Почему нужно отключать неиспользуемые порты коммутатора

Обновлено: 21.11.2024

Основной темой раздела «Безопасность сетевых устройств» является «отключение неиспользуемых портов». Теперь мы подробно обсудим эту главу с точки зрения подготовки к экзамену CCNA. Наличие неиспользуемых портов коммутатора является самой большой проблемой в любой сети. Человек, который хочет атаковать вашу сеть, может легко сделать это, используя эти неиспользуемые порты и коммутаторы. Это может быть огромной угрозой для сети, которую вы используете. Что вам нужно сделать, чтобы избежать этого, так это закрыть эти неиспользуемые порты, которые существуют в вашей сети. Это фундаментальная тема нетворкинга, и вы должны иметь о ней хорошее представление.

ErrDisable recovery. Функция ErrDisable используется в основном на коммутаторах Catalyst. Следует помнить, что способ реализации функции ErrDisable явно отличается от одной программной платформы к другой. В этой теме мы в основном рассмотрим ErrDisable, который работает на коммутаторах. Сначала давайте разберемся, что такое функция ErrDisable. Ну это ситуация коммутатор находит ошибку на порту. Программное обеспечение не понимает, как управлять ситуацией, и отключает порт. Таким образом, порт отключается операционной программой коммутатора. На этом этапе движение в порт и из порта полностью останавливается. При этом индикатор порта становится оранжевым.

Эта функция полезна по двум причинам:

  1. Это помогает администратору понять, есть ли проблема с портом.
  2. Это также помогает гарантировать бесперебойную работу других портов модуля.

Причин состояния errDisable может быть много, и они следующие:

  1. Неверная конфигурация порта
  2. Неисправная сетевая карта также может вызвать проблемы.
  3. Кабель, не соответствующий спецификации

Вы должны понимать, как порт должен быть восстановлен из состояния errdisable, и это именно то, что мы сейчас обсудим. Прежде всего, вам нужно будет определить, в чем заключается реальная проблема. После этого вам нужно будет включить порт. Это также относится к повторному включению порта. Нужно иметь в виду, что для работы etherchannel все порты должны иметь одинаковую конфигурацию. Вы должны хорошо прочитать сообщение об ошибке, чтобы понять, почему на самом деле возникло состояние ErrDisable. Вам также может потребоваться повторно включить порты вручную, чтобы убедиться, что сеть не находится в состоянии ErrDisable.

Назначить неиспользуемые порты неиспользуемой сети VLAN

Переключение между VLAN может быть выполнено легко. Чтобы сделать сеть более защищенной, администратор должен убедиться, что переключение VLAN остановлено. Это можно сделать, назначив неиспользуемые порты неиспользуемой VLAN. Если кто-то получает доступ к VLAN, он также может получить доступ к трафику, что может быть опасно. Переключение VLAN может быть выполнено с помощью спуфинга коммутатора и двойной маркировки. При этом атакующий хост будет имитировать транковый коммутатор. Это когда трафик будет доступен атакующему хосту. Этого можно избежать, если интерфейс используется для согласования магистрали. Этого можно избежать, используя метод, который обсуждается здесь.

  1. Прежде всего вы должны убедиться, что порты не настроены на автоматическое согласование грузовиков.
  2. Вы также должны убедиться, что порты, которые на самом деле не предназначены для использования в качестве транков, четко настроены как порты доступа.

Это гарантирует, что неиспользуемые порты будут назначены неиспользуемой сети VLAN, и в значительной степени уменьшит скачкообразные изменения сети VLAN. Коммутатор, если получает кадры без тегов, считается, что они являются частью VLAN по умолчанию. Это очень важный аспект работы с сетью, о котором должен знать администратор. Постарайтесь уделить некоторое время изучению этого раздела.

Размещение собственной сети VLAN с другой, отличной от VLAN 1

Собственная сеть VLAN используется для управления всеми интерфейсами коммутаторов и маршрутизаторов. Это нетегированный VLAN. VLAN управления и собственная VLAN также могут быть одинаковыми. Собственная VLAN может управлять трафиком, а управляющая VLAN используется только для доступа к устройствам. VLAN управления также может принимать нетегированный трафик. Именно коммутатор может решить, должен ли этот нетегированный трафик пересылаться в собственную VLAN или нет. Пометка собственной VLAN может сделать сеть немного более защищенной. Родной больше связан с багажником, а не с выключателем. На один порт можно установить только одну Native VLAN. Коммутатор с несколькими портами не может иметь несколько связанных с ним VLAN. Двойная маркировка может использоваться только при использовании собственной VLAN. Чтобы избежать этого переключения VLAN, можно использовать метод «помещения собственной VLAN в другую, кроме VLAN 1». VLAN 1 не является хорошим выбором во всех ситуациях. Это можно сделать, выполнив прилагаемые шаги:

  1. Не должно быть набора VLAN по умолчанию. Другие, кроме VLAN1, могут быть назначены.
  2. Собственная VLAN должна быть изменена на неиспользуемый идентификатор VLAN.
  3. Попробуйте пометить собственную VLAN на всех магистральных портах.

Применение этого похоже на применение трехуровневой маркировки, которая может сделать скачкообразное изменение VLAN практически невозможным. Это очень часто используется в сети для обеспечения дополнительной безопасности, которая необходима. Вы должны попытаться понять этот аспект в деталях.

Это все, что вам нужно знать о том, как закрыть неиспользуемые порты. Серьезно подготовьте каждый из аспектов и уделите им достаточно времени. Вы должны знать этот аспект нетворкинга, чтобы получить надлежащую оценку.

Связанные ИТ-руководства

Гарантия возврата денег

CertKiller имеет беспрецедентный показатель 99,6% среди наших клиентов. Мы настолько уверены в своих продуктах, что предоставляем 100% гарантию возврата денег.

Ценные клиенты Certkiller

CertKiller – мировой лидер в области подготовки к сертификационным экзаменам в области ИТ. Его успешность составляет 99,6% – более 17 460 клиентов по всему миру.

Безопасные покупки

Ваша покупка с CertKiller безопасна и быстра. Ваши продукты будут доступны для немедленной загрузки после получения оплаты.

Веб-сайт CertKiller защищен 256-битным SSL от McAfee, лидера в области онлайн-безопасности.

Нужна помощь помощь? Свяжитесь с нами!

Получите скидку 10 % на покупку при подписке на электронную почту

Это ОДНОРАЗОВОЕ ПРЕДЛОЖЕНИЕ. Вы больше никогда этого не увидите

Введите свой адрес электронной почты, чтобы получить код скидки 10% OFF Plus. Наши эксклюзивные еженедельные предложения

Получите полный учебный курс CCNA netacad, который предназначен для начинающих сетевых администраторов.

Последние публикации

  • Управление каналами | WLAN, 17 октября 2021 г.
  • Обнаружение устройств с LLDP, 10 октября 2021 г.
  • Основные компоненты ACI, 19 сентября 2021 г.
  • Технологии сетевой виртуализации, 19 сентября 2021 г.
  • PacketTracer 8.0.1, 23 июля 2021 г.
  • Избыточность маршрутизатора, 20 июня 2021 г.
  • Обязанности транспортного уровня, 21 мая 2021 г.
  • Выпуски сетевой безопасности! 7 апреля 2021 г.
  • Режим пользователя [маршрутизатор Cisco], 1 апреля 2021 г.
  • Стоимость пути связующего дерева, 29 марта 2021 г.
  • Состояния порта 802.1D, 29 марта 2021 г.
  • Бесплатный курс DEVASC 200-901 3 февраля 2021 г.
  • 10 лучших OWASP, 31 января 2021 г.
  • Состояния порта STP и таймеры BPDU, 13 декабря 2020 г.
  • Алгоритм связующего дерева, 13 декабря 2020 г.
  • НОВАЯ ШАБЛОНКА CCNA 200–301 НА ИЗУЧЕНИИ 19 ноября 2020 г.
  • Преобразование адресов портов, 17 ноября 2020 г.
  • Динамический NAT, 17 ноября 2020 г.
  • Статический NAT, 17 ноября 2020 г.
  • Выбор оптики, 10 ноября 2020 г.

Последние комментарии

  • TraceyRawn в VPN с удаленным доступом
  • ccna7guru об операции OSPF на основе состояния канала
  • ccna7guru о вспомогательных материалах курса CISCO Netacad
  • Джордан на Cómo acceder al material del curso CISCO Netacad
  • Сирил Прист об операции состояния канала в OSPF

Архивы

Категории

Отключить неиспользуемые службы

показать все IP-порты

показать открытые порты хоста плоскости управления

По умолчанию количество MAC-адресов, которые коммутатор может узнать на интерфейсе, не ограничено, и разрешены все MAC-адреса. Если мы хотим, мы можем изменить это поведение с помощью port-security. Рассмотрим следующую ситуацию:


В приведенной выше топологии кто-то подключил дешевый (неуправляемый) коммутатор, принесенный из дома, к интерфейсу FastEthernet 0/1 нашего коммутатора Cisco. Иногда людям нравится приносить лишний выключатель из дома в офис. В результате наш коммутатор Cisco узнает MAC-адреса H1 и H2 на своем интерфейсе FastEthernet 0/1.

Конечно, мы не хотим, чтобы люди приносили свои коммутаторы и подключали их к нашей сети, поэтому мы хотим предотвратить это. Вот как мы можем это сделать:

Используйте команду switchport port-security, чтобы включить защиту портов. Я настроил безопасность портов, поэтому разрешен только один MAC-адрес. Как только коммутатор увидит другой MAC-адрес на интерфейсе, это будет нарушением, и что-то произойдет. Я покажу вам, что происходит через некоторое время…

Помимо установки максимального количества MAC-адресов, мы также можем использовать безопасность портов для фильтрации MAC-адресов. Вы можете использовать это, чтобы разрешить только определенные MAC-адреса. В приведенном выше примере я настроил безопасность портов, чтобы разрешить только MAC-адрес aaaa.bbbb.cccc. Это не MAC-адрес моего компьютера, поэтому он идеально подходит для демонстрации нарушения.

Используйте команду switchport port-security mac-address, чтобы определить MAC-адрес, который вы хотите разрешить. Теперь создадим некоторый трафик, чтобы вызвать нарушение:

Я пингую какой-то поддельный IP-адрес… нет ничего с IP-адресом 1.2.3.4; Я просто хочу генерировать немного трафика. Вот что вы увидите:

У нас есть нарушение безопасности, и в результате порт переходит в состояние err-disable. Как вы можете видеть, сейчас он опущен. Давайте подробнее рассмотрим безопасность портов:

Вот полезная команда для проверки конфигурации безопасности вашего порта. Используйте интерфейс show port-security, чтобы просмотреть сведения о безопасности порта для каждого интерфейса. Вы можете видеть, что режим нарушения отключен и что последнее нарушение было вызвано MAC-адресом 0090.cc0e.5023 (H1).

Закрытие интерфейса после нарушения безопасности — это хорошая идея (с точки зрения безопасности), но проблема в том, что интерфейс останется в состоянии err-disable. Вероятно, это означает еще один звонок в службу поддержки, и вы вернете интерфейс в мир живых! Давайте активируем его снова:

Чтобы вывести интерфейс из состояния err-disable, вам нужно ввести «shutdown», а затем «no shutdown». Недостаточно просто набрать «без выключения»!

Было бы проще, если бы интерфейс мог восстанавливаться через определенное время. Вы можете включить это с помощью следующей команды:

Ответы. Примечание. Красный цвет шрифта или серая подсветка обозначают текст, который появляется только в копии ответов.

Часть 1. Настройка сетевых устройств.

  • Подключите сеть n.
  • Настройте R1.
  • Настройте и проверьте основные параметры коммутатора.

Часть 2. Настройка VLAN на коммутаторах.

  • Настройте VLAN 10.
  • Настройте SVI для VLAN 10.
  • Настройте VLAN 333 с именем Native на S1 и S2.
  • Настройте VLAN 999 с именем ParkingLot на S1 и S2.

Часть 3. Настройка безопасности коммутатора.

  • Внедрение транкинга 802.1Q.
  • Настройте порты доступа.
  • Защитите и отключите неиспользуемые порты переключения.
  • Задокументируйте и внедрите функции безопасности портов.
  • Реализовать защиту от отслеживания DHCP.
  • Внедрить защиту PortFast и BPDU.
  • Проверьте сквозное подключение.

Это всеобъемлющее практическое занятие для обзора ранее рассмотренных функций безопасности уровня 2.

Примечание. В практических лабораториях CCNA используются маршрутизаторы Cisco 4221 с Cisco IOS XE версии 1 6.9.3 (образ universalk9). В лабораторных работах использовались коммутаторы Cisco Catalyst 2960 с ОС Cisco IOS версии 1 5.0(2) (образ lanbasek9). Можно использовать другие маршрутизаторы, коммутаторы и версии Cisco IOS. В зависимости от модели и версии Cisco IOS доступные команды и выходные данные могут отличаться от показанных в лабораторных работах. Обратитесь к сводной таблице интерфейсов маршрутизатора в конце лабораторной работы, чтобы узнать правильные идентификаторы интерфейсов.

Примечание. Убедитесь, что коммутаторы стерты и не содержат загрузочных конфигураций. Если вы не уверены , свяжитесь со своими ответами.

Ответы Примечание. Процедуры инициализации и перезагрузки устройств см. в руководстве Answers Lab.

  • 1 маршрутизатор (Cisco 4221 с универсальным образом Cisco IOS XE версии 16.9.3 или аналогичный)
  • 2 коммутатора (Cisco 2960 с образом lanbasek9 Cisco IOS версии 15.0(2) или аналогичный)
  • 2 ПК (Windows с программой эмуляции терминала, например Tera Term)
  • Консольные кабели для настройки устройств Cisco IOS через консольные порты
  • Кабели Ethernet, как показано в топологии

Часть 1. Настройка сетевых устройств.

Шаг 1. Подключитесь к сети.

  1. Подключите сеть, как показано в топологии.
  2. Инициализировать устройства.

Шаг 2. Настройте R1.

  1. Загрузите следующий скрипт конфигурации на R1.

Открыть окно конфигурации

нет поиска по IP-домену

исключенный IP-адрес dhcp 192.168.10.1 192.168.10.9

исключенный IP-адрес dhcp 192.168.10.201 192.168.10.202

Студенты ip dhcp pool

сеть 192.168.10.0 255.255.255.0

IP-адрес 10.10.1.1 255.255.255.0

description Ссылка на порт 5 S1

информация о ретрансляторе ip dhcp доверена

IP-адрес 192.168.10.1 255.255.255.0

тайм-аут выполнения 0 0

  1. Проверьте текущую конфигурацию на маршрутизаторе R1 с помощью следующей команды:

IP-адрес интерфейса в порядке? Протокол статуса метода

GigabitEthernet0/0/0 не назначено YES отключено отключено

GigabitEthernet0/0/1 192.168.10.1 YES вручную вверх

Loopback0 10.10.1.1 YES вручную вверх

  1. Убедитесь, что IP-адресация и интерфейсы находятся в рабочем состоянии (при необходимости устраните неполадки).

Закрыть окно конфигурации

Шаг 3. Настройте и проверьте основные параметры коммутатора.

  1. Настройте имя хоста для коммутаторов S1 и S2.

Открыть окно конфигурации

Открыть окно конфигурации

  1. Предотвратите нежелательные запросы DNS на обоих коммутаторах.
  1. Настройте описания интерфейсов для портов, которые используются в S1 и S2.
  1. Установите шлюз по умолчанию для VLAN управления на 192.168.10.1 на обоих коммутаторах.

Часть 2. Настройка VLAN на устройствах S.

Шаг 1. Настройте VLAN 10.

Добавьте VLAN 10 в S1 и S2 и назовите VLAN Management.

Шаг 2. Настройте SVI для VLAN 10.

Настройте IP-адрес в соответствии с таблицей адресации для SVI для VLAN 10 на S1 и S2. Включите интерфейсы SVI и укажите описание интерфейса.

Шаг 3. Настройте VLAN 333 с именем Native на S1 и S2.

Шаг 4. Настройте VLAN 999 с именем ParkingLot на S1 и S2.

Часть 3. Настройка безопасности коммутатора.

Шаг 1. Внедрение ранкинга 802.1Q .

  1. На обоих коммутаторах настройте транкинг на F0/1 для использования VLAN 333 в качестве собственной VLAN.
  1. Убедитесь, что транкинг настроен на обоих коммутаторах.

Статус инкапсуляции режима порта Native vlan

Fa0/1 на транкинге 802.1q 333

Вланы портов разрешены на магистрали

Виртуальные порты портов разрешены и активны в домене управления

Виртуальные ланы портов в состоянии переадресации связующего дерева и не обрезаны

Fa0/1 1,10,333,99 9

Статус инкапсуляции режима порта Native vlan

Fa0/1 на транкинге 802.1q 333

Вланы портов разрешены на магистрали

Виртуальные порты портов разрешены и активны в домене управления

Виртуальные ланы портов в состоянии переадресации связующего дерева и не обрезаны

Согласование транкинга: отключено

Согласование транкинга: отключено

Шаг 2. Настройте порты доступа.

  1. На S1 настройте F0/5 и F0/6 как порты доступа, связанные с VLAN 10.
  1. На S2 настройте F0/18 как порт доступа, связанный с VLAN 10.

Шаг 3. Защитите и отключите неиспользуемые порты коммутатора.

  1. На S1 и S2 переместите неиспользуемые порты из VLAN 1 в VLAN 999 и отключите неиспользуемые порты.
  1. Убедитесь, что неиспользуемые порты отключены и связаны с VLAN 999, введя команду show.

Имя порта Статус Тип скорости дуплекса Vlan

Fa0/1 Ссылка на соединительную линию, подключенную к S2 a- full a -100 10/100BaseTX

Fa0/2 отключено 999 авто авто 10/100BaseTX

Fa0/3 отключено 999 авто авто 10/100BaseTX

Fa0/4 отключено 999 авто авто 10/100BaseTX

Fa0/5 Ссылка на R1 подключена 1 0 a- full a -100 10/100BaseTX

Fa0/6 Ссылка на ПК-A подключена 1 0 a- полная a -100 10/100BaseTX

Fa0/7 отключено 999 авто авто 10/100BaseTX

Fa0/8 отключено 999 авто авто 10/100BaseTX

Fa0/9 отключено 999 авто авто 10/100BaseTX

Fa0/10 отключено 999 авто авто 10/100BaseTX

Имя порта Статус Тип скорости дуплекса Vlan

Fa0/1 Канал на подключенную транковую линию S1 a-full a -100 10/100BaseTX

Fa0/2 отключено 999 авто авто 10/100BaseTX

Fa0/3 отключено 999 авто авто 10/100BaseTX

Fa0/14 отключено 999 авто авто 10/100BaseTX

Fa0/15 отключено 999 авто авто 10/100BaseTX

Fa0/16 отключено 999 авто авто 10/100BaseTX

Fa0/17 отключено 999 авто авто 10/100BaseTX

Fa0/18 Ссылка на ПК-B подключена 1 0 a- полная a -100 10/100BaseTX

Fa0/19 отключено 999 авто авто 10/100BaseTX

Fa0/20 отключено 999 авто авто 10/100BaseTX

Fa0/21 отключено 999 авто авто 10/100BaseTX

Fa0/22 отключено 999 авто авто 10/100BaseTX

Fa0/23 отключено 999 авто авто 10/100BaseTX

Fa0/24 отключено 999 авто авто 10/100BaseTX

Gi0/1 отключено 999 авто авто 10/100/1000BaseTX

Gi0/2 отключено 999 авто авто 10/100/1000BaseTX

Шаг 4. Задокументируйте и внедрите функции безопасности порта.

Интерфейсы F0/6 на S1 и F0/18 на S2 настроены как порты доступа. На этом шаге вы также настроите безопасность порта для этих двух портов доступа.

Читайте также: