Konfiguracja przełącznika CISCO – podstawowe polecenia konsoli zarządzania
Firma CISCO jest wiodącym producentem urządzeń sieciowych, w tym również przełączników (ang. switch). W tym wpisie przedstawię podstawowe polecenie konsoli zarządzania przełącznikiem CISCO oraz pokażę wynik działania poszczególnych poleceń.Zanim przejdę do omówienia poszczególnych poleceń, zacznę od opisu poziomów dostępu do poleceń konfiguracji przełącznika. W urządzeniach firmy CISCO wyróżniamy dwa takie poziomy:
- tryb podstawowy (User EXEC) – w konsoli oznaczony jako Switch>, uniemożliwiający dokonywanie zmian w konfiguracji urządzenia, pozwalający natomiast na np. wyświetlanie informacji o bieżącej konfiguracji, jest on domyślnie uruchamiany przy wejściu do konsoli zarządzania,
- tryb uprzywilejowany (Privileged EXEC)- w konsoli oznaczony jako Switch#, umożliwiający dokonywanie zmian w konfiguracji, przejście do tego trybu z User EXEC odbywa się po wpisaniu polecenia enable.
- globalnej – w konsoli oznaczony jako Switch(config)#, pozwalający na np. zmianę nazwy systemowej, określanie haseł dostępu czy tworzenie sieci VLAN, przejście do tego trybu z Privileged EXEC odbywa się po wpisaniu polecenia configure terminal,
- szczególowej – w konsoli oznaczony jako Switch(config-%nazwa%)#, pozwalający na dokonywanie wszelkich innych zmian konfiguracyjnych, takich jak: konfiguracja interfejsów sieciowych, określanie trybu pracy poszczególnych portów czy zabezpieczenia ich przed niepowołanym dostępem, przejście do tego trybu z konfiguracji globalnej odbywa się po wpisaniu polecenia odpowiadającego konkretnym ustawieniom, i tak przykładowo, jeśli chcemy dokonać zmian w konfiguracji pierwszego interfejsu Ethernet wpisujemy interface fastEthernet 0/1, wówczas tryb w konsoli oznaczony będzie jako Switch(config-if)#
Podczas pracy w konsoli zarządzania bardzo przydatne są dwie funkcję:
- dopełnienie – wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,
- podpowiedzi – kiedy nie jesteśmy pewni składni polecenie możemy wpisać znak zapytania (?), a system wyświetl nam dostępne dla danego trybu polecenia.
- Wyświetlenie tablicy ARP:
- Switch>show arp
- Wyświetlenie bieżącej konfiguracji interfejsów przełącznika:
- Switch>show interfaces
- Wyświetlenie tablicy MAC:
- Switch>show mac-address-table
- Wyświetlenie istniejących sieci VLAN:
- Switch>show vlan
- Ustawienie hasła przejścia do trybu konfiguracyjnego:
- Switch>enable
- Switch#configure terminal
- Switch#enable secret qwerty //zamiast qwerty można wpisać dowolne hasło
- Zmiana nazwy systemowej urządzenia:
- Switch>enable
- Switch#configure terminal
- Switch#hostname szkolny //zamiast szkolny można wpisać dowolną nazwę
- szkolny# <- od teraz nasz przełącznik będzie wyświetlał nową nazwę
- Zapisanie zmian konfiguracji:
- szkolny#copy running-config startup-config i potwierdzamy klawiszem ENTER
Konfiguracja przełącznika CISCO – konfiguracja portów do obsługi jednego adresu MAC
W dzisiejszych czasach duży nacisk kładziony jest na bezpieczeństwo systemów informatycznych i sieci komputerowych. Istnieje wiele sposobów zabezpieczenia sieci komputerowych przed niepowołanym dostępem, jedne opierają się na zabezpieczeniach systemów operacyjnych, inne zaś na odpowiedniej konfiguracji sprzętu sieciowego.W dzisiejszym artykule przedstawię sposób zabezpieczenia fizycznego dostępu do zasobów naszej sieci komputerowej, poprzez takie ustawienia przełącznika CISCO, aby mógł on obsługiwać tylko jeden adres MAC (przełączniki na podstawie tego parametru przesyłają dane w sieci -przyp.), każdorazowe podłączenie urządzenia z innym adresem fizycznym niż ten zapisane w konfiguracji, spowoduje zablokowanie portu i uniemożliwi korzystanie z sieci. Uzasadnienie takiego sposobu zabezpieczenia jest proste, mianowicie uniemożliwi na korzystanie z naszej sieci urządzeniom spoza niej.
Zadanie zostanie omówione na przykładzie 3 komputerów podłączonych do przełącznika.
Konfigurację przełącznika powinniśmy zacząć od pozyskania adresów MAC urządzeń, które są do niego podłączone. Najłatwiej jest to zrobić wykonując poprzez wyświetlenie tablicy adresów MAC w konsoli:
- Switch>enable
- Switch#show mac-address-table
Vlan Mac Address Type Ports
1 0001.9666.099c DYNAMIC Fa0/1
1 0060.3ed6.41eb DYNAMIC Fa0/2
1 0060.5c52.b33e DYNAMIC Fa0/3
Skoro udało nam się pozyskać już adresy MAC naszym komputerów, możemy przejść teraz do etapu przypisywania ich do konkretnego portu przełącznika:
Z trybu uprzywilejowanego (Switch#) przejdziemy do trybu konfiguracji globalnej (Switch(config)#), a następnie do trybu konfiguracji szczegółowej interfejsu 0/1:
- Switch#configure terminal
- Switch(config)#interface fastEthernet 0/1
do tego interfejsu:
- Switch(config-if)#switchport mode access
- Switch(config-if)#switchport port-security
- Switch(config-if)#switchport port-security maximum 1
- Switch(config-if)#switchport port-security mac-address 0001.9666.099c
- Switch(config-if)#exit //opuszczamy tryb konfiguracji szczegółowej
dla interfejsu 0/1
i przypisujemy adres MAC drugiego komputera:
- Switch(config)#interface fastEthernet 0/2
- Switch(config-if)#switchport mode access
- Switch(config-if)#switchport port-security
- Switch(config-if)#switchport port-security maximum 1
- Switch(config-if)#switchport port-security mac-address 0060.3ed6.41eb
- Switch(config-if)#exit
i przypisujemy adres MAC trzeciego komputera:
- Switch(config)#interface fastEthernet 0/3
- Switch(config-if)#switchport mode access
- Switch(config-if)#switchport port-security
- Switch(config-if)#switchport port-security maximum 1
- Switch(config-if)#switchport port-security mac-address 0060.5c52.b33e
- Switch(config-if)#exit
- Switch(config)#interface range fastEthernet 0/4-24 //przejście do trybu konfiguracji grupy interfejsów od 4 do 24
- Switch(config-if-range)#shutdown //wyłączenie interfejsów
- Switch(config-if-range)#end
- Switch#copy running-config startup-config //zapisanie konfiguracji
w trybie konfiguracji szczegółowej danego interfejsu wykonać polecenie no shutdown:
- Switch>enable
- Switch#configure terminal
- Switch(config)#interface fastEthernet 0/1
- Switch(config-if)#no shutdown
z wielu i nie powinien być stosowany jako jedyny. Zawsze należy stosować kilka rodzajów zabezpieczeń, zarówno sprzętowych jak i programowych, aby skutecznie zabezpieczyć naszą się przez nieupoważnionym dostępem.
Konfiguracja przełącznika CISCO – wirtualne sieci LAN (VLAN)
Sieć VLAN (ang. Virtual LAN) jest
to mechanizm pozwalający administratorom dzielić sieć lokalną na
mniejsze logiczne sieci, do których należą komputery znajdujące się w
fizycznie różnych lokalizacjach (np. na różnych piętrach).
Wyobraźmy sobie szkolną sieć komputerową, do której dostęp maja trzy grupy użytkowników: administracja, nauczyciele oraz uczniowie. Każda z tych grup ma inne uprawnienia oraz dostęp do różnych zasobów sieci. W jaki sposób zorganizować sieć,
aby dokonać pogrupowania użytkowników w zależności od tych uprawnień czy dostępu
do zasobów? Można podłączyć komputery grupy administracyjnej do jednego przełącznika, nauczycielskiej do drugiego, uczniowskiej do trzeciego. Proste, prawda? Tak, pod warunkiem, że na danym piętrze znajdują się tylko komputery jednej grupy, np. na parterze (gdzie znajduje się pierwszy przełącznik) znajdują się tylko komputery administracji,
na I piętrze (gdzie znajduje się drugi przełącznik) są tylko komputery nauczycielskie,
a na II piętrze (gdzie znajduje się trzeci przełącznik) znajdują się tylko komputery uczniowskie. Niestety, z taką sytuacją prawie nigdy się nie spotkamy, ponieważ zazwyczaj jest tak, że na danym piętrze występują użytkownicy należący do różnych grup,
a ich komputery podłączone są do tego samego przełącznika. Wówczas zastosować możemy podział sieci lokalnej na mniejsze, logiczne obszary (sieci VLAN).
Poniższy rysunek obrazuje nam sytuację, o której mówiłem, a mianowicie sieć, w której mamy 3 grupy użytkowników, których komputery podłączone są do różnych przełączników.
Jak widać, na każdym piętrze, do tych samych przełączników podłączone są komputery różnych grup użytkowników (pracownie to komputery uczniowskie, sale to komputery nauczycielskie, a pozostałe to komputery administracji). W takiej sytuacji, aby pogrupować komputery zastosujemy opisany wyżej sposób, czyli stworzymy wirtualne sieci LAN. Wówczas, logiczny podział takiej sieci wyglądał będzie następująco:
Schemat takiego podziału będzie przedstawiał się następująco:
Zanim jednak to zrobimy powinniśmy nadać sieciom wirtualnym identyfikator i zaprojektować dla nich adresację IP. Aby zadania dodatkowo nie komplikować, proponuje przyjąć następujące zasady:
Skoro mamy już zaprojektowaną adresację IP, przejdźmy teraz do konfiguracji pierwszego przełącznika.
Wyobraźmy sobie szkolną sieć komputerową, do której dostęp maja trzy grupy użytkowników: administracja, nauczyciele oraz uczniowie. Każda z tych grup ma inne uprawnienia oraz dostęp do różnych zasobów sieci. W jaki sposób zorganizować sieć,
aby dokonać pogrupowania użytkowników w zależności od tych uprawnień czy dostępu
do zasobów? Można podłączyć komputery grupy administracyjnej do jednego przełącznika, nauczycielskiej do drugiego, uczniowskiej do trzeciego. Proste, prawda? Tak, pod warunkiem, że na danym piętrze znajdują się tylko komputery jednej grupy, np. na parterze (gdzie znajduje się pierwszy przełącznik) znajdują się tylko komputery administracji,
na I piętrze (gdzie znajduje się drugi przełącznik) są tylko komputery nauczycielskie,
a na II piętrze (gdzie znajduje się trzeci przełącznik) znajdują się tylko komputery uczniowskie. Niestety, z taką sytuacją prawie nigdy się nie spotkamy, ponieważ zazwyczaj jest tak, że na danym piętrze występują użytkownicy należący do różnych grup,
a ich komputery podłączone są do tego samego przełącznika. Wówczas zastosować możemy podział sieci lokalnej na mniejsze, logiczne obszary (sieci VLAN).
Poniższy rysunek obrazuje nam sytuację, o której mówiłem, a mianowicie sieć, w której mamy 3 grupy użytkowników, których komputery podłączone są do różnych przełączników.
Jak widać, na każdym piętrze, do tych samych przełączników podłączone są komputery różnych grup użytkowników (pracownie to komputery uczniowskie, sale to komputery nauczycielskie, a pozostałe to komputery administracji). W takiej sytuacji, aby pogrupować komputery zastosujemy opisany wyżej sposób, czyli stworzymy wirtualne sieci LAN. Wówczas, logiczny podział takiej sieci wyglądał będzie następująco:
Schemat takiego podziału będzie przedstawiał się następująco:
- Komputery w pracowniach należeć będą do sieci VLAN o nazwie uczniowie
- Komputery w salach należeć będą do sieci VLAN o nazwie nauczyciele
- Komputery pracowników administracji należeć będą do sieci VLAN o nazwie administracja.
Zanim jednak to zrobimy powinniśmy nadać sieciom wirtualnym identyfikator i zaprojektować dla nich adresację IP. Aby zadania dodatkowo nie komplikować, proponuje przyjąć następujące zasady:
- VLAN uczniowie będzie miał przypisany identyfikator 10 (może być inny z zakresu 2-1001, nie ma większego znaczenie jaki Wy wybierzecie), a adres IP dla tej sieci VLAN będzie miał postać: 192.168.10.0/24.
- VLAN nauczyciele będzie miał przypisany identyfikator 20, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.20.0/24.
- VLAN administracja będzie miał przypisany identyfikator 30, zatem adres IP dla tej sieci VLAN będzie miał postać: 192.168.30.0/24.
Skoro mamy już zaprojektowaną adresację IP, przejdźmy teraz do konfiguracji pierwszego przełącznika.