Level: Anfänger mit IOS Grundkenntnissen Einige Anregungen zur Access-Portkonfiguration an Cisco Swiches Der Großteil der Ports an einem Switch im Etagen/Access-Bereich wird zum Anschluß von Benutzer-PCs genutzt. Obwohl ein Cisco Switch „out of the box“ mit Porteinstellungen kommt, die in einfacheren Netzen funktionieren, gibt es einige Komfort- und Sicherheitsfunktionen, die ohne großen Aufwand nutzbar sind. Zunächst bietet sich das „host“ Macro an: SW-ARE-HN-003(config-if)#switchport host switchport mode will be set to access spanning-tree portfast will be enabled channel group will be disabled Diese Macro setzt den Port in den access Access Mode und setzt den Port in den „STP-Portfast“mode. D.h. nachdem ein Endgerät erkannt wurde ist der Port sofort im Forwarding mode. Es können also sofort Pakete gesendet und empfangen werden. Die Port-LED wird sofort nach grün, anstatt wie bei voll aktivem STP zuerst für ca 30 Sekunden orange zu leuchten bis die STP Listening und STP Learning Phasen abgeschlossen sind. Besondere Relevanz hat das beim Betrieb von PCs oder anderen Endgeräten, die während der Initialisierung des Netzwerkkartentreibers den Link kurz „down“ setzen. Dann findet der PC weder einen DHCP-Server noch einen Domain Controller. Auch Windows Member-Server reagieren empfindlich auf fehlende Netzverbindung beim Hochfahren. Der Port ist allerdings dann nicht gegen Switching loops geschützt. Ein falsch eingestecktes Kabel kann massive Betriebsstörungen hervorrufen. Ein weiterer sinnvoller Befehl ist: switchport nonegotiate Per Default ist auch auf access-Ports das DTP Protokoll aktiv. Am Access-Port möchte man aber üblicherweise keinen Trunk für beliebige VLANs haben. Dies stelle eine Sicherheitslücke dar. Das VLAN zu dem der Port gehören soll, muß natürlich auch festgelegt werden: switchport access vlan 100 Setzt den Port in das VLAN 100. Default ist das VLAN1. Obwohl häufig in flachen Netzen als einziges VLAN genutzt, ist es sinnvoll ein anderes vlan als 1 zu verwenden, wenn der Inter-Vlan-Router (oder Layer 3 Switch) eines anderen Herstellers eingesetzt wird. Grund scheinen unterschiedliche Interpretationen des 802.1q Standards betreffend das untagged Vlan zu sein. Vermeidet man das vlan 1 und fährt nur tagged VLANs über den Trunk, umgeht man das (mit etwas Mehraufwand durchaus lösbare) Problem. Sehr empfehlenswert ist die Dokumentation direkt am Switchport: description PC-Dose-43 Die fertige Grundkonfiguration sieht also so aus: SW-ARE-HN-003(config-if)#do sh run int fa 0/12 Building configuration... Current configuration : 157 bytes ! interface FastEthernet0/12 description PC-Dose-43 switchport access vlan 100 switchport mode access switchport nonegotiate spanning-tree portfast end SW-ARE-HN-003(config-if)# Für die meisten Umgebungen ist diese Konfiguration völlig ausreichend. In „feindlichen“ Umgebungen wie Konferenzräumen oder Empfangsbereichen kann man ein paar einfache Maßnahmen gegen Angriffe hinzufügen. Die einfachste Variante einen unbenutzten Port zu schützen ist trivial: SW-ARE-HN-003(config-if)# shutdown Das hat den Nachteil, daß er manuell aktiviert werden muß (no shut), wenn er benötigt wird. Eine etwas elegantere Variante ist es den Port nur einen oder mehrere berechtigte PCs (sprich in diesem Fall MAC-Adressen) freizuschalten: switchport port-security switchport port-security maximum 1 switchport port-security violation restrict Der Switch registriert die MAC Adresse des zuerst an diesem Port angeschlossenen PC und leitet Pakete anderer PCs nicht weiter. Als Aktion kann man statt „restrict“ auch „shutdown“ (ist default) wählen. Der Port wird komplett gesperrt, was früher oder später einen Anruf beim Admin zur Folge hat - natürlich sendet der Switch auch eine syslog message und einen SNMP Trap zur Alarmierung. Aber: Diese Form der MAC-Filterung ist weit weniger leistungsfähig als eine ordentliche Authentifizierung am Port mit 802.1x Weitere je nach Gefährdungsgrad sinnvolle Einstellungen können das Deaktivieren von CDP (geht auch auf Portebene) und das DHCP snooping sein. Mit zweiterem läßt sich das Risiko von Angriffen durch das Überlasten der DHCP Pools und illegalen DHCP Servern reduzieren. Von der oft empfohlenen manuellen Konfiguration der Speed und Duplexeinstellungen auf Access Ports rate ich ab. - Siehe früheren Eintrag in diesem Blog. Lesestoff zum Thema: Ip dhcp snooping: http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.html Zur sicheren Konfiguration von IOS Geräten: http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml Portsecurity: http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration/guide/port_sec.html http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/snoodhcp.htmlhttp://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtmlhttp://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.1E/native/configuration/guide/port_sec.htmlshapeimage_1_link_0shapeimage_1_link_1shapeimage_1_link_2
8. Juni 2008
Grundkonfiguration Cisco Switchport
Grundkonfig Cisco Switchports