Страница 9 из 18
Создаем на коммутаторе две виртуальные сети, и назначаем порты доступа:
sw1(config)#vlan 21,22
sw1(config-vlan)#name DATA
sw1(config-vlan)#vlan 22
sw1(config-vlan)#name VOICE
sw1(config-vlan)#exit
sw1(config)#interface range FastEthernet0/1 – 23
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 21
sw1(config-if)#switchport voice vlan 22
Делаем данный интерфейс магистральным:
sw1(config)#interface FastEthernet0/24
sw1(config-if)# switchport trunk encapsulation dot1q
sw1(config-if)# switchport mode trunk
На маршрутизаторе:
r1(config)# interface FastEthernet0/0
r1(config-if)#no ip address
r1(config-if)#no shutdown
r1(config)#interface FastEthernet0/0.21
r1(config-if)# encapsulation dot1q 21
r1(config-if)# ip address 10.1.21.1 255.255.255.0
r1(config)# interface FastEthernet0/0.22
r1(config-if)# encapsulation dot1q 22
r1(config-if)# ip address 10.1.22.1 255.255.255.0
Следует добавить, что на маршрутизаторе можно включить DHCP сервер, но об этом дальше.
Анализ коммутированного порта SPAN (Switchport Analyzer)
Переводит указанный трафик для анализа на определенный порт, к которому подключено устройство для анализа трафика IPS/IDS. Источниками трафика могут быть любые порты второго уровня. Примеры настройки показаны ниже:
В данном случае перехватывается весь трафик от виртуальных локальных сетей с 1 по 10 и отправляется на порт 20, соответственно к 20 порту должно быть подключено устройство для анализа данного трафика.
sw01(config)#monitor session 1 source vlan 1 – 10
sw01(config)#monitor session 1 destination interface f0/20
Если требуется забрать трафик с определенного интерфейса:
sw1(config)#monitor session 1 source interface f0/1
sw1(config)#monitor session 1 destination interface f0/20
Только входящий:
sw1(config)#monitor session 1 source interface f0/1 rx
Только исходящий:
sw1(config)#monitor session 1 source interface f0/34 tx
Забирать трафик с магистрального порта:
sw1(config)#monitor session 1 source interface g0/1 encapsulation replicate
sw1(config)#monitor session 1 destination interface f0/20
Нас интересуют не все виртуальные локальные сети, а только с 6 по 9:
sw1(config)#monitor session 1 source interface g0/1 encapsulation replicate
sw1(config)#monitor session 1 filter vlan 1-5, 10
sw1(config)#monitor session 1 destination interface f0/20
Указанные в фильтре виртуальные локальные сети не будут перехватываться.
Проверка осуществляется командой:
sw01#show monitor session 1
Удаленный анализ коммутированного порта RSPAN (Remote Switchport Analyzer)
Используется когда надо анализировать трафик на других коммутаторах, как настраивается показано ниже:
В начале, на все коммутаторах задается сеть перехвата:
sw1(config)#vlan 100
sw1(config-vlan)#remote-span
sw1(config)#exit
sw2(config)#vlan 100
sw2(config-vlan)#remote-span
sw2(config)#exit
sw3(config)#vlan 100
sw3(config-vlan)#remote-span
sw3(config)#exit
На первом коммутаторе перехватываем трафик на всех виртуальных локальных сетях:
sw1(config)#monitor session 1 source vlan 1 – 10
sw1(config)#monitor session 1 destination remote vlan 100
На втором только порты 1 и 2:
Sw2(config)#monitor session 1 source interface f0/1
Sw2(config)#monitor session 1 source interface f0/2
sw2(config)#monitor session 1 destination remote vlan 100
На третьем у нас установлено устройство для анализа трафика на 20 порту:
sw3(config)#monitor session 1 source remote vlan 100
sw3(config)#monitor session 1 destination interface f0/20
Проверка осуществляется командой:
sw01#show monitor session 2
Голосовая виртуальная локальная сеть (Voice VLAN)
Голосовая виртуальная локальная сеть настраивается на коммутаторе достаточно просто, настройку смотрите ниже:
sw01(config)#interface f0/1
sw01(config-if)#switchport voice vlan 30
Получается, что интерфейс доступа может поддерживать две виртуальных частных сети, одну для данных и вторую для голоса, разделение происходит на основе того, что одна сеть идет тегированной другая не тегированной.
Автоматическая настройка качество обслуживания на коммутаторах (Auto QoS)
На устройствах Cisco существует удобная функция, которая позволяет настроить качество обслуживание для сетевых телефонов Cisco. Для включения данной функции следует, на коммутаторе следует выполнить следующие команды:
sw1(config)#ip cef
sw1(config)#mls qos
sw1(config)#interface range f0/1 – 48
sw1(config-if)#auto qos voip cisco-phone
sw1(config-if)#exit
sw1(config)#interface g0/1
sw1(config-if)#auto qos voip trust
sw1(config-if)#end
sw1#wr
У нас порты с 1 по 48 являются портами доступа и к ним подключены телефоны Cisco, а Гигабитный порт 0/1 является магистральным. После выполнения данных команд, правила QoS, будут автоматом настроены на коммутаторе.
Список доступа виртуальной локальной сети (Vlan map)
Список доступа виртуальной локальной сети, осуществляет пакетную фильтрацию всех типов трафика внутри используемой виртуальной сети или сетей.
Данный пример показывает правилом разрешить доступ всем сетям, кроме 10.0.10.0/24
Настраиваются следующим образом:
sw1(config)#access-list 1 permit 10.0.10.0 0.0.0.255
sw1(config)#access-list 2 permit any
sw1(config)#vlan access-map aclmap 10
sw1(config-access-map)#match ip address 1
sw1(config-access-map)#action drop
sw1(config-access-map)#exit
sw1(config)#vlan access-map aclmap 20
sw1(config-access-map)#match ip address 2
sw1(config-access-map)#action forward
sw1(config-access-map)#exit
sw1(config)# vlan filter mymap vlan-list 1-10
sw1(config)#exit
sw1#wr
Проверка осуществляется командой:
sw1# show vlan access-map
Vlan access-map "aclmap" 10
Match clauses:
ip address: 1
Action:
drop
Vlan access-map "aclmap" 20
Match clauses:
ip address: 2
Action:
Forward
sw1# show vlan filter
VLAN Map mymap is filtering VLANs:
1-10
Пример фильтрации трафика, в данном случае мы запрещаем трафик IPv6 на 10 виртуальную локальную сеть:
sw1(config)#mac access-list extended IPv6
sw1(config-ext-macl)#permit any any 0x86dd 0x0000
sw1(config-ext-macl)#exit
sw1(config)#vlan access-map no_IPv6 10
sw1(config-access-map)#match mac address IPv6
sw1(config-access-map)#action drop
sw1(config-access-map)#exit
sw1(config)#vlan access-map no_IPv6 20
sw1(config-access-map)#action forward
sw1(config-access-map)#exit
sw1(config)#vlan filter no_IPv6 vlan-list 10
sw1(config)#exit
sw1#wr
Ниже приведены примеры, для фильтрации:
0x0806 0x0000 ARP
0x0800 0x0000 IPv4
0x86DD 0x0000 IPv6
0xAAAA 0x0000 CISCO proprietary (STP, PAGP, VTP, PVST+, CDP, DTP, and UDLD)
0x4242 0x0000 CST
Списки доступа второго уровня (MAC-ACL)
Данные списки доступа предназначены для фильтрации не IP трафика, он фильтрует только трафик 2 уровня на виртуальных локальных сетях и интерфейсах, и могут применяться только для входящего трафика. Ниже приведен пример блокировки всех пакетов AppleTalk Address Resolution Protocol (AARP):
sw1(config)# mac access-list extended mac-acl
sw1(config-ext-macl)# deny any any aarp