COMUTARE ȘI RUTARE

2. CONFIGURAREA SWITCH-URILOR ÎNTR-O REȚEA

LOCALĂ

După terminarea acestui capitol, veți fi capabili să:

Pagina 1 din 74
2.1. CONFIGURAREA INIȚIALĂ A UNUI SWITCH

Switch-urile sunt folosite pentru a conecta mai multe echipamente în aceeași rețea. Într-o
rețea configurată corect, switch-urile LAN au rolul de a direcționa și controla fluxul de date la
layer-ul de acces către resursele rețelei.

Switch-urile Cisco sunt pre-configurate, prin urmare nu este necesară o configurare

suplimentară pentru a funcționa la prima utilizare. Cu toate acestea, switch-urile Cisco folosesc
Cisco IOS și pot fi configurate manual pentru a putea îndeplini mai bine nevoile rețelei. Acest
lucru include ajustarea vitezei portului, a lățimii de bandă și a cerințelor de securitate.

În plus, switch-urile pot fi administrate atât local cât și de la distanță. Pentru a administra
un switch remote, acesta trebuie să aibă configurate o adresa IP și default gateway-ul.

Switch-urile funcționează la nivelul layer-ului de acces unde echipamentele de rețea client

se conectează direct la rețea, iar compartimentele IT doresc acces simplu la rețea pentru
utilizatori. Este una dintre cele mai vulnerabile zone ale rețelei deoarece este atât de expusă
utilizatorilor. Switch-urile trebuiesc configurate astel încât să fie rezistente la atacuri de toate
tipurile, protejând în același timp informațiile utilizatorilor și asigurând conexiuni de mare
viteză. Securitatea portului este o caracteristică de securitate oferită switch-urile de layer 2.

Pagina 2 din 74
2.1.1 Configurarea inițială a unui switch

2.1.1.1 Secvența de boot

După ce este pornit, un switch Cisco, acesta trece prin următoarea secvență de boot:

1. În primul rând, switch-ul încarcă un POST (power-on self-test) care se află stocat în
ROM. POST testează componentele de procesare de bază. Testează CPU, DRAM
și componenta flash care conține sistemul de fișiere flash.
2. Apoi, switch-ul încarcă software-ul bootloader. Boot loader-ul este un program
scurt, stocat în memoria ROM, care este rulat imediat după ce POST este încheiat
cu succes.
3. Boot loader-ul efectuează inițializarea low-level a CPU-ului, respectiv, inițializează
regiștrii CPU, care controlează locul unde este localizată memoria fizică, cantitatea
de memorie și viteza ei.
4. Boot loader-ul inițializează sistemul de fișiere flash.
5. În final, boot loader localizează și încarcă imaginea software implicită a sistemului
de operare IOS în memorie și predă IOS-ului controlul asupra switch-ului.

Boot loader-ul găsește imaginea Cisco IOS în switch astfel: switch-ul încearcă să
pornească automat utilizând variabila de mediu BOOT. Dacă acestă variabilă nu este setată,
switch-ul încearcă mai întâi să încarce și să ruleze primul fișier executabil disponibil printr-o
căutare recursivă în adâncime prin întregul sistem de fișiere flash. Într-o căutare în adâncime a
unui director, fiecare subdirector întâlnit este căutat complet înainte de a continua căutarea în
directorul original. În switch-urile din seria Catalyst 2960, fișierul imagine este conținut, de
obicei, într-un director care are același nume ca și imaginea (cu excepția extensiei de fișier .bin).

Sistemul de operare IOS inițializează apoi interfețele utilizând comenzile Cisco IOS găsite
în fișierul de configurare, startup-config, care este stocat în NVRAM.

În figură, variabila mediului de BOOT este setată folosind comanda boot system în modul
global de configurare. Folosind comanda show bootvar (show boot în versiuni mai vechi de
IOS) se poate vedea cum este setat fișierul de boot IOS.

Pagina 3 din 74
2.1.1.2 Recuperarea fișierelor sistem

Boot loader-ul oferă acces la switch în cazul în care sistemul de operare nu poate fi folosit
datorită unor fișiere de sistem corupte sau lipsă. Boot loader-ul conține o linie de comandă care
oferă acces la fișierele stocate în memoria flash.

Boot loader-ul poate fi accesat printr-o conexiune de tip consolă executând următorii pași:

Pasul 1. Utilizând un cablu de consolă, conectăm un calculator la portul de consolă al

switch-ului. Configurăm software-ul de emulare pentru terminal pentru a se conecta
la switch.

Pasul 2. Deconectăm cablul de alimentare al switch-ului.

Pasul 3. Reconectăm cablul de alimentare la switch și, timp de 15 secunde, ținem apăsat
pe butonul Mode cât timp ledul System clipește verde.

Pasul 4. Ținem apăsat în continuare pe butonul Mode până când ledul System devine
pentru scurt timp galben iar apoi verde continuu; apoi eliberăm butonul Mode.

Pasul 5. Prompter-ul pentru boot loader switch: apare în software-ul de emulare

terminal de pe PC.

Linia de comandă boot loader suportă comenzi pentru formatarea sistemului de fișiere
flash, de reinstalare a software-ului IOS și de recuperare a unei parole pierdute sau uitate. De

Pagina 4 din 74
exemplu, comanda dir poate fi folosită pentru a vedea o listă cu toate fișierele dintr-un director
specificat, așa cum se arată în figura următoare.

Notă: Procesul de boot loader poate fi diferit în funcție de tipul echipamentului și de modelul
acestuia.

2.1.1.3 Configurarea accesului remote

Pentru a pregăti un switch pentru management remote, acesta trebuie configurat cu o

adresă IP şi un mască de subrețea. Pentru a controla un switch dintr-o reţea remote, switch-ul
trebuie să fie configurat cu un default gateway. Acest lucru este foarte similar cu configurarea
informației despre adresa IP pe echipamentele gazdă. În figură, interfeţei virtuale a switch-ului
(SVI) pe S1 îi trebuie atribuită o adresă IP. SVI este o interfaţă virtuală, nu un port fizic pe
switch.

SVI este un concept legat de VLAN-uri. VLAN-urile sunt grupuri logice numerotate
cărora li se pot atribui porturi fizice. Configurările şi setările aplicate unui VLAN sunt, de
asemenea, aplicate tuturor porturilor atribuite acelui VLAN.

În mod implicit, switch-ul este configurat să fie gestionat prin VLAN 1. Toate porturile
sunt atribuite în mod implicit lui VLAN 1. Din motive de securitate, este bine să se folosească ca
VLAN de management alt VLAN în afară de VLAN 1.

Aceste setări IP sunt doar pentru management-ul şi accesul remote al switch-ului; setările
IP nu permit switch-ului să ruteze pachete de Layer 3.

Pagina 5 din 74
2.1.1.4 Configurarea accesului la managementul switch-ului

Pasul 1. Configurarea interfeţei de management

O adresă IP şi o mască de subrețea sunt configurate pe interfaţa de management SVI a

switch-ului din modul configurării interfeţei VLAN. Comanda interface vlan vlan_id este
folosită pentru a intra în modul de configurare al interfeței. Comanda ip address IP_address
subnet_mask este folosită pentru a configura adresa IP. Comanda no shutdown activează
interfaţa specificată. În acest exemplu, VLAN 99 este configurată cu adresa IP 172.17.99.11 cu
masca de subrețea 255.255.0.0.

Pagina 6 din 74
 SVI-ul interfeţei VLAN 99 nu va apărea ca "up/up" până când VLAN 99 nu este creat şi nu
este un echipament conectat la un port al switch-ului atribuit la VLAN 99. Pentru a crea un
VLAN cu VLAN_ID 99 şi pentru a-i atribui o interfeţă, se folosește următoarea secvență de
comenzi:

S1(config)# vlan vlan_id

S1(config-vlan)# name vlan_name

S1(config)# end

S1(config)# interface interface_id

S1(config-if)# switchport access vlan vlan_id

Pasul 2. Configurarea default gateway-ului

Switch-ul ar trebui să fie configurat cu un default gateway dacă va fi accesat din reţele care
nu sunt conectate direct. Default gateway este router-ul la care este conectat switch-ul. Switch-ul
va trimite mai departe pachete IP cu adresele IP destinaţie din afara reţelei locale prin default
gateway. După cum se arată în figură, R1 este default gateway pentru S1. Interfaţa de pe R1
conectată la switch are IP-ul 172.17.99.1. Această adresă este adresa default gateway pentru S1.

Pentru a configura default gateway-ul pe switch se folosește comanda ip default-gateway.

Se introduce adresa IP a default gateway-lui, care este adresa IP a interfeţei router-ului la care
este conectat switch-ul.

Pagina 7 din 74
 Pasul 3. Verificarea configuraţiei

După cum se arată în figura de mai jos, comanda show ip interface brief este folositoare
atunci când se vrea determinarea stărilor interfeţelor fizice şi virtuale. Rezultatul arătat în figură
confirmă faptul că interfaţa VLAN 99 a fost configurată cu o adresă IP şi o mască de subrețea,
iar portul FastEthernet F0/18 a fost atribuit interfeţei de management VLAN 99. Ambele
interfeţe sunt acum "up/up" şi funcţionale.

2.1.1.6 Laborator - Configurări de Bază ale Switch-ului

2.1.2 Configurarea porturilor switch-ului

2.1.2.1 Comunicarea duplex

Comunicarea full-duplex îmbunătăţeşte performanţa unei reţele LAN de switch-uri.

Comunicarea full-duplex măreşte lăţimea de bandă efectivă, permițând ambelor noduri de la
capete să transmită şi să primească date simultan. Această comunicare este bidirecţională.
Metoda aceasta de optimizare a performanţelor reţelei necesită micro-segmentare. Un LAN
micro-segmentat este creat atunci când un port al switch-ului are un singur echipament conectat

Pagina 8 din 74
şi funcţionează în modul full-duplex. Acest lucru are ca rezultat un domeniu de coliziune pentru
un singur echipament. Deoarece are doar un echipament conectat, un LAN micro-segmentat este
lipsit de coliziuni.

Spre deosebire de comunicarea full-duplex, comunicarea half-duplex este unidirecţională.

Trimiterea şi primirea de date nu au loc în acelaşi timp. Comunicarea half-duplex, întâlnită în
echipamente hardware mai vechi, cum ar fi hub-urile, creează probleme de performanţă deoarece
datele se pot transmite într-o singură direcţie pe rând, ducând adesea la coliziuni. Comunicarea
full-duplex a înlocuit comunicarea half-duplex.

Majoritatea plăcilor de rețea Ethernet, FastEthernet și GigabitEthernet (10/100/1000) oferă

capabilitatea full-duplex. În full-duplex, circuitul de detecţie al coliziunilor de pe placa de reţea
este dezactivat. Frame-urile care sunt trimise între cele două echipamente conectate nu pot intra
în coliziune deoarece echipamentele folosesc în cablul de reţea două circuite separate.
Conexiunile full-duplex necesită un switch care să suporte configurare full-duplex.

În mod standard, eficienţa configurării Ethernet bazată pe un hub partajat este de regulă
evaluată la 50-60% din lăţimea de bandă declarată. Full-duplex oferă eficienţă 100% în ambele
direcţii (transmisie şi recepție).

2.1.2.2 Configurarea porturilor switch-ului la layer-ul fizic

Setări de duplex și viteză

Porturile switch-ului pot fi configurate manual cu setări duplex şi de viteză specifice.

Folosind comanda duplex în submodul de configurare al interfeței se specifică manual modul
duplex pentru un port al switch-ului. Folosind comanda speed în submodul de configurare al

Pagina 9 din 74
interfeței se specifică manual viteza pentru portul switch-ului. În figura următoare, portul F0/1 pe
switch-urile S1 şi S2 sunt configurate manual cu comanda duplex full şi comanda speed 100.

Setările implicite pentru modul duplex şi viteza porturilor pe switch-urile Cisco Catalyst
2960 şi 3560 sunt, de asemenea, auto. Porturile de rețea 10/100/1000 funcționează fie în modul
half-duplex, atunci când sunt setate la 10 sau 100 Mb/s, fie doar în modul full-duplex când sunt
setate la 1000 Mb/s (1 Gb/s). Cisco recomandă numai folosirea comenzii duplex auto şi a
comenzii speed auto pentru a evita problemele de conectivitate între echipamente. Când sunt
identificate probleme ale portului switch-ului, trebuie verificate setările modului duplex şi ale
vitezei portului.

Notă: Setările nepotrivite pentru modul duplex şi pentru viteza porturilor switch-ului pot
provoca probleme de conectivitate. Eşecul negocierii auto poate crea setări nepotrivite.

Toate porturile de fibră optică, cum ar fi porturile 100BASE-FX sau 1000BASE-X,

funcţionează numai la viteze presetate şi sunt mereu în modul full-duplex.

Auto-MDIX

Pe switch-uri mai vechi, erau necesare anumite tipuri de cabluri (straight-through sau
crossover) pentru conectarea echipamentelor. Conexiunile switch-switch sau switch-router
necesitau cabluri diferite de Ethernet. Folosirea pe o interfață a funcției auto-MDIX (automatic

Pagina 10 din 74
medium-dependent interface crossover) elimină această problemă. Atunci când auto-MDIX este
activată, interfața detectează automat tipul necesar de conexiune prin cablu (straight-through sau
crossover) și configurează conexiunea corespunzător. Pentru conectarea la switch-urile fără
caracteristica auto-MDIX activată, trebuie utilizate cablurile straight-through pentru a conecta
echipamente precum servere, stații de lucru, sau router-e și cablurile crossover pentru a conecta
alte switch-uri sau repetoare.

Cu auto-MDIX activat, oricare tip de cablu poate fi folosit pentru conectarea la alte
echipamente și interfața corectează automat orice cablare incorectă. Pe routere și switch-uri
Cisco, comanda mdix auto în submodul de configurare al interfeței activează această funcție.
Când se folosește auto-MDIX pe o interfață, viteza si modul duplex ale interfeței trebuie setate în
modul auto astfel încât funcția să acționeze corect.

Notă: Proprietatea auto-MDIX este activată implicit pe switch-urile Catalyst 2960 și 3560, dar
nu este valabilă pe switch-urile mai vechi Catalyst 2950 și Catalyst 3350.

Pentru a analiza setarea auto-MDIX pentru o anumită interfață, se folosește comanda show
controllers ethernet-controller cu opțiunea phy. Pentru a limita afișajul la liniile care fac
referire la auto-MDIX se folosește filtrul include Auto-MDIX. După cum se arată în figura
următoare, afișajul indică starea de On sau Off a funcției.

Pagina 11 din 74
2.1.2.3 Verificarea configurării unui port

În figura următoare sunt descrise câteva dintre opțiunile pentru comanda show care sunt
utilizate pentru a verifica caracteristicele configurabile ale switch-ului.

Un exemplu de rezultat (output-ul) pentru comanda show running-config, este arătat în

următoarea figură, afișat într-un format prescurtat. Se folosește această comandă pentru a
verifica dacă switch-ul este configurat corect.

În figură sunt prezentate câteva informații importante în configurarea switch-ului S1:

Pagina 12 din 74
  interfața FastEthernet0/18 este configurată cu VLAN-ul 99
 VLAN-ul de management, VLAN 99, este configurat cu adresa IP 172.17.99.11 și
masca de subrețea 255.255.0.0
 default gateway-ul este este configurat cu adresa IP 172.17.99.1

Comanda show interfaces este o altă comandă des utilizată, care afișează informații despre
status-ul și statistici de trafic de rețea pentru interfețele switch-ului. Comanda show interfaces
este utilizată frecvent pentru configurarea și monitorizarea echipamentelor din rețea.
Pagina 13 din 74
 În figura următoare este arătat output-ul comenzii show interfaces fastEthernet 0/18.
Prima linie din figură arată că interfața FastEthernet0/18 este up/up ceea ce înseamnă că este
funcțională (activă). Mai jos se arată că modul duplex este full și că viteza este de 100 Mb/s.

Pagina 14 din 74
2.1.2.4 Probleme comune la layer-ul acces la rețea

Output-ul comenzii show interfaces poate fi folosit pentru a detecta probleme comune de
mediu. Una dintre cele mai importante caracteristici ale acestui output este linia ce afișează
status-urile conexiunii fizice și a protocolului layer-ului data link.

Primul parametru (FastEthernet0/1 is up) se referă la layer-ul fizic (conexiunea fizică) și

arată dacă interfața primește semnal de la celălalt capăt prin mediul de comunicație. Al doilea
parametru (line protocol is up) se referă la layer-ul data link și arată dacă datele interschimbate
între corespondenți pentru păstrarea protocolului la acest nivel sunt primite.

Bazate pe rezultatul comenzii show interfaces, problemele posibile pot fi reparate după
cum urmează:

 Dacă interfața este funcțională (up) și protocolul conexiunii este inactiv (down),
există o problemă. Ar putea exista o problemă de nepotrivire a tipului de
încapsulare, interfața de la celălalt capăt ar putea fi dezactivată din cauza unei erori,
sau ar putea fi o problemă de conexiune fizică.

 Dacă atât interfața cât și protocolul conexiunii sunt dezactivate (down) atunci nu
este conectat un cablu sau există o altă problemă de interfață. De exemplu, într-o
conexiune logică, celălalt capăt al conexiunii poate să fie administrativ dezactivat.

Pagina 15 din 74
 Dacă interfața este dezactivată administrativ, înseamnă că a fost dezactivată manual, a
fost executată comanda shutdown, în configurația activă.

Figura următoare arată un output al comenzii show interfaces. Acest exemplu arată
contoare și statistici pentru interfața FastEthernet0/1.

Unele erori de mediu nu sunt suficient de grave pentru a face comunicarea să eșueze, dar
cauzează probeme de performanță ale rețelei. În următoarea figură sunt explicate câteva dintre
erorile comune care pot fi depistate folosind comanda show interfaces.

Pagina 16 din 74
 "Input errors" este suma tuturor erorilor din datagrame care au fost primite în timpul
examinării interfeței. Asta include runts, giants, CRC, no buffer, frame-uri, depășiri și calcule
ignorate. Comnanda show interface poate include următoarele erori de intrare:
 Runt frames - frame-urile Ethernet care sunt mai scurte decât lungimea minimă
acceptată de 64 de octeți se numesc runts. Plăcile de rețea defecte sunt de regulă
cauza frame-urilor runt excesive, însă acestea pot fi cauzate de aceleași probleme
ca și coliziunile excesive.
 Giants - frame-urile Ethernet care sunt mai lungi decât lungimea maximă acceptată
se numesc giants. Giant-urile sunt cauzate de aceleași defecțiuni ca și runt-urile.
 CRC erors - pe interfețele Ethernet și seriale, erorile CRC indică de regulă eroare
de mediu sau de cablu. Printre cauzele frecvente se numără interferențele electrice,
conexiunile avariate sau folosirea unui tip de cablu incorect. Dacă sunt multe erori
CRC, înseamnă că este prea mult zgomot pe legătură și ar trebui verificată starea și
lungimea cablului. De asemenea, ar trebui căutate și eliminate sursele de zgomot,
dacă este posibil.

“Output errors” este suma tuturor erorilor care împiedică transmisia finală a datagramelor
din interfața care este examinată. Printre erorile afişate în output-ul comenzii show interfaces, se
numără următoarele:
 Collisions - coliziunile în operaţiile half-duplex sunt complet normale şi nu trebuie
să îngrijoreze atâta timp cât suntem mulţumiţi de operaţiile half-duplex. Cu toate
acestea, nu ar trebui să apară niciodată coliziuni într-o reţea proiectată şi
configurată corect, care foloseşte comunicare full-duplex. Este recomandat să se
folosească conexiuni full-duplex dacă nu sunt echipamente mai vechi care să
necesite conexiuni half-duplex.
 Late collisions - o coliziune întrârziată este o coliziune care are loc după ce s-au
trimis 512 biţi din frame (preambulul). Lungimile excesive de cablu sunt cauzele
cele mai comune de coliziuni întârziate. O altă cauză des întâlnită este configurarea
greşită a modului duplex. De exemplu, un capăt al conexiunii configurat pentru
full-duplex şi celălalt capăt este configurat pentru half-duplex. Prin urmare, vom
observa coliziuni întârziate pe interfaţa configurată pentru half-duplex. În acest caz,
trebuie să configurăm acelaşi mod duplex la ambele capete. O reţea proiectată şi
configurată corect nu ar trebui să aibe niciodată coliziuni întârziate.

Pagina 17 din 74
2.1.2.5 Rezolvarea problemelor de la layer-ul acces la rețea

Majoritatea problemelor care afectează o reţea de switch-uri sunt întâlnite în timpul

implementării inițiale. Teoretic, după ce este instalată, o reţea continuă să funcţioneze fără
probleme. Cu toate acestea, cablurile pot fi afectate, configuraţiile se pot schimba, iar la switch
se pot conecta echipamente noi care necesită schimbarea configuraţiei switch-ului. Prin urmare,
sunt necesare mentenanţa continuă şi rezolvarea problemelor infrastructurii de reţea.

Pentru a rezolva aceste probleme atunci când nu există conexiune, sau este o conexiune
nereușită între un switch şi un alt echipament, trebuie urmărit următorul proces general:

Folosim comanda show interfaces pentru a verifica status-ul interfeţei.

Dacă interfaţa este dezactivată:

 Ne asigurăm că sunt utilizate cabluri adecvate. Se verifică cablul și conectorii

pentru posibile deteriorări. Dacă suspectăm un cablu că ar fi întrerupt sau incorect
mufat, îl înlocuim.
 Dacă interfaţa tot nu este activă, problema poate fi cauzată de o nepotrivire în
setările vitezei traficului pe interfață. Viteza unei interfeţe este de regulă negociată
în mod auto; prin urmare, chiar dacă este configurată manual pe o singură interfaţă,
intefaţa de conectare ar trebui să efectueze auto-negocierea în mod corespunzător.
Dacă intervine o nepotrivire de viteză din cauza unei configurări greşite de software
sau hardware, atunci aceasta poate avea ca rezultat inactivitatea interfeţei. Dacă
suspectăm existenţa acestei probleme, se setează manual viteza aceleia la ambele
capete ale conexiunii.

Dacă interfaţa este activată, dar există totuşi probleme cu conectivitatea:

 Folosind comanda show interfaces se caută indicatori ai zgomotului excesiv.

Indicatorii pot include un număr ridicat în contoarele de runts, giants şi erori CRC.
Dacă există zgomot excesiv, mai întâi găsim şi eliminăm sursa de zgomot, dacă
este posibil. De asemenea, verificăm tipul de cablu utilizat și dacă acesta depăşeste

Pagina 18 din 74
 lungimea maximă acceptată. Pentru cablurile din cupru, UTP, este recomandat să
folosim cablul Cat5e.
 Dacă zgomotul nu este o problemă, verificăm dacă există coliziuni excesive. Dacă
există coliziuni sau coliziuni întârziate, verificăm setările duplex la ambele capete
ale conexiunii. La fel ca setarea vitezei, setarea modului duplex este de asemenea
auto-negociabilă. Dacă suspectăm o nepotrivire în aceste setări, setăm automat
modul duplex la ambele capete ale conexiunii. Este recomandat să se utilizeze
modul full-duplex dacă este suportat de ambele părţi.

2.1.3 Configurarea VLAN-urilor

2.1.3.1 Intervale de VLAN-uri pe switch

Numărul de VLAN-uri acceptate pe switch-urile Cisco este destul de mare pentru a

satisface nevoile organizațiilor. De exemplu, switch-urile Catalyst 2960 și 3560 acceptă pâna la
4096 de VLAN-uri. Intervalul normal de VLAN-urilor pe aceste switch-uri este de la 1 la 1005 și
intervalul extins de VLAN-uri este de la 1006 la 4094. Figura ilustrează VLAN-urile disponibile
pe un switch Catalyst 2960 ce rulează Cisco IOS versiunea 15.x.

Pagina 19 din 74
 VLAN-urile din intervalul normal:
 utilizate în afaceri mici, medii și rețele enterprise.
 identificate cu un ID de VLAN cuprins între 1 și 1005.
 ID-urile de la 1002 la 1005 sunt rezervate pentru VLAN-uri Token Ring și FDDI.
 ID-urile l și 1002 ÷ 1005 sunt create automat și nu pot fi șterse.
 configurațiile sunt stocate într-un fișier de baze de date VLAN numit vlan.dat,
fișier ce se află în memoria flash a switch-ului.
 protocolul VLAN de trunking (VTP), care ajută la gestionarea configurațiilor
VLAN între switch-uri, poate învăța și stoca VLAN-urile cu interval limitat.

VLAN-uri din intervalul extins:

 permite furnizorilor de servicii să își extindă infrastructura la un număr mai mare
de clienți. Câteva rețele globale pot fi destul de mari pentru a necesita ID-uri de
VLAN cu interval extins.
 sunt identificate cu un ID de VLAN cuprins între 1006 și 4094.
 configurațiile nu sunt scrise în fișierul vlan.dat.
 acceptă mai puține caracteristici VLAN față de VLAN-urile din intervalul normal.
 sunt, în mod implicit, salvate în fișierul running-config (configurația de rulare).
 VTP nu învață VLAN-uri cu interval extins.

Notă: 4096 este limita superioară pentru numărul de VLAN-uri disponibile pentru switch-urile
Catalyst, deoarece sunt 12 biți în câmpul de VLAN ID ai header-ului IEEE 802.1Q.

Pagina 20 din 74
2.1.3.2 Crearea unui VLAN

Când configurăm VLAN-uri din intervalul normal, detaliile configurației sunt stocate în
memoria flash pe switch în fișierul vlan.dat. Memoria flash este persistentă și nu necesită
comanda copy running-config startup-config. Cu toate acestea, deoarece alte detalii sunt
adesea configurate pe un switch Cisco în același timp în care VLAN-urile sunt create, este o
practică bună de a salva schimbările din running-config în startup-config.

În figura următoare este arătată sintaxa comenzilor Cisco IOS folosite pentru a crea un
VLAN și a-i da un nume. Denumirea fiecărui VLAN este considerată o bună practică în
configurarea unui switch.

În topologia următoare VLAN-ul Student, VLAN 20, este configurat pe switch-ul S1.
Calculatorul studentului (PC1) care are adresa IP 172.17.20.22 nu a fost alocat încă la un VLAN.

Utilizând comanda show vlan brief se poate afișa conținutul fișiserului vlan.dat.

Pagina 21 din 74
 În plus, față de introducerea unui singur ID de VLAN, o serie de ID-uri de VLAN pot fi
introduse separate prin virgule sau într-un interval de ID-uri VLAN separate de cratimă, folosind
comenda vlan vlan_id. De exemplu, utilizând comanda următoare se pot crea VLAN-urile cu
ID-urile 100, 102, 105, 106 și 107:

S1(config)# vlan 100,102,105-107

2.1.3.3 Alocarea porturilor la un VLAN

După crearea unui VLAN, următorul pas este de a atribui porturile la VLAN. Un port de
acces poate aparține unui singur VLAN la un moment dat; o excepție de la această regulă este
cea a unui port conectat la un telefon IP, caz în care sunt două VLAN-uri asociate cu acel port:
unul de voce și unul de date.

Figura următoare arată modul de configurare a unui port ca port de acces și atribuirea
acestuia la un VLAN. Comanda switchport mode access este opțională, dar recomandată pentru
securitate. Cu această comandă, interfața se schimbă în modul acces.

Notă: Folosind comanda interface range putem configura simultan mai multe interfețe.

În exemplul din figura următoare, VLAN 20 este atribuit portului F0/18 pe switch-ul S1;
așadar, calculatorul Student (PC2) este în VLAN 20. Când VLAN 20 este configurat pe alte
switch-uri, administratorul de rețea știe să configureze celelalte calculatoare Student pentru a fi
în aceeași subrețea ca PC2 (172.17.20.0/24).

Pagina 22 din 74
 Comanda switchport access vlan forțează crearea unui VLAN dacă nu este existent deja
pe switch. De exemplu, VLAN 30 nu este prezent în afișajul comenzii show vlan brief rulată pe
switch. Dacă este executată comanda switchport access vlan 30 pe oricare interfață fără o
configurare anterioară, switch-ul va arăta următoarele:

% Access VLAN does not exist.

Creating vlan 30

2.1.3.4 Schimbarea apartenenței unui port la un VLAN

Există mai multe moduri de a schimba apartenența unui port la un VLAN. În figura
următoare este arătat modul de schimbare a apartenenței unui port al switch-ului de la VLAN 1
folosind comanda no switchport access vlan în modul de configurare al interfeței.

Interfața F0/18 a fost atribuită anterior la VLAN 20. Comanda no switchport access vlan
este introdusă pentru interfața F0/18. Output-ul comenzii show vlan brief afișează informații
pentru fiecare VLAN, respectiv: numele, status-ul și porturile switch-ului atribuite VLAN-ului.

Pagina 23 din 74
 VLAN 20 este activ, chiar dacă nu are porturi atribuite la el. În figura următoare, output-ul
comenzii show interfaces f0/18 switchport arată dacă modul acces la VLAN pentru interfața
F0/18 a fost resetat la VLAN 1.

Un port își poate schimba cu ușurintă apartenența la VLAN. Nu este necesar să eliminăm
portul din VLAN pentru a-i schimba apartenența. Atunci când un port de acces atribuit la un
VLAN este reatribuit la un alt VLAN existent, noua atribuire la VLAN pur și simplu înlocuiește
atribuirea la VLAN-ul anterior. În figura următoare, portul F0/11 este atribuit la VLAN 20.

Pagina 24 din 74
2.1.3.5 Ștergerea unui VLAN

Comanda no vlan vlan_id, în modul global de configurare, este folosită pentru a șterge un
VLAN creat pe un switch.. În exemplul dat, după utilizarea comenzii no vlan 20, folosind
comanda show vlan brief se verifică dacă VLAN 20 mai este prezent în fișierul vlan.dat.
Switch-ul S1 are o configurație minimă cu VLAN 1 și porturile atribuite lui și un VLAN 20
neutilizat în baza de date VLAN.

Atenție: Înainte de a șterge un VLAN, toate porturile, care aparțin de VLAN-ul respectiv,
trebuie să fie mai întâi reatribuite la un alt VLAN. Porturile care nu sunt atribuite la un VLAN
activ nu mai pot comunica cu alte host-uri după ce VLAN-ul este șters.

Alternativ, fișierul vlan.dat poate fi șters folosind comanda delete flash:vlan.dat în modul
privilegiat. Versiunea simplă a comenzii, delete vlan.dat, poate fi folosită dacă fișierul vlan.dat
nu a fost mutat din locația inițială (din memoria flash:). După executarea comenzii și repornirea
switch-ului, VLAN-urile configurate anterior nu vor mai fi prezente. Acest lucru aduce switch-ul
în setările din fabrică în privința configurărilor VLAN.

Notă: Comanda erase startup-config trebuie să însoțească comanda delete vlan.dat înainte de a
folosi comanda reload pentru a reporni switch-ul și a-l reinițializa cu configurările din fabrică.

Pagina 25 din 74
2.1.3.6 Verificarea informațiilor despre VLAN-uri

După ce VLAN-ul este configurat, configurațiile VLAN pot fi validate folosind opțiunile
comenzii show din Cisco IOS, respectiv show vlan și show interfaces.

În figura următoare, comanda show vlan name student produce un output care nu este ușor
de interpretat. Varianta optimă este folosirea comenzii show vlan brief. Comanda show vlan
summary afișează numărul tuturor VLAN-urilor configurate, respectiv 7 VLAN-uri.

Pagina 26 din 74
 Comanda show interfaces vlan vlan_id afișează detalii care nu fac obiectul acestui
material. Informațiile importante apar pe linia a doua din output-ul comenzii, indicând că VLAN
20 este pornit (up).

Pentru a afișa informațiile unui port al switch-ului și pentru a verifica atribuirile și modul
VLAN se folosește comanda show interfaces interface_id switchport.

3.2.1.7 Packet Tracer - Configurarea VLAN-urilor

2.1.4 Trunk VLAN

2.1.4.1 Configurarea modului trunk

Un trunk VLAN este o legătura OSI de Layer 2 dintre două switch-uri care transportă
trafic pentru toate VLAN-urile (numai dacă lista permisă de VLAN nu este restricționată manual
sau dinamic). Pentru a activa o legătură trunk, se configurează ambele porturi de la capetele
legăturii fizice cu seturi similare de comenzi.

Pagina 27 din 74
 Pentru a configura un port trunk, se folosește comanda switchport mode trunk, care trece
permanent interfața în modul trunk. Această comandă este singura metoda de a implementa o
configurație trunk.

Sintaxa comenzii Cisco IOS care specifică VLAN-ul nativ (altul decât Vlan 1) este
prezentată în figură. În acest exemplu, VLAN 99 este configurat ca fiind VLAN nativ folosind
comanda switchport trunk native vlan 99.

Folosind comenzile Cisco IOS switchport trunk allowed vlan vlan_list se poate specifica
lista de VLAN-uri permise pe legătura trunk.

VLAN-urile 10, 20, 30 acceptă calculatoarele PC1, PC2 și PC3 din VLAN-urile Faculty,
Student și Guest. Portul F0/1 de pe switch-ul S1 este configurat ca port trunk și transmite traficul
pentru VLAN-urile 10, 20, 30. VLAN 99 este configurat ca fiind VLAN nativ.

Pagina 28 din 74
 În figura următoare este arătată configurația portului F0/1 pe switch-ul S1 ca fiind port
trunk. VLAN-ul nativ este schimbat la VLAN 99 și lista de VLAN-uri acceptate este limitată la
VLAN 10, 20 și 30.

Dacă VLAN-ul nativ nu este permis pe legătura de trunk, trunk-ul nu va permite deloc
traficul de date pentru VLAN-ul nativ.

Notă: Această configurație presupune utilizarea switch-urilor care folosesc automat încapsularea
802.1Q pe legăturile trunk. Celelalte switch-uri pot necesita configurarea manuală a încapsulării.
Întotdeauna trebuie configurate ambele capete ale legăturii trunk cu același VLAN nativ. În
cazurile în care configurația trunk 802.1Q nu este la fel la ambele capete, Software-ul Cisco IOS
va raporta erori.

2.1.4.2 Resetarea modului trunk

Comenzile necesare pentru a șterge VLAN-urile permise și de a reseta VLAN-ul nativ de

pe trunk sunt arătate în figura următoare. Când este resetat la starea inițială, trunk-ul permite
toate VLAN-urile și folosește VLAN 1 ca VLAN nativ.

Comanda pentru a reseta portul switch-ului la modul acces și, de fapt, de a șterge modul
trunk este prezentată în figură.

Pagina 29 din 74
 Figura următoare arată comenzile folosite pentru resetarea interfeței și a caracteristicilor de
trunking la setările inițiale. Comanda show interfaces f0/1 switchport arată că trunk-ul a fost
reconfigurat la starea inițială.

În figura de mai jos, sunt arătate comenzile folosite pentru a elimina caracteristicile trunk
de pe portul F0/1 al switch-ului S1 și de a trece portul în modul acces. Comanda show interfaces
f0/1 switchport arată că interfața F0/1 este acum în modul static acces.

Pagina 30 din 74
2.1.4.3 Verificarea configurației trunk

Figura afișează configurația portului F0/1 a switch-ului S1. Configurația este verificată cu
comanda show interfaces interface_id switchport.

Prima zonă marcată arată ca portul F0/1 are modul administrativ setat la trunk (portul este
în modul trunk). Următoarea zonă evidențiată verifică că VLAN-ul nativ este VLAN-ul 99.
Ultima zonă marcată arată ca toate VLAN-urile sunt activate pe trunk.

3.2.2.4 Packet Tracer - Configurarea Trunk-urilor

3.2.2.5 Lab - Configurarea VLAN-urilor și Trunking

2.1.5 Dynamic Trunking Protocol (DTP)

Interfețele Ethernet trunk suportă diferite moduri de trunking. O interfață poate fi setată la
trunking sau non-trunking sau să negocieze trunking cu interfața vecină. Negocierea trunking
este administrată de Dynamic Trunking Protocol (DTP), care operează numai punct-la-punct
între echipamente din rețelei.

Pagina 31 din 74
 DTP este un protocol Cisco care este activat automat pe seriile de switch-uri Catalyst 2960
și Catalyst 3560. DTP administrează negocierea trunk doar dacă portul de pe switch-ul vecin este
configurat într-un mod trunk care suportă DTP.

Atenție: Unele echipamente de interconectare de rețea pot transmite mai departe frame-uri în
mod corespunzător, fapt ce poate provoca configurări greșite. Pentru a evita acest lucru, trebuie
oprit DTP pe interfețele switch-ului Cisco dacă acesta este conectat la echipamente care nu
suportă DTP.

Configurația DTP implicită pentru switch-urile Catalyst 2960 și 3560 este dynamic auto
după cum se arată în figură pe interfața F0/3 a switch-urilor S1 și S3.

Pentru a activa trunking de la un switch Cisco la un echipament care nu suportă DTP, se

folosesc comenzile switchport mode trunk și switchport nonegotiate, în submodul de
configurare al interfeței. Acest lucru face ca interfața să fie în modul trunk, dar să nu genereze
frame-uri DTP.

În figura următoare, link-ul dintre switch-urile S1 și S2 va fi trunk deoarece porturile F0/1

de pe switch-urile S1 și S2 sunt configurate astfel încât să ignore toate avertizările DTP și să fie

Pagina 32 din 74
activate și să rămână în modul trunk. Porturile F0/3 de pe switch-urile S1 și S3 sunt configurate
în modul dynamic auto, astfel încât negocierea are ca rezultat trecerea celor două porturi în
modul acces. Acest lucru creează o legătură trunk inactivă. Când se configurează un port să fie în
modul trunk, nu există nicio ambiguitate despre starea în care se află trunk-ul, portul este mereu
activ. Cu această configurare, este ușor de văzut în ce stare se află porturile trunk; dacă se
presupune ca portul să fie trunk, starea portului este setată în modul trunk.

Pe switch-urile Catalyst 2960 și Catalyst 3560 interfețele Ethernet suportă moduri diferite
de trunking cu ajutorul DTP:

 switchport mode access - pune interfața (portul acces) în modul permanent non-
trunking și negociază convertirea legăturii într-un link non-trunk. Interfața devine o
interfață non-trunk, chiar dacă interfața vecină este sau nu o intefață trunk.
 switchport mode dynamic auto - face interfața capabilă să convertească un link
într-un link trunk. Interfața devine o interfață trunk dacă interfața vecină este setată
în modul trunk sau desirable. Modul switchport implicit al tuturor interfețelor
Ethernet este dynamic auto.
 switchport mode dynamic desirable - face ca interfața să încerce activ să
convertească link-ul într-un link trunk. Interfața devine o interfață trunk dacă
interfața vecină este setată în modul trunk, desirable sau auto. Acesta este modul
switchport implicit al switch-urilor mai vechi, precum Catalyst 2950 și 3550.

Pagina 33 din 74
  switchport mode trunk - pune interfața într-un mod trunking permanent și
negociază să convertească link-ul cu interfața vecină într-un link trunk. Interfața
devine o interfață trunk chiar dacă interfața vecină nu este o interfață trunk.
 switchport nonegotiate - împiedică interfața să genereze frame-uri DTP. Se poate
folosi această comandă doar când modul interfeței switchport este acces sau trunk.
Trebuie configurată manual interfața vecină ca interfață trunk pentru a stabili o
legătură trunk.

Figura următoare ilustrează rezultatul opțiunilor de configurare DTP la capetele unui link
trunk conectat la porturile unui switch Catalyst 2960.

Se poate configura un link trunk static oricând este posibil. Modul implicit DTP este
dependent de versiunea de software Cisco IOS și de platformă. Pentru a determina modul DTP
curent, se folosește comanda show dtp interface după cum se arată în figură.

Pagina 34 din 74
Notă: O bună practică este configurarea interfeței în modul trunk cu setarea nonegotiate când
este necesară o legătură trunk. Pe link-urile unde nu este necesar trunk, DTP ar trebui dezactivat.

3.2.3.3 Activitate - Preziceți Comportamentul DTP

2.1.6 Rezolvarea problemelor VLAN-urilor în rețea

2.1.6.1 Probleme de adresare IP

Fiecare VLAN trebuie să corespundă unei subrețele. Dacă două echipamente din același
VLAN au adrese din subrețele diferite, ele nu pot comunica. Aceasta este o problemă des
întâlnită și poate fi rezolvată prin identificarea configurației incorecte și schimbarea adresei IP cu
o adresă IP din subrețeaua corectă.

În exemplul următor, PC1 nu se poate conecta la serverul Web/TFTP arătat.

O verificare a setărilor configurației IP prezentată în figura următoare, arată cea mai

comună eroare în configurarea VLAN-urilor: o adresă IP configurată incorect. PC1 este
configurat cu adresa IP 172.172.10.21 dar ar fi trebui să fie configurat cu 172.17.10.21.

Pagina 35 din 74
 După modificarea configurației interfeței FastEthernet a PC1 cu adresa IP 172.17.10.21 și
testarea conectivității se observă că PC1 are conexiune cu serverul Web/TFTP cu adresa IP
172.17.10.30 .

2.1.6.2 Probleme de VLAN-uri

Dacă nu există conexiune între echipamentele dintr-un VLAN, dar problemele de adresare
IP au fost eliminate, conform algoritmului din figură, pentru rezolvarea problemelor se parcurg
următorii pași:

Pasul 1. Se folosește comanda show vlan pentru a verifica dacă portul aparţine sau nu
VLAN-ului aşteptat. Dacă portul este atribuit la un VLAN greşit, pentru a corecta atribuirea la
VLAN se folosește comanda switchport access vlan. Pentru a verifica care adrese au fost
învăţate pe un anumit port al switch-ului şi cărui VLAN îi este atribuit acel port se folosește
comanda show mac address-table.

Pasul 2. Dacă VLAN-ul la care este atribuit portul este şters, portul devine inactiv. Se
folosește comanda show vlan sau show interfaces switchport pentru a verifica acest lucru.

Pagina 36 din 74
Dacă portul este inactiv, acesta nu este funcțional până când VLAN-ul lipsă nu este creat
folosind comanda vlan vlan_id.

În exemplul din figura următoare, prin utilizarea comenzii show mac address-table sunt
afișate adresele MAC care au fost învăţate pe interfaţa F0/1. Se poate observa că adresa MAC
000c.296a.a21c a fost învăţată pe interfaţa F0/1 în VLAN 10. Dacă numărul VLAN-ului nu este
cel aşteptat, folosind comanda switchport access vlan se schimbă atribuirea portului la VLAN
corect.

2.1.6.3 Probleme cu modul trunk

O sarcină des întâlnită a unui administrator de reţea este să rezolve problema realizării
link-ului trunk sau link-ului greşit care se comportă ca un link trunk. Câteodată un port al unui
switch se poate comporta ca un port trunk chiar dacă nu a fost configurat ca un port trunk. De
exemplu, un port de acces poate accepta frame-uri de la VLAN-uri diferite faţă de VLAN-ul
căruia îi este atribuit. Acest lucru se numeşte leaking VLAN.

Pagina 37 din 74
 Figura de mai jos prezintă o schemă de rezolvare a problemelor cu modul trunk.

Pentru a rezolva problemele când nu se realizează un trunk sau când intervine leaking-uri
de VLAN, se procedează urmând algoritmul din figura anterioară:

Pasul 1. Se folosește comanda show interfaces trunk pentru a verifica dacă VLAN-urile
locale şi native se potrivesc. Dacă VLAN-ul nativ nu se potriveşte la ambele capete, atunci apar
leaking-uri de VLAN.

Pasul 2. Se folosește comanda show interfaces trunk pentru a verifica dacă un link trunk
a fost stabilit între switch-uri. Se configurează static link-ul trunk oricând este posibil. Porturile
switch-urilor Catalyst folosesc DTP implicit și încearcă să negocieze un link trunk.

Pentru a afișa starea unui link trunk, VLAN-ul nativ folosit pe acel link și pentru a verifica
stabilirea legăturii folosiți comanda show interfaces trunk. Exemplul din figura următoare arată
că VLAN-ul nativ de la un capăt al link-ului trunk s-a schimbat în VLAN 2. Dacă un capăt al
legăturii este configurat ca vlan nativ VLAN 99 și celălalt capăt este configurat ca vlan nativ
VLAN 2, un frame este trimis de la VLAN 99 pe o parte și este primit de VLAN 2 pe cealaltă
parte. VLAN 99 se “pierde” în segmentul VLAN 2.

CDP afișează o notificare a unei nepotriviri de VLAN nativ pe o legătură trunk cu mesajul:

*Mar 1 06:45:26.232: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN

mismatch discovered on FastEthernet0/1 (2), with S2
FastEthernet0/1 (99).

Pagina 38 din 74
 Problemele de conectivitate apar în rețea dacă există o nepotrivire între VLAN-urile native.
Traficul de date pentru VLAN-uri, altele decât cele două VLAN-uri native configurate, se
propagă cu succes de-a lungul legăturii trunk însă datele asociate cu oricare dintre VLAN-urile
native nu se propagă cu succes de-a lungul legăturii trunk.

Notă: Afișajul din figură indică că există un link trunk activ în ciuda nepotrivirii VLAN. Se va
configura același VLAN nativ la ambele capete ale link-ului pentru a corecta această problemă.

Probleme comune cu modul trunk

Problemele de trunking sunt de obicei asociate cu configurații incorecte. La configurarea

VLAN-urilor și trunk-urilor pe o infrastructură de switch-uri, cele mai frecvente tipuri de erori
de configurare sunt:
 nepotriviri de VLAN nativ - porturile trunk sunt configurate cu VLAN-uri native
diferite. Această eroare de configurare generază notificări de consolă și face ca
administrarea și controlul traficului să fie executate greșit. Acest lucru reprezintă un
risc de securitate.
 nepotriviri în modul trunk - un port trunk este configurat cu modul trunk oprit și
alt port este configurat cu modul trunk activ. Această eroare de configurare duce la
nefuncționarea link-ului trunk între cele două porturi.
 VLAN-uri permise pe trunk-uri - lista de VLAN-uri permise pe un trunk nu a
fost actualizată cu cerințele actuale de trunking VLAN. În această situație, este
transmis trafic neașteptat pe trunk, sau nu este transmis trafic deloc.

Dacă este descoperită o problemă cu un link trunk și dacă nu este cunoscută cauza, se
începe rezolvarea problemei prin examinarea trunk-urilor pentru a găsi eventuale nepotriviri de
VLAN nativ. Dacă nu aceasta este cauza, se caută nepotriviri ale modului trunk și în final se
verifică listele de VLAN-uri permise pe trunk.

Pagina 39 din 74
 Moduri de rezolvare a problemelor cu modul trunk

Exemplul 1 - Nepotriviri ale modului trunk

Folosind comanda show interfaces trunk se verifică starea porturilor trunk pe switch-ul
S1. Output-urile prezentate în figura următoare arată că interfaţa Fa0/3 de pe switch-ul S1 și
interfaţa Fa0/3 de pe switch-ul S3 nu sunt momentan porturi trunk active, ambele fiind
configurate în modul dynamic auto. Acest lucru explică de ce trunk-ul este inactiv.

Pagina 40 din 74
 Pentru a rezolva această problemă, se reconfigurează modul trunk pe porturile F0/3 de pe
switch-urile S1 şi S3 și după această schimbare, otutput-urile comenzii show interfaces indică
faptul că porturile F0/3 de pe switch-urile S1 și S3 sunt acum în modul trunk. Afişajul de la PC4
indică faptul că are conectivitate cu serverul Web/TFTP găsit la adresa IP 172.17.10.30.

Pagina 41 din 74
Exemplul 2 - Liste de VLAN-uri permise configurată greșit

Pentru ca traficul de la un VLAN să fie transmis pe un link trunk, trebuie ca acel VLAN să
fie permis pe trunk. Se folosește comanda switchport trunk allowed vlan vlan_id, pentru a face
posibil acest lucru.

În topologia de mai jos, VLAN 20 (Student) şi PC5 au fost adăugate în reţea. În

documentaţia actualizată se arată că VLAN-urile permise pe trunk sunt 10, 20 şi 99. Tot în acest
scenariu, PC5 nu se poate conecta la serverul de email al studentului.

Se verifică porturile trunk de pe switch-ul S1 folosind comanda show interfaces trunk

după cum se arată în figura următoare. Output-urile comenzii arată că interfaţa F0/3 de pe
switch-ul S3 este corect configurată pentru a permite VLAN-urile 10, 20 şi 99, iar interfața F0/3
de pe switch-ul S1 arată că permite numai VLAN-urile 10 şi 99. Documentaţia rețelei a fost
actualizată, dar nu s-a reconfigurat corespunzător switch-ul S1.

Pagina 42 din 74
 Folosind comanda switchport trunk allowed vlan 10,20,99, se reconfigurează interfețele
F0/1 și F0/3 pe switch-ul S1 și output-ul comenzii show interfaces trunk arată că VLAN-urile
10, 20 şi 99 sunt acum adăugate la porturile F0/1 și F0/3 de pe switch, iar PC5 are acum
conectivitate cu serverul de email student găsit la adresa IP 172.17.20.10.

3.2.4.7 Packet Tracer - Depanarea unei Implementări VLAN - Scenariul 1

3.2.4.8 Packet Tracer - Depanarea unei Implementări VLAN - Scenariul 2
3.2.4.9 Laborator - Depanarea Configuraţiei VLAN

Pagina 43 din 74
2.2. SECURITATEA LA NIVELUL SWITCH-ULUI

2.2.1 Securizarea accesului remote

2.2.1.1 Secure Shell (SSH)

Secure Shell (SSH) este un protocol care furnizează o conexiune sigură (criptată) de
administrare la un echipament situat la distanţă. SSH ar trebui să înlocuiască Telnet pentru
administrarea conexiunilor. Telnet este un protocol mai vechi care foloseşte transmiterea
nesecurizată (transmiterea în clar) atât a datelor de logare (utilizator şi parolă) cât şi a datelor
transmise între cele două echipamente care comunică. SSH oferă securitate pentru transmisiile la
distanţă prin criptare puternică atunci când un echipament este autentificat (utilizator şi parolă)
şi, de asemenea, pentru datele transmise între cele două echipamente care comunică. SSH are
atribuit portul 22 TCP. Telnet are atribuit portul 23 TCP.

Exemplu:
Utilizând software-uri specifice (ex: Wireshark), un atacator poate monitoriza pachete,
transmise printr-o sesiune Telnet, și poate afla numele de utilizator şi parola de administrare a
echipamentului. Datele transmise printr-o sesiune SSH pot fi urmărite de către un atacator, dar
nu poate afla informații de autentificare pe echipament deoarece acestea sunt criptate.

Pentru a activa SSH pe un switch Catalyst 2960, switch-ul trebuie să folosească o versiune
a software-ului IOS care conţine caracteristici şi capabilităţi criptografice. În figura următoare,
folosind comanda show version pe switch se poate vedea ce IOS rulează momentan şi dacă
fişierul al cărui nume conţine combinaţia "K9" acceptă caracteristici de criptografie.

Pagina 44 din 74
2.2.1.2 Configurarea SSH

Înainte de a configura SSH, switch-ul trebuie să fie minim configurat cu un hostname unic
şi cu setări corecte de conectivitate în reţea.

Pasul 1. Verificarea dacă SSH este acceptat. Folosind comanda show ip ssh se verifică
dacă switch-ul acceptă SSH. Dacă pe switch nu rulează un IOS care acceptă caracteristici de
criptare, această comandă nu va fi recunoscută.

Pasul 2. Configurarea domeniului IP. Pentru configurarea numelui domeniului IP al

reţelei se folosește, în modul global de configurare, comanda ip domain-name domain_name. În
figură, numele domeniului este cisco.com.

Pasul 3. Generarea perechilor de chei RSA. Generarea unei perechi de chei RSA
activează în mod automat SSH. Folosind comanda crypto key generate rsa, în modul global de
configurare, se activează serverul SSH pe switch şi se generează perechea de chei RSA. Când se
generează cheile de criptare, se solicită, de asemenea, și valoarea modulului (lungimea în biți).
Cisco recomandă cheile de criptare RSA cu lungimi de 1024 biţi (vezi figura anterioară).

Pagina 45 din 74
Modulele de chei de criptare cu lungimi mai mari sunt mai sigure, însă durează mai mult până
când sunt generate şi folosite.

Notă: Pentru a şterge o pereche de chei RSA se folosește comanda crypto key zeroize rsa în
modul global de configurare. După ce perechea de chei de criptare a fost ştearsă, serverul SSH
este dezactivat automat.

Pasul 4. Configurarea autentificării utilizatorului. Serverul SSH poate autentifica

utilizatori în două moduri: local sau utilizând unui server de autentificare. Pentru a crea o metodă
de autentificare locală, se creează o pereche de nume de utilizator şi parolă folosind, în modul de
configurare global, comanda username username password password. În exemplul anterior,
este creat utilizatorul admin căruia îi este atribuită parola ccna.

Pasul 5. Configurarea liniile vty. Activarea protocolul SSH pe liniile vty se realizează
folosind comanda transport input ssh, în submodul de configurarea a liniilor vty. Catalyst 2960
are 16 linii vty, de la 0 la 15. Această configurare impiedică conexiunile non-SSH (precum
Telnet) şi limitează switch-ul să accepte numai conexiuni SSH. Folosind comanda line vty, în
modul de configurare global iar apoi comanda login local, de submodul de configurare a liniilor,
se solicită autentificarea locală pentru conexiunile SSH din baza de date cu utilizatori locali.

2.2.1.3 Verificare SSH

Pe un PC, este folosit un client SSH, precum PuTTY, pentru conectarea la un server SSH.
Pentru exemplul următor au fost configurate următoarele:
 SSH a fost activat pe switch-ul S1.
 s-a atribuit adresa IP 172.17.99.11 interfeţei VLAN 99 (SVI) a switch-ului S1.
 s-a atribuit adresa IP 172.17.99.21 lui PC1.

În figurile următoare, PC-ul iniţiază o conexiune SSH cu adresa IP atribuită SVI a S1.
Utilizatorului i s-au cerut un nume de utilizator şi o parolă. Utilizând configurarea din exemplul
precedent, se introduce numele de utilizator admin şi parola ccna. După autentificarea corectă,
utilizatorul este conectat prin SSH la CLI de pe switch-ul Catalyst 2960. Pentru a afişa versiunea
şi configurarea datelor pentru SSH pe echipamentul pe care s-a configurat serverul SSH, se

Pagina 46 din 74
folosește comanda show ip ssh. În exemplul dat este activat SSH-ul versiunea 2. Pentru a
verifica conexiunile SSH la echipament, se folosește comanda show ssh.

2.2.1.4 Packet Tracer - Configurarea SSH

Pagina 47 din 74
2.2.2 Probleme de securitate în rețelele LAN

Securitatea de bază a switch-ului nu oprește atacurile malițioase. Securitatea este un proces

stratificat care nu este niciodată complet în esență. Cu cât echipa de profesioniști in rețelistică
din cadrul unei organizații sunt mai atenți la posibilele atacuri de securitate și pericolele pe care
le reprezintă, cu atât mai bine. Unele tipuri de atacuri de securitate sunt descrise aici, dar detaliile
despre modul în care lucrează depășește sfera acestui material. Mai multe informații se regăsesc
în cursurile CCNA WAN Protcols și CCNA Security.

2.2.2.1 Atacuri de securitate comune

MAC Address Flooding

Tabela adreselor MAC dintr-un switch conține adresele MAC asociate fiecărui port fizic și
VLAN-urilor asociate fiecărui port. Când un switch de Layer 2 primește un frame, switch-ul
caută în tabela de adrese MAC, adresa MAC destinație. Toate modelele de switch-uri de la
Catalyst folosesc o tabelă de adrese MAC pentru switching de Layer 2. Pe măsură ce frame-urile
ajung la porturile switchu-ului, adresele MAC sursă sunt înregistrate în tabela de adrese MAC.
Dacă există o înregistrare pentru adresa MAC, switch-ul trimite mai departe frame-ul către portul
corect. Dacă adresa MAC nu există în tabela de adrese MAC, switch-ul trimite frame-ul către
fiecare port al său mai puțin cel de la care a fost primit frame-ul.

Comportamentul de flooding de adrese MAC al unui switch pentru adrese necunoscute

poate fi folosit pentru a ataca switch-ul respectiv. Acest tip de atac se numește atac de
supraîncărcare (“inundare”) a tabelei de adrese MAC. Atacurile de supraîncărcare a tabelei de
adrese MAC sunt numite uneori atacuri de flooding MAC sau atacuri de supraîncărcare a tabelei
CAM.

Tabelele de adrese MAC au o dimensiune limitată. Atacurile de flooding MAC folosesc

această limitare pentru a supraîncărca switch-ul cu adrese MAC sursă false, până când tabelul de
adrese MAC al switch-ului este plin. Când tabela de adrese MAC este plină de adrese MAC
false, switch-ul intră în modul denumit fail-open (deschidere-eșuată). În acest mod, switch-ul
transmite toate frame-urile către toate echipamentele din rețea. Prin urmare, atacatorul poate să

Pagina 48 din 74
vadă toate frame-urile din rețea. Unele instrumente de atac al rețelei pot genera este 150000 de
înregistrări MAC pe un switch, pe minut. În funcție de switch, dimensiunea maximă a tabelei de
adrese MAC variază.

O modalitate de a diminua atacurile de depășire a dimensiunii tabelelor de adrese MAC

este de a configura securitate pe porturile switch-ului.

DHCP Spoofing

DHCP este protocolul care atribuie unei gazde automat o adresă IP validă dintr-un pool
DHCP. DHCP a fost folosit aproape la fel de mult timp cât TCP/IP a fost protocolul principal
folosit pentru a aloca clienților adrese IP. Asupra unei rețele de switch-uri pot fi folosite două
tipuri de atacuri DHCP: atacuri DHCP starvation și DHCP spoofing.

În atacurile DHCP starvation, atacatorul inundă serverul DHCP cu cereri DHCP de a folosi
toate adresele IP valabile pe care le poate emite serverul DHCP. După ce sunt emise aceste
adrese IP, serverul nu mai poate emite alte adrese iar această situație produce un atac de tip
denial-of-service (DoS) întrucât clienții noi nu mai pot obține acces la rețea. Un atac DoS este
orice atac care este folosit pentru a supraîncărca anumite echipamente și servicii de rețea cu
trafic nelegitim, împiedicând astfel traficul legitim de a ajunge la acele resurse.

În atacurile DHCP spoofing, un atacator configurează pe rețea un server DHCP fals care va
emite adrese DHCP clienților. Motivul normal pentru acest atac este de a forța clienții să
folosească un DNS (Domain Name System) fals sau servere WINS (Windows Internet Naming
Service) și de a-i face pe utilizatori să folosească sistemeul aflat sub controlul atacatorului, ca și
default gateway-ul lor.

DHCP starvation este folosit adesea înaintea unui atac DHCP de impersonare pentru a
interzice serviciile către serverul legitim DHCP, făcând mai ușor să fie introdus un server DHCP
fals în rețea.

Pentru a diminua atacurile DHCP, se folosesc opțiunile de DHCP snooping și

caracteristicile de securitate a porturilor pe switch-uri.

Pagina 49 din 74
 Utilizarea CDP

Cisco Discovery Protocol (CDP) este un protocol particular pe care toate echipamentele
Cisco îl pot folosi. CDP descoperă alte echipamente Cisco care sunt conectate direct, ceea ce
permite echipamentelor să-și auto-configureze conexiunea. În unele cazuri, acest lucru simplifică
configurarea și conectivitatea.

În mod implicit, majoritatea routerelor și switch-urilor au CDP activat pe toate porturile.

Informația CDP este trimisă prin transmisiuni periodice și necriptate. Această informație este
actualizată local în baza de date CDP a fiecărui echipament. Deoarece CDP este un protocol de
Layer 2, mesajele CDP nu sunt propagate de router-e. CDP conține informații despre
echipament, cum ar fi adresa IP, versiunea software-ului, platforma, capacitățile și VLAN-ul
nativ. Această informație poate fi folosită de atacator pentru a găsi metode de a ataca rețeaua, de
regulă în forma unui atac DoS (denial-of-service).

Este recomandat să se dezactiveze utilizarea CDP pe dizpotivele și porturile de care nu este

nevoie folosind comanda no cdp run în modul global de configurare. CDP poate fi dezactivat pe
fiecare port.

2.2.2.2 Atacuri asupra accesului remote

Atacuri Telnet

Protocolul Telnet este nesigur și poate fi folosit de un atacator pentru a obține acces remote
la un echipament de rețea. Există instrumente care permit unui atacator să lanseze un atac
puternic de spargere a parolelor (brute force) împotriva liniilor vty ale switch-ului.

Atacuri brute force asupra parolei

Prima fază a unui atac brute force de parola începe prin utilizarea de către atacator a unei
liste de parole comune și a unui program conceput pentru a stabili o conexiune Telnet folosind
fiecare cuvânt de pe lista dicționarului. Dacă parola nu este descoperită în prima etapă, în faza a
doua, atacatorul folosește un program care creează combinații secvențiale de caractere, în

Pagina 50 din 74
încercarea de a ghici parola. Dacă i se acordă suficient timp, un atac brute force poate sparge
aproape toate parolele folosite.

Pentru a atenua atacurile brute force de parole, se recomandă folosirea unor parole
puternice și care să fie schimbate des. O parolă puternică ar trebui să conțină o combinație de
litere mari, litere mici, cifre și caractere speciale. Accesul la liniile vty poate fi de asemenea
limitat folosind un ACL (listă de control al accesului).

Atac DoS Telnet

Telnet poate fi folosit, de asemenea, pentru a lansa un atac DoS. Într-un atac DoS Telnet,
atacatorul exploatează o vulnerabilitate în software-ul serverului Telnet care rulează pe switch,
vulnerabilitate care face serviciul Telnet indisponibil. Acest tip de atac împiedică un
administrator să acceseze remote funcțiile de administrare ale switch-ului. Acesta poate fi
combinat cu alte atacuri directe asupra rețelei ca parte dintr-o încercare coordonată de a
împiedica administratorul rețelei să acceseze echipamentele de bază în timpul atacului.

Vulnerabilitățile în serviciul Telnet care permit atacuri DoS sunt de regulă abordate în
patch-uri de securitate, incluse în noile revizuiri ale Cisco IOS.

Notă: Este recomandată utilizarea SSH-ului în locul Telnet-ului pentru conexiunile remote.

2.2.2.4 Activitate-Identificați Atacurile de Securitate Comune

2.2.3 Securitatea porturilor

2.2.3.1 Securizarea porturilor nefolosite

Dezactivarea porturilor nefolosite

O metodă simplă pe care o folosesc mulți administratori de rețea pentru securizarea rețelei,
la nivelul switch-urilor, împotriva accesului neautorizat este dezactivarea tuturor porturilor
nefolosite de pe un switch. De exemplu, dacă un switch Catalyst 2960 are 24 de porturi și sunt
doar 3 conexiuni Fast Ethernet în uz, este o bună practică dezactivarea celorlalte 21 de porturi

Pagina 51 din 74
nefolosite. Se poate configura fiecare port nefolosit cu comanda shutdown. Dacă este necesară
reactivarea unui port, ulterior, acest lucru se poate realiza cu comanda no shutdown.

Este mai ușor să se facă modificări în configurare pentru mai multe porturi ale switch-ului
deodată. Dacă trebuie configurat un interval de porturi, se utiilizează comanda interface range.

Switch(config)# interface range interface_type modul/first_number

– last_number

Procesul de dezactivare și activare a porturilor este consumator de timp, însă crește

securitatea rețelei.

DHCP snooping

DHCP snooping este o caracteristică a switch-urilor Catalyst care determină ce porturi pot
răspunde la cererile DHCP. Porturile sunt identificate ca a fi sau a nu fi de încredere. Porturile de
încredere pot permite mesajele DHCP cu sursă cunoscută, porturile care nu sunt de încredere
permit doar cereri DHCP. Porturile de încredere găzduiesc un server DHCP sau pot fi o legătură
(up-link) către un server DHCP. Dacă un echipament neindentificat conectat la un port care nu
este de încredere încearcă să trimită un pachet de răspuns DHCP în rețea, portul este dezactivat.

Pagina 52 din 74
Această caracteristică poate fi grupată cu opțiunile DHCP, astfel încât informațiile despre switch,
precum ID-ul portului cu cereri DHCP, pot fi adăugate în pachetul de cerere DHCP.

După cum se arată în figurile următoare, porturile care nu sunt de încredere sunt acele
porturi care nu sunt configurate explicit ca fiind de încredere. O tabelă DHCP binding este
construită pentru porturi care nu sunt de încredere. Fiecare intrare conține o adresă MAC client,
adresă IP, timpul de împrumut, tipul de legătură, numărul VLAN-ului și ID-ul portului
înregistrate pe măsură ce clienții realizează cereri DHCP. Tabela este folosită apoi pentru a filtra
traficul DHCP ulterior. Din perspectiva DHCP snooping, porturile care nu sunt de încredere nu
ar trebui să trimită niciun răspuns server-ului DHCP.

Următorii pași ilustrează modul de configurare DHCP snooping pe un switch Cisco 2960:

Pasul 1. Se activează DHCP snooping folosind comanda ip dhcp snooping în modul

global de configurare.
Pasul 2. Se activează DHCP snooping pentru VLAN-urile specifice folosind comanda ip
dhcp snooping vlan vlan_ID.
Pasul 3. Se definesc porturile ca fiind de încredere, în submodul de configurare al
interfeței, folosind comanda ip dhcp snooping trust.

Pagina 53 din 74
 Pasul 4. Se limitează rata la care se pot trimite continuu cereri DHCP false la serverul
DHCP prin porturi care nu sunt de încredere, folosind comanda ip dhcp snooping limit rate
(opțional).

2.2.3.2 Securitatea porturilor

Toate porturile switch-ului (interfețele) ar trebuie să fie securizate înainte ca switch-ul să

fie pus în rețea. O metodă de a securiza porturile este caracteristica numită securitatea porturilor
sau port security. Securitatea porturilor limitează numărul de adrese MAC valide permise de un
port. Adreselor MAC ale echipamentelor legitime le este permis accesul, în timp ce alte adrese
MAC sunt refuzate.

Securitatea porturilor poate fi configurată pentru a permite una sau mai multe adrese MAC.
Dacă numărul de adrese MAC permise pe un port este limitat la una, atunci doar echipamentul
cu respectiva adresă MAC se poate conecta cu succes la acel port.

Dacă un port este configurat ca un port sigur și numărul maxim de adrese MAC este atins,
orice încercare ulterioară de conectare a unor adrese MAC necunoscute va genera o încălcare a
securității.

Pagina 54 din 74
 Tipuri de adrese MAC sigure

Există mai multe moduri de configurare a securității porturilor. Tipul de adresă sigură este
bazat pe configurație și include:

 adrese MAC statice sigure - sunt adresele MAC configurate manual pe un port
folosind comanda switchport port-security mac-address mac_address în modul
global de configurare. Adresele MAC configurate în acest mod sunt stocate în
tabela de adrese MAC și sunt adăugate în configurația actuală de pe switch.
 adresele MAC dinamice sigure - sunt adresele MAC învățate dinamic și stocate
doar în tabela de adrese MAC. Adresele MAC care sunt configurate în acest mod
sunt eliminate când pornește switch-ul.
 adresele MAC sticky sigure - sunt adresele MAC învățate dinamic sau configurate
manual iar apoi stocate în tabela de adrese MAC și adăugate în configurația actuală.

Adresele MAC sticky sigure

Pentru a configura o interfață să convertească automat adresele MAC învățate dinamic în

adrese MAC sticky sigure și pentru a le adăuga în configurația actuală, trebuie activată opțiunea
sticky. Opțiunea sticky este activată pe o interfață folosind, în submodul de configurare a
interfeței, comanda switchport port-security mac-address sticky.

Când această comandă este introdusă, switch-ul convertește toate adresele MAC învățate
dinamic, inclusiv cele care au fost învățate dinamic înainte ca opțiunea sticky să fie activată, în
adrese MAC sticky sigure. Toate adresele MAC sticky sigure sunt adăugate în tabela de adrese
MAC și în configurația actuală.

Adresele MAC sticky sigure pot să fie, de asemenea, definite manual. Când adresele MAC
sticky sigure sunt configurate folosind în submodul de configurare a interfeței, comanda
switchport port-security mac-address sticky mac_address, toate adresele specificate sunt
adăugate în tabela de adrese și în configurația actuală.

Pagina 55 din 74
 Dacă adresele MAC sticky sigure sunt salvate în fișierul startup-config, atunci, când
switch-ul se repornește sau când interfața este dezactivată, interfața nu trebuie să invețe din nou
toate adresele. Dacă adresele sticky sigure nu sunt salvate, se vor pierde.

Dacă opțiunea sticky este dezactivată folosind, în submodul de configurare a interfeței,

comanda no switchport port-security mac-address sticky, adresele MAC sticky sigure rămân
în tabela de adrese, însă sunt eliminate din configurația actuală.

Încălcarea securității

Putem vorbi despre o încălcare a securității atunci când apar următoarele situații:
 numărul maxim de adrese MAC sigure a fost adăugat în tabela de adrese pentru
acea interfața și o stație a cărei adresă MAC nu se află în tabela de adrese încearcă
să acceseze interfața.
 o adresă învățată sau configurată pe o interfață securizată este văzută pe o altă
interfață securizată din același VLAN.

O interfață poate fi configurată pentru unul dintre următoarele trei moduri de încălcare a
securității, specificând măsurile care trebuie luate dacă intervine o astfel de problemă. Figura
prezintă tipurile de trafic de date ce sunt transmise mai departe când unul dintre următoarele
moduri de încălcare a securității este configurat pe un port.

 Protect - când numărul de adrese MAC sigure atinge limita permisă pe port,
pachetele cu sursă necunoscută sunt abandonate până când sunt eliminate un număr
suficient de adrese MAC sigure din tabela de adrese sau se mărește numărul maxim
de adrese permise. Nu există nicio notificare ca a intervenit o încălcare a securității.

 Restrict - când numărul de adrese MAC sigure atinge limita permisă pe port,
pachetele cu sursă necunoscută sunt abandonate până când sunt eliminate un număr
suficient de adrese MAC sigure din tabela de adrese sau se mărește numărul maxim
de adrese permise. În acest mod, există notificare că s-a produs o încălcare a
securității.

Pagina 56 din 74
  Shutdown - în acest mod (implicit), o încălcare a securității portului determină
interfața să se dezactiveze imediat și închide LED-ul corespunzător portului. Se
incrementează contorul de încălcare a securității. Când un port sigur este în starea
dezactivat, din cauza unei erori, poate fi scos din această stare prin introducerea
comenzilor de configurare a interfeței shutdown și no shutdown.

Pentru a schimba modul de încălcare a securității pe un port al switch-ului se folosește

comanda switchport port-security violation {protect | restrict | shutdown}, în submodul de
configurare a interfeței.

2.2.3.3 Configurarea securității porturilor

Figura anterioară rezumă configurația implicită de securitate a porturilor pe un switch

Cisco Catalyst.

Figura următoare prezintă comenzile CLI Cisco IOS necesare pentru configurarea
securității de port pe portul Fast Ethernet F0/18 de pe switch-ul S1. Se observă că în exemplu nu
este specificat modul de încălcare a securității. În acest exemplu, modul de încălcare este
shutdown (modul implicit).

Pagina 57 din 74
 Figura de mai jos arată cum modul de activare a adreselor MAC sticky sigure pentru
securitatea portului pe portul Fast Ethernet 0/19 al switch-ului S1. După cum s-a menționat
anterior, numărul maxim de adrese MAC sigure poate fi configurat manual. În acest exemplu,
sintaxa comenzii Cisco IOS este folosită pentru a seta numărul maxim de adrese MAC la 50
pentru portul 0/19. Modul de încălcare al securității este setat la shutdown, implicit.

Pagina 58 din 74
2.2.3.4 Verificarea securității porturilor

După configurarea securității porturilor pe un switch, trebuie verificată fiecare interfață

pentru a ne asigura că securitatea porturilor este setată corect și se verifică dacă adresele MAC
statice au fost configurate corect.

Verificarea setările de securitate ale porturilor

Pentru a afișa setările de securitate ale porturilor switch-ului pentru o interfață specificată
se folosește comanda show port-security [ interface interface_ID ]. Output-ul pentru
configurarea dinamică a securității portului este arătat în figura de mai jos. În mod implicit, este
doar o adresă MAC permisă pe acest port.

Output-ul prezentat în figura următoare arată valorile pentru setările de securitate sticky ale
portului. Numărul maxim de adrese este 50, așa cum a fost configurat.

Pagina 59 din 74
Notă: Adresa MAC este identificată ca o un MAC sticky.

Adresele MAC sticky sunt adăugate în tabelul de adrese MAC și în configurația curentă.
După cum se arată în figura următoare, adresa MAC sticky pentru PC2 a fost adăugată la
configurația curentă pentru S1.

Verificarea adresele MAC securizate

Pentru a afişa toate adresele MAC securizate pe toate interfeţele switch-ului, sau pe o
interfaţă specificată se folosește comanda show port-security address. După cum se arată în
figura de mai jos, adresele MAC securizate sunt listate împreună cu modul configurat.

2.2.3.5 Porturi dezactivate din cauza unor erori

Când un port este configurat cu securitatea portului, o încălcare poate cauza ca portul să se
dezactiveze din cauza unei erori. Când un port este dezactivat din cauza unei erori, acesta este
efectiv dezactivat şi prin urmare nu se transmite şi nu se primeşte trafic în acel port. O serie de
mesaje legate de securitatea portului sunt afişate pe consolă, așa cum este prezentat în figura
următoare.

Pagina 60 din 74
Notă: Protocolul portului şi starea legăturii sunt schimbate la dezactivare.

LED-ul portului se schimbă în portocaliu. Comanda show interfaces identifică starea

portului ca fiind dezactivat din cauza unei erori, așa cum se arată în figura următoare. Rezultatul
comenzii show port-security interface arată acum că starea portului este de oprire securizată.
Deoarece modul de încălcare al securităţii portului este setat la shutdown, portul cu încălcarea
securităţii trece în starea de dezactivare.

Administratorul ar trebui să determine ce a cauzat încălcarea securităţii, înainte să

reactiveze portul. Dacă un echipament neautorizat este conectat la un port securizat, portul nu ar
trebui să fie reactivat până când ameninţarea securităţii nu este eliminată. Pentru a reactiva portul
și a-l face operațional, se folosesc comenzile shutdown, respectiv no shutdown, în submodul de
configurare a interfeţei.

Pagina 61 din 74
2.2.3.6 Network Time Protocol (NTP)

Este importat să aveţi timpul corect în cadrul unei reţele. Semnăturile de timp sunt
necesare pentru a urmări cu exactitate evenimentele dintr-o reţea, precum încălcările de
securitate. În plus, sincronizarea de timp este critică pentru interpretarea corectă a evenimentelor
în cadrul fişierelor de date syslog, precum şi pentru certificatele digitale.

Network Time Protocol (NTP) este un protocol care este folosit pentru a sincroniza timpul
(ceasul) sistemelor informatice în reţelele de date. NTP permite echipamentelor din reţea să-şi
sincronizeze setările de timp cu un server NTP. Un grup de clienţi NTP care obţin timpul şi
informaţii despre dată de la o singură sursă vor avea setări de timp mai consistente.

O metodă sigură de a furniza ceasul pentru o reţea implementarea propriilor ceasuri

“master” private sincronizate cu UTC, prin radio sau satelit. Dacă nu se dorește implementarea
propriilor ceasuri master locale datorită costurilor sau a altor motive, în Internet sunt disponibile
surse de timp. NTP poate obţine ora corectă de la o sursă de timp internă sau externă, respectiv:
 ceas master local
 ceas master din Internet
 GPS sau ceasul atomic

Un echipament al reţelei poate fi configurat ori ca și client NTP ori ca server NTP. Pentru a
permite sincronizarea ceasului software cu un server de timp NTP, în modul global de
configurare, se folosește comanda ntp server ip_address. Un exemplu de configurare este
prezentat în figura următoare. Router-ul R1 serveşte ca un server master NTP, iar router-ul R2
este configurat ca și client NTP.

Pagina 62 din 74
 Comanda din modul privilegiat show ntp status poate fi folosită pentru a afişa informaţii
precum starea de sincronizare NTP, peer-ul la care este conectat echipamentul şi în care nivel
NTP funcţionează echipamentul.

2.2.4.9 Packet Tracer - Configurarea Securităţii Porturilor Switch-ului

2.2.4.10 Packet Tracer - Depanarea Securităţii Porturilor Switch-ului
2.2.4.11 Laborator - Configurarea Caracteristicilor de Securitate ale Switch-ului

2.2.4 Securitatea și design-ul VLAN

2.2.4.1 Atacuri de tip spoofing

Există tipuri diferite de atacuri VLAN în rețelele moderne cu switch-uri. Arhitectura

VLAN simplifică întreţinerea reţelei şi îmbunăţeşte performanţa, dar în același timp are și
vulnerabilități. Este important să înţelegem metodologia generală din spatele acestor atacuri şi
metoda principală de atenuare a lor.

Pagina 63 din 74
 Hopping-ul (saltul) VLAN permite traficului dintr-un VLAN să fie văzut de un alt VLAN.
Switch spoofing este un tip de atac de VLAN hopping care funcţionează prin folosirea
vulnerabilității unui port trunk configurat incorect. În mod implicit, porturile trunk au acces la
toate VLAN-urile prin același link fizic, de regulă între switch-uri.

Exemplul următor arată un atac de switch spoofing (impersonare switch).

Într-un atac de bază de switch spoofing, atacatorul profită de faptul că portul switch-ului
este configurat implicit cu opțiunea dynamic auto. Atacatorul rețelei configurează un sistem
pentru a se deghiza într-un switch. Spoofing-ul necesită ca atacatorul rețelei să fie capabil să
emuleze 802.1Q și mesaje DTP. Prin păcălirea unui switch în a crede că un alt switch încearcă să
formeze un link trunk, un atacator poate obține acces la toate VLAN-urile permise pe portul
trunk.

Cea mai bună modalitate pentru a preveni un atac de switch spoofing de bază este de e a
opri trunking-ul de pe toate porturile, mai puțin pe cele care necesită trunking. Pe porturile care
necesită trunking, dezactivați DTP și activați trunking manual.

2.2.4.2 Double-Tagging Attack

Un alt tip de atac VLAN este double-tagging VLAN hopping / VLAN cu dublă-etichetare
(sau dublă-încapsulare). Acest tip de atac profită de modul în care operează hardware-ul pe
majoritatea switch-urilor. Cele mai multe switch-uri efectuează un singur nivel de decapsulare
802.1Q, ceea ce permite unui atacator să încorporeze o etichetă (tag) 802.1Q ascunsă în
interiorul frame-ului. Această etichetă permite frame-ului să fie transmis către un VLAN pe care

Pagina 64 din 74
eticheta 802.1Q nu îl specifica. O caracteristică importantă a atacului double-tagging VLAN
hopping este că funcționează chiar dacă porturile trunk sunt dezactivate, deoarece un host de
regulă trimite un frame pe un segment care nu este un link trunk.

Un atac double-tagging VLAN hopping este prezentat în figura următoare:

1. Atacatorul trimite un frame 802.1Q dublu-etichetat către switch. Antetul exterior are
tag-ul VLAN-ului atacatorului, care este același cu VLAN-ul nativ al portului trunk.
Presupunerea atacatorului este că switch-ul procesează frame-ul primit ca și cum ar fi pe un port
trunk sau pe un port cu VLAN de voce (un switch nu ar trebui să primească un frame Ethernet
etichetat pe un port de acces).

2. Frame-ul ajunge pe switch, care citește primul tag 802.1Q (prima etichetă) de 4 octeți.
Switch-ul vede că frame-ul este destinat pentru VLAN-ul 10, care este VLAN-ul nativ și trimite
mai departe pachetul către toate porturile VLAN-ului 10. Pe portul trunk, tag-ul VLAN 10 este
îndepărtat, iar frame-ul nu este reetichetat deoarece face parte din VLAN-ul nativ. În acest punct,
tag-ul VLAN 20 este încă intact și nu a fost inspectat de primul switch.

3. Al doilea switch citește doar tag-ul interior 802.1Q, din frame-ul trimis de atacator și
vede că acesta este destinat pentru VLAN-ul 20, VLAN-ul vizat. Al doilea switch trimite acest
frame către portul corespunzător host-ul target, conform intrării din tabela de adrese MAC.
Pagina 65 din 74
 Acest tip de atac este unidirecțional și funcționează doar când atacatorul este conectat la un
port situat în același VLAN ca VLAN-ul nativ al portului trunk. Contracararea acestui tip de atac
nu este la fel de ușoară ca atacurile de bază VLAN hopping.

Cea mai bună abordare împotriva atacurilor VLAN double-tagging este să ne asigurăm că
VLAN-ul nativ al porturilor trunk este diferit de VLAN-ul oricăror alte porturi de utilizator. De
fapt, este considerată o bună practică de securitate utilizarea unui VLAN fix care este diferit de
toate VLAN-urile utilizatorilor dintr-o reţea cu switch-uri, ca VLAN nativ pentru toate link-urile
(legăturilor) trunk 802.1Q.

2.2.4.3 PVLAN Edge

Unele aplicații nu necesită trafic transmis la Layer 2 între porturile de pe același switch
astfel încât un vecin nu vede traficul generat de alt vecin. Într-un astfel de mediu, folosirea
caracteristicii Edge VLAN Privat (PVLAN), cunoscută și ca porturi protejate, asigură că nu
există niciun schimb de trafic unicast, broadcast sau multicast între aceste porturi de pe switch.

Caracteristica PVLAN Edge are următoarele caracteristici:

 un port protejat nu retransmite niciun trafic (unicast, multicast sau broadcast) către
orice alt port care este de asemenea protejat, cu excepția traficului de control.
Traficul de date nu poate fi redirecționat, la Layer 2, între porturile protejate.

Pagina 66 din 74
  comportamentul de redirecționare între un port protejat şi un port neprotejat
continuă ca de obicei.
 porturile protejate trebuie configurate manual.

Pentru a configura caracteristica PVLAN Edge se introduce, în submodul de configurare a

interfeței, comanda switchport protected. Pentru a dezactiva modul protejat al portului, se
folosește comanda no switchport protected. Pentru a verifica configurarea caracteristicii
PVLAN Edge se folosește comanda show interfaces interface_id switchport, în modul global
de configurare.

3.3.1.4 Activitate - Identificați Tipul de Atac al VLAN-urilor

2.2.5 Bune practici de securitate în rețele LAN

Protejarea rețelei împotriva atacurilor necesită vigilență și educație. Cele mai bune practici
pentru securizarea unei rețele sunt următoarele:
 Dezvoltarea unor politici de securitate scrise pentru organizație.
 Dezactivarea oricărui port și serviciu nefolosit.
 Folosirea de parole puternice și schimbarea acestora des.
 Controlul accesului fizic la echipamente.
 Evitarea folosirii website-urilor HTTP periculoase, în special pentru ferestrele de
logare; în schimb folosirea HTTPS, care este mai sigur.
 Efectuarea copiilor de rezervă și testarea fișierele salvate la un interval regulat.
 Educarea utilizatorilor locali despre atacurile de inginerie socială și dezvoltarea
politicilor de validare a identității prin telefon, e-mail sau personal.
 Criptarea și protejarea prin parole a datelor sensibile.
 Implementarea de hardware și software de securitate (firewall-uri).
 Păstrarea software-ului up-to-date prin instalarea patch-urilor de securitate.

Aceste metode sunt doar un punct de plecare pentru administrarea securității. Organizațiile
trebuie să rămână vigilente în permanență pentru a se apara împotriva amenințărilor care
evoluează continuu. Este recomandată folosirea instrumentelor de securitate într-o rețea pentru a
măsura vulnerabilitatea acesteia.

Pagina 67 din 74
 Instrumente de securitate ale rețelei

Instrumentele de securitate ale rețelei ajută un administrator de rețea să testeze rețeaua

pentru descoperirea vulnerabilităților. Unele instrumente permit unui administrator să-și asume
rolul unui atacator. Folosind unul dintre aceste instrumente, un administrator poate lansa un atac
asupra rețelei și analiza rezultatele pentru a determina cum să ajusteze policile de securitate
pentru a diminua acel tip de atacuri. Revizuirea securității și testarea infiltrărilor în rețea sunt
doar funcții de bază pe care le efectuează instrumentele de securitate ale rețelei.

Tehnicile de testare a securității rețelei pot fi inițiate manual de către administrator. Alte
teste sunt în mare parte automatizate. Indiferent de tipul de testare, personalul care stabilește și
conduce testarea de securitate ar trebui să aibă cunoștințe extinse despre securitate și rețelistică,
respectiv: securitatea rețelei, firewall-uri, sisteme de prevenire a intruziunilor, sisteme de
operare, programare, protocoale de rețea (precum TCP/IP).

Revizuirea securității rețelei

Instrumentele de securitate ale rețelei permit unui administrator de rețea să realizeze o

revizuire a securității rețelei. O revizuire a securității dezvăluie tipul de informație pe care un
atacator o poate obține prin simpla monitorizare a traficului rețelei.

Pagina 68 din 74
 De exemplu, instrumentele de revizuire a securității rețelei permit unui administrator să
umple tabela de adrese MAC cu adrese MAC fictive. Asta este urmată de o revizuire a porturilor
switch-ului pe măsură ce switch-ul trimite trafic către toate porturile. În timpul revizuiri,
mapările legimite ale adresei MAC sunt eliminate și înlocuite cu mapări fictive ale adresei MAC.
Acest lucru determină care porturi sunt compromise sau nu sunt corect configurate pentru a
preveni acest tip de atac.

Coordonarea în timp este un factor important pentru a realiza revizuirea cu succes. Tipurile
diferite de switch-uri suportă un număr diferit de adrese MAC în tabela lor MAC. Este dificil de
determinat care este cantitatea ideală de adrese MAC false care trebuie trimise switch-ului. Un
administrator de rețea trebuie să se confrunte, de asemenea, cu perioada de expirare a tabelei de
adrese MAC. Dacă adresele MAC încep să expire cât timp se realizează o revizuire a rețelei,
adrese MAC valide încep să populeze tabela de adrese MAC și să limiteze datele care pot fi
monitorizate cu un instrument de revizuire a rețelei.

Instrumentele de securitate ale rețelei pot fi folosite pentru testarea infiltrării impotriva
unei rețele. Testarea infiltrării este o simulare a unui atac împotriva unei rețele pentru a
determina cât de vulnerabilă ar fi în fața unui atac adevărat. Acest lucru permite unui
administrator de rețea să identifice punctele slabe ale configurării echipamentelor din rețea și să
facă schimbări pentru a face echipamentele mai rezistente la atacuri. Există numeroase atacuri pe
care le poate realiza un administrator, iar majoritatea seturilor de instrumente folosite vin cu
documentații extinse în care este detaliată sintaxa necesară pentru a realiza atacul dorit.

Întrucât atacurile de infiltrare pot avea efecte adverse asupra rețelei, acestea trebuie
efectuate în condiții controlate, urmând proceduri documentate și detaliate într-o politică globală
de securitate a rețelei. O rețea de test off-line care simulează topologia și funcționarea adevăratei
rețele este ideală. Rețeaua de test poate fi folosită de personalul de rețelistică pentru a efectua
teste de infiltrare.

Instrucțiuni de design pentru utilizarea VLAN-urilor

Switch-urile Cisco au o configurație din fabrică în care VLAN-urile implicite sunt

preconfigurate pentru a suporta diverse tipuri de medii de cominicație și diferite protocoale.
VLAN-ul Ethernet implicit este VLAN 1. Este o bună practică de securitate să se configureze

Pagina 69 din 74
toate porturile unui switch să fie atribuite altor VLAN-uri, altele decât VLAN 1. Acest lucru este
de regulă realizat prin configurarea tuturor porturilor nefolosite într-un VLAN “black hole” care
nu este folosit pentru nimic în rețea. De asemenea, este o bună practică să se dezactiveze toate
porturile nefolosite pentru a preveni accesul neautorizat.

O bună practică de securitate este separarea traficul de management de traficul de date al

utilizatorilor. VLAN-ul de management, care este VLAN 1 în mod implicit, ar trebui să fie
schimbat la un VLAN separat, diferit. Pentru a administra remote un switch Cisco, switch-ul
trebuie să aibe o adresă IP configurată pe VLAN-ul de management. Utilizatorii care aparțin de
alte VLAN-uri nu vor putea stabili sesiuni remote cu switch-ul decât dacă au fost rutați în
VLAN-ul de management, fapt ce oferă o securitate suplimentară în rețea. De asemenea, un
switch ar trebui configurat astfel încât să permită doar sesiuni criptate SSH pentru administrarea
remote.

Tot traficul de control este trimis pe VLAN 1. Prin urmare, atunci când VLAN-ul nativ
este schimbat în altceva decât VLAN-ul 1, tot traficul de control este etichetat pe VLAN-urile
trunk IEEE 802.1Q (etichetate cu VLAN ID 1). O practică de securitate recomandată este
schimbarea VLAN-ul nativ la un alt VLAN decât VLAN 1. VLAN-ul nativ trebuie să fie, de
asemenea, diferit de celelalte VLAN-uri de utilizatori. Trebuie avut în vedere ca VLAN-ul nativ
pentru un trunk 802.1Q să fie același la ambele capete ale unei link-ului trunk.

DTP (Dynamic Trunking Protocol) oferă patru moduri pentru porturile switch-ului: access,
trunk, dynamic auto și dynamic desirable. Recomandarea este să se dezactiveze autonegocierea.
Ca o bună practică de securitate, nu se utilizează modurile dynamic auto și dynamic desirable
pentru porturile unui switch-ului.

Traficul de voce are cerințe stricte de QoS. Dacă PC-urile utilizatorilor și telefoanele IP
sunt în același VLAN, fiecare încearcă să folosească lățimea de bandă disponibilă fără să ia în
considerare celălalt echipament. Pentru a evita acest conflict, este o practică bună să se
folosească VLAN-uri separate pentru telefonia IP și traficul de date.

3.3.2.2 Laborator - Implementarea Securității VLAN

Pagina 70 din 74
2.3. REZUMAT

Atunci când sunt pornit pentru prima oară, un switch Cisco LAN execută secvenţa de
bootare specifică, prin testarea componentele de bază și încărcarea imaginii sistemului de
opreare IOS. Dacă fișierele Cisco IOS lipsesc sau sunt deteriorate, programul boot loader pot fi
folosit pentru a reîncărca sau recupera IOS-ul de la această problemă.

După ce este încărcat sistemul de operare IOS, sunt inițializate apoi interfețele cu setările
din fabrică sau utilizând comenzile Cisco IOS găsite în fișierul de configurare, startup-config,
care este stocat în NVRAM.

Starea operațională a switch-ului este afișată printr-o serie de LED-uri situate pe panoul
frontal. Aceste LED-uri afișează lucruri precum starea portului, modul duplex și viteza.

O adresă IP este configurată pe interfața virtuală a VLAN-ului de management pentru a

permite configurarea remote a echipamentului. Un default gateway care să aparțină VLAN-ului
de management trebuie să fie configurat pe switch folosind comanda ip default-gateway. Dacă
default gateway nu este configurat corect, administrarea remote nu este posibilă. Este
recomandat ca SSH (Secure Shell) să fie folosit pentru o conexiune securizată (criptată) de

Pagina 71 din 74
administrare la un echipament situat la distanță pentru a preveni detectarea numelor utilizatorilor
și parolelor necriptate, fapt ce e posibil atunci când se folosesc protocoale precum Telnet.

Unul din avantajele switch-ului este acela ca permite comunicarea full-duplex între
echipamente, dublând rata de comunicare. Deși este posibil să se specifice setările de viteză și
duplex ale unei interfețe a switch-ului, este recomandat să se permită switch-ului să își seteze
acești parametri automat pentru a se evita aparițea unor erori de comexiune.

VLAN-urile sunt bazate pe conexiuni logice, în loc de conexiuni fizice. VLAN-urile

reprezintă un mecanism care permite administratorilor de rețea să creeze domenii de broadcast
logice care se pot întinde de-a lungul unui switch sau a mai mult switch-uri, indiferent de
apropierea fizică. Această funcție este utilă pentru a reduce dimensiunea domeniilor de broadcast
sau pentru a permite grupurilor sau utilizatorilor să fie grupați logic fără necesitatea de a fi
localizați fizic în același loc.

Există mai multe tipuri de VLAN:

 Default VLAN
 VLAN de management
 VLAN nativ
 VLAN de date/utilizatori
 VLAN de voce

Pagina 72 din 74
 Pe un switch Cisco, VLAN 1 este VLAN-ul Ethernet implicit, VLAN-ul nativ implicit și
VLAN-ul de management implicit. Cele mai bune practici sugerează ca VLAN-ul nativ şi cel de
management să fie mutate în VLAN-uri diferite şi ca porturile nefolosite ale switch-ului să fie
mutate într-un VLAN "black hole" pentru securitate crescută.

Comanda switchport access vlan este folosită pentru a crea un VLAN pe un switch.
Următorul pas este de a tribui porturile la VLAN. Comanda show vlan brief arată atribuirea și
tipul de atribuire la VLAN pentru toate porturile unui switch. Fiecare VLAN trebuie să fie
asociat unei subrețele unice.

Folosind comanda show vlan se poate verifica dacă portul aparţine sau nu VLAN-ului
aşteptat. Dacă portul este atribuit VLAN-ului greşit, folosind comanda switchport access vlan
se poate modifica apartenenţa la VLAN. Pentru a verifica care adrese MAC au fost învăţate pe
un anumit port al switch-ului şi cărui VLAN îi este atribuit acel port se folosește comanda show
mac address-table.

Un port de pe un switch este fie în modul acces, fie în modul trunk. Porturile acces
transportă trafic de la VLAN-ul specific la care este atribuit portul. Un port trunk este implicit un
atribuit tuturor VLAN-urilor, prin urmare, transmite trafic pentru toate VLAN-urile.

Trunk-urile VLAN facilitează comunicarea între switch-uri prin transmiterea traficului

asociat cu mai multe VLAN-uri. Etichetarea frame-urilor IEEE 802.1Q diferențiază frame-urile

Pagina 73 din 74
Ethernet asociate cu VLAN-uri distincte pe măsură ce traversează legătura trunk comună. Pentru
a activa un link trunk se folosește comanda switchport mode trunk. Pentru a verifica dacă un
link trunk a fost stabilit între switch-uri se folosește comanda show interfaces trunk.

Negocierea trunking este administrată de Dynamic Trunking Protocol (DTP), care

operează numai pe baza legăturilor punct-la-punct între echipamentele rețelei. DTP este un
protocol propriu Cisco care este activat automat pe seriile de switch-uri Catalyst 2960 și 3560.

Pentru a aduce un switch la starea sa implicită, la setările din fabrică cu VLAN 1 ca default
VLAN se folosesc comenzile delete flash:vlan.dat și erase startup-config, urmate de restartarea
switch-ului.

Securitatea porturilor switch-ului este o necesitate pentru a preveni atacuri precum

flooding-ul de adrese MAC și spoofing-ul DHCP. Porturile switch-ului ar trebui configurate
pentru a permite să intre doar frame-urile cu adrese MAC sursă specificate. Frame-urile care
provin de la adrese MAC necunoscute ar trebui să fie refuzate și să determine inchiderea portului
pentru a preveni atacuri ulterioare.

Securizarea porturilor este singura metodă de apărare, la layer-ul 2 OSI, împotriva

compromiterii unei rețele. Există 10 bune practici pentru o securitate sporită a rețelei:
 Dezvoltarea unor politici de securitate scrise pentru organizație.
 Dezactivarea oricărui port și serviciu nefolosit.
 Folosirea de parole puternice și schimbarea acestora des.
 Controlul accesului fizic la echipamente.
 Evitarea folosirii website-urilor HTTP periculoase, în special pentru ferestrele de
logare; în schimb folosirea HTTPS, care este mai sigur.
 Efectuarea copiilor de rezervă și testarea fișierele salvate la un interval regulat.
 Educarea utilizatorilor locali despre atacurile de inginerie socială și dezvoltarea
politicilor de validare a identității prin telefon, e-mail sau personal.
 Criptarea și protejarea prin parole a datelor sensibile.
 Implementarea de hardware și software de securitate (firewall-uri).
 Păstrarea software-ului up-to-date prin instalarea patch-urilor de securitate.

Pagina 74 din 74