Level: Anfänger mit IOS Grundkenntnissen

Einige Anregungen zur Access-Portkonfiguration an Cisco Swiches

Der Großteil der Ports an einem Switch im Etagen/Access-Bereich wird zum Anschluß von Benutzer-PCs genutzt. Obwohl ein Cisco Switch „out of the box“ mit Porteinstellungen kommt, die in einfacheren Netzen funktionieren, gibt es einige Komfort- und Sicherheitsfunktionen, die ohne großen Aufwand nutzbar sind.

Zunächst bietet sich das „host“ Macro an:

SW-ARE-HN-003(config-if)#switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled
Diese Macro setzt den Port in den access Access Mode und setzt den Port in den „STP-Portfast“mode. D.h. nachdem ein Endgerät erkannt wurde ist der Port sofort im Forwarding mode. Es können also sofort Pakete gesendet und empfangen werden. Die Port-LED wird sofort nach grün, anstatt wie bei voll aktivem STP zuerst für ca 30 Sekunden orange zu leuchten bis die STP Listening und STP Learning Phasen abgeschlossen sind.

Besondere Relevanz hat das beim Betrieb von PCs oder anderen Endgeräten, die während der Initialisierung des Netzwerkkartentreibers den Link kurz „down“ setzen. Dann findet der PC weder einen DHCP-Server noch einen Domain Controller. Auch Windows Member-Server reagieren empfindlich auf fehlende Netzverbindung beim Hochfahren.

Der Port ist allerdings dann nicht gegen Switching loops geschützt. Ein falsch eingestecktes Kabel kann massive Betriebsstörungen hervorrufen.

Ein weiterer sinnvoller Befehl ist:

switchport nonegotiate
Per Default ist auch auf access-Ports das DTP Protokoll aktiv. Am Access-Port möchte man aber üblicherweise keinen Trunk für beliebige VLANs haben. Dies stelle eine Sicherheitslücke dar.

Das VLAN zu dem der Port gehören soll, muß natürlich auch festgelegt werden:

switchport access vlan 100
Setzt den Port in das VLAN  100. Default ist das VLAN1. Obwohl häufig in flachen Netzen als einziges VLAN genutzt, ist es sinnvoll ein anderes vlan als 1 zu verwenden, wenn der Inter-Vlan-Router (oder Layer 3 Switch) eines anderen Herstellers eingesetzt wird.
Grund scheinen unterschiedliche Interpretationen des 802.1q Standards betreffend das untagged Vlan zu sein. Vermeidet man das vlan 1 und fährt nur tagged VLANs über den Trunk, umgeht man das (mit etwas Mehraufwand durchaus lösbare) Problem.

Sehr empfehlenswert ist die Dokumentation direkt am Switchport:

description PC-Dose-43

Die fertige Grundkonfiguration sieht also so aus:

SW-ARE-HN-003(config-if)#do sh run int fa 0/12
Building configuration...

Current configuration : 157 bytes
!
interface FastEthernet0/12
 description PC-Dose-43
 switchport access vlan 100
 switchport mode access
 switchport nonegotiate
 spanning-tree portfast
end


SW-ARE-HN-003(config-if)#
Für die meisten Umgebungen ist diese Konfiguration völlig ausreichend. In „feindlichen“ Umgebungen wie Konferenzräumen oder Empfangsbereichen kann man ein paar einfache Maßnahmen gegen Angriffe hinzufügen.

Die einfachste Variante einen unbenutzten Port zu schützen ist trivial:

SW-ARE-HN-003(config-if)# shutdown

Das hat den Nachteil, daß er manuell aktiviert werden muß (no shut), wenn er benötigt wird.
Eine etwas elegantere Variante ist es den Port nur einen oder mehrere berechtigte PCs (sprich in diesem Fall MAC-Adressen) freizuschalten:

switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict

Der Switch registriert die MAC Adresse des zuerst an diesem Port angeschlossenen PC und leitet Pakete anderer PCs nicht weiter. Als Aktion kann man statt „restrict“ auch „shutdown“ (ist default) wählen. Der Port wird komplett gesperrt, was früher oder später einen Anruf beim Admin zur Folge hat - natürlich sendet der Switch auch eine syslog message und einen SNMP Trap zur Alarmierung.

Aber: Diese Form der MAC-Filterung ist weit weniger leistungsfähig als eine ordentliche Authentifizierung am Port mit 802.1x 

Weitere je nach Gefährdungsgrad sinnvolle Einstellungen können das Deaktivieren von CDP (geht auch auf Portebene) und  das DHCP snooping sein. Mit zweiterem läßt sich das Risiko von Angriffen durch das Überlasten der DHCP Pools und illegalen DHCP Servern reduzieren.

Von der oft empfohlenen manuellen Konfiguration der Speed und Duplexeinstellungen auf Access Ports rate ich ab. - Siehe früheren Eintrag in diesem Blog.


Lesestoff zum Thema:
Ip dhcp snooping:
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.html

Zur sicheren Konfiguration von IOS Geräten:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

Portsecurity:
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration/guide/port_sec.html
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.htmlhttp://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtmlhttp://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration/guide/port_sec.htmlshapeimage_1_link_0shapeimage_1_link_1shapeimage_1_link_2
8. Juni 2008
Grundkonfiguration Cisco Switchport
Grundkonfig Cisco Switchports