Level: Beginner with basic IOS know-how Some thoughts on basic port configuration on cisco switches: Sorry... this entry has not been translated yet. The maiority of ports on a swich on the office floor are used to connect end-user PCs. Although Cisco switches might work out of the box with their default values, there are some convenient and secure settings that can be used with very little effort. One of these convenient functions is the „host“ macro: SW-ARE-HN-003(config-if)#switchport host switchport mode will be set to access spanning-tree portfast will be enabled channel group will be disabled This macro sets the port to Access Mode and „STP-Portfast“mode. I.e. adter a link is detected, the device immediately goes to Forwarding mode. Packets can be transmitted and received immediately. The port LED immediately switches to „green“, instead of remaining „orange“ for 30 seconds with a fully active STP until the STP Listening and STP Learning phases are complete. This is expecially relevant when using PCs or other network devices that toggle the network link down during driver initialization. Then the PC or other end user device can‘t contact a DHCP server or Domain controller. Windows member servers also have problems when they can‘t find their Domain Controllers on startup. Please note that the port is not protected against switching loops. An incorrectly patched cable can cause major disruptions. Another sensible command is: switchport nonegotiate - - - - - Translation stops here - - - - - Stay tuned :-) Per Default ist auch auf access-Ports das DTP Protokoll aktiv. Am Access-Port möchte man aber üblicherweise keinen Trunk für beliebige VLANs haben. Dies stelle eine Sicherheitslücke dar. Das VLAN zu dem der Port gehören soll, muß natürlich auch festgelegt werden: switchport access vlan 100 Setzt den Port in das VLAN 100. Default ist das VLAN1. Obwohl häufig in flachen Netzen als einziges VLAN genutzt, ist es sinnvoll ein anderes vlan als 1 zu verwenden, wenn der Inter-Vlan-Router (oder Layer 3 Switch) eines anderen Herstellers eingesetzt wird. Grund scheinen unterschiedliche Interpretationen des 802.1q Standards betreffend das untagged Vlan zu sein. Vermeidet man das vlan 1 und fährt nur tagged VLANs über den Trunk, umgeht man das (mit etwas Mehraufwand durchaus lösbare) Problem. Sehr empfehlenswert ist die Dokumentation direkt am Switchport: description PC-Dose-43 Die fertige Grundkonfiguration sieht also so aus: SW-ARE-HN-003(config-if)#do sh run int fa 0/12 Building configuration... Current configuration : 157 bytes ! interface FastEthernet0/12 description PC-Dose-43 switchport access vlan 100 switchport mode access switchport nonegotiate spanning-tree portfast end SW-ARE-HN-003(config-if)# Für die meisten Umgebungen ist diese Konfiguration völlig ausreichend. In „feindlichen“ Umgebungen wie Konferenzräumen oder Empfangsbereichen kann man ein paar einfache Maßnahmen gegen Angriffe hinzufügen. Die einfachste Variante einen unbenutzten Port zu schützen ist trivial: SW-ARE-HN-003(config-if)# shutdown Das hat den Nachteil, daß er manuell aktiviert werden muß (no shut), wenn er benötigt wird. Eine etwas elegantere Variante ist es den Port nur einen oder mehrere berechtigte PCs (sprich in diesem Fall MAC-Adressen) freizuschalten: switchport port-security switchport port-security maximum 1 switchport port-security violation restrict Der Switch registriert die MAC Adresse des zuerst an diesem Port angeschlossenen PC und leitet Pakete anderer PCs nicht weiter. Als Aktion kann man statt „restrict“ auch „disable“ wählen. Der Port wird komplett gesperrt, was früher oder später einen Anruf beim Admin zur Folge hat - natürlich sendet der Switch auch eine syslog message und einen SNMP Trap zur Alarmierung. Aber: Diese Form der MAC-Filterung ist weit weniger leistungsfähig als eine ordentliche Authentifizierung am Port mit 802.1x Weitere je nach Gefährdungsgrad sinnvolle Einstellungen können das Deaktivieren von CDP (geht auch auf Portebene) und das DHCP snooping sein. Mit zweiterem läßt sich das Risiko von Angriffen durch das Überlasten der DHCP Pools und illegalen DHCP Servern reduzieren. Von der oft empfohlenen manuellen Konfiguration der Speed und Duplexeinstellungen auf Access Ports rate ich ab. - Siehe früheren Eintrag in diesem Blog. Lesestoff zum Thema: Ip dhcp snooping: http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.html Zur sicheren Konfiguration von IOS Geräten: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml Portsecurity: http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration/guide/port_sec.html http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.htmlhttp://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtmlhttp://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration/guide/port_sec.htmlshapeimage_1_link_0shapeimage_1_link_1shapeimage_1_link_2
6. Juli 2008
Basic port configuration on Cisco Switches
Basic Switchport Config