Svievi

Projektovanje raunarskih mrea

Studenti:
Jelena Ljubenovi 14357,
eljko Lakovi 14349

Ni, 2016.

Mentor:
Doc. dr. Vladimir iri

Sadraj
Ethernet i prosleivanje frejmova ................................................................................................................5
CSMA/CD ...................................................................................................................................................5
Oslukivanje nosioca signala - Carrier Sense .........................................................................................5
Multi-access ...............................................................................................................................................5
Detekcija kolizije .......................................................................................................................................5
Blokirajui signal i sluajno povlaenje - Jam Signal and Random Backoff ....................................... 6
Ethernet komunikacije ............................................................................................................................ 6
Ethernet frejm ........................................................................................................................................... 6
Preambula (Preamble) i delimetar poetka rama (Start Frame Delimiter) .......................................7
Odredina MAC adresa (Destination Address) ...................................................................................7
Izvorina MAC adresa (Source Address) ..............................................................................................7
Duina/Tip (Length/Type) ....................................................................................................................7
Polje podataka (Data and Pad Fields) ..................................................................................................7
Polje za proveru sekvence (Frame Check Sequence)........................................................................... 8
MAC adresa ............................................................................................................................................... 8
Jedinstveni identifikator organizacije - OUI ....................................................................................... 8
Broj dodeljen od strane proizvoaa - Vendor Assignment Number ................................................. 8
Podeavanje duplex-a ............................................................................................................................... 9
Podeavanje porta svia .......................................................................................................................... 10
auto-MDIX ................................................................................................................................................ 11
Mac adresiranje i tabela MAC adresa Svia ........................................................................................... 11
Prosleivanje frejmova korienjem svieva............................................................................................. 14
Metode prosleivanja paketa ................................................................................................................. 14
Store-and-Forward metoda ................................................................................................................. 14
Cut-through metoda ............................................................................................................................ 14
Simetrini i asimetrini svievi .............................................................................................................. 16
Asimetrini svievi ............................................................................................................................... 16
Simetrini svievi.................................................................................................................................. 17
Tehnike baferovanja ................................................................................................................................ 17
Port-based Memory Buffering ............................................................................................................. 17

STRANA 1

Baferovanje korienjem deljive memorije (Shared Memmory Buffering) ....................................... 17

L2 i L3 svievi ........................................................................................................................................... 18
Poreenje L3 svia i rutera...................................................................................................................... 19
Navigacija kroz komandni interfejs upravljivih Cisco svieva i osnovna podeavanja ........................ 19
Navigacija kroz konfiguracione modove: ............................................................................................. 20
Globalni konfiguracioni mod: .............................................................................................................. 21
Konfiguracioni mod interfejsa:............................................................................................................ 21
GUI alternative CLI-u.............................................................................................................................. 21
Cisco mreni pomonik (Cisco Network Assistant) .......................................................................... 22
CiscoView aplikacija ............................................................................................................................ 22
Cisco Device Manager ......................................................................................................................... 23
SNMP Network Management ............................................................................................................. 23
Korienje help-a ..................................................................................................................................... 23
Kontekst senzitivni help ...................................................................................................................... 23
Poruke o grekama ............................................................................................................................... 25
Pristupanje prethodno uneenim naredbama ...................................................................................... 25
Bafer prethodno uneenih naredbi ...................................................................................................... 25
Konfiguracija bafera ............................................................................................................................26
Boot sekvenca svia .................................................................................................................................27
Opis boot sekvence svia ..................................................................................................................... 27
Oporavak nakon pada sistema ............................................................................................................ 27
Pripreme pre podeavanja svia .............................................................................................................27
Osnovna podeavanja svia ................................................................................................................... 29
Konfiguracija upravljakog interfejsa .................................................................................................30
Konfiguracija defaultnog gateway-a................................................................................................... 31
Provera konfiguracije ........................................................................................................................... 31
Prikaz IP interfejsa ............................................................................................................................... 32
Konfiguracija duplexa I brzine ............................................................................................................... 32
Konfiguracija WEB interfejsa ................................................................................................................. 33
Upravljanje MAC adresnom tabelom .................................................................................................... 33
Provera konfiguracije i statusa ............................................................................................................... 35
Korienje show komandi .................................................................................................................... 35

STRANA 2

Snimanje, uitavanje i bekap konfiguracije .......................................................................................... 37

Bekap konfiguracije.............................................................................................................................. 37
Obnova konfiguracije...........................................................................................................................38
Brisanje konfiguracionih inforamicija ................................................................................................39
Brisanje sauvanog konfiguracionog fajla .........................................................................................39
Konfiguracija password-a .......................................................................................................................... 40
Obezbeivanje konzole ......................................................................................................................... 40
Uklanjanje konzolnog passworda ....................................................................................................... 41
Obezbeivanje vty portova ..................................................................................................................... 41
Uklanjanje vty passworda....................................................................................................................42
Konfiguracija EXEC mod passworda .....................................................................................................43
Uklanjanje EXEC mod passworda ...................................................................................................... 44
Konfiguracija enkripcije passworda ...................................................................................................... 44
Omoguavanje obnove passworda ....................................................................................................... 45
Konfiguracija login banera .................................................................................................................... 47
Konfiguracija MOTD banera ................................................................................................................. 48
Konfiguracija Telnet i SSH .................................................................................................................... 48
Konfiguracija telneta .......................................................................................................................... 49
Konfiguracija SSH ............................................................................................................................... 49
Primeri tipinih napada .......................................................................................................................... 51
MAC Address Flooding ........................................................................................................................ 51
Spoofing napadi .................................................................................................................................... 55
DHCP Snooping .................................................................................................................................. 56
CDP napadi ........................................................................................................................................... 57
Telnet napadi ........................................................................................................................................58
Brute force password napad ................................................................................................................58
DoS napad ............................................................................................................................................58
Mere zatite ............................................................................................................................................. 58
Pasivne mere ........................................................................................................................................ 59
Revizija mree (audit) ......................................................................................................................... 59
Aktivne mere........................................................................................................................................ 59
Konfiguracija bezbednosti NA Nivou portova (port sequrity) .......................................................... 60

STRANA 3

Bezbednost na nivou portova ............................................................................................................. 60

Tipovi zatite na nivou svi-porta ....................................................................................................... 61
Sticky MAC adrese ............................................................................................................................... 61
Reakcija porta u sluaju neovlaenog pristupa .................................................................................. 62
Konfiguracija sigurnosti porta................................................................................................................63
Potvrda bezbednosti na nivou porta .................................................................................................... 64
Potvrda podeavanja bezbednosti porta ............................................................................................ 64
Potvrda sigurnih MAC adresa ............................................................................................................ 65
Literatura ..................................................................................................................................................... 66

STRANA 4

Ethernet i prosleivanje frejmova

U ovom delu, prikazane se kljune komponente Ethernet standarda koji ima znaajnu ulogu
u dizajnu i implementaciji mree sa svievima. Videete kako Ethernet komunikacija
funkcionie i koja je uloga svieva u komunikacionom procesu.
CSMA/CD

Ethernet signali se prenose do svih hostova povezanih na LAN korienjem posebnog

skupa pravila da bi odluili koja jedinica moe da pristupi mrei. Skup pravila koji Ethernet
koristi se zasniva na oslukivanju nosioca signala - IEEE carrier sense multiple
access/collision detect (CSMA/CD) tehnologiji.
CSMA/CD se jedino koristi prilikom half-duplex komunikacije koja je uobiajena za
hubove. Full-duplex svievi ne koriste CSMA/CD.
OSLUKIVANJE NOSIOCA SIGNALA - CARRIER SENSE

U CSMA/CD pristupnom metodu, svi mreni ureaji koji imaju poruke za slanje moraju
oslukivati pre slanja.
Ako ureaj detektuje signal od drugog ureaja, od eka odreeno vreme pre pokuaja
slanja.
Kada se ne detektuje saobraaj, ureaj alje svoju poruku. Dok se prenos poruke odvija,
ureaj nastavlja da oslukuje da bi proverio da li se odvija saobraaj ili se desila kolizija
na LAN-u. Nakon slanja poruke, uredjaj se vraa u podrazumevani mod oslukivanja.
MULTI-ACCESS

Ako je razdaljina izmedju dva uredjaja tolika, da latencija signala od jednog ureaja znai
da signali nisu detektovani od stane drugog ureaja, drugi uredjaj moe, takoe, da krene
sa slanjem poruka. Na prenosnom medijumu sada postoje dva uredjaja koja alju signale u
isto vreme. Poruke propagiraju kroz medijum sve dok na naiu jedna na drugu. U tom
trenutku, signali se meaju i poruka je unitena, desila se kolizija. Iako je poruka
pokvarena, meavina preostalih signala nastavlja da se propagira kroz medijum.
DETEKCIJA KOLIZIJE

Kada je ureaj u modu oslukivanja, moe da detektuje kada se kolizija desila u deljivom
medijumu, zato to svi ureaji mogu da detektuju poveanje amplitude signala, iznad
normalnog nivoa.
Kada se desi kolizija, drugi ureaji u modu oslukivanja, kao i svi uredjaji koji trenutno
alju poruke, detektuju poveanje amplitude signala. Svaki ureaj koji trenutno alje,
nastavlja sa slanjem da bi obezbedio da svi ureaji na mrei detektuju koliziju.

STRANA 5

BLOKIRAJUI SIGNAL I SLUAJNO POVLAENJE - JAM SIGNAL AND RANDOM

BACKOFF

Kada se detektuje kolizija, uradjaj koji alje poruke, alje blokirajui signal (Jam signal).
Blokirajui signal obavetava druge ureaje da je dolo do kolizije, da bi oni pokrenuli
algoritam za povlaenje. Ovaj algoritam uzrokuje sve ureaje da prestanu sa slanjem za
proizvoljan vremenski period, to omoguava signalima koji su izazvali koliziju da se
povuku.
Nakon to istekne odlaganje slanja na ureaju, ureaj ponovo prelazi u mod oslukivanja
pre slanja. Proizvoljan period povlaenja omoguava da ureaji koji su bili ukljueni u
koliziju ne pokuavaju sa slanjem poruka u isto vreme, to bi uzrokovalo ponavljanje
itavog procesa. Meutim, za vreme perioda povlaenja, trei ureaj moe da alje pre
nego to bilo ko od dva uredjaja koji su uestvovali u koliziji ima ansu za re-transmisiju.
ETHERNET KOMUNIKACIJE

Komunikacija u LAN mreama sa svievima se odvija na tri naina: unicast, broadcast i

multicast.
Unicast: komunikacija u kojoj se frejm alje od jednog hosta i adresira na jednu definisanu
lokaciju. U unicast transmisiji, postoji samo jedan poiljalac i samo jedan primalac. Unicast
transmisija je dominantni oblik transmisije na LAN-u i na Internetu. Primeri protokola koji
koriste unicast transmisiju ukljuuju HTTP, SMTP, FTP i Telnet.
Broadcast: komunikacija u kojoj se frejm alje od jedne adrese do svih ostalih adresa. U
ovom sluaju, postoji samo jedan poiljalac, ali se informacija alje do svih povezanih
primalaca. Broadcast transmisija je od kljune vanosti kada se alju poruke do svih
ureaja na LAN-u. Najznaajniji primer protokola koji koristi Broadcast transmisiju je
ARP (Address Resolution Protocol) koji alje frejmove do svih ureaja u mrei.
Multicast: komunikacija u kojoj se frejm alje do odredjene grupe ureaja ili klijenata.
Klijenti multicast transmisije moraju biti lanovi logine multicast grupe, da bi primili
informaciju. Primer multicast transmisije je video i audio transmisija prilikom poslovnog
sastanka koji se odvija preko mree.
ETHERNET FREJM

Ethernet frejm dodaje strukture oko nivo 3 PDU-a da bi enkapsulirao poruku koja se alje.
Ethernet frejm ima nekoliko sekcija (polja) informacija koji se koriste od strane Ethernet
protokola. Na slici se vidi struktura trenutnog Ethernet frejm standarda, revidirani IEEE
802.3 (Ethernet).

STRANA 6

Preambula (Preamble) i delimetar poetka rama (Start Frame Delimiter)

Preambula (7 bajtova) i SFD (1 bajt) polja se koriste za sinhronizaciju izmeu poiljaoca i

primaoca. Preambula se sastoji od 7 bajtova oblika 10101010 koji se koriste da se
sinhronizuju brzine prenosa izvora i odredita. SFD je 10101011 i oznaava poetak rama.
U sutini, prvih nekoliko bajtova kau primaocu da se pripremi za primanje novog frejma.
Odredina MAC adresa (Destination Address)

Polje odredine MAC adrese (6 bajta) je identifikator primaoca. Ova adresa se koristi od
strane nivoa 2 da bi pomogla uredjaju da odlui da li je frejm adresiran na njega. Adresa iz
frejma se poredi sa MAC adresom uredjaja. Ako dodje do poklapanja, uredjaj prihvata
frejm.
Izvorina MAC adresa (Source Address)

Polje izvorine MAC adrese (6 bajtova) identifikuje interfejs uredjaja odakle je poslat
frejm. Svievi koriste ovu adresu da je dodaju u njihove lookup tabele.
Duina/Tip (Length/Type)

Duina/Tip polje (2 bajta) definie tanu duinu frejmovog polja podataka. Ovo polje se
kasnije koristi prilikom provere da li je poruka primljena korektno. Samo duina frejma ili
tip frejma mogu biti upisani ovde. Ako je namena polja da definie tip, Tip polje definie
protokol koji se implementira. Kada vor primi frejm i Duina/Tip polje oznaava tip,
vor odreuje koji protokol vieg nivoa je prisutan. Ako je vrednost jednaka ili vea od
0x0600 heksadekadno ili 1536 dekadno, sadraj polja podataka se dekodira na osnovu
ukazanog protokola; ako je dvobajtna vrednost manja od 0x0600, tada vrednost predstavlja
duinu podataka u frejmu.
Polje podataka (Data and Pad Fields)

Polje podataka (46 to 1500 bytes) sadri enkapsulirane podatke sa vieg nivoa, koji je opti
Nivo 3 PDU, ili uestalije, IPv4 paket. Svi frejmovi moraju biti najmanje 64 bajta dugi
(minimum duina frejma je 64 bajta zbog detekcije kolizije). Ako je mali paket
enkapsuliran, polje Pad (0-46 bajta) se koristi da bi se poveala veliina frejma na
minimum.

STRANA 7

Polje za proveru sekvence (Frame Check Sequence)

Polje FCS (4 bajta) detektuje greke u frejmu. Koristi cyclic redundancy check (CRC).
Poiljalac ukljuuje rezultate CRC-a u FCS polju frejma. Primalac prima frejm i generie
CRC kod da bi proverio da nije dolo do greke prilikom slanja. Ako se izraunavanja
poklope, nije dolo do greke. U suprotnom, frejm se odbacuje.
MAC ADRESA

Ethernet MAC adresa je dvodelna, veliine 48-bita, binarna vrednost izraena preko 12
heksadecimalnih cifara. Neke od moguih formata predstavljanja adrese: 00-05-9A-3C78-00, 00:05:9A:3C:78:00, or 0005.9A3C.7800.
Svi ureaji povezani na Ethernet LAN imaju interfejse adresirane MAC adresama. NIC
(Network Interface Controller) koristi MAC adrese prilikom odreivanja da li poruka treba
biti poslata na vie nivoe radi obrade. MAC adresa je trajno kodirana na ROM ipu na NICu. Ovaj tip adrese se oznaava kao utisnuta adresa (burned in address BIA). Neki
proizvoai dozvoljavaju modifikacije MAC adresa. MAC adresa se sastoji od
jedinstvenih identifikatora organizacije (organizational unique identifier - OUI ) i
dodeljenog broja proizvoaa.
Jedinstveni identifikator organizacije - OUI

OUI je prvi deo MAC adrese. On je 24 bita dug i identifikuje proizvoaa NIC kartice.
IEEE regulie dodelu OUI brojeva. U okviru OUI postoje dva bita koja imaju znaenje
samo kada se koriste u odredinoj adresi, kao to je u nastavku navedeno:
Broadcast ili multicast bit: ukazuje interfejsu primaocu da je frejm namenjen svim ili gruoi
krajnjih stanica na LAN segmentu.
Lokalno administriran adresni bit: ako MAC adresa dodeljena od strane proizvoaa moe
biti modifikovana lokalno, ovaj bit bi trebalo da bude setovan
Broj dodeljen od strane proizvoaa - Vendor Assignment Number

Deo MAC adrese dodeljen od strane proizvoaa je dug 24 bita i na jedinstven nain
identifikuje Ethernet hardver. Moe biti BIA ili modifikovan od strane softvera, to je
oznaeno lokalnim bitom.

STRANA 8

PODEAVANJE DUPLEX-A

Postoje dva tipa podeavanja duplex-a, koji se koriste za komunikaciju na Ethernet mrei:
half duplex i full duplex. Na slici iznad se vide dva duplex podeavanja dostupna na
modernim mrenim uredjajima.
Half Duplex: Half-duplex komunikacija se oslanja na jednosmernom toku podataka gde
slanje i primanje podataka se ne obavlja u isto vreme. Ovo je slino sa nainom na koji
toki-voki ili dvosmerni radio ureaji funkcioniu u smislu da samo jedna osoba moe da
pria u jednom trenutku. Ako neke pone da pria, dok ve neko drugi govori, desi se
kolizija. Kao rezultat toga, half-duplex komunikacija implementira CSMA/CD da smanji
mogunost kolizije i da je detektuje kada se dogodi. Half-duplex komunikacija ima
problema sa performansama zbog konstantnog ekanja, zato to su tokovi podataka mogui
samo u jednom smeru u jednom trenutku. Half-duplex komunikacija se tipino moe sresti
u starijem hardveru, kao to su habovi. vorovi koji su povezani sa hubom koji dele
konekciju do svi porta, moraju da budu u half-duplex modu da bi krajnji raunari mogli

STRANA 9

da detektuju koliziju. vorovi mogu da budu u half-duplex modu ako NIC kartica ne moe
biti konfigurisana za full duplex operacije. U ovom sluaju port svia je standardno u halfduplex modu. Zbog ovih ogranienja, full-duplex komunikacija je zamenila half duplex u
aktuelnijem hardveru.
Full Duplex: prilikom full-duplex komunikacije, tok podataka je dvosmeran, tako da
podaci mogu da se alju i primaju u isto vremee. Dvosmerna podrka poboljava
performanse smanjujui vreme ekanja izmeu transmisija. Veina Ethernet, Fast Ethernet
i Gigabit Ethernet NIC kartica koje se prodaju danas nude full-duplex. U full-duplex modu,
kolo za detekciju kolizije je iskljueno. Frejmovi poslati od strane dva povezana krajnja
vora ne mogu da se sudare zato to krajnji vorovi koriste dva odvojena kola u mreneom
kablu. Svaka full-duplex konekcija koristi samo jedan port. Full-duplex konekcije
zahtevaju svi koji podrava full duplex ili direktnu konekciju izmeu dva vora koji
podravaju full duplex. vorovi koji su direktno povezani na svi port sa NIC-om koji
podrava full duplex bi trebali biti povezani na portove svia koji su konfigurisani da rade
u full-duplex modu.
Standardna, deljiva efikasnost Ethernet konfiguracije, zasnovana na hubovima je, tipino
od 50 do 60 procenta 10 Mb/s protoka (bandwith). Full-duplex Fast Ethernet, kada se
poredi sa 10 Mb/s protokom, prua 100 procentnu efikasnost u oba smsera (100 Mb/s slanje
i 100 Mb/s primanje).
PODEAVANJE PORTA SVIA

Port na sviu mora biti konfigurisan sa duplex podeavanjima koja odgovaraju tipu
medijuma. Cisco Catalyst svievi imaju tri podeavanja:

Auto opcija postavlja auto-pregovaranje duplex moda. Ako je ono omogueno,

dva porta komuniciraju da bi odluili koji je najbolji mod.
Full opcija postavlja full-duplex mod.
Half opcija postavlja half-duplex mod.

Za Fast Ethernet i 10/100/1000 portove, uobiajeno je auto. Za 100BASE-FX portove,

uobiajeno je full. 10/100/1000 portovi rade ili u half- ili full-duplex modu kada su
postavljeni na 10 ili 100 Mb/s, ali kada se postave na 1000 Mb/s, rade jedino u full-duplex
modu.
Napomena: Autopregovaranje moe dovesti do nepredvidljivih rezultata. Standardno, kada
autopregovaranje ne uspe, Catalyst svi postavlja odgovarajui port na half-duplex mod.
Ovaj tip otkaza se deava kada povezani ureaj ne podrava autopregovaranje. Ako je
ureaj runo konfigurisan da radi u half-duplex modu, to je uskladu sa fabrikim
podeavanjima svia. Meutim, greke prilikom autopregovaranja se mogu dogoditi ako je
ureaj runo podeen da radi u full-duplex modu. Postojanje sa jedne strane half-duplexa
a sa druge full-duplexa uzrokuje zakasnele greke kolizije na strani half-duplexa. Da biste

STRANA 10

izbegli ovakvu situaciju, postavite duplex parametre svia da odgovaraju prikljuenom

ureaju. Ako je port svia u full-duplex modu i prikljuen ureaj u half-duplex modu,
proverite za FCS greke na sviovom full-duplex portu.
AUTO-MDIX

Konekcije izmeu specifinih ureaja, kao to su izmedju dva svia, ili izmedju svia i
rutera, nekada su zahtevali korienje odreenih tipova kablova (cross-over, straighttrough). Umesto toga, sada moete koristiti mdix auto komandu u modu konfiguracije
interfejsa CLI-a da biste omoguili automatic medium-dependent interface crossover
(auto-MDIX) funkciju.
MAC ADRESIRANJE I TABELA MAC ADRESA SVIA

Svievi koriste MAC adrese da bi usmeravali mrenu komunikaciju kroz svi do

odgovarajueg porta prema odredinom voru. Da bi svi znao koji port da koristi da bi
prenosio unicast frame, prvo mora da naui koji vorovi postoje na svakom od svojih
portova.
Svi odluuje kako da rukuje sa dolazeim frejmovima podataka koristei njegovu MAC
adresnu tabelu. Svi pravi svoju MAC adresnu tabelu tako to pamti MAC adrese vorova
povezanih za svaki od njegovih portova. Jednom kada je MAC adresa za odredjeni vor na
odredjenom portu zapamena u adresnoj tabeli, svi tada zna da usmerava saobraaj koji
je namenjen tom specificiranom voru kroz port koji je mapiran na taj vor, za naknadne
transmisije.
Kada se primi dolazei frejm podataka i odredina MAC adresa nije u tabeli, svi
prosleuje frejm kroz sve portove, osim na port preko koga je primljen. Kada odredini
vor odgovori, svi zapamti MAC adresu vora u adresnu tabelu. U mreama sa vie
meusobno povezanih svieva, u MAC adresnoj tabeli se pamti vie MAC adresa za
portove koji povezuju svieve koji predstavljaju dalje vorove. Tipino, portovi svia koji
se koriste za meusobno povezivanje dva svia imaju vie MAC adresa zapamenih u
MAC adresnoj tablici. Sledi opis procesa:

Korak 1. Svi prima broadcast frejm od PC1 na portu 1.

STRANA 11

Korak 2. Svi unosi izvorinu MAC adresu i port koji je primio frejm u adresnu tabelu.

Korak 3. Zato to je odredina adresa broadcast, svi alje frejm na sve portove, osim na
port na kome je primljen frejm.

STRANA 12

Korak 4. Odredini ureaj odgovara na broadcast sa unicast frejmom adresiranim na PC1.

Korak 5. Svi unosi izvorinu MAC adresu od PC2 i broj svi porta koji je primio frejm
u adresnu tabelu. Odredina adresa frejma i njen asocirani port se nalazi u MAC adresnoj
tabeli.

Korak 6. Svi sada moe da prosleuje frejmove izmeu izvorinih i odredinih ureaja
bez poplave, zato to ima unose u adresnoj tabeli koji identifikuju asocirane portove.

STRANA 13

Prosleivanje frejmova korienjem svieva

METODE PROSLEIVANJA PAKETA

U ovom poglavlju, nauiete kako svievi prosleuju Ethernet frajmove u mrei.

Svievi mogu raditi u razliitim modovima koji mogu imati pozitivne i negativne
efekte.
U prolosti, svievi su koristili jedan od sledeih metoda za prosleivanje frejmova
izmedju mrenih portova: store-and-forward ili cut-trough. Meutim, store-andforward je jedini metod prosleivanja koji se koristi na aktuelnim modelima Cisco
Catalyst svieva.
Store-and-Forward metoda

U store-and-forward prosleivanju, kada svi primi frejm, on uva podatke u baferu

sve dok celokupan frejm nije primljen. Prilikom procesa skladitenja, svi analizira
frejm za informacije u vezi odredita. Prilikom ovog procesa, svi takoe vri proveru
greaka korienjem Cyclic Redundancy Check (CRC) dela Ethernet frejma.
CRC koristi matematiku formulu, koja se bazira na broju bitova u frejmu, da bi
odredio da li primljeni frejm ima greku. Nakon potvrde integriteta frejma, frejm se
prosledjuje kroz odgovarajui port prema svom odreditu. Kada se detektuje greka,
svi odbacuje frejm. Odbacivanje frejmova sa grekama smanjuje koliinu protoka
koja se troi na podatke sa grekama. Store-and-forward prosleivanje je potrebno
za Kvalitet Servisa (Quality of Service (QoS)) na mreama gde je potrebna
klasifikacija frejmova prilikom prioritizacije saobraaja. Na primer, VoIP tokovi
podataka moraju da imaju prioritet u odnosu na saobraaj prilikom pretraivanja
web-a.
Cut-through metoda

U cut-through prosleivanju, svi poinje da alje podatke im ih primi, ak iako

prenos nije zavren. Svi skladiti toliki deo frejma, da moe da proita odredinu
adresu, da bi znao gde da prosleuje podatke. Odredina MAC adresa se nalazi u
prvih 6 bajtova frejma, posle preambule. Svi trai odredinu MAC adresu u tabeli
prosleivanja, odreuje izlazni interfejs port, i prosleuje frejm ka odredinoj adresi
kroz odreeni port. Svi ne vri nikakvu proveru greaka na frejmu. Zato to svi ne
mora da eka za itav frejm da bude u potpunosti skladiten, i zato to svi ne vri
nikakvu proveru greaka, cut-through prosleivanje je bre nego store-and-forward
prosledjivanje. Meutim, upravo zbog toga to svi ne vri nikakvu proveru greaka,
on prosluje frejmove sa grekom kroz mreu. Iskvareni frejmovi troe protok dok
se prosleuju. Odredini NIC eventualno odbacuje frejmove sa grekom.
STRANA 14

Postoje dva tipa cut-through prosleivanja:

Fast-forward prosleivanje: obezbeuje najnii nivo latencije. Ova metoda odmah
prosleuje paket im proita odredinu adresu. Zbog toga to fast-forward
prosleivanje poinje sa prosleivanjem pre nego to je itav paket primljen, moe
se desiti da se paketi prenesu sa grekom. Ovo se ne deava esto, i mreni adapter
odredita odbacuje pakete sa grekom, nakon primanja. U fast-forward modu,
latencija se meri od prvog primljenog bita do prvog preneenog bita. Fast-forward
prosleivanje
je
tipina
cut-through
metoda
prosleivanja.
Fragment-free prosleivanje: u fragment-free prosleivanju, svi skladiti prva 64
bajta frejma pre prosleivanja. Fragment-free prosleivanje se moe posmatrati kao
kompromis izmeu store-and-forward i cut-through prosleivanja. Razlog zato
fragment-free prosleivanje skladiti samo prvih 64 bajtova frejma je to se veina
mrenih greaka i kolizija detektuje unutar ovih 64 bajtova. Fragment-free
prosleivanje pokuava da pobolja cut-through prosleivanje tako to vri malu
proveru greke na prvih 64 bajtova frejma da bi se osigurao da nije dolo do kolizije
pre prosleivanja frejma. Fragment-free prosleivanje je kompromis izmeu visoke
latencije i visokog integriteta store-and-forward prosleivanja, i niske latencije i
redukovanog integriteta cut-through prosleivanja.

STRANA 15

SIMETRINI I ASIMETRINI SVIEVI

Svievi mogu biti klasifikovani kao simetrini ili asimtrini u zavisnosti od naina
dodele protoka portovima svia.
Simetrian svi omoguava prosleivanje izmeu portova sa istim protokom, kao
to su svi portovi od 100 Mb/s ili svi portovi sa protokom 1000 Mb/s. Asimetrini svi
omoguava prosleivanje paketa izmeu portova razliitog protoka, kao to su
kombinacije od 10 Mb/s, 100 Mb/s i 1000 Mb/s na portovima. Na slici ispod se vidi
razlika izmeu simetrinih i asimetrinih svieva.

Asimetrini svievi

Asimetrini svievi omoguavaju da se vie protoka dodeli serverskom portu svia

da bi se izbeglo usko grlo. Ovo dozvoljava bolji saobraaj na mestima gde vie
klijenata komuniciraju sa serverom u isto vreme. Memorijsko skladitenje
(baferovanje) ja potrebno na asimetrinom sviu. Da bi svi uksladio razliite brzine
portova, itavi frejmovi se uvaju u memorijskom baferu i prosleuju na port jedan
posle drugog, po potrebi.

STRANA 16

Simetrini svievi

Na simetrinom sviu svi portovi imaju isti protok. Simetrini svievi su

optimizovani za razumno rasporeena optereenja saobraaja, kao to je u peer-topeer desktop okruenjima.
Adinistrator mree mora proceniti potrebnu koliinu protoka za konekcije izmeu
ureaja da bi obezbedio neometan protok podataka mrenih aplikacija. Veina
aktuelnih svieva su asimetrini svievi jer taj tip svieva prua najveu fleksibilnost.
TEHNIKE BAFEROVANJA

Svi analizira neke ili sve pakete pre prosleivanja odredinom hostu u zavisnosti
od metode prosleivanja. Svi skladiti paket kratak vremenski period u
memorijskom baferu. U nastavku ete videti na koji nain dva tipa memorijskih
bafera se koriste prilikom prosleivanja paketa.
Ethernet svi moe koristiti tehnike baferovanja da skladiti frejmove pre
prosleivanja. Baferovanje se moe takoe koristiti kada je odredini port zauzet
zbog zaguenja i svi skladiti frejm sve dok ne bude mogao biti prenet,. Korienje
memorije za skladitenje podataka se naziva memorijsko baferovanje. Memorijsko
baferovanje je ugraeno u hardver svia i osim poveanja koliine dostupne
memorije, nije podesivo.
Postoje dva tipa memorijskog baferovanja:
Port-based Memory Buffering

U ovom modu frejmovi se skladite u redovima koji su povezani sa specifinim

ulaznim i izlaznim portovima. Frejm se prosleuje izlaznom portu samo kada su svi
frejmovi ispred njega u redu uspeno prosleeni. Postoji mogunost da jedan frejm
odloi prosleivanje svih frejmova u memoriji zbog zauzetog odredita. Ovo
odlaganje se deava ak i kada je mogue i druge frejmove proslediti na otvorene
odredine portove.
Baferovanje korienjem deljive memorije (Shared Memmory Buffering)

U ovom modu svi frejmovi se skladite u zajedniki memoriski bafer koji svi portovi
svia dele. Koliina memorije bafera koja je potrebna portu se dinamiki alocira.
Frejmovi u baferu se povezuju dinamiki sa odredinim portom. Ovo omoguava
paketima da budu primljeni na jednom portu i onda preneeni na drugi port, bez
njihovog premetanja u drugi red.

STRANA 17

Svi uva mapu frejm do port veza i na taj nain zna gde da prosledi pakete. Veza se
izbacuje iz mape, kada je frejm uspeno prosleen. Broj frejmova koji se skladite u
baferu je ogranien veliinom itavog memorisjkog bafera, a ne na bafer jednog
porta. Ovo omoguava veim frejmovima da budu preneeni sa manje odbaenih
frejmova. Ovo je vano za asimetrino prosleivanje, gde se frejmovi razmenjuju
izmedju portova sa razliitim protokom.
L2 I L3 SVIEVI

L2 (Layer 2) LAN svi vri prosleivanje i filtriranje bazirano samo na OSI Data Link
nivou (Nivo 2) MAC adresama. L2 svi je u potpunosti nevidljiv za mrene protokole
i korisnike aplikacije. L2 svi formira tabelu MAC adresa koju koristi da donese
odluke prilikom prosleivanja.
L3 (Layer 3) svi, kao to je Catalyst 3560, funkcionie slino kao Layer 2 svi, kao
to je Catalyst 2960, ali umesto da koristi samo Nivo 2 informacije o MAC adresama
i da na osnovu njih donosi odluku o prosleivanju, L3 svi takoe moe koristiti
informacije o IP adresama. Umesto da samo naui koje MAC adrese su asocirane sa
kojim portovima, L3 svi takoe moe da naui koje IP adrese su asocirane sa
interfejsima. Ovo omoguava L3 sviu da usmerava saobraaj kroz mreu na osnovu
informacija o IP adresama.
L3 svievi su takoe sposobni da obavljaju Nivo 3 funkcije rutiranja, smanjujui
potrebu za posebnim ruterima na LAN-u. Zato to L3 svievi imaju specijalizovani

STRANA 18

hardver za prosleivanje, tipino mogu da rutiraju podatke jednako brzo kao to

prosleuju pakete.
POREENJE L3 SVIA I RUTERA

L3 svievi ispituju Nivo 3 informacije u Ethernet paketu da bi doneli odluke o

prosleivanju. L3 svievi mogu da rutiraju pakete izmeu razliitih LAN segmenata
slino kao ruteri. Meutim, L3 svievi ne mogu u potpunosti da zamene potrebu za
ruterima na mrei.
Ruteri vre dodatne Nivo 3 servise koje L3 svievi nisu sposobni da obavljaju. Ruteri
su takoe sposobni da izvravaju zadatke prosleivanja paketa koje ne moe L3, kao
to su uspostavljanje udaljenih pristupnih konekcija do udaljenih mrea ili ureaja.
Ruteri su fleksibilniji u njihovoj podrci WAN interfejs karticama (WIC), to ih ini
poeljnijim i ponekad jedinim, izborom za povezivanje na WAN. L3 svievi
omoguavaju osnovne funkcije rutiranja u LAN-u i smanjuju potrebu za izdvojenim
ruterima.

Navigacija kroz komandni interfejs upravljivih Cisco svieva i

osnovna podeavanja
Kao sigurnosnu funkicju, Cisco IOS ima podeljene izvrne (EXEC) sesije na ove
nivoe:

Korisniki EXEC: dozvoljava korisniku da ima pristup samo ogranienom

broju osnovnih komandi. Korisniki EXEC mod je standardni mod u koji
ulazite nakon to se ulogujete na Cisco svi preko CLI-a. Korisniki EXEC
mod se identifikuje preko > oznake.
Privilegovani EXEC: dozvoljava korisniku da pristupi svim komandama
ureaja, kao to su one koje se koriste za konfiguraciju I menadment, I moe
biti zatien passwordom da dozvoli samo autorizovanim korisnicima da
pristupe ureaju. Privilegovani EXEC mod se identifikuje preko # oznake.

STRANA 19

Da biste preli iz korisnikog EXEC moda u privilegovani, unesite enable komadnu.

Da biste preli iz privilegovanog EXEC moda u korisniki EXEC mod, unesite disable
komandu. U realnim uslovima, svi trai unos passworda. Unesite taan password.
Prvobitno, password nije konfigurisan. Na slici se vide Cisco IOS komande za
navigaciju iz korisnikog EXEC mdoa u privilegovani EXEC mod I nazad:

NAVIGACIJA KROZ KONFIGURACIONE MODOVE:

Jednom kada ste pristupili privilegovanom EXEC modu na Cisco sviu, moete
pristupiti drugim konfiguracionim modovima. Cisco IOS softver koristi hijerarhiju
komandi u svojoj strukturi komadni po modovima. Svaki komandni mod podrava
specifine Cisco IOS komande koje se odnose na odgovarajui tip operacije na
ureaju.
Slede opisi I primer navigacije kroy globalni konfiguracioni mod I konfiguracioni
mod interfejsa.

STRANA 20

Globalni konfiguracioni mod:

Primer na slici izad zapoinje sa sviem u privilegovanom EXEC modu. Da biste

konfigurisali globalne parametre svia kao to su hostname ili IP adresa svia, koja
se koristi za upravljanje sviom, koristite globalni konfiguracioni mod. Da biste
pristupili globalnom konfiguracionom modu, unesite configure terminal
komandu u privilegovanom EXEC modu. Oznaka u CLI-u se menja u (config) #.
Konfiguracioni mod interfejsa:

Konfiguracija interfejs specifinih parametara je est zadatak. Da biste pristupili

interfejs konfiguracionom modu iz globalnog konfiguracionog moda, unesite
interface<interface name> komandu. Oznaka se menja u (config-if) #. Da biste
izali iz konfiguracionog moda interfejsa, koristite exit komadnu. Oznaka moda se
menja nazad u (config) #, dajui vam do znanja da ste u globalnom
konfiguracionom modu. Da biste napustili globalni konfiguracioni mod, unesite
exit komadnu ponovo. Oznaka moda se menja u #, oznaavajui privilegovani EXEC
mod.
GUI ALTERNATIVE CLI-U

Postoji vei broj grafikih alternativa za upravljanje Cisco sviom. Korienje GUI-a
nudi uproeno upravljanje sviom I konfiguraciju bez znanja korienja Cisco CLIa.

STRANA 21

Cisco mreni pomonik (Cisco Network Assistant)

Cisco mreni pomonik je GUI PC aplikacija za upravljanje mreom optimizovana

za LAN-ove male I srednje veliine. Moete konfigurisati I upravljati grupama
svieva ili pojedinanim svievima. Na slici iznad se vidi upravljaki interfejs
aplikacije.

CiscoView aplikacija

CiscoView aplikacija za upravljanje ureajima prikazuje fiziki pogled svia koji

moete iskoristiti da biste videli status svia I informacije o performansama. Na slici
iznad se vidi upravljaki interfejs za CiscoVIew menader ureaja.

STRANA 22

Cisco Device Manager

Cisco Device Manager je web aplikacija koje se skladiti u memoriji svia. Moete
koristiti Device Manager da biste konfigurisali I upravljali svievima. Moete
pristupiti Device Manager-u bilo gde iz vae mree preko Web pretraivaa. Na slici
iznad se vidi upravljaki interfejs aplikacije.

SNMP Network Management

Moete upravljati svievima iz SNMP-kompatibilne upravljake stanice, kao to je

HP OpenView. Svi je u stanju da prui ozbiljnu koliinu upravljakih informacija I
prui etiri Remote Monitoring grupe (RMON). SNMP je uobiajeniji u velikim
mreama koje koriste kompanije.
KORIENJE HELP-A
Kontekst senzitivni help

Cisco IOS prua dva tipa pomoi:

Word help: ako se ne seate itave komande ali se seate prvih nekoliko
karaktera, unesite sekvencu karaktera koju e pratiti znak upita (?). Nemojte
unositi razmak pre znaka upita.

Lista komandi koja zapoinje sa karakterima se prikazuje. Na primer, unoenje sh?

vraa listu svih komandi koje zapoinju sa sh sekvencom karaktera.

STRANA 23

Command syntax help: ako niste upoznati koje su komande dostupne u

trenutnom kontekstu Cisco CLI-a, ili ako ne znate parametre potrebne ili
dostupne da biste zavrili eljenu komandu, unesite ? komandu.

Kada je samo ? uneeno, lista dostupnih komandi u trenutnom kontekstu se

prikazuje. Ako se ? unese nakon odreene komande, argumenti komande se
prikazuju. Ako je <cr> prikazano, nikakvi drugi argumenti nisu potrebni da bi
naredba radila. Budite sigurni da ste uneli razmak pre znaka pitanja da biste spreili
Cisco IOS CLI od izvravanja word help-a, a elite command syntax help. Na primer,
unesite show ? da biste dobili listu komandnih opcija koje podrava show komanda.
Na sledeoj slici se vide Cisco primeri help funkcije:

Na primeru postavljanja sata uredjaja, moemo da vidimo kako help funkcionie.

Ako je potrebno postaviti sat ureaja ali sintaksa clock naredbe nije poznata,
kontekst senzitivni help prua mogunosti provere sintakse.
Kontekst senzitivni help prua itave komande ak iako unesete prvi deo komande,
kao to je cl?.
Ako unesete komandu clock koju prati Enter, pojavljuje se poruka o greci koja
ukazuje da je komanda nekompletna. Da biste videli potrebne parametre za clock
komande, unesite ?, pre koje je razmak. U clock ? primeru, na izlazu se vidi da je
kljuna re set potrebna posle clock kao rezultat helpa-a.

STRANA 24

Ako unesete clock set, jo jedna poruka o greci se pojavljuje pokazujui da je

komanda jo nekompletna. Sada dodajte razmak I unesite ? komandu da biste
prikazali listu argumenti komande koji su dostupni u toj taki za datu komandu.
Dodatni argumenti potrebni da bi se postavio sat na ureaju, se prikazuju: trenutno
vreme u satima, minutima I sekundama.
Poruke o grekama

Konzolne poruke o grekama pomau prilikom identifikovanja problema kada se

unese nekorektna komanda. Na slici se vide primeri poruka o grekama, ta je
njihovo znaenje, I kako dobiti pomo kada se prikau:

PRISTUPANJE PRETHODNO UNEENIM NAREDBAMA

Bafer prethodno uneenih naredbi

Kada konfiguriete mnogo interfejsa svia, moete utedeti vreme koje biste
potroili na ponovno ukucavanje naredbi, korienjem Cisco IOS bafera prethodno
uneenih naredbi.
CIsco IOS poseduje listu prethodno uneenih naredbi. Ova funkcionalnost, nazvana
command history, je posebno upotrebljiva kada je potrebno upotrebiti dugake ili
kompeksne, prethodno uneene, naredbe ili zapise.
Sa ovom funkcionalnou, moete izvriti sledee sledee:

Prikazati sadraj bafera prethodno uneenih naredbi

Postaviti veliinu bafera
Dobiti neka od prethodno uneenih naredbi koje se uvaju u baferu. Postoji
bafer za svaki konfiguracioni mod.

STRANA 25

Fabriki je podeeno da je uvanje prethodno uneenih naredbi u baferu

omogueno, sistem pamti poslednjih 10 komandnih linija u baferu. Moete
iskoristiti show history komandu da biste videli nedavno unete EXEC komande.

Konfiguracija bafera

U Ciscovim mrenim ureajima koji podravaju Cisco IOS softver, pamenje

prethodnih naredbi je standardno omogueno, I poslednjih 10 komandnih linija se
pamte u baferu.
Pamenje prethodnih naredbi moe biti iskljueno za trenutnu sesiju terminala,
jedino korienjem naredbe terminal not history u korisnikom ili privilegovanom
EXEC modu. Kada je pamenje naredbi onemogueno, ureaj ne skladiti prethodno
uneene komandne linije.
Da biste vratili broj naredbi koje se pamte na standardnu vrednost od 10, unesite
terminal no history size size komandu u privilegovanom EXEC modu. na slici
ispod se vidiobjanjenje I primer korienja ovih komandi.

STRANA 26

BOOT SEKVENCA SVIA

Opis boot sekvence svia

Nakon to se CIsco svi ukljui, on prolazi kroz sledeu boot sekvencu:

Svi uita boot loader softver. Boot loader je mali program koji se uva na ROM-u i
pokree se kada se svi ukljui.
Boot loader:

Vri CPU inicijalizaciju niskog nivoa. Inicijalizuje CPU registre, koji

kontroliu gde se fizika memorija mapira, koliinu memorije, i njegovu
brzinu.
Izvrava power-on slef-test (POST) za CPU podsistem. Testira CPU DRAM
i porcije flash ureaja koji sainjavaju flash file sistem.
Inicijalizuje flash file sistem na ploi.
Uitava operativni sistem u memoriju i boot-uje svi.

Operativni sistem onda inicijalizuje interfejs koristei Cisco IOS komande koje se
nalaze u konfiguracionom fajlu operativnog sistema, config.text, koji je uskladiten
na flash memoriji svia.
Oporavak nakon pada sistema

Boot loader takoe omoguava pristup sviu ako se operativni sistem iz nekog
razloga ne moe koristiti. Boot loader poseduje mogunost upisivanja komandi i na
taj nain prua pristup fajlovima uskladitenim na flash memoriji pre uitavanja
operativnog sistema. Iz komandne linije boot loadera moete uneti komande da
formatirate flash file sistem, reinstalirate operativni sistem, ili oporavite od
izgubljenog ili zaboravljenog passworda.
PRIPREME PRE PODEAVANJA SVIA

Inicijalno pokretanje Catalyst svia zahteva zavretak sledeih koraka:

Korak 1. Pre pokretnja svia, proverite sledee:
Svi mreni kablovi su povezani i osigurani.
Va raunar ili terminal je povezan na konzolni port.
Va emulator terminala, kao to je HyperTerminal, je ukljuen i konfigurisan
korektno.
Na slici ispod se vidi kako da poveete PC sa sviom korienjem konzolnog porta.
STRANA 27

Na sledeoj slici se vidi ispravna konfiguracija HyperTerminala, koji se moe

koristiti za rad u konzoli Cisco ureaja.

Korak 2. Poveite kabal za napajanje sa utinicom za napajanje svia. Svi e da se

startuje. Neki Catalyst svievi, ukljuujui Cisco Catalyst 2960 seriju, nemaju dugme
za ukljuivanje.
Korak 3. Posmatrajte boot sekvencu:
Kada je svi ukljuen, zapoinje POST. Za vreme POST-a, blinkae LED diode dok
serija testova ne utvrdi da svi funkcionie normalno. Kada se POST zavri, SYST
LED dioda e brzo blinkati zelenom bojom. Ako svi padne POST, SYST LED
dobije ilibarnu boju. Ako svi ne proe POST test, potrebna je njegova popravka.
Na sledeoj slici se vidi proces boot-ovanja kako se prikazuje u konzoli Cisco svia.

STRANA 28

Za vreme inicijalnog pokretanja svia, ako se detektuju POST otkazi, prijavljuju se

konzoli I svi se ne pokree. Ako se POST zavri uspeno, a svi nije bio ranije
konfigurisan, trai se od vas da konfiguriete svi.
OSNOVNA PODEAVANJA SVIA

Svi pristupnog nivoa je slian PC-u po tome to morate da podesite IP adresu,

subnet masku I defaultni gateway. Da biste upravljali sviom udaljeno, koristei
TCP/IP, morate dodeliti sviu IP adresu. Ova IP adresa se dodeljuje virtualnom
interfejsu koji se naziva virtualni LAN (VLAN), I onda dodelite VLAN odreenom
portu ili portovima svia.
Standardna konfiguracija svia je da se upravljanje svia kontrolie kroz VLAN 1.
Meutim, najbolja praksa prilikom osnovne konfiguracije svia je da promenite
upravlaki VLAN na neki drugi VLAN. Na slici se vidi korienje VLAN-a 99 kao
upravljakog VLAN-a. Meutim, vano je napomenuti da interfejsi koji nisu VLAN
99 mogu biti razmatrani da budu upravljaki VLAN.
VLAN 99 je kreiran I dodeljena mu je IP adresa. Onda se odgovarajui port svia S1
doda u VLAN 99. Na slici se takoe vide konfiguracione informacije.

STRANA 29

Konfiguracija upravljakog interfejsa

Da biste konfigurisali IP adresu I subnet masku na upravljakom VLANU-u svia,

morate biti u konfiguracionom modu interfejsa VLAN-a. Iskoristite komandu
interface vlan 99 I unesite komandu za konfiguraciju ip adrese. Unesite no
shutdown komandu u interfejs komandom modu, da biste uinili da Nivo 3 interfejs
postane operativan. Kada vidite interface VLAN x, to se odnosi na Nivo 3 interfejs
koji je asociran sa VLAN-om x. Samo upravljaki VLAN-ovi imaju intefejs VLAN-a
asociran sa njima.

STRANA 30

Zapazite da Nivo 2 svi, kao to je Cisco Catalyst 2960, dozvoljava jedino jednom
VLAN intefejsu da bude aktivan u jednom trenutku Ovo znai da Nivo 3 intefejs,
interfejs VLAN 99, je aktivan, ali Nivo 3 interfejs, interfejs VLAN 1, nije aktivan.
Konfiguracija defaultnog gateway-a

Morate konfigurisati svi tako da moe da prosleuje IP pakete na udaljene mree.

Defaultni gateway je mahinazam za to. Svi prosleuje IP pakete na odredine IP
adrese van lokalne mree do defaultnog gateway-a. Na slici iznad, router R1 je router
sledeeg skoka. Njegova IP adresa je 172.17.99.1.
Da biste konfigurisali defaultni gateway svia, koristite ip default-gateway
komandu. Unesite IP adresu interfejsa rutera sledeeg skoka, koji je direktno
povezan sa sviom na kome se konfigurie gateway.
Provera konfiguracije

Na slici iznad se vidi da je vlan 99, iz primera, konfigurisan sa IP adresom I subnet

maskom, I da je portu Fast Ethernet F0-18 dodeljen upravljaki interfejs VLAN 99.

STRANA 31

Prikaz IP interfejsa

Koristite ip interface brief komandu da biste verifikovali status porta.

KONFIGURACIJA DUPLEXA I BRZINE

Moete koristiti duplex komandu interfejs konfiguracionog moda da biste

specificirali duplex mod rada za svieve porta. Moete runo podesiti duplex mod I
brzinu da biste izbegli probleme sa autopregovaranjem zbog razliitih proizvoaa.
Iako postoji mogunost da doe do problema prilikom konfiguracije duplex
podeavanja svi porta na auto, u ovom sledeem primer, S1 I S2 svievi imaju ista
duplex podeavanja I brzine. Na slici su opisani koraci prilikom konfiguracije porta
F0/1 svia S1.

STRANA 32

KONFIGURACIJA WEB INTERFEJSA

Moderni Cisco svievi imaju vei broj alata za konfiguraciju koje se zasnivaju na
Web-u I zahtevaju da svi bude konfigurisan kao HTTP server. Ove aplikacije
ukljuuju Cisco web browser korisniki interfejs I druge.
Da biste kontrolisali ko moe da pristupi HTTP servisu na sviu, moete opciono
konfigurisati autentifikaciju. Autentifikaciona metoda moe biti kompleksna.
Moete imati toliko mnogo ljudi koji koriste HTTP servise da vam je potreban
poseban server koji e da rukuje korisnikom autentifikacijom. AAA I TACACS
autentifikacioni modovi su primeri koji koriste ovaj tip udaljene autentifikacije. Oni
mogu biti korieni u mreama prilikom validacije podataka o korisnikuali moda
elite da imate manje komleksnu autentifikacionu metodu. Metoda enable zahteva
od korisnika da koriste serverov enable password. Lokalna autentifikaciona metoda
zahteva od korisnika da koristi korisniko ime i password prilikom logovanja.

UPRAVLJANJE MAC ADRESNOM TABELOM

Svievi koriste MAC adresnu tabelu da bi odluili kako da prosleuju sadraj izmeu
portova. Ove MAC tabele ukljuuju dinamike i statike adrese. Na slici ispod vidi
jednostavna MAC adresna tabela koja se prikazuje prilikom show mac-addresstable komande i ukljuuje u ovom primeru statike adrese, ali se tu prikazuju i
dinamike adrese.

STRANA 33

Dinamike adrese su izvorine MAC adrese koje svi ui i koje stare ako se ne
koriste. Moete promeniti podeavanje vremena zastarevanja za MAC adrese.
Standardno vreme je 300 sekundi. Postavljanje previe kratkog vremena moe
prouzrukovati da adrese budu prerano uklonjenje iz tabele. I tada, kada svi dobije
paket sa nepoznatom adresom odredita, poplavi pakete na sve portove u istom
LAN-u (ili VLAN-u) kao odredini port. Ova nepotrebna poplava moe uticati na
performanse. Sa druge strane, predugo vreme zastarivanja moe prouzrukovati da
adresna tabela bude ispunjena sa neiskorienim adresama, koje spreavaju uenje
novih adresa. I ovo takoe moe prouzrukovti poplave.
Svi prua dinamiko adresiranje tako to ui izvorine MAC adrese svakog frejma
koji primi na svakom portu, i dodaje izvorinu MAC adresu i asocirani broj porta u
MAC adresnu tabelu. Prilikom dodavanja ili uklanjanja raunara iz mree, svi
aurira svoju MAC adresnu tabelu, dodavajui nove unose i zastarevajui one koji
nisu u trenutnoj upotrebi.
Administrator mree moe da dodeli MAC adrese odreenim portovima. Statike
adrese ne zastarevaju, i svi uvek zna na koji port da prosledi saobraaj koji je
namenjen odreenoj MAC adresi. Kao rezultat toga, ne postoji potreba za ponovnim
uenjem porta koji je povezan sa datom MAC adresom. Jedan od razloga da biste
implementirali statike MAC adrse je da pruite mrenom administratoru
kompletnu kontrolu prilikom pristupa mrei. Samo oni ureaji koji su poznati
mrenom administratoru mogu da se poveu na mreu.
Da biste kreirali statiko mapiranje u MAC adresnoj tabeli, koristite mac-addresstable static <MAC address> vlan {1-4096, ALL} interface interface-id komandu.

STRANA 34

Da biste uklonili statiko mapiranje iz MAC adresne tabele, koristite no macaddress-table static <MAC address> vlan {1-4096, ALL} interface interface-id
komandu.
Maksimalna veliina MAC adresne tabele varira kod razliitih svieva. Na primer,
Catalyst 2960 serija svieva moe da skladiti do 8192 MAC adrese. Postoje protokoli
koji mogu da ogranie broj MAC adresa dostupnih sviu.

PROVERA KONFIGURACIJE I STATUSA

Korienje show komandi

Nakon konfiguracije svia, potrebna je provera ispravnosti konfiguracija.

Ako je potrebno da proverite konfiguraciju vaeg Cisco svia, show komanda je

veoma korisna. Show komanda se izvrava iz privilegovanog EXEC modu. Na slici
iznad se vide neke od vanijih opcija show komande preko kojih se proverava skoro
sve podesive funkcionalnosti svia. Postoji jo mnogo dodatnih show komandi.

STRANA 35

Jedna od bitnijih show komandi je show running-config komanda. Ova komanda

prikazuje trenutnu konfiguraciju koja se izvrava na sviu. Koristite ovu komandu
da biste verifikovali da ste korektno konfigurisali svi. Na slici iznad su prikazani
delovi prikaza prilikom izvrenja ove naredbe.
Na slici su prikazani delovi konfiguracije svia S1:

Fast Ethernet 0-18 interfejs konfigurisan VLAN-om 99

VLAN 99 konfigurisan sa IP adresom 172.17.99.11 255.255.0.0
Defaultni gateway postavljen na 172.17.50.1
da je HTTP server konfigurisan

STRANA 36

Jo jedna esto koriena komanda je show interfaces komanda, koja prikazuje

status i statistike informacije na mrenim interfejsima svia. show interfaces
komanda se esto koristi prilikom konfigurisanja i praenja mrenih ureaja. Na
slici iznad se vidi izlaz prilikom korienja komande show interfaces FastEthernet
0/1. Prva obeleena linija ukazuje da je Fast Ethernet 0-1 interfejs pokrenut. Sledea
obeleena linija ukazuje da je duplex podeen na auto-duplex i da je brzina autospeed.

SNIMANJE, UITAVANJE I BEKAP KONFIGURACIJE

Bekap konfiguracije

Za bekapovanje trenutne konfiguracije svia u startup konfiguracioni fajl, koristimo

komandu copy running-config startup-config, kada smo u privilegovanom EXEC
modu. Trenutna konfiguracija (running configuration) se uva u DRAM-u a poetna
(startup) u NVRAM sekciji flash memorije. Kada unesete copy running-config
startup-config komandu, Cisco IOS softver iskopira trenutnu konfiguraciju u
NVRAM tako da kada se svi butuje, loaduje se vaa nova startup konfiguracija.
Ne elite uvek da sauvate izmene koje izvrite trenutnoj konfiguraciji svia. Na
primer, moda elite na kratak vremenski period da izmenite konfiguraciju, i kasnije
da vratite na prethodnu.
Ako elite da postoje vie razliitih startup konfiguracionih fajlova na vaem
ureaju, moete iskopirati konfiguraciju u druge fajlove, koristei copy startupconfig flash:filename komandu. Skladitenje veeg broja startup konfiguracija vam
dozvoljava da uitate neku od prethodnih konfiguracija u sluaju problema. Na slici
ispod se vide tri primera bekapovanja konfiguracija na Flash memoriju. Prvo je
formalna i komletna sintaksa. Drugo je sintaksa koja se najee koristi. Koristite
prvu kada niste upoznati sa ureajem kojim radite, a drugu kada ste upoznati sa
odredinom adresom flash NVRAM-a instaliranog na sviu. Tree je sintaksa koja se
koristi za uvanje kopije startnog konfiguracionog fajla u fle.

STRANA 37

Obnova konfiguracije

Obnova konfiguracije je jednostavan proces. Samo morate da prekopirate sauvanu

konfiguraciju preko trenutne. Na primer, ako imate sauvanu konfiguraciju koja se
naziva config.bak, moete je obnoviti tako to ete uneti komandu flash:config.bak
startup-config i upisaete je preko startup konfiguracije. Kada je obnovljena
konfiguracija, restartujete svi tak da uita novu startup konfiguraciju korienjem
reload komande u privilegovanom EXEC modu.
reload komanda zaustavlja sistem. Ako je sistem podeen da se restartuje prilikom
greke, on se ponovo bootuje. Koristite reload komandu posle uvanja nove
konfiguracije u startup konfiguraciji.
Napomena: ne moete koristiti reload iz virtualnog terminala ako svi nije
podeen da se automatski bootuje.

STRANA 38

Nakon korienja reload komande, sistem vas pita da li da sauva konfiguraciju.

Normalno biste odgovorili sa da, ali u ovom sluaju odgovorite sa ne. Da ste
odgovorili da, preko fajla koji ste upravo obnovili bi bili upisani podaci. U svakom
sluaju morate da razmislite da li elite da trenutna konfiguracija bude aktivna
nakon izvrenja naredbe reload.
Napomena: postoji opcija unosa copy startup-config running-config komande.
Na alost, ova komanda ne upie preko itave running konfiguracije ve samo doda
postojee komande iz startup konfiguracije u running. Ovo moe dovesti do
neeljenih rezultata, pa budite paljivi kada je koristite.
Brisanje konfiguracionih inforamicija

Moete obrisati informacije iz startup konfiguracije. Ovo moete uraditi ako na

primer aljete korieni svi do kupca ili drugog odeljenja, a elite da bude
regonfigurisan. Kada obriete startup konfiguracioni fajl, kada se svi ponovno
bootuje, ulazi u program za ponovnu konfiguraciju svia sa novim podeavanjima.
Da biste obrisali sadraj startup konfiguracije, unesite erase nvram: ili erase
startup-config u privilegovanom EXEC modu. Na slici se vidi primer brisanja
konfiguracionih fajlova uskladitenih na NVRAM-u.

Oprez: Ne moete obnoviti startup konfiguracioni fajl nakon to je obrisan, zato se

osigurajte da posedujete bekap konfiguracije u sluaju da morate da je obnovite
kasnije.
Brisanje sauvanog konfiguracionog fajla

Da biste obrisali fajl iz flash memorije, koristite naredbu delete flash:imefajla u

privilegovanom EXEC modu. Moete biti upitani o potvrdi brisanja fajla, u zavisnosti
od podeavanja.
Oprez: Ne moete obnoviti startup konfiguracioni fajl nakon to je obrisan, zato se
osigurajte da posedujete bekap konfiguracije u sluaju da morate da je obnovite
kasnije.
STRANA 39

Nakon to je konfiguracija obrisana, moete ponovo pokrenuti svi da biste inicirali

novu konfiguraciju.

Konfiguracija password-a
Podaci su veoma vredni i moraju se revnosno uvati i tititi. FBI procenjuje da
kompanije gube 67,2 milijarde dolara godinje zbog kriminala vezanog za raunare.
Lini podaci klijenata se posebno prodaju po visokim cenama. Slede trenutne cene
za ukradene podatke:

ATM ili debitna kartica sa PIN-om (personal identification number): $500

Broj vozake dozvole: $150
Matini broj gradjana: $100
Broj kreditne kartice za datumom vaenja: $15 do $20

Obezbeivanje vaih svieva zapoinje sa zatitom od neovlaenog pristupa.

itavu konfiguraciju moete obaviti direktno iz kozole. Da biste pristupili konzoli,
morate posedovati lokalni fiziki pristup ureaju. Ako ne obezbedite konzolni port
na adekvatan nain, zlonameran korisnik moe kompromitovati konfiguraciju svia.
OBEZBEIVANJE KONZOLE

Da biste zatitili konzolu od neovlaenog pristupa, postavite password na konzolnom portu korienjem password <password> line komande u konfiguracionom
modu. Iskoristite line console 0 komandu da biste preli iz globalnog
konfiguracionog moda u mod konfiguracije linije za console 0, to je konzolni port
za Cisco svieve. U novom modu stoji: (config-line)#, to pokazuje da je svi sada
u modu za konfiguraciju linije. Iz moda za konfiguraciju linije , moete postaviti
password konzole unoenjem password <password> komande. Da biste obezbedili
da je korisnik prilikom pristupa konzolnom portu u obavezi da unese password,
koristite login komandu. ak I kada je password definisan, ne zahteva se njegovo
unoenje prilikom pristupa, sve dok se ne zada login komanda.
Sledea tabela prikazuje komande koje se koriste za konfiguraciju I zahtevanje
password-a za konzolni pristup. Podsetite se da moete da koristite show runningconfig komandu da biste verifikovali vau konfiguraciju. Na kraju podeavanja
konfiguracije svia, zapamtite da sauvate trenutnu konfiguraciju file u poetnu.

STRANA 40

Uklanjanje konzolnog passworda

Ako je potrebno da uklonite password i obavezu za njegovo unoenje prilikom

pristupa konzoli, iskoristite sledee korake:
Korak 1: Preite iz privilegovanog EXEC moda u globalni konfiguracioni mod.
Unesite configure terminal komandu.
Korak 2: Preite iz globalnog konfiguracionog moda u mod za konfiguraciju linije
za konzolu 0. Komandna linija (config-line)# pokazuje da ste u modu za
konfiguraciju linije. Unesite line console 0.
Korak 3: Uklonite password iz konzolne linije korienjem no password komande.
Korak 4: Uklonite obavezu da se unese password prilikom pristupanja konzolnoj
liniji korienjem no login komande.
Korak 5: Izaite iz konfiguracionog moda linije i vratite se u privilegovani EXEC.
OBEZBEIVANJE VTY PORTOVA

Vty portovi na Cisco sviu omoguavaju pristup ureaju sa udaljene lokacije. Moete
podesiti itavu konfiguraciju korienjem vty portova. Nije vam potreban fiziki
pristup ureaju da biste pristupili vty portovima, i zato je veoma vano njihovo
obezbeivanje. Bilo koji korisnik sa mrenim pristupom sviu moe uspostaviti
udeljenu konekciju na vty terminal. Ako vty portovi nisu na pravi nain obezbeeni,
zlonameran korisnik moe da kompromituje konfiguraciju svia.
Da biste obezbedili vty portove od neovlaenog pristupa, moete postaviti vty
password koji e se zahtevati pre nego to se dozvoli pristup. Da biste postavili
password na vty portove, morate biti u linijskom konfiguracionom modu.

STRANA 41

Mogu postojati mnogo vty portova dostupnih na Cisco svievima. Vie portova
dozvoljavaju vie nego jednom administratoru da se konektuje i upravlja sviom. Da
biste obezbedilii sve vty linije, osigurajte se da je postavljen password i da je
postavljeno obavezno logovanje na sve linije. Ostavljanje nekih linija neosiguranih
kompromituje bezbednost i omoguava pristup neovlaenim korisnicima. Koristite
line vty 0 4 komandu da biste preli iz globalnog konfiguracionog moda u
konfiguracioni mod za vty linije od 0 do 4.
Napomena: ako svi ima vie vty linija dostupno, podesite opseg da biste ih
obezbedili sve. Na primer, na Cisco 2960 sviu dostupne su vty linije od 0 do 15.

U tabeli se vide komande koje se koriste za konfiguraciju i zahtevanje passworda

prilikom logovanja na vty linije. Moete koristiti show running-config za
verifikovanje konfiguracije i copy running-config startup-config komandu za
uvanje podeavanja.
Uklanjanje vty passworda

Ako je potrebno da uklonite password i obavezu za njegovim unosom prilikom

logovanja, iskoristite sledee korake.
Korak 1: Preite iz privilegovanog EXEC moda u globalni konfiguracioni mod.
Unesite configure terminal komandu.
Korak 2: Preite iz globalnog konfiguracionog moda u linijski konfiguracioni mod
za vty terminale od 0 do 4. Komandna linija (config-line)# ukazuje da ste u
linijskom konfiguracionom modu. Unesite komandu line vty 0 4.

STRANA 42

Korak 3: Uklonite password sa vty linija korienjem no password komande.

Oprez: ako password nije definisan, a login je i dalje omoguen, nije mogu pristup
vty linijama.
Korak 4: Uklonite obavezu za unoenje passworda prilikom logovanja na vty linije
korienjem no login komande.
Korak 5: Napustite linijski konfiguracioni mod i vratite se u privilegovani EXEC
mode korienjem naredbe end.
KONFIGURACIJA EXEC MOD PASSWORDA

Privilegovani EXEC mod omogucava bilo kom korisniku, ako omogui taj mod da
konfigurie bilo koju opciju dostupnu na sviu. Takoe moete pregledati sva
trenutna podeavanja na sviu, ukljuujui i neke nekriptovane passworde. Iz ovog
razloga, vano je da se zatiti pristup privilegovanom EXEC modu.
Komanda enable password u globalnom konifguracionom modu omoguava vam
da definiete password da biste ograniili pristup privilegovanom EXEC modu.
Meutim, problem sa enable password komandom je da se tada password uva u
obliku itljivog teksta u startup-config i running-config. Ako neko obezbedi pristup
sauvanom startup-config fajlu, ili privremeni pristup telnet ili konzolnoj sesiji koja
je ulogovana u privilelogavom EXEC modu, mogu da vide password. Kao rezultat
toga, Cisco je uveo nove password opcije za kontrolu pristupa privilegovanom EXEC
modu koji uva password u enkriptovanom formatu.
Moete dodeliti enkriptovanu formu omoguenog passworda, koji se naziva enable
secret password, unoenjem enable secret komande sa eljenim passwordom u
globalnom konfiguracionom modu. Ako je postavljen enable secret password on se
koristi umesto enable password, ne zajedno sa njim. Postoji i mehanizam ugraen u
Cisco IOS koji vas obavetava kada se postavlja enable secret password na isti
password korien za enable password. Ako su uneeni identini passwordi, IOS e
prihvatiti password ali e vas obavestiti da su isti i savetovae vas da unesete novi
password.

STRANA 43

U tabeli iznad se vide komande koje se koriste za konfiguraciju privilegovanih EXEC

mod passworda. Moete koristiti show running-config za verifikovanje
konfiguracije i copy running-config startup-config komandu za uvanje
podeavanja.
Uklanjanje EXEC mod passworda

Ako je potrebno da uklonite zahtevanje passworda prilikom pristupanja

privilegovanom EXEC modu, moete iskoristiti no enable password i no enable
secret komande u globalnom konfiguracionom modu.
KONFIGURACIJA ENKRIPCIJE PASSWORDA

Prilikom konfiguracije Cisco IOS CLI-a, svi passwordi, osim enable secret
passworda, se uvaju u text formatu u okviru startup-config i running-config.

STRANA 44

Na slici iznad se vidi skraeni izgled ekrana prilikom show running-config naredbe
na S1 sviu. Jasno vidljivi passwordi su oznaeni narandastom bojom . Opte je
prihvaeno da bi passwordi trebalo da budu enkriptovani i da se ne uvaju u obliku
jasno vidljivog teksta. Cisco IOS komanda service password-encryption
omoguava enkripciju passworda.
Kada se komanda service password-encryption unese u globalnom
konfiguracionom modu, svi sistemski passwordi se uvaju u enkriptovanoj formi.
im se unese naredba, svi trenutno postavljeni passwordi se pretvaraju u
enkriptovane passworde.
Ako elite da uklonite zahteve za uvanje svih sistemskih passworda u
enkriptovanom formatu, unessite no service password-encryption komandu u
globalnom konfiguracionom modu. Uklanjanje enkripcije passworda ne pretvara
trenutno enkriptovane passworde u jasno itljiv tekst. Meutim, svi novi postavljeni
passwordi se uvaju u formatu jasno vidljivog teksta.
Napomena: standard enkripcije koji se koristi od strane service passwordencryption komande se oznaava kao tip 7. Ovaj standard enkripcije je veoma slab
i postoje svima dostupna sredstva na Internetu za dekriptovanje passworda
enkriptovanih sa ovim standardom. Tip 5 je bolji, ali mora biti iniciran runo za
svaku konfiguraciju passworda.
OMOGUAVANJE OBNOVE PASSWORDA

Posle postavljanja passworda, radi kontrole pristupa Cisco IOS CLI-u, morate biti
sigurni da ete ih zapamtiti. U sluaju da ste zaboravili pristupne passworde, Cisco
ima mehanizam za oporavak passworda koji omoguava administratorima da dobije
pristup njihovim Cisco ureajima. Oporavak passworda zahteva fiziki pristup
ureaju.

Na slici iznad se vidi izgled konzolnog prozora koji ukazuje da je oporavak

passworda omoguen.

STRANA 45

Napomena: neete uspeti da povratite prethodno postavljeni password, posebno

ako je omogueno enkriptovanje passworda, ali ete moi da ih postavite na novu
vrednost.
Da biste povratili password na Cisco 2960 sviu, iskoristite sledee korake:
Korak 1. Poveite se na terminal ili raunar sa softverom za emulaciju terminala
konzolnog porta svia.
Korak 2. Podesite brzinu linije emulacionog softvera na 9600 baud.
Korak 3. Iskljuite svi. Ponovo poveite kabal za napajanje sa sviom i u sledeih
15 sekundi, pritisnite Mode dugme dok System LED svetli zeleno. Nastavite da drite
pritisnuto Mode dugme sve dok System LED ne postane na kratko boje ilibara i
onda zelene boje. Onda otpustite Mode dugme.
Korak 4. Inicijalizujte Flash file system korenjem flash_init komande.
Korak 5. Uitajte bilo koji pomoni fajl sa komandom load_helper.
Korak 6. Prikaite sadraj Flash memorije korienjem komande dir flash:
Pojavi se fajl sistem svia:
Directory of flash:
13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX
11 -rwx 5825 Mar 01 1993 22:31:59 config.text
18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat
16128000 bytes total (10003456 bytes free)
Korak 7: Preimenovati konfiguracioni fajl u config.text.old, koji sadri definicije
passworda, korienjem rename flash:config.text flash:config.text.old
komande.
Korak 8: Butujte sistem sa komandom boot.
Korak 9: Pojavljuje vam se dijalog za poetak podeavanja. Unesite N u dijalogu, i
kada vas sistem upita da li elite da nastavite u konfiguracionom dijalogu, unesite
N.
Korak 10: Uite u privilegovani EXEC mod korienjem enable komande.

STRANA 46

Korak 11: Preimenujte konfiguracioni fajl u njegovo originalno ime koristei rename
flash:config.text.old flash:config.text komandu.
Korak 12: Izkopirajte konfiguracioni fajl u memoriju koristei copy
flash:config.text system:running-config. Nakon to se unese ova komanda
sledee je prikazano u konzoli:
Source filename [config.text]?
Destination filename [running-config]?
Pritisnite Return kao odgovor dijalogu za potvrdu. Konfiguracioni fajl je sada
ponovo uitan, i moete promeniti password.
Korak 13: Uite u globalni konfiguracioni mod korienjem configure terminal
komande.
Korak 14: Promenite password korienjem enable secret password komade.
Korak 15: Vratite se u privilegovani EXEC mod korienjem exit komande.
Korak 16: Upiite running configuration u startap configuration fajl korienjem
komande copy running-config startup-config.
Korak 17. Ponovo uitajte konfiguraciju svia korienjem komande reload.
Napomena: procedura povratka passworda, moe biti drugaija u zavisnosti od
serije Cisco svia, tako da je potrebno obratiti se dokumentaciji proizvoda pre nego
to pokuate povratak passworda.
KONFIGURACIJA LOGIN BANERA

Skup Cisco IOS komandi ukljuuje mogunost konfiguracija poruka koje e se

prikazivati prilikom logovanja na svi. Ove poruke se nazivaju login baneri i poruka
dana (MOTD message of the day) baneri. U ovom poglavlju, nauiete kako da ih
konfiguriete.
Moete definisati poruku koja e se prikazivati pre zahteva za unosom korisnikog
imena i passworda korienjem banner login komande u globalnom
konfiguracionom modu. Postavite tekst unutar navodnika ili korienjem delimetra
drugaijeg od bilo kog drugog karaktera koji se pojavljuje u MOTD stringu.

STRANA 47

Na slici iznad se vidi konfigurisanje svia S1, postavljanjem login banera na

Authorized Personnel Only!
Da biste uklonili MOTD banner, unesite no formu ove komande u globalnom
konfiguracionom modu, na primer, S1 (config) #no banner login.
KONFIGURACIJA MOTD BANERA

MOTD baner se prikazuje na svim povezanim terminalima, prilikom logovanja i

koristan je za slanje poruka koje utiu ne sve mrene korisnike (kao to su neizbena
gaenja sistema). MOTD baner se prikazuje pre login banera, ako je postavljen.
Definiite MOTD baner korienjem banner motd komande u globalnom
konfiguracionom modu. Sa obe strane teksta postavite navodnike.

Na slici se vidi konfiguracija svia S, gde se za MOTD baner postavlja Device

maintenance will be occurring on Friday.
Da biste uklonili login baner, unesite no formu ove komande u globalnom
konfiguracionom modu, na primer S1 (config) #no banner motd.
KONFIGURACIJA TELNET I SSH

Postoje dve mogunosti za udaljeno pristupanje vty linijama na Cisco sviu.

Telnet je prvobitna metoda koje je bila podrana na ranim Cisco svi modelima.
Telnet je popularni protokol korien za pristup terminalu zato to veina
savremenih operativnih sistema dolaze sa ugraenim Telnet klijentom. Meutim,
Telnet je nebezbedan nain pristupanja mrenom ureaju, zato to itavu
komunikaciju kroz mreu alje u obliko jasno vidljivog teksta. Korienjem softvera
za nadgledanje mree, napada je u stanju da proita svaki pritisak tastera koji se
alje izmeu Telnet klijenta i Telnet servisa pokrenutog na Cisco sviu. Zbog briga

STRANA 48

oko bezbednosti Telnet protokola, SSH je postao poeljniji protokol za udaljeno

pristupanje virtualnim linijama terminala na Cisco uredjajima.
SSH daje isti tip pristupa kao Telnet sa dodatnom koristi od bezbednosti.
Komunikacija izmeu SSH klijenta i SSH servera je enkriptovana. SSH je imao
nekoliko verzija, pri emu Cisco ureaji trenutno pordravaju i SSHv1 i SSHv2.
Preporueno je da implementirate SSHv2 kada je to mogue, zato to koristi jai
bezbedonosni algoritam za kriptovanje u odnosu na SSHv1.
Konfiguracija telneta

Telnet je podrazumevani protokol koji podrava vty, na Cisco sviu. Kada se Cisco
sviu dodeli IP adresa, moete se povezati na njega koristei Telnet klijenta.
Prvobitno, vty linije su nezatiene na taj nain dozvoljavajui pristup bilo kom
korisniku koji pokua da se povee na njih.
U prethodnom poglavlju, videli smo kako se titi pristup sviu preko vty linija tako
to podesite zahtevanje autentifikacije passwordom. Ovo omoguava pokretanje
Telnet servisa malo sigurnijim.
Zato to je Telnet podrazumevani prenos za vty linije, ne morate da ga pokrenete
posle poetne konfiguracije svia. Meutim, ako ste promenili prenosni protokol na
vty linijama da dozvoli samo ssh, morate da omoguite Telnet protocol da biste
dozvolili pristup preko Telneta.
Ako vam je potrebno da ponovo omoguite Telnet protokol na Cisco 2960 sviu,
ikoristite sledeu komandu iz konfiguracionog moda linija: (configline)#transport input telnet or (config-line)#transport input all.
Omoguavajui sve protokole za prenos, omoguili ste I SSH pristup sviu kao I
Telnet pristup.

Konfiguracija SSH

SSH je kriptografska bezbedonosna mogunost. Da biste koristili

funkcionalnost, kriptografska slika mora biti instalirana na vaem sviu.

ovu

SSH opcija ima SSH server I SSH integrisanog klijenta, koje predstavljaju aplikacije
koje su pokrenute na sviu. Moete iskoristiti bilo koji SSH klijent pokrenut na PCSTRANA 49

u ili Cisco SSH klijent pokrenut na sviu da biste se povezali na svi na kome je
pokrenut SSH server.
Svi podrava SSHv1 I SSHv2 za serversku komponentu. Svi podrava jedino SSHv1
za klijentsku komponentu.
SSH podrava DES (Data Encryption Standard) algoritam, Triple DES (3DES)
algoritam, I autentifikaciju korisnika passwordom. DES omoguava 56-bitnu
enkripciju, I 3DES omoguava 168-bitnu enkripciju. Enkripcija zahteva vreme, sa tim
da DES zahteva manje vremena od 3DES-a. Tipino, standardi enkripcije su
definisani od strane klijenta, tako da ako morate da konfiguriete SSH, pitajte koji
da koristite.
Da biste implementirali SSH, morate da generiete RSA kljueve. RSA ukljuuje
javni klju, koji se uva na RSA serveru, I privatni klju, koji poseduju samo poiljalac
I primalac. Javni klju moe biti poznat svima I koristi se za enkripciju poruke.
Poruke enkrtiptovane javnim kljuem mogu se jedino dekriptovati privatnim
kljuem. Ovo je poznato kao asimetrina enkripcija.
Morate da generiete enkriptovane RSA kljueve korienjem komande crypto key
generate rsa.
Ova procedura je potrebna ako konfiguriete svi kao SSH server. Ako ste u
privilegovanom EXEC modu, pratite sledee korake da biste konfigurisali hostname
i IP ime domena i da biste generisali RSA par kljueva.
Korak1. Uite u globalni konfiguracioni mod.
Korak2. Postavite ime svia korienjem hostname komande.
Korak3. Postavite ime domena za va svi koristei komandu ip domain-name
domain_name.
Korak4. Omoguite SSH server za lokalnu i udaljenu autentifikaciju na sviu i
generiite par kljueva korienjem crypto key generate rsa komande.
Kada elite da generiete RSA kljueve, morate uneti duinu modua. Cisco
preporuuje duinu od 1024 bita. Vea duina je sigurnija, ali je due vreme
potrebno za generisanje kljueva.
Korak5. Vratite se u privilegovani EXEC mod sa end komandom.

STRANA 50

Korak6. Prikaite status SSH servera na sviu korienjem show ip ssh ili show ssh
komandi.
Da biste obrisali par RSA kljueva, koristite crypto key zeroize rsa komadnu u
globalnom konfiguracionom modu. Nakon to je RSA par kljueva obrisan, SSH
server je automatski iskljuen.

Na slici iznad se vidi postupak konfiguracije SSH-a.

PRIMERI TIPINIH NAPADA

Naalost, osnovna sigurnosna podeavanja svia ne spreavaju napade. U ovom delu

ete se upoznati sa nekoliko primera tipinih napada i koliko su opasni.
MAC Address Flooding

Poplava MAC adresa je uobiajeni napad. Podsetite se da MAC adresna tabela svia
sadri MAC adrese dostupne na zadatom fizikom portu svia i asocirane VLAN
parametre za svaki. Kada L2 svi primi frejm, svi pogleda u MAC adresnu tabelu za
odredinu MAC adresu. Svi modeli Catalyst svieva koriste tabelu MAC adresa za
prosleivanje frejmova na nivou 2. Kako frejmovi pristiu na portove svia, izvorine
MAC adrese se ue i pamte u tabeli. Ako postoji unos za zadatu MAC adresu, svi
prosleuje frejmove do porta sa MAC adresom specificiranom u tabeli. Ako ne
postoji, svi se ponaa kao hab i prosleuje frejmove na sve druge portove svia.
Prekoraenje veliine MAC adresne tabele se ponekad naziva poplava MAC
adresama. (MAC flooding attacks).
Sledi opis ovog metoda:

STRANA 51

Korak 1. Host A alje podatke hostu B. Svi prima frejmove i trai odredinu MAC
adresu u njegovoj MAC adresnoj tabeli. Ako svi ne uspe da nae odredinu MAC
adresu u tabeli, svi kopira frejm i broadcastuje ga na sve portove svia.

Korak 2. Host B prima frejm i alje odgovor hostu A. Svi onda ui da je MAC adresa
hosta B locirana na portu 2 i upisuje tu informaciju u MAC adresnu tabelu.

STRANA 52

Host C takoe prima frejm, ali zato to je odredina MAC adresa tog frejma host B,
host C odbacuje frejm.

Korak 3. Sada, bilo koji frejm poslat od strane hosta A (ili bilo kog drugog hosta) do
hosta B se prosleuje na port 2 svia i ne prosleuje na svaki port.
Klju razumevanja kako ovaj napad radi je da znate da su tabele MAC adresa
ograniene veliine. Poplava MAC adresa iskoriava ova ogranienja da bi
bombardovala svi sa lanim MAC adresama sve dok tabela MAC adresa svia ne
bude puna. Svi tada prelazi u takozvani fail-open mod, poinje da se ponaa kao
hab, i broadcastuje pakete na sve maine u mrei. Kao rezultat, napada moe da
vidi sve frejmove koji se alju sa hosta rtve do drugog hosta bez unosa u tabeli MAC
adresa.

STRANA 53

Korak 4. Na slici se vidi kako napada koristi karakteristike svia da bi spreio

njegov pravilan rad.

Korak 5. Sve dok je sredstvo sa mreni napad ukljueno, MAC adresna tabela svia
ostaje puna. Kada se ovo desi, svi poinje da broadcastuje sve primljene frejmove
na sve ostale portove tako da frejmovi koji se alju od hosta A do hosta B se takoe
broadcastuje na port 3 svia.

STRANA 54

Spoofing napadi

Jedan od naina kako napada moe da obezbedi pristup je da spoofuje odgovore

koji bi bili poslani od strane validnog DHCP serevera. DHCP spoofing ureaj
odgovara prilikom klijentskih DHCP zahteva. Legitimni server moe takodje da
odgovori, ali ako je spoofing uredjaj na istom segmentu kao i klijent, njegovi
odgovori mogu da stignu prvi do klijenta. Uljezov DHCP odgovor nudi IP adresu i
pratee informacije koje ukazuju da je uljez defaultni gateway ili DNS server. U
sluaju gateway-a, klijenti prosledjuju pakete do ureaja napadaa, koji ih
prosledjuje do eljene lokacije. Ovo se naziva i ovek-u-sredini napad, i moe proi
u potpunosti nedetekrtovan dok uljez presree protok podataka kroz mreu.
Jo jedan tip DHCP napada je DHCP izgladnjivanje. Napadaki PC kontinualno
zahteva IP adrese od stvarnog DHCP servera menjanjem izvorinih MAC adresa.
Ako je uspean, ovaj tip DHCP napada uzrokuje da sve adrese koje DHCP nudi budu
alocirane, i na taj nain sprei stvarne korisnike od dobijanja IP adrese.
Da biste spreili DHCP napade, koristite DHCP snooping i bezbednost na nivou
svi-porta.

STRANA 55

DHCP Snooping

DHCP snooping je funkcija Cisco Catalyst svia koja odreuje koji portovi svia
mogu da odgovore na DHCP zahteve. Portovi se identifikuju kao poverljivi i
nepoverljivi. Poverljivi portovi mogu da prosledjuju sve DHCP poruke, a nepoverljivi
samo zahteve. Ako uljez na nepoverljivom portu pokua da poalje DHCP odgovor
u mreu, port se iskljuuje. Ova funkcija se moe koristiti zajedno sa DHCP
opcijama u kojima informacije o sviu, kao to su ID porta DHCP zahteva, mogu biti
ubaeni u DHCP zahtev.
Nepoverljivi portovi su oni koji nisu eksplicitno konfigurisani kao poverljivi. DHCP
tabela vezivanja je napravljena za nepoverljive portove. Svaki unos sadri klijntsku
MAC adresu, IP adresu, vreme iznajmljivanja, tip vezivanja, broj VLAN-a, i ID porta
koji se pamte kada klijenti naprave DHCP zahteve. Tabela se onda koristi da se
filtrira naredni saobraaj. Iz perspektive DHCP snooping-a, nepoverljivi portovi ne
bi trebalo da alju nikakve DHCP odgovore.
Sledei koraci ilustruju kako da konfiguriete DHCP snooping na Cisco IOS sviu:
Korak 1. Omoguite DHCP snooping koristei ip dhcp snooping globalnu
konfiguracionu komandu.
Korak 2. Omoguite DHCP snooping za odreene VLAN-ove koristei ip dhcp
snooping vlan number [number] komandu.
Korak 3. Definiite portove kao poverljive i nepoverljive na nivou interfejsa
definisanjem poverljivih portova korienjem komande ip dhcp snooping trust.
STRANA 56

Korak 4. (Opciono) Ograniite stopu kojom napada moe da kontinualno alje

lane DHCP zahteve kroz nepoverljive portove koristei ip dhcp snooping limit
rate rate komandu.
CDP napadi

Cisco Discovery Protocol (CDP) je vlasniki protokol za koji svi Ciso ureaji mogu
biti konfigurisani da koriste. CDP otkriva druge Cisco ureaje koji su direktno
povezani, to omoguava ureaju da auto-konfigurie svoje konekcije u nekim
sluajevima, olakavajui konfiguraciju i povezivanje. CDP poruke nisu kriptovane.
Standardno, veina Cisco rutera i svieva ima CDP omoguen. CDP informacije se
alju periodino. Zato to je CDP protokol nivoa 2, ne propagira se od strane rutera.
CDP sadri informacije o ureaju, kao to su IP adrese, softverska verzija, platforma,
mogunosti i native VLAN. Kada je ova informacija dostupna napadau, mogu da je
iskoriste prilikom napada na vau mreu, tipino u formi DoS (Denial of Service)
napada.
Na slici ispod se vidi deo Ethernet paketa koji pokazuje unutraljost CDP paketa.
Posebno bi verzija Cisco IOS softver koji je otkriven preko CDP-a omoguila
napadau da istrai da li postoje odreene slabosti specifine za odreenu verziju
koda. Takoe, zato to je CDP neautorizovan, napada moe da spremi lane CDP
pakete i iskoristi za napad.

Da biste reili ovu slabost, preporuljivo je da onemoguite CDP protokol na

ureajima kojima nije potreban.
STRANA 57

Telnet napadi

Telnet protokol moe biti korien od strane napadaa da bi dobio udaljen pristup
Cisco mrenom sviu. Obezbeivanje vty linija prua osnovnu i kljunu zatitu sviu
od neovlaenog pristupa. Meutim, nije dovoljno bezbedna jer postoje alati koji
omoguavaju napadau da pokrene nasilan (brute force) napad na password koji ste
postavili za vty linije.
Brute force password napad

Prva faza brute force password napada poinje kada napada koristi listu estih
passworda i program koji pokuava da uspostavi Telnet sesiju korienjem svake rei
iz renika. Sa sreom, ako ne koristite rei iz renika za sada ste bezbedni to se tie
ove faze. U drugoj fazi, napada koristi program koji kreira sekvence kombinacija
karaktera u pokuaju da pogodi password. Ako ima dovoljno vremena, brute force
password moe da probije gotovo sve koriene passworde.
Najjednostavniji nain da ograniite slabost na brute force napade je da esto
menjate passworde i koristite jake passworde meajui velika i mala slova sa
brojevima. Naprednija podeavanja vam omoguavaju da ograniite ko moe da
komunicira sa vty linijama koristei access liste.
DoS napad

Jo jedan tip Telnet napada je DoS napad. Prilikom DoS napada, napada iskoriava
manu u softveru Telnet servera koji je pokrenut na sviu koji ini da Telnet servis
postane nedostupan. Ovaj tip napada je ponajvie smetnja, jer spreava
administratore od sprovoenja funkcija upravljanja sviom.
Ove ranjivosti u Telnet servisima koje omoguavaju DoS napodima da se dese se
obino ispravljaju u bezbedonosnim peevima ukljuenim u novije Cisco IOS
revizije.
MERE ZATITE

Nakon to ste podesili svi korektno, morate proveriti da niste ostavili slabosti koje
bi napada mogao da iskoristi. Bezbednost mree je kompleksno pitanje.
Mere zatite mree vam pomau da testirate mreu na razliite slabosti. To su alati
koji vam omoguavaju da igrate ulogu hakera i analizirate bezbednost mree.
Korienjem ovih mera, moete pokrenuti napad i revidirati rezultate (audit) da
biste proceniili ta da promenite da biste spreili odreeni napad.

STRANA 58

Funkcionalnosti koriene od strane alata za mrenu zatitu konstantno evoluiraju.

Na primer, ranije su se alati za zatitu mree fokusirali samo na servise koji su
pokrenuti na mrei i prouavali ove servise da bi pronali njihove mane. Danas,
virusima i crvima se konstantno poveavaju brojevi zbog greki u mail klijentima
i Web pretraivaima. Moderni mreni alati za zatitu, ne samo da detektuju greke
na hostovima na mrei, ve i odreuju da li postoje greke na nivou aplikacije, kao
to je nedostatak softverskih zakrpa na klijentskim raunarima. Mrena
bezbednost pored mrenih ureaja, obezbeuje zatitu sve do nivoa korisnika
raunara. Revizija mree i praenje mrenog saobraaja i otrivanje potencijalnih
upada su dve osnovne funkcije koje alati za bezbednost mree obavljaju.
Pasivne mere
Revizija mree (audit)

Mreni alati za bezbednost vam dozvoljavaju da vrite bezbedonosnu reviziju

mree. Revizija mree otkriva koju vrstu informacija napada moe da prikupi, tako
to jednostavno prati saobraaj mree. Ovi alati vam omoguavaju da
poplavite MAC adresnu tabelu sa lanim MAC adresama. Onda moete da izvrite
reviziju portova svia tako to svi poinje da alje saobraaj na sve portove jer
legitimna mapiranja MAC adresa zastarevaju i zamenjuju se sa lanim mapiranjima.
Na ovaj nain, moete odrediti koji portovi su kompromitovani i nisu podeeni
korektno da bi spreili ovaj tip napada.
Prilikom izvravanja revizije mree potrebno je posvetiti veliku panju koji tipovi
svieva postoje u mrei, jer razliiti svievi mogu podravati razliit broj MAC adresa
u svojim MAC adresnim tablicama. Takoe, morate se prilagoditi vremenu
zastarivanja MAC adresa.
Aktivne mere
Praenjem mrenog saobraaja i otkrivanje potencijalnih upada (penetration test)

Alati za bezbednost mree, se takoe mogu koristiti za otkrivanje potencijalnih

upada u vau mreu (penetration testing). Ovaj vid testova vam omoguava da
identifikujete slabosti unutar konfiguracije vaih mrenih ureaja. Postoji veliki broj
napada koje moete izvriti i veina alata dolazi sa opirnom dokumentacijom koja
dateljno opisuje sintaksu potrebnu da bi se izvrio eljeni napad. Zato to ovakav tip
testova moe da ima tetne posledice po mreu, izvravaju se u strogo kontrolisanim
uslovima, pratei dokumentovanu proceduru.

STRANA 59

IDS i IPS sistemi

Sistem za detekciju upada (IDS Intrusion Detection System) je ureaj ili

aplikacija koja prati saobraaj na mrei ili aktivnosti sistema u potrazi za
zlonamernim aktivnostima i podnosi elektronski izvetaj upravljakoj stanici.
Postoji vie tipova ovakvih sistema, koji na razliite naine detektuju sumnjivi
saobraaj. Postoje mreni (NIDS Network IDS) i klijentski (HIDS Host IDS)
sistemi za detekciju upada. NIDS se postavljaju na stratekim mestima u mrei da
bi pratili saobraaj od i ka svim ureajima na mrei. HIDS se pokreu na
individualnim ureajima ili klijentima i oni prate samo podatke koje prima ili alje
klijent. IDS se koriste za detekciju i identifikaciju problema, dokumentovanje
postojeih pretnji i prijavljivanje administratoru mree. Od njih se ne oekuje
zaustavljanje uljeza.
Sistemi za spreavanje upada (IPS Intrusion Prevention System) poznati i kao
sistemi za detekciju i spreavanje upada (IDPS - Intrusion Detection Prevention
System), su alati za mrenu bezbednost koji prate saobraaj mree i aktivnosti
sitema za zlonamernim aktivnostima. Glavne funkcije sistema za spreavanje
upada su da identifikuju zlonamernu aktivnost, loguju informacije o toj aktivnosti,
pokuaju da je zaustave i na kraju je prijave. Ovi sistemi se smatraju proirenjima
sistema za detekciju upada jer oba sistema prate mreni saobraaj radi otrivanja
zlonamernih aktivnosti. Glavna razlika je u tome to su IPS u stanju da aktivno
spree/blokiraju detektovane upade. Neke od akcija koje se u tim sluajevima
izvraavaju su: slanje alarma, odbacivanje zlonamernih paketa, resetovanje
konekcije i/ili blokiranje saobraaja od identifikovane IP adrese.
KONFIGURACIJA BEZBEDNOSTI NA NIVOU PORTOVA (PORT SEQURITY)

U ovom poglavlju, opisana je konfiguracija bezbednosti na nivou portova na sviu.

Sumirane su kljune Cisco IOS komande za sigurnost portova i konfiguracija
statike i dinamike sigurnosti portova.
Bezbednost na nivou portova

Svi koji ne omoguava sigurnost na nivou portova dozvoljava napadau da povee

sistem na slobodan, omoguen port i da izvri napade ili prikupljanje informacija.
Svi moe biti konfigurisan da se ponaa kao hub, to znai da svaki sistem povezan
na svi moe potencijalno videti sav mreni saobraaj koji prolazi kroz svi. Na taj
nain, napada bi mogao da pokupi saobraaj koji sadri podatke kao to su
korisnika imena, lozinke ili konfiguracione podatke o sistemima na mrei.

STRANA 60

Svi portovi svia ili interfejsi bi trebalo biti osigurani pre nego to se svi postavi.
Bezbednost porta ograniava broj validnih MAC adresa koje su dozvoljene na portu.
Kada dodelite sigurne MAC adrese osiguranom portu, port ne prosleuje pakete sa
adresama izvorita van grupe definisanih adresa.
Ako ograniite broj sigurnih MAC adresa na jednu i dodelite jednu sigurnu MAC
adresu tom portu, radnoj stanici povezanoj na taj port se omoguava itav protok
preko tog porta, i da se samo ta radna stanica moe uspeno povezati na taj port
svia.
Ako je port konfigurisan kao siguran port i maksimalan broj dozvoljenih adresa je
dostignut, dolazi do bezbedonosnog problema jer MAC adresa radne stanice koja
pokuava da pristupi portu je razliita od bilo koje definisane sigurne MAC adrese.
Tipovi zatite na nivou svi-porta

Postoji vie naina konfigurisanja bezbednosti na nivou portova. Slede opisi naina
konfigurisanja sigurnosti portova na Cisco sviu:

Statiki sigurne MAC adrese: MAC adrese se runo konfiguriu

korienjem switchport port-security mac-adress mac-address komande
u modu konfiguracije interfejsa. MAC adrese konfigurisane na ovaj nain se
skladite u tabeli adresa i dodaju se u running configuration svia.
Dinamiki sigurne MAC adrese: MAC adrese se dinamiki ue i uvaju u
tabeli adresa. MAC adrese zapamene na ovaj nain se briu prilikom
restartovanja svia.
Sticky sigurne MAC adrese: Moete konfigurisati port da dinamiki naui
MAC adrese i sauva te adrese u running configuration.

Sticky MAC adrese

Sticky sigurne MAC adrese imaju sledee karakteristike:

Kada omoguite sticky uenje na interfejsu korienjem switchport portsecurity mac-address sticky komande u modu za konfiguraciju interfejsa,
interfejs konvertuje sve dinamiki sigurne MAC adrese, ukljuujui one koje
su dinamiki nauene pre nego to je sticky uenje omogueno, u sticky
sigurne MAC adrese i doda sve sticky sigurne MAC adrese u running
configuration.
Ako onemoguite sticky uenje korienjem no switchport port-security
mac-address sticky komande, sticky sigurne MAC adrese ostaju deo tabele
adresa ali se uklanjaju iz running configuratiom.

STRANA 61

Nakon korienja komande switchport port-security mac-address sticky

mac-address, sticy sigurne MAC adrese se dodaju u tabelu adresa i running
configuration. Ako je onemoguena sigurnost portova, sticky MAC adrese
ostaju u running configuration.
Ako sauvate sticky sigurne MAC adrese u konfiguracioni fajl, kada se svi
restartuje ili se iskljui interfejs, interfejs ne mora ponovo da naui ove
adrese. Ako ne sauvate sticky sigurne adrese, one su izgubljene.
Ako onemoguite sticky uenje i unesete switchport port-security macaddress sticky mac-address, pojavljuje se poruka o greci, i stcky sigurna
MAC adresa se ne dodaje u running configuration.

REAKCIJA PORTA U SLUAJU NEOVLAENOG PRISTUPA

Dolazi do krenja bezbednosti prilikom bilo koje od sledee dve situacije:

Maksimalni broj sigurnih MAC adresa je dodat u tabelu adresa, i stanica ija
MAC adresa nije u tabeli adresa pokua da pristupi interfejsu.
Adresa nauena ili konfigurisana na jednom interfejsu je viena na drugom
sigurnom interfejsu na istom VLAN-u.

Moete konfigurisati interfejs na jedan od tri bezbedonosna moda, u zavisnosti od

akcije koja treba da se izvri prilikom krenja bezbednosti. Na slici iznad se vide koji
tipovi saobraaja se prosleuju kada su razliiti bezbedonosni modovi konfigurisani
na portu:

mod protect: Kada broj sigurnih MAC adresa dostigne granicu dozvoljenu
na portu, paketi sa nepoznatom izvorinom adresom se odbacuju sve dok ne
uklonite dovoljan broj MAC adresa ili poveate broj maksimalnih dozvoljenih
adresa. Niste obaveteni da je dolo do krenja bezbednosti.
mod restrict: Kada broj sigurnih MAC adresa dostigne granicu dozvoljenu
na portu, paketi sa nepoznatom izvorinom adresom se odbacuju sve dok ne
uklonite dovoljan broj MAC adresa ili poveate broj maksimalnih dozvoljenih
adresa. U ovom modu, obaveteni ste o krenju bezbednosti. Detaljnije:
SNMP trap se alje, loguje se sistemska poruka, i broja prekraja se
inkrementira.

STRANA 62

mod shutdown: U ovom modu, krenje bezbednosti uzrokuje da interfejs

odmah postane iskljuen zbog greke i iskljuuje portovu LED diodu. Takoe
alje SNMP trap, loguje se sistemska poruka, i broja prekraja se
inkrementira. Kada je siguran port u stanju iskljuen zbog greke, moete ga
povratiti korienjem komandi shutdown i no shutdown. Ovo je fabriki
postavljeni mod.

KONFIGURACIJA SIGURNOSTI PORTA

Portovi na Cisco sviu su prekonfigurisani sa fabrikim vrednostima. Na slici iznad

se vide podrazumevana podeavanja sigurnosti porta.

Na slici iznad se vide Cisco IOS CLI komande potrebne za konfiguraciju sigurnosti
porta na Fast Ethernet F0-18 portu svia S1. Primetite da se u primeru ne definie
bezbedonosni mod. U ovom primeru, bezbedonosni mod je postavljen na shutdown.

STRANA 63

Na slici iznad je prikazan nain omoguavanja sticky sigurnosti porta na Fast

Ethernet portu 0-18 svia S1. U ovom primeru moe se videti, da se maximalan broj
MAC adresa postavlja na 50. Bezbednosni mod nije menjan pa je postavljen na
shutdown.

POTVRDA BEZBEDNOSTI NA NIVOU PORTA

Nakon to ste podesili sigurnost porta na vaem sviu, moete da proverite da li su

podeavanja korektna. Morate da proverite svaki interfejs da biste potvrdili da ste
postavili sigurnost portova na eljeni nain.
Potvrda podeavanja bezbednosti porta

Da biste prikazali podeavanja sigurnosti portova svia ili za specificirani interfejs,

koristite show port-security [interface interface-id] komandu.
Na ekranu se prikazuje sledee:

Maksimalan broj dozvoljenih sigurnih MAC adresa za svaki interfejs

Broj sigurnih MAC adresa na interfejsu
Broj bezbedonosnih greaka koje su se desile
Bezbedonosni mod

STRANA 64

Potvrda sigurnih MAC adresa

Da biste prikazali sve sigurne MAC adrese konfigurisane na svim interfejsima svia
ili na specifinom interfejsu sa inforacijama za svaki, koristite port-security
[interface interface-id] address komandu.

STRANA 65

Literatura

Predavanja doc. dr Vladimira iria Svievi

Cisco Networking Academy CCNA Exploration LAN Switching and Wireless,
poglavlje 2 Basic Switch Concepts and Configuration
https://en.wikipedia.org/wiki/Intrusion_detection_system
https://en.wikipedia.org/wiki/Intrusion_prevention_system

STRANA 66