Tips på VLAN konfigurationStäng av "auto" för Trunk inställining av säkerhetsskäl.Stäng av Dynamic Desirable på switchportar. Ofta default på alla Cisco switchar. Om detta inte görs kan någon koppla in en annan switch på godtycklig port och få en trunk, och därefter sätta respektive port till de VLAN som finns på trunken. På det sättet kommer man åt ALLA VLAN på den switch man kopplade in switchen mot.Kolla mode med:#show interface fastethernet 0/21 switchportKolla om porten har Administrative Mode: dynamic desirableHardkoda ALLA portar på en switch till Access mode.Hardkoda Non-negotiate på ALLA portar.Förhindrar att en PC "simulerar" att den är en swicth och hanterar DTP för att sätta upp en trunk.Ex:int fa 0/15switchport trunk encapsulation dot1qswitchport mode trunk #hardkodat att denna port nu är en trunk. Dne skickar dock fortfarande DTP paket.switchport nonnegotiateswitchport trunk allowed vlan 10,20,30 #om man vill begränsa vilka vlan som ska kunna skickas på en trunk.--------------------------------------------Native VLAN (säkerhetsrisk med att använda detta)VLAN som inte taggas på en trunk för att det kan finnas hubbar/switchar som INTE förstår VLAN taggar t.ex VoIP telefon som har ett ethernet uttag till bakomvarande dator. IP telefon och PC ska ej finnas på samma VLAN på grund av säkerhet.Ex: Kör trunk från switch till IP telefon. IP telefon pratar VLAN 10 och paketen till/från IP telefon taggas med VLAN 10.PC taggar ej paketen. Trunk porten på switchen tar alltså emot untagged paket från TRUNK porten. Switchen tolkar dessa paket som att dessa tillhör native VLAN 20.--------------------------------------------------------VTP - VLAN Trunking "Protocol"
- Skickar VLAN data mellan switchar över en trunk.
- Säkerhetsproblem -> en switch kan inkopplas och ta emot alla VLAN från en switch. En ny switch kan även skicka in felaktig VLAN info till en switch då den kopplas in.
- Modes: Server, Klient, Transparent
Använd aldrig VLAN 1för management trafik eller user data eftersom VLAN 1 är default för Cisco interface
Acces Control
Förhindra IP trafik mellan host .2 och host .3 inom samma vlan 200
vlan access-map deny_traffic 20
action drop
action match ip address 101 #101 är en access lista enligt nedan
access-list 101 permit ip host 192.168.2.2 host 192.168.2.3
vlan filter deny_traffic vlan-list 200
Förhindra L2 trafik mellan host .2 och host .3 inom samma vlan 200
vlan access-map deny_mac 20
action drop
action match mac address invalid_mac #invalid_mac är en access lis
mac access-list extended invalid_mac
permit host 00e0.1e58.598a host 00e1.6543.1234 #anta att hostarna har dessa mac adresser
vlan filter deny_mac vlan-list 200
-------
Alternativt sätt att förhindra trafik mellan hosts inom samma vlan:
Switchport protected mode -> kan endast kommunicera med portar som är "unprotected" även om de är inom samma VLAN.
int fastethernet 0/5
switchport protected #kan nu bara kommunicera med andra unprotected portar
int fastethernet 0/6
switchport protected #dvs nu kan inte port 0/6 och 0/5 kommunicera
show int fa0/5 switchport -> Protected: True
Om portar är i protected mode kan man även stänga av så att inte paket skickas ut på alla interface då switchen inte känner till mac adressen för en host. Det skyddar mot hackers som försöker kommunicerad med annan protected port/host genom att skicka ut "okända" mac adresser till swicthen som då annars skickar ut detta på alla portar.
interface fa0/5
switchport block unicast
switchport block multicast
--------------
Private VLANs, which prevent devices on the vlan from speaking to each other, and only to the default gateway port on the VLAN. A good reason to do this is on a DMZ. If a machine in the DMZ is compromised, it is still unable to speak to other machines onthe DMZ, and only the default gateway port on the VLAN.
------------------------
Inga kommentarer:
Skicka en kommentar