Professional Documents
Culture Documents
Svičevi
Svičevi
Svičevi
Studenti:
Jelena Ljubenovi 14357,
eljko Lakovi 14349
Ni, 2016.
Mentor:
Doc. dr. Vladimir iri
Sadraj
Ethernet i prosleivanje frejmova ................................................................................................................5
CSMA/CD ...................................................................................................................................................5
Oslukivanje nosioca signala - Carrier Sense .........................................................................................5
Multi-access ...............................................................................................................................................5
Detekcija kolizije .......................................................................................................................................5
Blokirajui signal i sluajno povlaenje - Jam Signal and Random Backoff ....................................... 6
Ethernet komunikacije ............................................................................................................................ 6
Ethernet frejm ........................................................................................................................................... 6
Preambula (Preamble) i delimetar poetka rama (Start Frame Delimiter) .......................................7
Odredina MAC adresa (Destination Address) ...................................................................................7
Izvorina MAC adresa (Source Address) ..............................................................................................7
Duina/Tip (Length/Type) ....................................................................................................................7
Polje podataka (Data and Pad Fields) ..................................................................................................7
Polje za proveru sekvence (Frame Check Sequence)........................................................................... 8
MAC adresa ............................................................................................................................................... 8
Jedinstveni identifikator organizacije - OUI ....................................................................................... 8
Broj dodeljen od strane proizvoaa - Vendor Assignment Number ................................................. 8
Podeavanje duplex-a ............................................................................................................................... 9
Podeavanje porta svia .......................................................................................................................... 10
auto-MDIX ................................................................................................................................................ 11
Mac adresiranje i tabela MAC adresa Svia ........................................................................................... 11
Prosleivanje frejmova korienjem svieva............................................................................................. 14
Metode prosleivanja paketa ................................................................................................................. 14
Store-and-Forward metoda ................................................................................................................. 14
Cut-through metoda ............................................................................................................................ 14
Simetrini i asimetrini svievi .............................................................................................................. 16
Asimetrini svievi ............................................................................................................................... 16
Simetrini svievi.................................................................................................................................. 17
Tehnike baferovanja ................................................................................................................................ 17
Port-based Memory Buffering ............................................................................................................. 17
STRANA 1
STRANA 2
STRANA 3
STRANA 4
U CSMA/CD pristupnom metodu, svi mreni ureaji koji imaju poruke za slanje moraju
oslukivati pre slanja.
Ako ureaj detektuje signal od drugog ureaja, od eka odreeno vreme pre pokuaja
slanja.
Kada se ne detektuje saobraaj, ureaj alje svoju poruku. Dok se prenos poruke odvija,
ureaj nastavlja da oslukuje da bi proverio da li se odvija saobraaj ili se desila kolizija
na LAN-u. Nakon slanja poruke, uredjaj se vraa u podrazumevani mod oslukivanja.
MULTI-ACCESS
Ako je razdaljina izmedju dva uredjaja tolika, da latencija signala od jednog ureaja znai
da signali nisu detektovani od stane drugog ureaja, drugi uredjaj moe, takoe, da krene
sa slanjem poruka. Na prenosnom medijumu sada postoje dva uredjaja koja alju signale u
isto vreme. Poruke propagiraju kroz medijum sve dok na naiu jedna na drugu. U tom
trenutku, signali se meaju i poruka je unitena, desila se kolizija. Iako je poruka
pokvarena, meavina preostalih signala nastavlja da se propagira kroz medijum.
DETEKCIJA KOLIZIJE
Kada je ureaj u modu oslukivanja, moe da detektuje kada se kolizija desila u deljivom
medijumu, zato to svi ureaji mogu da detektuju poveanje amplitude signala, iznad
normalnog nivoa.
Kada se desi kolizija, drugi ureaji u modu oslukivanja, kao i svi uredjaji koji trenutno
alju poruke, detektuju poveanje amplitude signala. Svaki ureaj koji trenutno alje,
nastavlja sa slanjem da bi obezbedio da svi ureaji na mrei detektuju koliziju.
STRANA 5
Kada se detektuje kolizija, uradjaj koji alje poruke, alje blokirajui signal (Jam signal).
Blokirajui signal obavetava druge ureaje da je dolo do kolizije, da bi oni pokrenuli
algoritam za povlaenje. Ovaj algoritam uzrokuje sve ureaje da prestanu sa slanjem za
proizvoljan vremenski period, to omoguava signalima koji su izazvali koliziju da se
povuku.
Nakon to istekne odlaganje slanja na ureaju, ureaj ponovo prelazi u mod oslukivanja
pre slanja. Proizvoljan period povlaenja omoguava da ureaji koji su bili ukljueni u
koliziju ne pokuavaju sa slanjem poruka u isto vreme, to bi uzrokovalo ponavljanje
itavog procesa. Meutim, za vreme perioda povlaenja, trei ureaj moe da alje pre
nego to bilo ko od dva uredjaja koji su uestvovali u koliziji ima ansu za re-transmisiju.
ETHERNET KOMUNIKACIJE
Ethernet frejm dodaje strukture oko nivo 3 PDU-a da bi enkapsulirao poruku koja se alje.
Ethernet frejm ima nekoliko sekcija (polja) informacija koji se koriste od strane Ethernet
protokola. Na slici se vidi struktura trenutnog Ethernet frejm standarda, revidirani IEEE
802.3 (Ethernet).
STRANA 6
Polje odredine MAC adrese (6 bajta) je identifikator primaoca. Ova adresa se koristi od
strane nivoa 2 da bi pomogla uredjaju da odlui da li je frejm adresiran na njega. Adresa iz
frejma se poredi sa MAC adresom uredjaja. Ako dodje do poklapanja, uredjaj prihvata
frejm.
Izvorina MAC adresa (Source Address)
Polje izvorine MAC adrese (6 bajtova) identifikuje interfejs uredjaja odakle je poslat
frejm. Svievi koriste ovu adresu da je dodaju u njihove lookup tabele.
Duina/Tip (Length/Type)
Duina/Tip polje (2 bajta) definie tanu duinu frejmovog polja podataka. Ovo polje se
kasnije koristi prilikom provere da li je poruka primljena korektno. Samo duina frejma ili
tip frejma mogu biti upisani ovde. Ako je namena polja da definie tip, Tip polje definie
protokol koji se implementira. Kada vor primi frejm i Duina/Tip polje oznaava tip,
vor odreuje koji protokol vieg nivoa je prisutan. Ako je vrednost jednaka ili vea od
0x0600 heksadekadno ili 1536 dekadno, sadraj polja podataka se dekodira na osnovu
ukazanog protokola; ako je dvobajtna vrednost manja od 0x0600, tada vrednost predstavlja
duinu podataka u frejmu.
Polje podataka (Data and Pad Fields)
Polje podataka (46 to 1500 bytes) sadri enkapsulirane podatke sa vieg nivoa, koji je opti
Nivo 3 PDU, ili uestalije, IPv4 paket. Svi frejmovi moraju biti najmanje 64 bajta dugi
(minimum duina frejma je 64 bajta zbog detekcije kolizije). Ako je mali paket
enkapsuliran, polje Pad (0-46 bajta) se koristi da bi se poveala veliina frejma na
minimum.
STRANA 7
Polje FCS (4 bajta) detektuje greke u frejmu. Koristi cyclic redundancy check (CRC).
Poiljalac ukljuuje rezultate CRC-a u FCS polju frejma. Primalac prima frejm i generie
CRC kod da bi proverio da nije dolo do greke prilikom slanja. Ako se izraunavanja
poklope, nije dolo do greke. U suprotnom, frejm se odbacuje.
MAC ADRESA
Ethernet MAC adresa je dvodelna, veliine 48-bita, binarna vrednost izraena preko 12
heksadecimalnih cifara. Neke od moguih formata predstavljanja adrese: 00-05-9A-3C78-00, 00:05:9A:3C:78:00, or 0005.9A3C.7800.
Svi ureaji povezani na Ethernet LAN imaju interfejse adresirane MAC adresama. NIC
(Network Interface Controller) koristi MAC adrese prilikom odreivanja da li poruka treba
biti poslata na vie nivoe radi obrade. MAC adresa je trajno kodirana na ROM ipu na NICu. Ovaj tip adrese se oznaava kao utisnuta adresa (burned in address BIA). Neki
proizvoai dozvoljavaju modifikacije MAC adresa. MAC adresa se sastoji od
jedinstvenih identifikatora organizacije (organizational unique identifier - OUI ) i
dodeljenog broja proizvoaa.
Jedinstveni identifikator organizacije - OUI
OUI je prvi deo MAC adrese. On je 24 bita dug i identifikuje proizvoaa NIC kartice.
IEEE regulie dodelu OUI brojeva. U okviru OUI postoje dva bita koja imaju znaenje
samo kada se koriste u odredinoj adresi, kao to je u nastavku navedeno:
Broadcast ili multicast bit: ukazuje interfejsu primaocu da je frejm namenjen svim ili gruoi
krajnjih stanica na LAN segmentu.
Lokalno administriran adresni bit: ako MAC adresa dodeljena od strane proizvoaa moe
biti modifikovana lokalno, ovaj bit bi trebalo da bude setovan
Broj dodeljen od strane proizvoaa - Vendor Assignment Number
Deo MAC adrese dodeljen od strane proizvoaa je dug 24 bita i na jedinstven nain
identifikuje Ethernet hardver. Moe biti BIA ili modifikovan od strane softvera, to je
oznaeno lokalnim bitom.
STRANA 8
PODEAVANJE DUPLEX-A
Postoje dva tipa podeavanja duplex-a, koji se koriste za komunikaciju na Ethernet mrei:
half duplex i full duplex. Na slici iznad se vide dva duplex podeavanja dostupna na
modernim mrenim uredjajima.
Half Duplex: Half-duplex komunikacija se oslanja na jednosmernom toku podataka gde
slanje i primanje podataka se ne obavlja u isto vreme. Ovo je slino sa nainom na koji
toki-voki ili dvosmerni radio ureaji funkcioniu u smislu da samo jedna osoba moe da
pria u jednom trenutku. Ako neke pone da pria, dok ve neko drugi govori, desi se
kolizija. Kao rezultat toga, half-duplex komunikacija implementira CSMA/CD da smanji
mogunost kolizije i da je detektuje kada se dogodi. Half-duplex komunikacija ima
problema sa performansama zbog konstantnog ekanja, zato to su tokovi podataka mogui
samo u jednom smeru u jednom trenutku. Half-duplex komunikacija se tipino moe sresti
u starijem hardveru, kao to su habovi. vorovi koji su povezani sa hubom koji dele
konekciju do svi porta, moraju da budu u half-duplex modu da bi krajnji raunari mogli
STRANA 9
da detektuju koliziju. vorovi mogu da budu u half-duplex modu ako NIC kartica ne moe
biti konfigurisana za full duplex operacije. U ovom sluaju port svia je standardno u halfduplex modu. Zbog ovih ogranienja, full-duplex komunikacija je zamenila half duplex u
aktuelnijem hardveru.
Full Duplex: prilikom full-duplex komunikacije, tok podataka je dvosmeran, tako da
podaci mogu da se alju i primaju u isto vremee. Dvosmerna podrka poboljava
performanse smanjujui vreme ekanja izmeu transmisija. Veina Ethernet, Fast Ethernet
i Gigabit Ethernet NIC kartica koje se prodaju danas nude full-duplex. U full-duplex modu,
kolo za detekciju kolizije je iskljueno. Frejmovi poslati od strane dva povezana krajnja
vora ne mogu da se sudare zato to krajnji vorovi koriste dva odvojena kola u mreneom
kablu. Svaka full-duplex konekcija koristi samo jedan port. Full-duplex konekcije
zahtevaju svi koji podrava full duplex ili direktnu konekciju izmeu dva vora koji
podravaju full duplex. vorovi koji su direktno povezani na svi port sa NIC-om koji
podrava full duplex bi trebali biti povezani na portove svia koji su konfigurisani da rade
u full-duplex modu.
Standardna, deljiva efikasnost Ethernet konfiguracije, zasnovana na hubovima je, tipino
od 50 do 60 procenta 10 Mb/s protoka (bandwith). Full-duplex Fast Ethernet, kada se
poredi sa 10 Mb/s protokom, prua 100 procentnu efikasnost u oba smsera (100 Mb/s slanje
i 100 Mb/s primanje).
PODEAVANJE PORTA SVIA
Port na sviu mora biti konfigurisan sa duplex podeavanjima koja odgovaraju tipu
medijuma. Cisco Catalyst svievi imaju tri podeavanja:
STRANA 10
Konekcije izmeu specifinih ureaja, kao to su izmedju dva svia, ili izmedju svia i
rutera, nekada su zahtevali korienje odreenih tipova kablova (cross-over, straighttrough). Umesto toga, sada moete koristiti mdix auto komandu u modu konfiguracije
interfejsa CLI-a da biste omoguili automatic medium-dependent interface crossover
(auto-MDIX) funkciju.
MAC ADRESIRANJE I TABELA MAC ADRESA SVIA
Korak 2. Svi unosi izvorinu MAC adresu i port koji je primio frejm u adresnu tabelu.
Korak 3. Zato to je odredina adresa broadcast, svi alje frejm na sve portove, osim na
port na kome je primljen frejm.
STRANA 12
Korak 5. Svi unosi izvorinu MAC adresu od PC2 i broj svi porta koji je primio frejm
u adresnu tabelu. Odredina adresa frejma i njen asocirani port se nalazi u MAC adresnoj
tabeli.
Korak 6. Svi sada moe da prosleuje frejmove izmeu izvorinih i odredinih ureaja
bez poplave, zato to ima unose u adresnoj tabeli koji identifikuju asocirane portove.
STRANA 13
STRANA 15
Svievi mogu biti klasifikovani kao simetrini ili asimtrini u zavisnosti od naina
dodele protoka portovima svia.
Simetrian svi omoguava prosleivanje izmeu portova sa istim protokom, kao
to su svi portovi od 100 Mb/s ili svi portovi sa protokom 1000 Mb/s. Asimetrini svi
omoguava prosleivanje paketa izmeu portova razliitog protoka, kao to su
kombinacije od 10 Mb/s, 100 Mb/s i 1000 Mb/s na portovima. Na slici ispod se vidi
razlika izmeu simetrinih i asimetrinih svieva.
Asimetrini svievi
STRANA 16
Simetrini svievi
Svi analizira neke ili sve pakete pre prosleivanja odredinom hostu u zavisnosti
od metode prosleivanja. Svi skladiti paket kratak vremenski period u
memorijskom baferu. U nastavku ete videti na koji nain dva tipa memorijskih
bafera se koriste prilikom prosleivanja paketa.
Ethernet svi moe koristiti tehnike baferovanja da skladiti frejmove pre
prosleivanja. Baferovanje se moe takoe koristiti kada je odredini port zauzet
zbog zaguenja i svi skladiti frejm sve dok ne bude mogao biti prenet,. Korienje
memorije za skladitenje podataka se naziva memorijsko baferovanje. Memorijsko
baferovanje je ugraeno u hardver svia i osim poveanja koliine dostupne
memorije, nije podesivo.
Postoje dva tipa memorijskog baferovanja:
Port-based Memory Buffering
U ovom modu svi frejmovi se skladite u zajedniki memoriski bafer koji svi portovi
svia dele. Koliina memorije bafera koja je potrebna portu se dinamiki alocira.
Frejmovi u baferu se povezuju dinamiki sa odredinim portom. Ovo omoguava
paketima da budu primljeni na jednom portu i onda preneeni na drugi port, bez
njihovog premetanja u drugi red.
STRANA 17
Svi uva mapu frejm do port veza i na taj nain zna gde da prosledi pakete. Veza se
izbacuje iz mape, kada je frejm uspeno prosleen. Broj frejmova koji se skladite u
baferu je ogranien veliinom itavog memorisjkog bafera, a ne na bafer jednog
porta. Ovo omoguava veim frejmovima da budu preneeni sa manje odbaenih
frejmova. Ovo je vano za asimetrino prosleivanje, gde se frejmovi razmenjuju
izmedju portova sa razliitim protokom.
L2 I L3 SVIEVI
L2 (Layer 2) LAN svi vri prosleivanje i filtriranje bazirano samo na OSI Data Link
nivou (Nivo 2) MAC adresama. L2 svi je u potpunosti nevidljiv za mrene protokole
i korisnike aplikacije. L2 svi formira tabelu MAC adresa koju koristi da donese
odluke prilikom prosleivanja.
L3 (Layer 3) svi, kao to je Catalyst 3560, funkcionie slino kao Layer 2 svi, kao
to je Catalyst 2960, ali umesto da koristi samo Nivo 2 informacije o MAC adresama
i da na osnovu njih donosi odluku o prosleivanju, L3 svi takoe moe koristiti
informacije o IP adresama. Umesto da samo naui koje MAC adrese su asocirane sa
kojim portovima, L3 svi takoe moe da naui koje IP adrese su asocirane sa
interfejsima. Ovo omoguava L3 sviu da usmerava saobraaj kroz mreu na osnovu
informacija o IP adresama.
L3 svievi su takoe sposobni da obavljaju Nivo 3 funkcije rutiranja, smanjujui
potrebu za posebnim ruterima na LAN-u. Zato to L3 svievi imaju specijalizovani
STRANA 18
STRANA 19
Jednom kada ste pristupili privilegovanom EXEC modu na Cisco sviu, moete
pristupiti drugim konfiguracionim modovima. Cisco IOS softver koristi hijerarhiju
komandi u svojoj strukturi komadni po modovima. Svaki komandni mod podrava
specifine Cisco IOS komande koje se odnose na odgovarajui tip operacije na
ureaju.
Slede opisi I primer navigacije kroy globalni konfiguracioni mod I konfiguracioni
mod interfejsa.
STRANA 20
Postoji vei broj grafikih alternativa za upravljanje Cisco sviom. Korienje GUI-a
nudi uproeno upravljanje sviom I konfiguraciju bez znanja korienja Cisco CLIa.
STRANA 21
CiscoView aplikacija
STRANA 22
Cisco Device Manager je web aplikacija koje se skladiti u memoriji svia. Moete
koristiti Device Manager da biste konfigurisali I upravljali svievima. Moete
pristupiti Device Manager-u bilo gde iz vae mree preko Web pretraivaa. Na slici
iznad se vidi upravljaki interfejs aplikacije.
Word help: ako se ne seate itave komande ali se seate prvih nekoliko
karaktera, unesite sekvencu karaktera koju e pratiti znak upita (?). Nemojte
unositi razmak pre znaka upita.
STRANA 23
STRANA 24
Kada konfiguriete mnogo interfejsa svia, moete utedeti vreme koje biste
potroili na ponovno ukucavanje naredbi, korienjem Cisco IOS bafera prethodno
uneenih naredbi.
CIsco IOS poseduje listu prethodno uneenih naredbi. Ova funkcionalnost, nazvana
command history, je posebno upotrebljiva kada je potrebno upotrebiti dugake ili
kompeksne, prethodno uneene, naredbe ili zapise.
Sa ovom funkcionalnou, moete izvriti sledee sledee:
STRANA 25
Konfiguracija bafera
STRANA 26
Operativni sistem onda inicijalizuje interfejs koristei Cisco IOS komande koje se
nalaze u konfiguracionom fajlu operativnog sistema, config.text, koji je uskladiten
na flash memoriji svia.
Oporavak nakon pada sistema
Boot loader takoe omoguava pristup sviu ako se operativni sistem iz nekog
razloga ne moe koristiti. Boot loader poseduje mogunost upisivanja komandi i na
taj nain prua pristup fajlovima uskladitenim na flash memoriji pre uitavanja
operativnog sistema. Iz komandne linije boot loadera moete uneti komande da
formatirate flash file sistem, reinstalirate operativni sistem, ili oporavite od
izgubljenog ili zaboravljenog passworda.
PRIPREME PRE PODEAVANJA SVIA
STRANA 28
STRANA 29
STRANA 30
Zapazite da Nivo 2 svi, kao to je Cisco Catalyst 2960, dozvoljava jedino jednom
VLAN intefejsu da bude aktivan u jednom trenutku Ovo znai da Nivo 3 intefejs,
interfejs VLAN 99, je aktivan, ali Nivo 3 interfejs, interfejs VLAN 1, nije aktivan.
Konfiguracija defaultnog gateway-a
STRANA 31
Prikaz IP interfejsa
STRANA 32
Moderni Cisco svievi imaju vei broj alata za konfiguraciju koje se zasnivaju na
Web-u I zahtevaju da svi bude konfigurisan kao HTTP server. Ove aplikacije
ukljuuju Cisco web browser korisniki interfejs I druge.
Da biste kontrolisali ko moe da pristupi HTTP servisu na sviu, moete opciono
konfigurisati autentifikaciju. Autentifikaciona metoda moe biti kompleksna.
Moete imati toliko mnogo ljudi koji koriste HTTP servise da vam je potreban
poseban server koji e da rukuje korisnikom autentifikacijom. AAA I TACACS
autentifikacioni modovi su primeri koji koriste ovaj tip udaljene autentifikacije. Oni
mogu biti korieni u mreama prilikom validacije podataka o korisnikuali moda
elite da imate manje komleksnu autentifikacionu metodu. Metoda enable zahteva
od korisnika da koriste serverov enable password. Lokalna autentifikaciona metoda
zahteva od korisnika da koristi korisniko ime i password prilikom logovanja.
Svievi koriste MAC adresnu tabelu da bi odluili kako da prosleuju sadraj izmeu
portova. Ove MAC tabele ukljuuju dinamike i statike adrese. Na slici ispod vidi
jednostavna MAC adresna tabela koja se prikazuje prilikom show mac-addresstable komande i ukljuuje u ovom primeru statike adrese, ali se tu prikazuju i
dinamike adrese.
STRANA 33
Dinamike adrese su izvorine MAC adrese koje svi ui i koje stare ako se ne
koriste. Moete promeniti podeavanje vremena zastarevanja za MAC adrese.
Standardno vreme je 300 sekundi. Postavljanje previe kratkog vremena moe
prouzrukovati da adrese budu prerano uklonjenje iz tabele. I tada, kada svi dobije
paket sa nepoznatom adresom odredita, poplavi pakete na sve portove u istom
LAN-u (ili VLAN-u) kao odredini port. Ova nepotrebna poplava moe uticati na
performanse. Sa druge strane, predugo vreme zastarivanja moe prouzrukovati da
adresna tabela bude ispunjena sa neiskorienim adresama, koje spreavaju uenje
novih adresa. I ovo takoe moe prouzrukovti poplave.
Svi prua dinamiko adresiranje tako to ui izvorine MAC adrese svakog frejma
koji primi na svakom portu, i dodaje izvorinu MAC adresu i asocirani broj porta u
MAC adresnu tabelu. Prilikom dodavanja ili uklanjanja raunara iz mree, svi
aurira svoju MAC adresnu tabelu, dodavajui nove unose i zastarevajui one koji
nisu u trenutnoj upotrebi.
Administrator mree moe da dodeli MAC adrese odreenim portovima. Statike
adrese ne zastarevaju, i svi uvek zna na koji port da prosledi saobraaj koji je
namenjen odreenoj MAC adresi. Kao rezultat toga, ne postoji potreba za ponovnim
uenjem porta koji je povezan sa datom MAC adresom. Jedan od razloga da biste
implementirali statike MAC adrse je da pruite mrenom administratoru
kompletnu kontrolu prilikom pristupa mrei. Samo oni ureaji koji su poznati
mrenom administratoru mogu da se poveu na mreu.
Da biste kreirali statiko mapiranje u MAC adresnoj tabeli, koristite mac-addresstable static <MAC address> vlan {1-4096, ALL} interface interface-id komandu.
STRANA 34
Da biste uklonili statiko mapiranje iz MAC adresne tabele, koristite no macaddress-table static <MAC address> vlan {1-4096, ALL} interface interface-id
komandu.
Maksimalna veliina MAC adresne tabele varira kod razliitih svieva. Na primer,
Catalyst 2960 serija svieva moe da skladiti do 8192 MAC adrese. Postoje protokoli
koji mogu da ogranie broj MAC adresa dostupnih sviu.
STRANA 35
STRANA 36
STRANA 37
Obnova konfiguracije
STRANA 38
Konfiguracija password-a
Podaci su veoma vredni i moraju se revnosno uvati i tititi. FBI procenjuje da
kompanije gube 67,2 milijarde dolara godinje zbog kriminala vezanog za raunare.
Lini podaci klijenata se posebno prodaju po visokim cenama. Slede trenutne cene
za ukradene podatke:
Da biste zatitili konzolu od neovlaenog pristupa, postavite password na konzolnom portu korienjem password <password> line komande u konfiguracionom
modu. Iskoristite line console 0 komandu da biste preli iz globalnog
konfiguracionog moda u mod konfiguracije linije za console 0, to je konzolni port
za Cisco svieve. U novom modu stoji: (config-line)#, to pokazuje da je svi sada
u modu za konfiguraciju linije. Iz moda za konfiguraciju linije , moete postaviti
password konzole unoenjem password <password> komande. Da biste obezbedili
da je korisnik prilikom pristupa konzolnom portu u obavezi da unese password,
koristite login komandu. ak I kada je password definisan, ne zahteva se njegovo
unoenje prilikom pristupa, sve dok se ne zada login komanda.
Sledea tabela prikazuje komande koje se koriste za konfiguraciju I zahtevanje
password-a za konzolni pristup. Podsetite se da moete da koristite show runningconfig komandu da biste verifikovali vau konfiguraciju. Na kraju podeavanja
konfiguracije svia, zapamtite da sauvate trenutnu konfiguraciju file u poetnu.
STRANA 40
Vty portovi na Cisco sviu omoguavaju pristup ureaju sa udaljene lokacije. Moete
podesiti itavu konfiguraciju korienjem vty portova. Nije vam potreban fiziki
pristup ureaju da biste pristupili vty portovima, i zato je veoma vano njihovo
obezbeivanje. Bilo koji korisnik sa mrenim pristupom sviu moe uspostaviti
udeljenu konekciju na vty terminal. Ako vty portovi nisu na pravi nain obezbeeni,
zlonameran korisnik moe da kompromituje konfiguraciju svia.
Da biste obezbedili vty portove od neovlaenog pristupa, moete postaviti vty
password koji e se zahtevati pre nego to se dozvoli pristup. Da biste postavili
password na vty portove, morate biti u linijskom konfiguracionom modu.
STRANA 41
Mogu postojati mnogo vty portova dostupnih na Cisco svievima. Vie portova
dozvoljavaju vie nego jednom administratoru da se konektuje i upravlja sviom. Da
biste obezbedilii sve vty linije, osigurajte se da je postavljen password i da je
postavljeno obavezno logovanje na sve linije. Ostavljanje nekih linija neosiguranih
kompromituje bezbednost i omoguava pristup neovlaenim korisnicima. Koristite
line vty 0 4 komandu da biste preli iz globalnog konfiguracionog moda u
konfiguracioni mod za vty linije od 0 do 4.
Napomena: ako svi ima vie vty linija dostupno, podesite opseg da biste ih
obezbedili sve. Na primer, na Cisco 2960 sviu dostupne su vty linije od 0 do 15.
STRANA 42
Privilegovani EXEC mod omogucava bilo kom korisniku, ako omogui taj mod da
konfigurie bilo koju opciju dostupnu na sviu. Takoe moete pregledati sva
trenutna podeavanja na sviu, ukljuujui i neke nekriptovane passworde. Iz ovog
razloga, vano je da se zatiti pristup privilegovanom EXEC modu.
Komanda enable password u globalnom konifguracionom modu omoguava vam
da definiete password da biste ograniili pristup privilegovanom EXEC modu.
Meutim, problem sa enable password komandom je da se tada password uva u
obliku itljivog teksta u startup-config i running-config. Ako neko obezbedi pristup
sauvanom startup-config fajlu, ili privremeni pristup telnet ili konzolnoj sesiji koja
je ulogovana u privilelogavom EXEC modu, mogu da vide password. Kao rezultat
toga, Cisco je uveo nove password opcije za kontrolu pristupa privilegovanom EXEC
modu koji uva password u enkriptovanom formatu.
Moete dodeliti enkriptovanu formu omoguenog passworda, koji se naziva enable
secret password, unoenjem enable secret komande sa eljenim passwordom u
globalnom konfiguracionom modu. Ako je postavljen enable secret password on se
koristi umesto enable password, ne zajedno sa njim. Postoji i mehanizam ugraen u
Cisco IOS koji vas obavetava kada se postavlja enable secret password na isti
password korien za enable password. Ako su uneeni identini passwordi, IOS e
prihvatiti password ali e vas obavestiti da su isti i savetovae vas da unesete novi
password.
STRANA 43
Prilikom konfiguracije Cisco IOS CLI-a, svi passwordi, osim enable secret
passworda, se uvaju u text formatu u okviru startup-config i running-config.
STRANA 44
Na slici iznad se vidi skraeni izgled ekrana prilikom show running-config naredbe
na S1 sviu. Jasno vidljivi passwordi su oznaeni narandastom bojom . Opte je
prihvaeno da bi passwordi trebalo da budu enkriptovani i da se ne uvaju u obliku
jasno vidljivog teksta. Cisco IOS komanda service password-encryption
omoguava enkripciju passworda.
Kada se komanda service password-encryption unese u globalnom
konfiguracionom modu, svi sistemski passwordi se uvaju u enkriptovanoj formi.
im se unese naredba, svi trenutno postavljeni passwordi se pretvaraju u
enkriptovane passworde.
Ako elite da uklonite zahteve za uvanje svih sistemskih passworda u
enkriptovanom formatu, unessite no service password-encryption komandu u
globalnom konfiguracionom modu. Uklanjanje enkripcije passworda ne pretvara
trenutno enkriptovane passworde u jasno itljiv tekst. Meutim, svi novi postavljeni
passwordi se uvaju u formatu jasno vidljivog teksta.
Napomena: standard enkripcije koji se koristi od strane service passwordencryption komande se oznaava kao tip 7. Ovaj standard enkripcije je veoma slab
i postoje svima dostupna sredstva na Internetu za dekriptovanje passworda
enkriptovanih sa ovim standardom. Tip 5 je bolji, ali mora biti iniciran runo za
svaku konfiguraciju passworda.
OMOGUAVANJE OBNOVE PASSWORDA
Posle postavljanja passworda, radi kontrole pristupa Cisco IOS CLI-u, morate biti
sigurni da ete ih zapamtiti. U sluaju da ste zaboravili pristupne passworde, Cisco
ima mehanizam za oporavak passworda koji omoguava administratorima da dobije
pristup njihovim Cisco ureajima. Oporavak passworda zahteva fiziki pristup
ureaju.
STRANA 45
STRANA 46
Korak 11: Preimenujte konfiguracioni fajl u njegovo originalno ime koristei rename
flash:config.text.old flash:config.text komandu.
Korak 12: Izkopirajte konfiguracioni fajl u memoriju koristei copy
flash:config.text system:running-config. Nakon to se unese ova komanda
sledee je prikazano u konzoli:
Source filename [config.text]?
Destination filename [running-config]?
Pritisnite Return kao odgovor dijalogu za potvrdu. Konfiguracioni fajl je sada
ponovo uitan, i moete promeniti password.
Korak 13: Uite u globalni konfiguracioni mod korienjem configure terminal
komande.
Korak 14: Promenite password korienjem enable secret password komade.
Korak 15: Vratite se u privilegovani EXEC mod korienjem exit komande.
Korak 16: Upiite running configuration u startap configuration fajl korienjem
komande copy running-config startup-config.
Korak 17. Ponovo uitajte konfiguraciju svia korienjem komande reload.
Napomena: procedura povratka passworda, moe biti drugaija u zavisnosti od
serije Cisco svia, tako da je potrebno obratiti se dokumentaciji proizvoda pre nego
to pokuate povratak passworda.
KONFIGURACIJA LOGIN BANERA
STRANA 47
STRANA 48
Telnet je podrazumevani protokol koji podrava vty, na Cisco sviu. Kada se Cisco
sviu dodeli IP adresa, moete se povezati na njega koristei Telnet klijenta.
Prvobitno, vty linije su nezatiene na taj nain dozvoljavajui pristup bilo kom
korisniku koji pokua da se povee na njih.
U prethodnom poglavlju, videli smo kako se titi pristup sviu preko vty linija tako
to podesite zahtevanje autentifikacije passwordom. Ovo omoguava pokretanje
Telnet servisa malo sigurnijim.
Zato to je Telnet podrazumevani prenos za vty linije, ne morate da ga pokrenete
posle poetne konfiguracije svia. Meutim, ako ste promenili prenosni protokol na
vty linijama da dozvoli samo ssh, morate da omoguite Telnet protocol da biste
dozvolili pristup preko Telneta.
Ako vam je potrebno da ponovo omoguite Telnet protokol na Cisco 2960 sviu,
ikoristite sledeu komandu iz konfiguracionog moda linija: (configline)#transport input telnet or (config-line)#transport input all.
Omoguavajui sve protokole za prenos, omoguili ste I SSH pristup sviu kao I
Telnet pristup.
Konfiguracija SSH
ovu
SSH opcija ima SSH server I SSH integrisanog klijenta, koje predstavljaju aplikacije
koje su pokrenute na sviu. Moete iskoristiti bilo koji SSH klijent pokrenut na PCSTRANA 49
u ili Cisco SSH klijent pokrenut na sviu da biste se povezali na svi na kome je
pokrenut SSH server.
Svi podrava SSHv1 I SSHv2 za serversku komponentu. Svi podrava jedino SSHv1
za klijentsku komponentu.
SSH podrava DES (Data Encryption Standard) algoritam, Triple DES (3DES)
algoritam, I autentifikaciju korisnika passwordom. DES omoguava 56-bitnu
enkripciju, I 3DES omoguava 168-bitnu enkripciju. Enkripcija zahteva vreme, sa tim
da DES zahteva manje vremena od 3DES-a. Tipino, standardi enkripcije su
definisani od strane klijenta, tako da ako morate da konfiguriete SSH, pitajte koji
da koristite.
Da biste implementirali SSH, morate da generiete RSA kljueve. RSA ukljuuje
javni klju, koji se uva na RSA serveru, I privatni klju, koji poseduju samo poiljalac
I primalac. Javni klju moe biti poznat svima I koristi se za enkripciju poruke.
Poruke enkrtiptovane javnim kljuem mogu se jedino dekriptovati privatnim
kljuem. Ovo je poznato kao asimetrina enkripcija.
Morate da generiete enkriptovane RSA kljueve korienjem komande crypto key
generate rsa.
Ova procedura je potrebna ako konfiguriete svi kao SSH server. Ako ste u
privilegovanom EXEC modu, pratite sledee korake da biste konfigurisali hostname
i IP ime domena i da biste generisali RSA par kljueva.
Korak1. Uite u globalni konfiguracioni mod.
Korak2. Postavite ime svia korienjem hostname komande.
Korak3. Postavite ime domena za va svi koristei komandu ip domain-name
domain_name.
Korak4. Omoguite SSH server za lokalnu i udaljenu autentifikaciju na sviu i
generiite par kljueva korienjem crypto key generate rsa komande.
Kada elite da generiete RSA kljueve, morate uneti duinu modua. Cisco
preporuuje duinu od 1024 bita. Vea duina je sigurnija, ali je due vreme
potrebno za generisanje kljueva.
Korak5. Vratite se u privilegovani EXEC mod sa end komandom.
STRANA 50
Korak6. Prikaite status SSH servera na sviu korienjem show ip ssh ili show ssh
komandi.
Da biste obrisali par RSA kljueva, koristite crypto key zeroize rsa komadnu u
globalnom konfiguracionom modu. Nakon to je RSA par kljueva obrisan, SSH
server je automatski iskljuen.
Poplava MAC adresa je uobiajeni napad. Podsetite se da MAC adresna tabela svia
sadri MAC adrese dostupne na zadatom fizikom portu svia i asocirane VLAN
parametre za svaki. Kada L2 svi primi frejm, svi pogleda u MAC adresnu tabelu za
odredinu MAC adresu. Svi modeli Catalyst svieva koriste tabelu MAC adresa za
prosleivanje frejmova na nivou 2. Kako frejmovi pristiu na portove svia, izvorine
MAC adrese se ue i pamte u tabeli. Ako postoji unos za zadatu MAC adresu, svi
prosleuje frejmove do porta sa MAC adresom specificiranom u tabeli. Ako ne
postoji, svi se ponaa kao hab i prosleuje frejmove na sve druge portove svia.
Prekoraenje veliine MAC adresne tabele se ponekad naziva poplava MAC
adresama. (MAC flooding attacks).
Sledi opis ovog metoda:
STRANA 51
Korak 1. Host A alje podatke hostu B. Svi prima frejmove i trai odredinu MAC
adresu u njegovoj MAC adresnoj tabeli. Ako svi ne uspe da nae odredinu MAC
adresu u tabeli, svi kopira frejm i broadcastuje ga na sve portove svia.
Korak 2. Host B prima frejm i alje odgovor hostu A. Svi onda ui da je MAC adresa
hosta B locirana na portu 2 i upisuje tu informaciju u MAC adresnu tabelu.
STRANA 52
Host C takoe prima frejm, ali zato to je odredina MAC adresa tog frejma host B,
host C odbacuje frejm.
Korak 3. Sada, bilo koji frejm poslat od strane hosta A (ili bilo kog drugog hosta) do
hosta B se prosleuje na port 2 svia i ne prosleuje na svaki port.
Klju razumevanja kako ovaj napad radi je da znate da su tabele MAC adresa
ograniene veliine. Poplava MAC adresa iskoriava ova ogranienja da bi
bombardovala svi sa lanim MAC adresama sve dok tabela MAC adresa svia ne
bude puna. Svi tada prelazi u takozvani fail-open mod, poinje da se ponaa kao
hab, i broadcastuje pakete na sve maine u mrei. Kao rezultat, napada moe da
vidi sve frejmove koji se alju sa hosta rtve do drugog hosta bez unosa u tabeli MAC
adresa.
STRANA 53
Korak 5. Sve dok je sredstvo sa mreni napad ukljueno, MAC adresna tabela svia
ostaje puna. Kada se ovo desi, svi poinje da broadcastuje sve primljene frejmove
na sve ostale portove tako da frejmovi koji se alju od hosta A do hosta B se takoe
broadcastuje na port 3 svia.
STRANA 54
Spoofing napadi
STRANA 55
DHCP Snooping
DHCP snooping je funkcija Cisco Catalyst svia koja odreuje koji portovi svia
mogu da odgovore na DHCP zahteve. Portovi se identifikuju kao poverljivi i
nepoverljivi. Poverljivi portovi mogu da prosledjuju sve DHCP poruke, a nepoverljivi
samo zahteve. Ako uljez na nepoverljivom portu pokua da poalje DHCP odgovor
u mreu, port se iskljuuje. Ova funkcija se moe koristiti zajedno sa DHCP
opcijama u kojima informacije o sviu, kao to su ID porta DHCP zahteva, mogu biti
ubaeni u DHCP zahtev.
Nepoverljivi portovi su oni koji nisu eksplicitno konfigurisani kao poverljivi. DHCP
tabela vezivanja je napravljena za nepoverljive portove. Svaki unos sadri klijntsku
MAC adresu, IP adresu, vreme iznajmljivanja, tip vezivanja, broj VLAN-a, i ID porta
koji se pamte kada klijenti naprave DHCP zahteve. Tabela se onda koristi da se
filtrira naredni saobraaj. Iz perspektive DHCP snooping-a, nepoverljivi portovi ne
bi trebalo da alju nikakve DHCP odgovore.
Sledei koraci ilustruju kako da konfiguriete DHCP snooping na Cisco IOS sviu:
Korak 1. Omoguite DHCP snooping koristei ip dhcp snooping globalnu
konfiguracionu komandu.
Korak 2. Omoguite DHCP snooping za odreene VLAN-ove koristei ip dhcp
snooping vlan number [number] komandu.
Korak 3. Definiite portove kao poverljive i nepoverljive na nivou interfejsa
definisanjem poverljivih portova korienjem komande ip dhcp snooping trust.
STRANA 56
Cisco Discovery Protocol (CDP) je vlasniki protokol za koji svi Ciso ureaji mogu
biti konfigurisani da koriste. CDP otkriva druge Cisco ureaje koji su direktno
povezani, to omoguava ureaju da auto-konfigurie svoje konekcije u nekim
sluajevima, olakavajui konfiguraciju i povezivanje. CDP poruke nisu kriptovane.
Standardno, veina Cisco rutera i svieva ima CDP omoguen. CDP informacije se
alju periodino. Zato to je CDP protokol nivoa 2, ne propagira se od strane rutera.
CDP sadri informacije o ureaju, kao to su IP adrese, softverska verzija, platforma,
mogunosti i native VLAN. Kada je ova informacija dostupna napadau, mogu da je
iskoriste prilikom napada na vau mreu, tipino u formi DoS (Denial of Service)
napada.
Na slici ispod se vidi deo Ethernet paketa koji pokazuje unutraljost CDP paketa.
Posebno bi verzija Cisco IOS softver koji je otkriven preko CDP-a omoguila
napadau da istrai da li postoje odreene slabosti specifine za odreenu verziju
koda. Takoe, zato to je CDP neautorizovan, napada moe da spremi lane CDP
pakete i iskoristi za napad.
Telnet napadi
Telnet protokol moe biti korien od strane napadaa da bi dobio udaljen pristup
Cisco mrenom sviu. Obezbeivanje vty linija prua osnovnu i kljunu zatitu sviu
od neovlaenog pristupa. Meutim, nije dovoljno bezbedna jer postoje alati koji
omoguavaju napadau da pokrene nasilan (brute force) napad na password koji ste
postavili za vty linije.
Brute force password napad
Prva faza brute force password napada poinje kada napada koristi listu estih
passworda i program koji pokuava da uspostavi Telnet sesiju korienjem svake rei
iz renika. Sa sreom, ako ne koristite rei iz renika za sada ste bezbedni to se tie
ove faze. U drugoj fazi, napada koristi program koji kreira sekvence kombinacija
karaktera u pokuaju da pogodi password. Ako ima dovoljno vremena, brute force
password moe da probije gotovo sve koriene passworde.
Najjednostavniji nain da ograniite slabost na brute force napade je da esto
menjate passworde i koristite jake passworde meajui velika i mala slova sa
brojevima. Naprednija podeavanja vam omoguavaju da ograniite ko moe da
komunicira sa vty linijama koristei access liste.
DoS napad
Jo jedan tip Telnet napada je DoS napad. Prilikom DoS napada, napada iskoriava
manu u softveru Telnet servera koji je pokrenut na sviu koji ini da Telnet servis
postane nedostupan. Ovaj tip napada je ponajvie smetnja, jer spreava
administratore od sprovoenja funkcija upravljanja sviom.
Ove ranjivosti u Telnet servisima koje omoguavaju DoS napodima da se dese se
obino ispravljaju u bezbedonosnim peevima ukljuenim u novije Cisco IOS
revizije.
MERE ZATITE
Nakon to ste podesili svi korektno, morate proveriti da niste ostavili slabosti koje
bi napada mogao da iskoristi. Bezbednost mree je kompleksno pitanje.
Mere zatite mree vam pomau da testirate mreu na razliite slabosti. To su alati
koji vam omoguavaju da igrate ulogu hakera i analizirate bezbednost mree.
Korienjem ovih mera, moete pokrenuti napad i revidirati rezultate (audit) da
biste proceniili ta da promenite da biste spreili odreeni napad.
STRANA 58
STRANA 59
STRANA 60
Svi portovi svia ili interfejsi bi trebalo biti osigurani pre nego to se svi postavi.
Bezbednost porta ograniava broj validnih MAC adresa koje su dozvoljene na portu.
Kada dodelite sigurne MAC adrese osiguranom portu, port ne prosleuje pakete sa
adresama izvorita van grupe definisanih adresa.
Ako ograniite broj sigurnih MAC adresa na jednu i dodelite jednu sigurnu MAC
adresu tom portu, radnoj stanici povezanoj na taj port se omoguava itav protok
preko tog porta, i da se samo ta radna stanica moe uspeno povezati na taj port
svia.
Ako je port konfigurisan kao siguran port i maksimalan broj dozvoljenih adresa je
dostignut, dolazi do bezbedonosnog problema jer MAC adresa radne stanice koja
pokuava da pristupi portu je razliita od bilo koje definisane sigurne MAC adrese.
Tipovi zatite na nivou svi-porta
Postoji vie naina konfigurisanja bezbednosti na nivou portova. Slede opisi naina
konfigurisanja sigurnosti portova na Cisco sviu:
Kada omoguite sticky uenje na interfejsu korienjem switchport portsecurity mac-address sticky komande u modu za konfiguraciju interfejsa,
interfejs konvertuje sve dinamiki sigurne MAC adrese, ukljuujui one koje
su dinamiki nauene pre nego to je sticky uenje omogueno, u sticky
sigurne MAC adrese i doda sve sticky sigurne MAC adrese u running
configuration.
Ako onemoguite sticky uenje korienjem no switchport port-security
mac-address sticky komande, sticky sigurne MAC adrese ostaju deo tabele
adresa ali se uklanjaju iz running configuratiom.
STRANA 61
Maksimalni broj sigurnih MAC adresa je dodat u tabelu adresa, i stanica ija
MAC adresa nije u tabeli adresa pokua da pristupi interfejsu.
Adresa nauena ili konfigurisana na jednom interfejsu je viena na drugom
sigurnom interfejsu na istom VLAN-u.
mod protect: Kada broj sigurnih MAC adresa dostigne granicu dozvoljenu
na portu, paketi sa nepoznatom izvorinom adresom se odbacuju sve dok ne
uklonite dovoljan broj MAC adresa ili poveate broj maksimalnih dozvoljenih
adresa. Niste obaveteni da je dolo do krenja bezbednosti.
mod restrict: Kada broj sigurnih MAC adresa dostigne granicu dozvoljenu
na portu, paketi sa nepoznatom izvorinom adresom se odbacuju sve dok ne
uklonite dovoljan broj MAC adresa ili poveate broj maksimalnih dozvoljenih
adresa. U ovom modu, obaveteni ste o krenju bezbednosti. Detaljnije:
SNMP trap se alje, loguje se sistemska poruka, i broja prekraja se
inkrementira.
STRANA 62
Na slici iznad se vide Cisco IOS CLI komande potrebne za konfiguraciju sigurnosti
porta na Fast Ethernet F0-18 portu svia S1. Primetite da se u primeru ne definie
bezbedonosni mod. U ovom primeru, bezbedonosni mod je postavljen na shutdown.
STRANA 63
STRANA 64
Da biste prikazali sve sigurne MAC adrese konfigurisane na svim interfejsima svia
ili na specifinom interfejsu sa inforacijama za svaki, koristite port-security
[interface interface-id] address komandu.
STRANA 65
Literatura
STRANA 66