S1(config)# end
Switch-ul ar trebui să fie configurat cu un default gateway dacă va fi accesat din reţele care
nu sunt conectate direct. Default gateway este router-ul la care este conectat switch-ul. Switch-ul
va trimite mai departe pachete IP cu adresele IP destinaţie din afara reţelei locale prin default
gateway. După cum se arată în figură, R1 este default gateway pentru S1. Interfaţa de pe R1
conectată la switch are IP-ul 172.17.99.1. Această adresă este adresa default gateway pentru S1.
Pagina 7 din 74
Pasul 3. Verificarea configuraţiei
După cum se arată în figura de mai jos, comanda show ip interface brief este folositoare
atunci când se vrea determinarea stărilor interfeţelor fizice şi virtuale. Rezultatul arătat în figură
confirmă faptul că interfaţa VLAN 99 a fost configurată cu o adresă IP şi o mască de subrețea,
iar portul FastEthernet F0/18 a fost atribuit interfeţei de management VLAN 99. Ambele
interfeţe sunt acum "up/up" şi funcţionale.
Pagina 8 din 74
şi funcţionează în modul full-duplex. Acest lucru are ca rezultat un domeniu de coliziune pentru
un singur echipament. Deoarece are doar un echipament conectat, un LAN micro-segmentat este
lipsit de coliziuni.
În mod standard, eficienţa configurării Ethernet bazată pe un hub partajat este de regulă
evaluată la 50-60% din lăţimea de bandă declarată. Full-duplex oferă eficienţă 100% în ambele
direcţii (transmisie şi recepție).
Pagina 9 din 74
interfeței se specifică manual viteza pentru portul switch-ului. În figura următoare, portul F0/1 pe
switch-urile S1 şi S2 sunt configurate manual cu comanda duplex full şi comanda speed 100.
Setările implicite pentru modul duplex şi viteza porturilor pe switch-urile Cisco Catalyst
2960 şi 3560 sunt, de asemenea, auto. Porturile de rețea 10/100/1000 funcționează fie în modul
half-duplex, atunci când sunt setate la 10 sau 100 Mb/s, fie doar în modul full-duplex când sunt
setate la 1000 Mb/s (1 Gb/s). Cisco recomandă numai folosirea comenzii duplex auto şi a
comenzii speed auto pentru a evita problemele de conectivitate între echipamente. Când sunt
identificate probleme ale portului switch-ului, trebuie verificate setările modului duplex şi ale
vitezei portului.
Notă: Setările nepotrivite pentru modul duplex şi pentru viteza porturilor switch-ului pot
provoca probleme de conectivitate. Eşecul negocierii auto poate crea setări nepotrivite.
Auto-MDIX
Pe switch-uri mai vechi, erau necesare anumite tipuri de cabluri (straight-through sau
crossover) pentru conectarea echipamentelor. Conexiunile switch-switch sau switch-router
necesitau cabluri diferite de Ethernet. Folosirea pe o interfață a funcției auto-MDIX (automatic
Pagina 10 din 74
medium-dependent interface crossover) elimină această problemă. Atunci când auto-MDIX este
activată, interfața detectează automat tipul necesar de conexiune prin cablu (straight-through sau
crossover) și configurează conexiunea corespunzător. Pentru conectarea la switch-urile fără
caracteristica auto-MDIX activată, trebuie utilizate cablurile straight-through pentru a conecta
echipamente precum servere, stații de lucru, sau router-e și cablurile crossover pentru a conecta
alte switch-uri sau repetoare.
Cu auto-MDIX activat, oricare tip de cablu poate fi folosit pentru conectarea la alte
echipamente și interfața corectează automat orice cablare incorectă. Pe routere și switch-uri
Cisco, comanda mdix auto în submodul de configurare al interfeței activează această funcție.
Când se folosește auto-MDIX pe o interfață, viteza si modul duplex ale interfeței trebuie setate în
modul auto astfel încât funcția să acționeze corect.
Notă: Proprietatea auto-MDIX este activată implicit pe switch-urile Catalyst 2960 și 3560, dar
nu este valabilă pe switch-urile mai vechi Catalyst 2950 și Catalyst 3350.
Pentru a analiza setarea auto-MDIX pentru o anumită interfață, se folosește comanda show
controllers ethernet-controller cu opțiunea phy. Pentru a limita afișajul la liniile care fac
referire la auto-MDIX se folosește filtrul include Auto-MDIX. După cum se arată în figura
următoare, afișajul indică starea de On sau Off a funcției.
Pagina 11 din 74
2.1.2.3 Verificarea configurării unui port
În figura următoare sunt descrise câteva dintre opțiunile pentru comanda show care sunt
utilizate pentru a verifica caracteristicele configurabile ale switch-ului.
Pagina 12 din 74
interfața FastEthernet0/18 este configurată cu VLAN-ul 99
VLAN-ul de management, VLAN 99, este configurat cu adresa IP 172.17.99.11 și
masca de subrețea 255.255.0.0
default gateway-ul este este configurat cu adresa IP 172.17.99.1
Comanda show interfaces este o altă comandă des utilizată, care afișează informații despre
status-ul și statistici de trafic de rețea pentru interfețele switch-ului. Comanda show interfaces
este utilizată frecvent pentru configurarea și monitorizarea echipamentelor din rețea.
Pagina 13 din 74
În figura următoare este arătat output-ul comenzii show interfaces fastEthernet 0/18.
Prima linie din figură arată că interfața FastEthernet0/18 este up/up ceea ce înseamnă că este
funcțională (activă). Mai jos se arată că modul duplex este full și că viteza este de 100 Mb/s.
Pagina 14 din 74
2.1.2.4 Probleme comune la layer-ul acces la rețea
Output-ul comenzii show interfaces poate fi folosit pentru a detecta probleme comune de
mediu. Una dintre cele mai importante caracteristici ale acestui output este linia ce afișează
status-urile conexiunii fizice și a protocolului layer-ului data link.
Bazate pe rezultatul comenzii show interfaces, problemele posibile pot fi reparate după
cum urmează:
Dacă interfața este funcțională (up) și protocolul conexiunii este inactiv (down),
există o problemă. Ar putea exista o problemă de nepotrivire a tipului de
încapsulare, interfața de la celălalt capăt ar putea fi dezactivată din cauza unei erori,
sau ar putea fi o problemă de conexiune fizică.
Dacă atât interfața cât și protocolul conexiunii sunt dezactivate (down) atunci nu
este conectat un cablu sau există o altă problemă de interfață. De exemplu, într-o
conexiune logică, celălalt capăt al conexiunii poate să fie administrativ dezactivat.
Pagina 15 din 74
Dacă interfața este dezactivată administrativ, înseamnă că a fost dezactivată manual, a
fost executată comanda shutdown, în configurația activă.
Figura următoare arată un output al comenzii show interfaces. Acest exemplu arată
contoare și statistici pentru interfața FastEthernet0/1.
Unele erori de mediu nu sunt suficient de grave pentru a face comunicarea să eșueze, dar
cauzează probeme de performanță ale rețelei. În următoarea figură sunt explicate câteva dintre
erorile comune care pot fi depistate folosind comanda show interfaces.
Pagina 16 din 74
"Input errors" este suma tuturor erorilor din datagrame care au fost primite în timpul
examinării interfeței. Asta include runts, giants, CRC, no buffer, frame-uri, depășiri și calcule
ignorate. Comnanda show interface poate include următoarele erori de intrare:
Runt frames - frame-urile Ethernet care sunt mai scurte decât lungimea minimă
acceptată de 64 de octeți se numesc runts. Plăcile de rețea defecte sunt de regulă
cauza frame-urilor runt excesive, însă acestea pot fi cauzate de aceleași probleme
ca și coliziunile excesive.
Giants - frame-urile Ethernet care sunt mai lungi decât lungimea maximă acceptată
se numesc giants. Giant-urile sunt cauzate de aceleași defecțiuni ca și runt-urile.
CRC erors - pe interfețele Ethernet și seriale, erorile CRC indică de regulă eroare
de mediu sau de cablu. Printre cauzele frecvente se numără interferențele electrice,
conexiunile avariate sau folosirea unui tip de cablu incorect. Dacă sunt multe erori
CRC, înseamnă că este prea mult zgomot pe legătură și ar trebui verificată starea și
lungimea cablului. De asemenea, ar trebui căutate și eliminate sursele de zgomot,
dacă este posibil.
“Output errors” este suma tuturor erorilor care împiedică transmisia finală a datagramelor
din interfața care este examinată. Printre erorile afişate în output-ul comenzii show interfaces, se
numără următoarele:
Collisions - coliziunile în operaţiile half-duplex sunt complet normale şi nu trebuie
să îngrijoreze atâta timp cât suntem mulţumiţi de operaţiile half-duplex. Cu toate
acestea, nu ar trebui să apară niciodată coliziuni într-o reţea proiectată şi
configurată corect, care foloseşte comunicare full-duplex. Este recomandat să se
folosească conexiuni full-duplex dacă nu sunt echipamente mai vechi care să
necesite conexiuni half-duplex.
Late collisions - o coliziune întrârziată este o coliziune care are loc după ce s-au
trimis 512 biţi din frame (preambulul). Lungimile excesive de cablu sunt cauzele
cele mai comune de coliziuni întârziate. O altă cauză des întâlnită este configurarea
greşită a modului duplex. De exemplu, un capăt al conexiunii configurat pentru
full-duplex şi celălalt capăt este configurat pentru half-duplex. Prin urmare, vom
observa coliziuni întârziate pe interfaţa configurată pentru half-duplex. În acest caz,
trebuie să configurăm acelaşi mod duplex la ambele capete. O reţea proiectată şi
configurată corect nu ar trebui să aibe niciodată coliziuni întârziate.
Pagina 17 din 74
2.1.2.5 Rezolvarea problemelor de la layer-ul acces la rețea
Pentru a rezolva aceste probleme atunci când nu există conexiune, sau este o conexiune
nereușită între un switch şi un alt echipament, trebuie urmărit următorul proces general:
Pagina 18 din 74
lungimea maximă acceptată. Pentru cablurile din cupru, UTP, este recomandat să
folosim cablul Cat5e.
Dacă zgomotul nu este o problemă, verificăm dacă există coliziuni excesive. Dacă
există coliziuni sau coliziuni întârziate, verificăm setările duplex la ambele capete
ale conexiunii. La fel ca setarea vitezei, setarea modului duplex este de asemenea
auto-negociabilă. Dacă suspectăm o nepotrivire în aceste setări, setăm automat
modul duplex la ambele capete ale conexiunii. Este recomandat să se utilizeze
modul full-duplex dacă este suportat de ambele părţi.
Pagina 19 din 74
VLAN-urile din intervalul normal:
utilizate în afaceri mici, medii și rețele enterprise.
identificate cu un ID de VLAN cuprins între 1 și 1005.
ID-urile de la 1002 la 1005 sunt rezervate pentru VLAN-uri Token Ring și FDDI.
ID-urile l și 1002 ÷ 1005 sunt create automat și nu pot fi șterse.
configurațiile sunt stocate într-un fișier de baze de date VLAN numit vlan.dat,
fișier ce se află în memoria flash a switch-ului.
protocolul VLAN de trunking (VTP), care ajută la gestionarea configurațiilor
VLAN între switch-uri, poate învăța și stoca VLAN-urile cu interval limitat.
Notă: 4096 este limita superioară pentru numărul de VLAN-uri disponibile pentru switch-urile
Catalyst, deoarece sunt 12 biți în câmpul de VLAN ID ai header-ului IEEE 802.1Q.
Pagina 20 din 74
2.1.3.2 Crearea unui VLAN
Când configurăm VLAN-uri din intervalul normal, detaliile configurației sunt stocate în
memoria flash pe switch în fișierul vlan.dat. Memoria flash este persistentă și nu necesită
comanda copy running-config startup-config. Cu toate acestea, deoarece alte detalii sunt
adesea configurate pe un switch Cisco în același timp în care VLAN-urile sunt create, este o
practică bună de a salva schimbările din running-config în startup-config.
În figura următoare este arătată sintaxa comenzilor Cisco IOS folosite pentru a crea un
VLAN și a-i da un nume. Denumirea fiecărui VLAN este considerată o bună practică în
configurarea unui switch.
În topologia următoare VLAN-ul Student, VLAN 20, este configurat pe switch-ul S1.
Calculatorul studentului (PC1) care are adresa IP 172.17.20.22 nu a fost alocat încă la un VLAN.
Utilizând comanda show vlan brief se poate afișa conținutul fișiserului vlan.dat.
Pagina 21 din 74
În plus, față de introducerea unui singur ID de VLAN, o serie de ID-uri de VLAN pot fi
introduse separate prin virgule sau într-un interval de ID-uri VLAN separate de cratimă, folosind
comenda vlan vlan_id. De exemplu, utilizând comanda următoare se pot crea VLAN-urile cu
ID-urile 100, 102, 105, 106 și 107:
După crearea unui VLAN, următorul pas este de a atribui porturile la VLAN. Un port de
acces poate aparține unui singur VLAN la un moment dat; o excepție de la această regulă este
cea a unui port conectat la un telefon IP, caz în care sunt două VLAN-uri asociate cu acel port:
unul de voce și unul de date.
Figura următoare arată modul de configurare a unui port ca port de acces și atribuirea
acestuia la un VLAN. Comanda switchport mode access este opțională, dar recomandată pentru
securitate. Cu această comandă, interfața se schimbă în modul acces.
Notă: Folosind comanda interface range putem configura simultan mai multe interfețe.
În exemplul din figura următoare, VLAN 20 este atribuit portului F0/18 pe switch-ul S1;
așadar, calculatorul Student (PC2) este în VLAN 20. Când VLAN 20 este configurat pe alte
switch-uri, administratorul de rețea știe să configureze celelalte calculatoare Student pentru a fi
în aceeași subrețea ca PC2 (172.17.20.0/24).
Pagina 22 din 74
Comanda switchport access vlan forțează crearea unui VLAN dacă nu este existent deja
pe switch. De exemplu, VLAN 30 nu este prezent în afișajul comenzii show vlan brief rulată pe
switch. Dacă este executată comanda switchport access vlan 30 pe oricare interfață fără o
configurare anterioară, switch-ul va arăta următoarele:
Creating vlan 30
Există mai multe moduri de a schimba apartenența unui port la un VLAN. În figura
următoare este arătat modul de schimbare a apartenenței unui port al switch-ului de la VLAN 1
folosind comanda no switchport access vlan în modul de configurare al interfeței.
Interfața F0/18 a fost atribuită anterior la VLAN 20. Comanda no switchport access vlan
este introdusă pentru interfața F0/18. Output-ul comenzii show vlan brief afișează informații
pentru fiecare VLAN, respectiv: numele, status-ul și porturile switch-ului atribuite VLAN-ului.
Pagina 23 din 74
VLAN 20 este activ, chiar dacă nu are porturi atribuite la el. În figura următoare, output-ul
comenzii show interfaces f0/18 switchport arată dacă modul acces la VLAN pentru interfața
F0/18 a fost resetat la VLAN 1.
Un port își poate schimba cu ușurintă apartenența la VLAN. Nu este necesar să eliminăm
portul din VLAN pentru a-i schimba apartenența. Atunci când un port de acces atribuit la un
VLAN este reatribuit la un alt VLAN existent, noua atribuire la VLAN pur și simplu înlocuiește
atribuirea la VLAN-ul anterior. În figura următoare, portul F0/11 este atribuit la VLAN 20.
Pagina 24 din 74
2.1.3.5 Ștergerea unui VLAN
Comanda no vlan vlan_id, în modul global de configurare, este folosită pentru a șterge un
VLAN creat pe un switch.. În exemplul dat, după utilizarea comenzii no vlan 20, folosind
comanda show vlan brief se verifică dacă VLAN 20 mai este prezent în fișierul vlan.dat.
Switch-ul S1 are o configurație minimă cu VLAN 1 și porturile atribuite lui și un VLAN 20
neutilizat în baza de date VLAN.
Atenție: Înainte de a șterge un VLAN, toate porturile, care aparțin de VLAN-ul respectiv,
trebuie să fie mai întâi reatribuite la un alt VLAN. Porturile care nu sunt atribuite la un VLAN
activ nu mai pot comunica cu alte host-uri după ce VLAN-ul este șters.
Alternativ, fișierul vlan.dat poate fi șters folosind comanda delete flash:vlan.dat în modul
privilegiat. Versiunea simplă a comenzii, delete vlan.dat, poate fi folosită dacă fișierul vlan.dat
nu a fost mutat din locația inițială (din memoria flash:). După executarea comenzii și repornirea
switch-ului, VLAN-urile configurate anterior nu vor mai fi prezente. Acest lucru aduce switch-ul
în setările din fabrică în privința configurărilor VLAN.
Notă: Comanda erase startup-config trebuie să însoțească comanda delete vlan.dat înainte de a
folosi comanda reload pentru a reporni switch-ul și a-l reinițializa cu configurările din fabrică.
Pagina 25 din 74
2.1.3.6 Verificarea informațiilor despre VLAN-uri
După ce VLAN-ul este configurat, configurațiile VLAN pot fi validate folosind opțiunile
comenzii show din Cisco IOS, respectiv show vlan și show interfaces.
În figura următoare, comanda show vlan name student produce un output care nu este ușor
de interpretat. Varianta optimă este folosirea comenzii show vlan brief. Comanda show vlan
summary afișează numărul tuturor VLAN-urilor configurate, respectiv 7 VLAN-uri.
Pagina 26 din 74
Comanda show interfaces vlan vlan_id afișează detalii care nu fac obiectul acestui
material. Informațiile importante apar pe linia a doua din output-ul comenzii, indicând că VLAN
20 este pornit (up).
Pentru a afișa informațiile unui port al switch-ului și pentru a verifica atribuirile și modul
VLAN se folosește comanda show interfaces interface_id switchport.
Un trunk VLAN este o legătura OSI de Layer 2 dintre două switch-uri care transportă
trafic pentru toate VLAN-urile (numai dacă lista permisă de VLAN nu este restricționată manual
sau dinamic). Pentru a activa o legătură trunk, se configurează ambele porturi de la capetele
legăturii fizice cu seturi similare de comenzi.
Pagina 27 din 74
Pentru a configura un port trunk, se folosește comanda switchport mode trunk, care trece
permanent interfața în modul trunk. Această comandă este singura metoda de a implementa o
configurație trunk.
Sintaxa comenzii Cisco IOS care specifică VLAN-ul nativ (altul decât Vlan 1) este
prezentată în figură. În acest exemplu, VLAN 99 este configurat ca fiind VLAN nativ folosind
comanda switchport trunk native vlan 99.
Folosind comenzile Cisco IOS switchport trunk allowed vlan vlan_list se poate specifica
lista de VLAN-uri permise pe legătura trunk.
VLAN-urile 10, 20, 30 acceptă calculatoarele PC1, PC2 și PC3 din VLAN-urile Faculty,
Student și Guest. Portul F0/1 de pe switch-ul S1 este configurat ca port trunk și transmite traficul
pentru VLAN-urile 10, 20, 30. VLAN 99 este configurat ca fiind VLAN nativ.
Pagina 28 din 74
În figura următoare este arătată configurația portului F0/1 pe switch-ul S1 ca fiind port
trunk. VLAN-ul nativ este schimbat la VLAN 99 și lista de VLAN-uri acceptate este limitată la
VLAN 10, 20 și 30.
Dacă VLAN-ul nativ nu este permis pe legătura de trunk, trunk-ul nu va permite deloc
traficul de date pentru VLAN-ul nativ.
Notă: Această configurație presupune utilizarea switch-urilor care folosesc automat încapsularea
802.1Q pe legăturile trunk. Celelalte switch-uri pot necesita configurarea manuală a încapsulării.
Întotdeauna trebuie configurate ambele capete ale legăturii trunk cu același VLAN nativ. În
cazurile în care configurația trunk 802.1Q nu este la fel la ambele capete, Software-ul Cisco IOS
va raporta erori.
Comanda pentru a reseta portul switch-ului la modul acces și, de fapt, de a șterge modul
trunk este prezentată în figură.
Pagina 29 din 74
Figura următoare arată comenzile folosite pentru resetarea interfeței și a caracteristicilor de
trunking la setările inițiale. Comanda show interfaces f0/1 switchport arată că trunk-ul a fost
reconfigurat la starea inițială.
În figura de mai jos, sunt arătate comenzile folosite pentru a elimina caracteristicile trunk
de pe portul F0/1 al switch-ului S1 și de a trece portul în modul acces. Comanda show interfaces
f0/1 switchport arată că interfața F0/1 este acum în modul static acces.
Pagina 30 din 74
2.1.4.3 Verificarea configurației trunk
Figura afișează configurația portului F0/1 a switch-ului S1. Configurația este verificată cu
comanda show interfaces interface_id switchport.
Prima zonă marcată arată ca portul F0/1 are modul administrativ setat la trunk (portul este
în modul trunk). Următoarea zonă evidențiată verifică că VLAN-ul nativ este VLAN-ul 99.
Ultima zonă marcată arată ca toate VLAN-urile sunt activate pe trunk.
Interfețele Ethernet trunk suportă diferite moduri de trunking. O interfață poate fi setată la
trunking sau non-trunking sau să negocieze trunking cu interfața vecină. Negocierea trunking
este administrată de Dynamic Trunking Protocol (DTP), care operează numai punct-la-punct
între echipamente din rețelei.
Pagina 31 din 74
DTP este un protocol Cisco care este activat automat pe seriile de switch-uri Catalyst 2960
și Catalyst 3560. DTP administrează negocierea trunk doar dacă portul de pe switch-ul vecin este
configurat într-un mod trunk care suportă DTP.
Atenție: Unele echipamente de interconectare de rețea pot transmite mai departe frame-uri în
mod corespunzător, fapt ce poate provoca configurări greșite. Pentru a evita acest lucru, trebuie
oprit DTP pe interfețele switch-ului Cisco dacă acesta este conectat la echipamente care nu
suportă DTP.
Configurația DTP implicită pentru switch-urile Catalyst 2960 și 3560 este dynamic auto
după cum se arată în figură pe interfața F0/3 a switch-urilor S1 și S3.
Pagina 32 din 74
activate și să rămână în modul trunk. Porturile F0/3 de pe switch-urile S1 și S3 sunt configurate
în modul dynamic auto, astfel încât negocierea are ca rezultat trecerea celor două porturi în
modul acces. Acest lucru creează o legătură trunk inactivă. Când se configurează un port să fie în
modul trunk, nu există nicio ambiguitate despre starea în care se află trunk-ul, portul este mereu
activ. Cu această configurare, este ușor de văzut în ce stare se află porturile trunk; dacă se
presupune ca portul să fie trunk, starea portului este setată în modul trunk.
Pe switch-urile Catalyst 2960 și Catalyst 3560 interfețele Ethernet suportă moduri diferite
de trunking cu ajutorul DTP:
switchport mode access - pune interfața (portul acces) în modul permanent non-
trunking și negociază convertirea legăturii într-un link non-trunk. Interfața devine o
interfață non-trunk, chiar dacă interfața vecină este sau nu o intefață trunk.
switchport mode dynamic auto - face interfața capabilă să convertească un link
într-un link trunk. Interfața devine o interfață trunk dacă interfața vecină este setată
în modul trunk sau desirable. Modul switchport implicit al tuturor interfețelor
Ethernet este dynamic auto.
switchport mode dynamic desirable - face ca interfața să încerce activ să
convertească link-ul într-un link trunk. Interfața devine o interfață trunk dacă
interfața vecină este setată în modul trunk, desirable sau auto. Acesta este modul
switchport implicit al switch-urilor mai vechi, precum Catalyst 2950 și 3550.
Pagina 33 din 74
switchport mode trunk - pune interfața într-un mod trunking permanent și
negociază să convertească link-ul cu interfața vecină într-un link trunk. Interfața
devine o interfață trunk chiar dacă interfața vecină nu este o interfață trunk.
switchport nonegotiate - împiedică interfața să genereze frame-uri DTP. Se poate
folosi această comandă doar când modul interfeței switchport este acces sau trunk.
Trebuie configurată manual interfața vecină ca interfață trunk pentru a stabili o
legătură trunk.
Figura următoare ilustrează rezultatul opțiunilor de configurare DTP la capetele unui link
trunk conectat la porturile unui switch Catalyst 2960.
Se poate configura un link trunk static oricând este posibil. Modul implicit DTP este
dependent de versiunea de software Cisco IOS și de platformă. Pentru a determina modul DTP
curent, se folosește comanda show dtp interface după cum se arată în figură.
Pagina 34 din 74
Notă: O bună practică este configurarea interfeței în modul trunk cu setarea nonegotiate când
este necesară o legătură trunk. Pe link-urile unde nu este necesar trunk, DTP ar trebui dezactivat.
Fiecare VLAN trebuie să corespundă unei subrețele. Dacă două echipamente din același
VLAN au adrese din subrețele diferite, ele nu pot comunica. Aceasta este o problemă des
întâlnită și poate fi rezolvată prin identificarea configurației incorecte și schimbarea adresei IP cu
o adresă IP din subrețeaua corectă.
Pagina 35 din 74
După modificarea configurației interfeței FastEthernet a PC1 cu adresa IP 172.17.10.21 și
testarea conectivității se observă că PC1 are conexiune cu serverul Web/TFTP cu adresa IP
172.17.10.30 .
Dacă nu există conexiune între echipamentele dintr-un VLAN, dar problemele de adresare
IP au fost eliminate, conform algoritmului din figură, pentru rezolvarea problemelor se parcurg
următorii pași:
Pasul 1. Se folosește comanda show vlan pentru a verifica dacă portul aparţine sau nu
VLAN-ului aşteptat. Dacă portul este atribuit la un VLAN greşit, pentru a corecta atribuirea la
VLAN se folosește comanda switchport access vlan. Pentru a verifica care adrese au fost
învăţate pe un anumit port al switch-ului şi cărui VLAN îi este atribuit acel port se folosește
comanda show mac address-table.
Pasul 2. Dacă VLAN-ul la care este atribuit portul este şters, portul devine inactiv. Se
folosește comanda show vlan sau show interfaces switchport pentru a verifica acest lucru.
Pagina 36 din 74
Dacă portul este inactiv, acesta nu este funcțional până când VLAN-ul lipsă nu este creat
folosind comanda vlan vlan_id.
În exemplul din figura următoare, prin utilizarea comenzii show mac address-table sunt
afișate adresele MAC care au fost învăţate pe interfaţa F0/1. Se poate observa că adresa MAC
000c.296a.a21c a fost învăţată pe interfaţa F0/1 în VLAN 10. Dacă numărul VLAN-ului nu este
cel aşteptat, folosind comanda switchport access vlan se schimbă atribuirea portului la VLAN
corect.
O sarcină des întâlnită a unui administrator de reţea este să rezolve problema realizării
link-ului trunk sau link-ului greşit care se comportă ca un link trunk. Câteodată un port al unui
switch se poate comporta ca un port trunk chiar dacă nu a fost configurat ca un port trunk. De
exemplu, un port de acces poate accepta frame-uri de la VLAN-uri diferite faţă de VLAN-ul
căruia îi este atribuit. Acest lucru se numeşte leaking VLAN.
Pagina 37 din 74
Figura de mai jos prezintă o schemă de rezolvare a problemelor cu modul trunk.
Pentru a rezolva problemele când nu se realizează un trunk sau când intervine leaking-uri
de VLAN, se procedează urmând algoritmul din figura anterioară:
Pasul 1. Se folosește comanda show interfaces trunk pentru a verifica dacă VLAN-urile
locale şi native se potrivesc. Dacă VLAN-ul nativ nu se potriveşte la ambele capete, atunci apar
leaking-uri de VLAN.
Pasul 2. Se folosește comanda show interfaces trunk pentru a verifica dacă un link trunk
a fost stabilit între switch-uri. Se configurează static link-ul trunk oricând este posibil. Porturile
switch-urilor Catalyst folosesc DTP implicit și încearcă să negocieze un link trunk.
Pentru a afișa starea unui link trunk, VLAN-ul nativ folosit pe acel link și pentru a verifica
stabilirea legăturii folosiți comanda show interfaces trunk. Exemplul din figura următoare arată
că VLAN-ul nativ de la un capăt al link-ului trunk s-a schimbat în VLAN 2. Dacă un capăt al
legăturii este configurat ca vlan nativ VLAN 99 și celălalt capăt este configurat ca vlan nativ
VLAN 2, un frame este trimis de la VLAN 99 pe o parte și este primit de VLAN 2 pe cealaltă
parte. VLAN 99 se “pierde” în segmentul VLAN 2.
CDP afișează o notificare a unei nepotriviri de VLAN nativ pe o legătură trunk cu mesajul:
Pagina 38 din 74
Problemele de conectivitate apar în rețea dacă există o nepotrivire între VLAN-urile native.
Traficul de date pentru VLAN-uri, altele decât cele două VLAN-uri native configurate, se
propagă cu succes de-a lungul legăturii trunk însă datele asociate cu oricare dintre VLAN-urile
native nu se propagă cu succes de-a lungul legăturii trunk.
Notă: Afișajul din figură indică că există un link trunk activ în ciuda nepotrivirii VLAN. Se va
configura același VLAN nativ la ambele capete ale link-ului pentru a corecta această problemă.
Dacă este descoperită o problemă cu un link trunk și dacă nu este cunoscută cauza, se
începe rezolvarea problemei prin examinarea trunk-urilor pentru a găsi eventuale nepotriviri de
VLAN nativ. Dacă nu aceasta este cauza, se caută nepotriviri ale modului trunk și în final se
verifică listele de VLAN-uri permise pe trunk.
Pagina 39 din 74
Moduri de rezolvare a problemelor cu modul trunk
Folosind comanda show interfaces trunk se verifică starea porturilor trunk pe switch-ul
S1. Output-urile prezentate în figura următoare arată că interfaţa Fa0/3 de pe switch-ul S1 și
interfaţa Fa0/3 de pe switch-ul S3 nu sunt momentan porturi trunk active, ambele fiind
configurate în modul dynamic auto. Acest lucru explică de ce trunk-ul este inactiv.
Pagina 40 din 74
Pentru a rezolva această problemă, se reconfigurează modul trunk pe porturile F0/3 de pe
switch-urile S1 şi S3 și după această schimbare, otutput-urile comenzii show interfaces indică
faptul că porturile F0/3 de pe switch-urile S1 și S3 sunt acum în modul trunk. Afişajul de la PC4
indică faptul că are conectivitate cu serverul Web/TFTP găsit la adresa IP 172.17.10.30.
Pagina 41 din 74
Exemplul 2 - Liste de VLAN-uri permise configurată greșit
Pentru ca traficul de la un VLAN să fie transmis pe un link trunk, trebuie ca acel VLAN să
fie permis pe trunk. Se folosește comanda switchport trunk allowed vlan vlan_id, pentru a face
posibil acest lucru.
Pagina 42 din 74
Folosind comanda switchport trunk allowed vlan 10,20,99, se reconfigurează interfețele
F0/1 și F0/3 pe switch-ul S1 și output-ul comenzii show interfaces trunk arată că VLAN-urile
10, 20 şi 99 sunt acum adăugate la porturile F0/1 și F0/3 de pe switch, iar PC5 are acum
conectivitate cu serverul de email student găsit la adresa IP 172.17.20.10.
Pagina 43 din 74
2.2. SECURITATEA LA NIVELUL SWITCH-ULUI
Secure Shell (SSH) este un protocol care furnizează o conexiune sigură (criptată) de
administrare la un echipament situat la distanţă. SSH ar trebui să înlocuiască Telnet pentru
administrarea conexiunilor. Telnet este un protocol mai vechi care foloseşte transmiterea
nesecurizată (transmiterea în clar) atât a datelor de logare (utilizator şi parolă) cât şi a datelor
transmise între cele două echipamente care comunică. SSH oferă securitate pentru transmisiile la
distanţă prin criptare puternică atunci când un echipament este autentificat (utilizator şi parolă)
şi, de asemenea, pentru datele transmise între cele două echipamente care comunică. SSH are
atribuit portul 22 TCP. Telnet are atribuit portul 23 TCP.
Exemplu:
Utilizând software-uri specifice (ex: Wireshark), un atacator poate monitoriza pachete,
transmise printr-o sesiune Telnet, și poate afla numele de utilizator şi parola de administrare a
echipamentului. Datele transmise printr-o sesiune SSH pot fi urmărite de către un atacator, dar
nu poate afla informații de autentificare pe echipament deoarece acestea sunt criptate.
Pentru a activa SSH pe un switch Catalyst 2960, switch-ul trebuie să folosească o versiune
a software-ului IOS care conţine caracteristici şi capabilităţi criptografice. În figura următoare,
folosind comanda show version pe switch se poate vedea ce IOS rulează momentan şi dacă
fişierul al cărui nume conţine combinaţia "K9" acceptă caracteristici de criptografie.
Pagina 44 din 74
2.2.1.2 Configurarea SSH
Înainte de a configura SSH, switch-ul trebuie să fie minim configurat cu un hostname unic
şi cu setări corecte de conectivitate în reţea.
Pasul 1. Verificarea dacă SSH este acceptat. Folosind comanda show ip ssh se verifică
dacă switch-ul acceptă SSH. Dacă pe switch nu rulează un IOS care acceptă caracteristici de
criptare, această comandă nu va fi recunoscută.
Pasul 3. Generarea perechilor de chei RSA. Generarea unei perechi de chei RSA
activează în mod automat SSH. Folosind comanda crypto key generate rsa, în modul global de
configurare, se activează serverul SSH pe switch şi se generează perechea de chei RSA. Când se
generează cheile de criptare, se solicită, de asemenea, și valoarea modulului (lungimea în biți).
Cisco recomandă cheile de criptare RSA cu lungimi de 1024 biţi (vezi figura anterioară).
Pagina 45 din 74
Modulele de chei de criptare cu lungimi mai mari sunt mai sigure, însă durează mai mult până
când sunt generate şi folosite.
Notă: Pentru a şterge o pereche de chei RSA se folosește comanda crypto key zeroize rsa în
modul global de configurare. După ce perechea de chei de criptare a fost ştearsă, serverul SSH
este dezactivat automat.
Pasul 5. Configurarea liniile vty. Activarea protocolul SSH pe liniile vty se realizează
folosind comanda transport input ssh, în submodul de configurarea a liniilor vty. Catalyst 2960
are 16 linii vty, de la 0 la 15. Această configurare impiedică conexiunile non-SSH (precum
Telnet) şi limitează switch-ul să accepte numai conexiuni SSH. Folosind comanda line vty, în
modul de configurare global iar apoi comanda login local, de submodul de configurare a liniilor,
se solicită autentificarea locală pentru conexiunile SSH din baza de date cu utilizatori locali.
Pe un PC, este folosit un client SSH, precum PuTTY, pentru conectarea la un server SSH.
Pentru exemplul următor au fost configurate următoarele:
SSH a fost activat pe switch-ul S1.
s-a atribuit adresa IP 172.17.99.11 interfeţei VLAN 99 (SVI) a switch-ului S1.
s-a atribuit adresa IP 172.17.99.21 lui PC1.
În figurile următoare, PC-ul iniţiază o conexiune SSH cu adresa IP atribuită SVI a S1.
Utilizatorului i s-au cerut un nume de utilizator şi o parolă. Utilizând configurarea din exemplul
precedent, se introduce numele de utilizator admin şi parola ccna. După autentificarea corectă,
utilizatorul este conectat prin SSH la CLI de pe switch-ul Catalyst 2960. Pentru a afişa versiunea
şi configurarea datelor pentru SSH pe echipamentul pe care s-a configurat serverul SSH, se
Pagina 46 din 74
folosește comanda show ip ssh. În exemplul dat este activat SSH-ul versiunea 2. Pentru a
verifica conexiunile SSH la echipament, se folosește comanda show ssh.
Pagina 47 din 74
2.2.2 Probleme de securitate în rețelele LAN
Tabela adreselor MAC dintr-un switch conține adresele MAC asociate fiecărui port fizic și
VLAN-urilor asociate fiecărui port. Când un switch de Layer 2 primește un frame, switch-ul
caută în tabela de adrese MAC, adresa MAC destinație. Toate modelele de switch-uri de la
Catalyst folosesc o tabelă de adrese MAC pentru switching de Layer 2. Pe măsură ce frame-urile
ajung la porturile switchu-ului, adresele MAC sursă sunt înregistrate în tabela de adrese MAC.
Dacă există o înregistrare pentru adresa MAC, switch-ul trimite mai departe frame-ul către portul
corect. Dacă adresa MAC nu există în tabela de adrese MAC, switch-ul trimite frame-ul către
fiecare port al său mai puțin cel de la care a fost primit frame-ul.
Pagina 48 din 74
vadă toate frame-urile din rețea. Unele instrumente de atac al rețelei pot genera este 150000 de
înregistrări MAC pe un switch, pe minut. În funcție de switch, dimensiunea maximă a tabelei de
adrese MAC variază.
DHCP Spoofing
DHCP este protocolul care atribuie unei gazde automat o adresă IP validă dintr-un pool
DHCP. DHCP a fost folosit aproape la fel de mult timp cât TCP/IP a fost protocolul principal
folosit pentru a aloca clienților adrese IP. Asupra unei rețele de switch-uri pot fi folosite două
tipuri de atacuri DHCP: atacuri DHCP starvation și DHCP spoofing.
În atacurile DHCP starvation, atacatorul inundă serverul DHCP cu cereri DHCP de a folosi
toate adresele IP valabile pe care le poate emite serverul DHCP. După ce sunt emise aceste
adrese IP, serverul nu mai poate emite alte adrese iar această situație produce un atac de tip
denial-of-service (DoS) întrucât clienții noi nu mai pot obține acces la rețea. Un atac DoS este
orice atac care este folosit pentru a supraîncărca anumite echipamente și servicii de rețea cu
trafic nelegitim, împiedicând astfel traficul legitim de a ajunge la acele resurse.
În atacurile DHCP spoofing, un atacator configurează pe rețea un server DHCP fals care va
emite adrese DHCP clienților. Motivul normal pentru acest atac este de a forța clienții să
folosească un DNS (Domain Name System) fals sau servere WINS (Windows Internet Naming
Service) și de a-i face pe utilizatori să folosească sistemeul aflat sub controlul atacatorului, ca și
default gateway-ul lor.
DHCP starvation este folosit adesea înaintea unui atac DHCP de impersonare pentru a
interzice serviciile către serverul legitim DHCP, făcând mai ușor să fie introdus un server DHCP
fals în rețea.
Pagina 49 din 74
Utilizarea CDP
Cisco Discovery Protocol (CDP) este un protocol particular pe care toate echipamentele
Cisco îl pot folosi. CDP descoperă alte echipamente Cisco care sunt conectate direct, ceea ce
permite echipamentelor să-și auto-configureze conexiunea. În unele cazuri, acest lucru simplifică
configurarea și conectivitatea.
Atacuri Telnet
Protocolul Telnet este nesigur și poate fi folosit de un atacator pentru a obține acces remote
la un echipament de rețea. Există instrumente care permit unui atacator să lanseze un atac
puternic de spargere a parolelor (brute force) împotriva liniilor vty ale switch-ului.
Prima fază a unui atac brute force de parola începe prin utilizarea de către atacator a unei
liste de parole comune și a unui program conceput pentru a stabili o conexiune Telnet folosind
fiecare cuvânt de pe lista dicționarului. Dacă parola nu este descoperită în prima etapă, în faza a
doua, atacatorul folosește un program care creează combinații secvențiale de caractere, în
Pagina 50 din 74
încercarea de a ghici parola. Dacă i se acordă suficient timp, un atac brute force poate sparge
aproape toate parolele folosite.
Pentru a atenua atacurile brute force de parole, se recomandă folosirea unor parole
puternice și care să fie schimbate des. O parolă puternică ar trebui să conțină o combinație de
litere mari, litere mici, cifre și caractere speciale. Accesul la liniile vty poate fi de asemenea
limitat folosind un ACL (listă de control al accesului).
Telnet poate fi folosit, de asemenea, pentru a lansa un atac DoS. Într-un atac DoS Telnet,
atacatorul exploatează o vulnerabilitate în software-ul serverului Telnet care rulează pe switch,
vulnerabilitate care face serviciul Telnet indisponibil. Acest tip de atac împiedică un
administrator să acceseze remote funcțiile de administrare ale switch-ului. Acesta poate fi
combinat cu alte atacuri directe asupra rețelei ca parte dintr-o încercare coordonată de a
împiedica administratorul rețelei să acceseze echipamentele de bază în timpul atacului.
Vulnerabilitățile în serviciul Telnet care permit atacuri DoS sunt de regulă abordate în
patch-uri de securitate, incluse în noile revizuiri ale Cisco IOS.
Notă: Este recomandată utilizarea SSH-ului în locul Telnet-ului pentru conexiunile remote.
O metodă simplă pe care o folosesc mulți administratori de rețea pentru securizarea rețelei,
la nivelul switch-urilor, împotriva accesului neautorizat este dezactivarea tuturor porturilor
nefolosite de pe un switch. De exemplu, dacă un switch Catalyst 2960 are 24 de porturi și sunt
doar 3 conexiuni Fast Ethernet în uz, este o bună practică dezactivarea celorlalte 21 de porturi
Pagina 51 din 74
nefolosite. Se poate configura fiecare port nefolosit cu comanda shutdown. Dacă este necesară
reactivarea unui port, ulterior, acest lucru se poate realiza cu comanda no shutdown.
Este mai ușor să se facă modificări în configurare pentru mai multe porturi ale switch-ului
deodată. Dacă trebuie configurat un interval de porturi, se utiilizează comanda interface range.
DHCP snooping
DHCP snooping este o caracteristică a switch-urilor Catalyst care determină ce porturi pot
răspunde la cererile DHCP. Porturile sunt identificate ca a fi sau a nu fi de încredere. Porturile de
încredere pot permite mesajele DHCP cu sursă cunoscută, porturile care nu sunt de încredere
permit doar cereri DHCP. Porturile de încredere găzduiesc un server DHCP sau pot fi o legătură
(up-link) către un server DHCP. Dacă un echipament neindentificat conectat la un port care nu
este de încredere încearcă să trimită un pachet de răspuns DHCP în rețea, portul este dezactivat.
Pagina 52 din 74
Această caracteristică poate fi grupată cu opțiunile DHCP, astfel încât informațiile despre switch,
precum ID-ul portului cu cereri DHCP, pot fi adăugate în pachetul de cerere DHCP.
După cum se arată în figurile următoare, porturile care nu sunt de încredere sunt acele
porturi care nu sunt configurate explicit ca fiind de încredere. O tabelă DHCP binding este
construită pentru porturi care nu sunt de încredere. Fiecare intrare conține o adresă MAC client,
adresă IP, timpul de împrumut, tipul de legătură, numărul VLAN-ului și ID-ul portului
înregistrate pe măsură ce clienții realizează cereri DHCP. Tabela este folosită apoi pentru a filtra
traficul DHCP ulterior. Din perspectiva DHCP snooping, porturile care nu sunt de încredere nu
ar trebui să trimită niciun răspuns server-ului DHCP.
Următorii pași ilustrează modul de configurare DHCP snooping pe un switch Cisco 2960:
Pagina 53 din 74
Pasul 4. Se limitează rata la care se pot trimite continuu cereri DHCP false la serverul
DHCP prin porturi care nu sunt de încredere, folosind comanda ip dhcp snooping limit rate
(opțional).
Securitatea porturilor poate fi configurată pentru a permite una sau mai multe adrese MAC.
Dacă numărul de adrese MAC permise pe un port este limitat la una, atunci doar echipamentul
cu respectiva adresă MAC se poate conecta cu succes la acel port.
Dacă un port este configurat ca un port sigur și numărul maxim de adrese MAC este atins,
orice încercare ulterioară de conectare a unor adrese MAC necunoscute va genera o încălcare a
securității.
Pagina 54 din 74
Tipuri de adrese MAC sigure
Există mai multe moduri de configurare a securității porturilor. Tipul de adresă sigură este
bazat pe configurație și include:
adrese MAC statice sigure - sunt adresele MAC configurate manual pe un port
folosind comanda switchport port-security mac-address mac_address în modul
global de configurare. Adresele MAC configurate în acest mod sunt stocate în
tabela de adrese MAC și sunt adăugate în configurația actuală de pe switch.
adresele MAC dinamice sigure - sunt adresele MAC învățate dinamic și stocate
doar în tabela de adrese MAC. Adresele MAC care sunt configurate în acest mod
sunt eliminate când pornește switch-ul.
adresele MAC sticky sigure - sunt adresele MAC învățate dinamic sau configurate
manual iar apoi stocate în tabela de adrese MAC și adăugate în configurația actuală.
Când această comandă este introdusă, switch-ul convertește toate adresele MAC învățate
dinamic, inclusiv cele care au fost învățate dinamic înainte ca opțiunea sticky să fie activată, în
adrese MAC sticky sigure. Toate adresele MAC sticky sigure sunt adăugate în tabela de adrese
MAC și în configurația actuală.
Adresele MAC sticky sigure pot să fie, de asemenea, definite manual. Când adresele MAC
sticky sigure sunt configurate folosind în submodul de configurare a interfeței, comanda
switchport port-security mac-address sticky mac_address, toate adresele specificate sunt
adăugate în tabela de adrese și în configurația actuală.
Pagina 55 din 74
Dacă adresele MAC sticky sigure sunt salvate în fișierul startup-config, atunci, când
switch-ul se repornește sau când interfața este dezactivată, interfața nu trebuie să invețe din nou
toate adresele. Dacă adresele sticky sigure nu sunt salvate, se vor pierde.
Încălcarea securității
Putem vorbi despre o încălcare a securității atunci când apar următoarele situații:
numărul maxim de adrese MAC sigure a fost adăugat în tabela de adrese pentru
acea interfața și o stație a cărei adresă MAC nu se află în tabela de adrese încearcă
să acceseze interfața.
o adresă învățată sau configurată pe o interfață securizată este văzută pe o altă
interfață securizată din același VLAN.
O interfață poate fi configurată pentru unul dintre următoarele trei moduri de încălcare a
securității, specificând măsurile care trebuie luate dacă intervine o astfel de problemă. Figura
prezintă tipurile de trafic de date ce sunt transmise mai departe când unul dintre următoarele
moduri de încălcare a securității este configurat pe un port.
Protect - când numărul de adrese MAC sigure atinge limita permisă pe port,
pachetele cu sursă necunoscută sunt abandonate până când sunt eliminate un număr
suficient de adrese MAC sigure din tabela de adrese sau se mărește numărul maxim
de adrese permise. Nu există nicio notificare ca a intervenit o încălcare a securității.
Restrict - când numărul de adrese MAC sigure atinge limita permisă pe port,
pachetele cu sursă necunoscută sunt abandonate până când sunt eliminate un număr
suficient de adrese MAC sigure din tabela de adrese sau se mărește numărul maxim
de adrese permise. În acest mod, există notificare că s-a produs o încălcare a
securității.
Pagina 56 din 74
Shutdown - în acest mod (implicit), o încălcare a securității portului determină
interfața să se dezactiveze imediat și închide LED-ul corespunzător portului. Se
incrementează contorul de încălcare a securității. Când un port sigur este în starea
dezactivat, din cauza unei erori, poate fi scos din această stare prin introducerea
comenzilor de configurare a interfeței shutdown și no shutdown.
Figura următoare prezintă comenzile CLI Cisco IOS necesare pentru configurarea
securității de port pe portul Fast Ethernet F0/18 de pe switch-ul S1. Se observă că în exemplu nu
este specificat modul de încălcare a securității. În acest exemplu, modul de încălcare este
shutdown (modul implicit).
Pagina 57 din 74
Figura de mai jos arată cum modul de activare a adreselor MAC sticky sigure pentru
securitatea portului pe portul Fast Ethernet 0/19 al switch-ului S1. După cum s-a menționat
anterior, numărul maxim de adrese MAC sigure poate fi configurat manual. În acest exemplu,
sintaxa comenzii Cisco IOS este folosită pentru a seta numărul maxim de adrese MAC la 50
pentru portul 0/19. Modul de încălcare al securității este setat la shutdown, implicit.
Pagina 58 din 74
2.2.3.4 Verificarea securității porturilor
Pentru a afișa setările de securitate ale porturilor switch-ului pentru o interfață specificată
se folosește comanda show port-security [ interface interface_ID ]. Output-ul pentru
configurarea dinamică a securității portului este arătat în figura de mai jos. În mod implicit, este
doar o adresă MAC permisă pe acest port.
Output-ul prezentat în figura următoare arată valorile pentru setările de securitate sticky ale
portului. Numărul maxim de adrese este 50, așa cum a fost configurat.
Pagina 59 din 74
Notă: Adresa MAC este identificată ca o un MAC sticky.
Adresele MAC sticky sunt adăugate în tabelul de adrese MAC și în configurația curentă.
După cum se arată în figura următoare, adresa MAC sticky pentru PC2 a fost adăugată la
configurația curentă pentru S1.
Pentru a afişa toate adresele MAC securizate pe toate interfeţele switch-ului, sau pe o
interfaţă specificată se folosește comanda show port-security address. După cum se arată în
figura de mai jos, adresele MAC securizate sunt listate împreună cu modul configurat.
Când un port este configurat cu securitatea portului, o încălcare poate cauza ca portul să se
dezactiveze din cauza unei erori. Când un port este dezactivat din cauza unei erori, acesta este
efectiv dezactivat şi prin urmare nu se transmite şi nu se primeşte trafic în acel port. O serie de
mesaje legate de securitatea portului sunt afişate pe consolă, așa cum este prezentat în figura
următoare.
Pagina 60 din 74
Notă: Protocolul portului şi starea legăturii sunt schimbate la dezactivare.
Pagina 61 din 74
2.2.3.6 Network Time Protocol (NTP)
Este importat să aveţi timpul corect în cadrul unei reţele. Semnăturile de timp sunt
necesare pentru a urmări cu exactitate evenimentele dintr-o reţea, precum încălcările de
securitate. În plus, sincronizarea de timp este critică pentru interpretarea corectă a evenimentelor
în cadrul fişierelor de date syslog, precum şi pentru certificatele digitale.
Network Time Protocol (NTP) este un protocol care este folosit pentru a sincroniza timpul
(ceasul) sistemelor informatice în reţelele de date. NTP permite echipamentelor din reţea să-şi
sincronizeze setările de timp cu un server NTP. Un grup de clienţi NTP care obţin timpul şi
informaţii despre dată de la o singură sursă vor avea setări de timp mai consistente.
Un echipament al reţelei poate fi configurat ori ca și client NTP ori ca server NTP. Pentru a
permite sincronizarea ceasului software cu un server de timp NTP, în modul global de
configurare, se folosește comanda ntp server ip_address. Un exemplu de configurare este
prezentat în figura următoare. Router-ul R1 serveşte ca un server master NTP, iar router-ul R2
este configurat ca și client NTP.
Pagina 62 din 74
Comanda din modul privilegiat show ntp status poate fi folosită pentru a afişa informaţii
precum starea de sincronizare NTP, peer-ul la care este conectat echipamentul şi în care nivel
NTP funcţionează echipamentul.
Pagina 63 din 74
Hopping-ul (saltul) VLAN permite traficului dintr-un VLAN să fie văzut de un alt VLAN.
Switch spoofing este un tip de atac de VLAN hopping care funcţionează prin folosirea
vulnerabilității unui port trunk configurat incorect. În mod implicit, porturile trunk au acces la
toate VLAN-urile prin același link fizic, de regulă între switch-uri.
Într-un atac de bază de switch spoofing, atacatorul profită de faptul că portul switch-ului
este configurat implicit cu opțiunea dynamic auto. Atacatorul rețelei configurează un sistem
pentru a se deghiza într-un switch. Spoofing-ul necesită ca atacatorul rețelei să fie capabil să
emuleze 802.1Q și mesaje DTP. Prin păcălirea unui switch în a crede că un alt switch încearcă să
formeze un link trunk, un atacator poate obține acces la toate VLAN-urile permise pe portul
trunk.
Cea mai bună modalitate pentru a preveni un atac de switch spoofing de bază este de e a
opri trunking-ul de pe toate porturile, mai puțin pe cele care necesită trunking. Pe porturile care
necesită trunking, dezactivați DTP și activați trunking manual.
Un alt tip de atac VLAN este double-tagging VLAN hopping / VLAN cu dublă-etichetare
(sau dublă-încapsulare). Acest tip de atac profită de modul în care operează hardware-ul pe
majoritatea switch-urilor. Cele mai multe switch-uri efectuează un singur nivel de decapsulare
802.1Q, ceea ce permite unui atacator să încorporeze o etichetă (tag) 802.1Q ascunsă în
interiorul frame-ului. Această etichetă permite frame-ului să fie transmis către un VLAN pe care
Pagina 64 din 74
eticheta 802.1Q nu îl specifica. O caracteristică importantă a atacului double-tagging VLAN
hopping este că funcționează chiar dacă porturile trunk sunt dezactivate, deoarece un host de
regulă trimite un frame pe un segment care nu este un link trunk.
1. Atacatorul trimite un frame 802.1Q dublu-etichetat către switch. Antetul exterior are
tag-ul VLAN-ului atacatorului, care este același cu VLAN-ul nativ al portului trunk.
Presupunerea atacatorului este că switch-ul procesează frame-ul primit ca și cum ar fi pe un port
trunk sau pe un port cu VLAN de voce (un switch nu ar trebui să primească un frame Ethernet
etichetat pe un port de acces).
2. Frame-ul ajunge pe switch, care citește primul tag 802.1Q (prima etichetă) de 4 octeți.
Switch-ul vede că frame-ul este destinat pentru VLAN-ul 10, care este VLAN-ul nativ și trimite
mai departe pachetul către toate porturile VLAN-ului 10. Pe portul trunk, tag-ul VLAN 10 este
îndepărtat, iar frame-ul nu este reetichetat deoarece face parte din VLAN-ul nativ. În acest punct,
tag-ul VLAN 20 este încă intact și nu a fost inspectat de primul switch.
3. Al doilea switch citește doar tag-ul interior 802.1Q, din frame-ul trimis de atacator și
vede că acesta este destinat pentru VLAN-ul 20, VLAN-ul vizat. Al doilea switch trimite acest
frame către portul corespunzător host-ul target, conform intrării din tabela de adrese MAC.
Pagina 65 din 74
Acest tip de atac este unidirecțional și funcționează doar când atacatorul este conectat la un
port situat în același VLAN ca VLAN-ul nativ al portului trunk. Contracararea acestui tip de atac
nu este la fel de ușoară ca atacurile de bază VLAN hopping.
Cea mai bună abordare împotriva atacurilor VLAN double-tagging este să ne asigurăm că
VLAN-ul nativ al porturilor trunk este diferit de VLAN-ul oricăror alte porturi de utilizator. De
fapt, este considerată o bună practică de securitate utilizarea unui VLAN fix care este diferit de
toate VLAN-urile utilizatorilor dintr-o reţea cu switch-uri, ca VLAN nativ pentru toate link-urile
(legăturilor) trunk 802.1Q.
Unele aplicații nu necesită trafic transmis la Layer 2 între porturile de pe același switch
astfel încât un vecin nu vede traficul generat de alt vecin. Într-un astfel de mediu, folosirea
caracteristicii Edge VLAN Privat (PVLAN), cunoscută și ca porturi protejate, asigură că nu
există niciun schimb de trafic unicast, broadcast sau multicast între aceste porturi de pe switch.
Pagina 66 din 74
comportamentul de redirecționare între un port protejat şi un port neprotejat
continuă ca de obicei.
porturile protejate trebuie configurate manual.
Protejarea rețelei împotriva atacurilor necesită vigilență și educație. Cele mai bune practici
pentru securizarea unei rețele sunt următoarele:
Dezvoltarea unor politici de securitate scrise pentru organizație.
Dezactivarea oricărui port și serviciu nefolosit.
Folosirea de parole puternice și schimbarea acestora des.
Controlul accesului fizic la echipamente.
Evitarea folosirii website-urilor HTTP periculoase, în special pentru ferestrele de
logare; în schimb folosirea HTTPS, care este mai sigur.
Efectuarea copiilor de rezervă și testarea fișierele salvate la un interval regulat.
Educarea utilizatorilor locali despre atacurile de inginerie socială și dezvoltarea
politicilor de validare a identității prin telefon, e-mail sau personal.
Criptarea și protejarea prin parole a datelor sensibile.
Implementarea de hardware și software de securitate (firewall-uri).
Păstrarea software-ului up-to-date prin instalarea patch-urilor de securitate.
Aceste metode sunt doar un punct de plecare pentru administrarea securității. Organizațiile
trebuie să rămână vigilente în permanență pentru a se apara împotriva amenințărilor care
evoluează continuu. Este recomandată folosirea instrumentelor de securitate într-o rețea pentru a
măsura vulnerabilitatea acesteia.
Pagina 67 din 74
Instrumente de securitate ale rețelei
Tehnicile de testare a securității rețelei pot fi inițiate manual de către administrator. Alte
teste sunt în mare parte automatizate. Indiferent de tipul de testare, personalul care stabilește și
conduce testarea de securitate ar trebui să aibă cunoștințe extinse despre securitate și rețelistică,
respectiv: securitatea rețelei, firewall-uri, sisteme de prevenire a intruziunilor, sisteme de
operare, programare, protocoale de rețea (precum TCP/IP).
Pagina 68 din 74
De exemplu, instrumentele de revizuire a securității rețelei permit unui administrator să
umple tabela de adrese MAC cu adrese MAC fictive. Asta este urmată de o revizuire a porturilor
switch-ului pe măsură ce switch-ul trimite trafic către toate porturile. În timpul revizuiri,
mapările legimite ale adresei MAC sunt eliminate și înlocuite cu mapări fictive ale adresei MAC.
Acest lucru determină care porturi sunt compromise sau nu sunt corect configurate pentru a
preveni acest tip de atac.
Coordonarea în timp este un factor important pentru a realiza revizuirea cu succes. Tipurile
diferite de switch-uri suportă un număr diferit de adrese MAC în tabela lor MAC. Este dificil de
determinat care este cantitatea ideală de adrese MAC false care trebuie trimise switch-ului. Un
administrator de rețea trebuie să se confrunte, de asemenea, cu perioada de expirare a tabelei de
adrese MAC. Dacă adresele MAC încep să expire cât timp se realizează o revizuire a rețelei,
adrese MAC valide încep să populeze tabela de adrese MAC și să limiteze datele care pot fi
monitorizate cu un instrument de revizuire a rețelei.
Instrumentele de securitate ale rețelei pot fi folosite pentru testarea infiltrării impotriva
unei rețele. Testarea infiltrării este o simulare a unui atac împotriva unei rețele pentru a
determina cât de vulnerabilă ar fi în fața unui atac adevărat. Acest lucru permite unui
administrator de rețea să identifice punctele slabe ale configurării echipamentelor din rețea și să
facă schimbări pentru a face echipamentele mai rezistente la atacuri. Există numeroase atacuri pe
care le poate realiza un administrator, iar majoritatea seturilor de instrumente folosite vin cu
documentații extinse în care este detaliată sintaxa necesară pentru a realiza atacul dorit.
Întrucât atacurile de infiltrare pot avea efecte adverse asupra rețelei, acestea trebuie
efectuate în condiții controlate, urmând proceduri documentate și detaliate într-o politică globală
de securitate a rețelei. O rețea de test off-line care simulează topologia și funcționarea adevăratei
rețele este ideală. Rețeaua de test poate fi folosită de personalul de rețelistică pentru a efectua
teste de infiltrare.
Pagina 69 din 74
toate porturile unui switch să fie atribuite altor VLAN-uri, altele decât VLAN 1. Acest lucru este
de regulă realizat prin configurarea tuturor porturilor nefolosite într-un VLAN “black hole” care
nu este folosit pentru nimic în rețea. De asemenea, este o bună practică să se dezactiveze toate
porturile nefolosite pentru a preveni accesul neautorizat.
Tot traficul de control este trimis pe VLAN 1. Prin urmare, atunci când VLAN-ul nativ
este schimbat în altceva decât VLAN-ul 1, tot traficul de control este etichetat pe VLAN-urile
trunk IEEE 802.1Q (etichetate cu VLAN ID 1). O practică de securitate recomandată este
schimbarea VLAN-ul nativ la un alt VLAN decât VLAN 1. VLAN-ul nativ trebuie să fie, de
asemenea, diferit de celelalte VLAN-uri de utilizatori. Trebuie avut în vedere ca VLAN-ul nativ
pentru un trunk 802.1Q să fie același la ambele capete ale unei link-ului trunk.
DTP (Dynamic Trunking Protocol) oferă patru moduri pentru porturile switch-ului: access,
trunk, dynamic auto și dynamic desirable. Recomandarea este să se dezactiveze autonegocierea.
Ca o bună practică de securitate, nu se utilizează modurile dynamic auto și dynamic desirable
pentru porturile unui switch-ului.
Traficul de voce are cerințe stricte de QoS. Dacă PC-urile utilizatorilor și telefoanele IP
sunt în același VLAN, fiecare încearcă să folosească lățimea de bandă disponibilă fără să ia în
considerare celălalt echipament. Pentru a evita acest conflict, este o practică bună să se
folosească VLAN-uri separate pentru telefonia IP și traficul de date.
Pagina 70 din 74
2.3. REZUMAT
Atunci când sunt pornit pentru prima oară, un switch Cisco LAN execută secvenţa de
bootare specifică, prin testarea componentele de bază și încărcarea imaginii sistemului de
opreare IOS. Dacă fișierele Cisco IOS lipsesc sau sunt deteriorate, programul boot loader pot fi
folosit pentru a reîncărca sau recupera IOS-ul de la această problemă.
După ce este încărcat sistemul de operare IOS, sunt inițializate apoi interfețele cu setările
din fabrică sau utilizând comenzile Cisco IOS găsite în fișierul de configurare, startup-config,
care este stocat în NVRAM.
Starea operațională a switch-ului este afișată printr-o serie de LED-uri situate pe panoul
frontal. Aceste LED-uri afișează lucruri precum starea portului, modul duplex și viteza.
Pagina 71 din 74
administrare la un echipament situat la distanță pentru a preveni detectarea numelor utilizatorilor
și parolelor necriptate, fapt ce e posibil atunci când se folosesc protocoale precum Telnet.
Unul din avantajele switch-ului este acela ca permite comunicarea full-duplex între
echipamente, dublând rata de comunicare. Deși este posibil să se specifice setările de viteză și
duplex ale unei interfețe a switch-ului, este recomandat să se permită switch-ului să își seteze
acești parametri automat pentru a se evita aparițea unor erori de comexiune.
Pagina 72 din 74
Pe un switch Cisco, VLAN 1 este VLAN-ul Ethernet implicit, VLAN-ul nativ implicit și
VLAN-ul de management implicit. Cele mai bune practici sugerează ca VLAN-ul nativ şi cel de
management să fie mutate în VLAN-uri diferite şi ca porturile nefolosite ale switch-ului să fie
mutate într-un VLAN "black hole" pentru securitate crescută.
Comanda switchport access vlan este folosită pentru a crea un VLAN pe un switch.
Următorul pas este de a tribui porturile la VLAN. Comanda show vlan brief arată atribuirea și
tipul de atribuire la VLAN pentru toate porturile unui switch. Fiecare VLAN trebuie să fie
asociat unei subrețele unice.
Folosind comanda show vlan se poate verifica dacă portul aparţine sau nu VLAN-ului
aşteptat. Dacă portul este atribuit VLAN-ului greşit, folosind comanda switchport access vlan
se poate modifica apartenenţa la VLAN. Pentru a verifica care adrese MAC au fost învăţate pe
un anumit port al switch-ului şi cărui VLAN îi este atribuit acel port se folosește comanda show
mac address-table.
Un port de pe un switch este fie în modul acces, fie în modul trunk. Porturile acces
transportă trafic de la VLAN-ul specific la care este atribuit portul. Un port trunk este implicit un
atribuit tuturor VLAN-urilor, prin urmare, transmite trafic pentru toate VLAN-urile.
Pagina 73 din 74
Ethernet asociate cu VLAN-uri distincte pe măsură ce traversează legătura trunk comună. Pentru
a activa un link trunk se folosește comanda switchport mode trunk. Pentru a verifica dacă un
link trunk a fost stabilit între switch-uri se folosește comanda show interfaces trunk.
Pentru a aduce un switch la starea sa implicită, la setările din fabrică cu VLAN 1 ca default
VLAN se folosesc comenzile delete flash:vlan.dat și erase startup-config, urmate de restartarea
switch-ului.
Pagina 74 din 74