Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

© 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 1 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6.

Podobné prezentace


Prezentace na téma: "© 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 1 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6."— Transkript prezentace:

1 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 1 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6 1 Configure a Switch LAN Switching and Wireless – Chapter 2

2 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 2 Objectives  Operation of Ethernet for 100/1000 Mbps LANs  What enables a switch to forward Ethernet frames in a LAN  Configuration of a switch  Configuring basic security on a switch

3 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 3 Operation of Ethernet  Key elements of Ethernet/802.3 networks

4 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 4 Operation of Ethernet  Duplex settings Tok dat jen jedním směrem Dochází ke kolizím Typické pro hub nebo koaxiál Podobá se práci s dětskými vysílačkami – je možno vysílat jen jedním směrem („Přepínám...“) Carrier Sense Multiple Access / Collision Detection

5 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 5 Operation of Ethernet  Duplex settings Nelze z jednoho místa komunikovat s více místy Každý účastník je připojen ke „svému“ portu, který je vyhrazen jen pro něj Oba konce musí podporovat full-duplex Nedochází ke kolizím, proto je možno detekci kolizí vypnout Podobá se telefonování – oba mohou mluvit i poslouchat současně

6 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 6 Operation of Ethernet  MAC Addressing Na začátku je switch prázdný, hloupý, neví nic o tom, kdo a kde je na něj připojen. Když dostane frame z jednoho portu, zapamatuje si, že MAC adresa odesílatele, kterou viděl v tom framu, patří k tomu portu. Zatím ale neví, kam frame poslat, proto ho rozprskne (broadcast) na všechny porty (kromě toho, odkud frame přišel). Když dostane frame z jiného portu, zase si zapamatuje, že adresa tohoto odesílatele patří k tomuto portu. Takto si postupně vytvoří tabulku adres a jejich portů a chová se čím dál víc inteligentně – když najde adresu příjemce ve své tabulce, pošle frame rovnou tam a nemusí už používat broadcast.

7 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 7  Design considerations for Ethernet/802.3 networks Operation of Ethernet Co brát v úvahu při návrhu ethernetových sítí Kolizní domény Kolizní doména je část sítě, ve které může dojít ke kolizi kohokoliv s kýmkoliv. Kolizní doména: Počítače propojené koaxiálem Kolizní doména: Počítače propojené hubem

8 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 8  Design considerations Operation of Ethernet Kolizní domény Jedna kolizní doména: A může mít kolizi s B, C, i D Druhá kolizní doména: E může mít kolizi s F, G, i H Switch odděluje obě kolizní domény tak, že mezi nimi nemohou nastat kolize: např. A nemůže mít kolizi s E.

9 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 9  Design considerations Operation of Ethernet Broadcast domény Broadcast je užitečný, když potřebujeme něco sdělit všem, nebo se všech na něco zeptat (viz třeba protokol ARP). Když je ale broadcastů moc, zahlcují síť a otravují většinu účastníků zprávami, které je nezajímají. Proto je dobré broadcast domény omezovat. To umí router. Neumí to switch.

10 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 10  Design considerations Operation of Ethernet Broadcast domény Broadcast doména: Broadcast se zde šíří bez omezení, switch mu nijak nebrání.

11 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 11  Design considerations Operation of Ethernet Broadcast domény Broadcast doména: Broadcast se zde šíří bez omezení, switche mu nijak nebrání.

12 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 12  Design considerations Operation of Ethernet Broadcast domény Router Router odděluje obě domény od sebe tak, že se broadcast mezi nimi nemůže šířit. Jedna broadcast doména: broadcast se v ní šíří bez omezení Druhá broadcast doména: broadcast se v ní šíří bez omezení

13 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 13  Design considerations Operation of Ethernet Broadcast domény Příklad V tomto obrázku jsou 4 kolizní domény (modré rámečky) a 1 broadcast doména (červený rámeček). Hub Switch

14 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 14  Design considerations Operation of Ethernet Zpoždění sítě Každé zařízení vnáší do cesty signálu zpoždění

15 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 15  Latency = zpoždění Operation of Ethernet Zpoždění je způsobeno těmito vlivy: 1.Čas, který je nutný k vysypání bitů na drát 2.Doba šíření signálu z jednoho místa sítě do druhého 3.Doba, kterou trvá zpracování a průchod signálu přes přístroje

16 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 16  How to design LANs to reduce network latency Operation of Ethernet Jak navrhovat sítě, abychom zmenšili zpoždění Switch s těmito parametry musí mít vnitřní průtok 96 Gb/s, má-li umožnit všem portům rychlost „jako po drátě“ (wirespeed). Router má taky moc práce, a proto vnáší zpoždění: Strhnout vnější papír s MAC adresami, aby se dostal k IP adresám Zjistit, jsou-li nějaká omezení týkající se IP adres, rozhodnout Podle IP adres rozhodnout, kam packet poslat Zabalit do nového papíru s MAC adresami

17 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 17  Switch forwarding methods Forwarding Ethernet Frames in a LAN Prohlédni, zkontroluj, pošli dál. Bez prohlížení, bez přemýšlení to rovnou rvi skrz. Než se rozhodne, musí přijmout celý frame => musí ho na chvíli uskladnit a zpozdit. Posílá frame hned dál, neskladuje ho, nekontroluje.

18 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 18  Switch forwarding methods Forwarding Ethernet Frames in a LAN Fast forward – posílá dál okamžitě po přečtení cílové adresy => minimální zpoždění Fragment free – snaží se zkontrolovat aspoň prvních 64 bajtů, protože chyby od kolizí bývají především za začátku framů

19 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 19  Symmetric and asymmetric Switching Forwarding Ethernet Frames in a LAN Všechny porty mají stejnou propustnost Port připojený k serveru nebo druhému přepínači má větší propustnost

20 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 20  Symmetric and asymmetric Switching Forwarding Ethernet Frames in a LAN Šikovné využití asymetrie může síť zrychlit: Spoje mezi přepínači a k serverům dáme vysokorychlostní, tím zabráníme jejich přetěžování.

21 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 21  Symmetric and asymmetric Switching Forwarding Ethernet Frames in a LAN Framy jsou při přechodu mezi porty s různými rychlostmi jinou rychlostí přijímány, jinou rychlostí vysílány. Proto je nutné před vysíláním nahrát celý frame do paměti, a teprve z paměti ho vysílat. Provoz typu cut-through není mezi porty s rozdílnými rychlostmi možný.

22 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 22 Forwarding Ethernet Frames in a LAN  Memory buffering = ukládání do vyrovnávací paměti Framy se ukládají do front spojených s příslušnými porty. Všechny framy se ukládají do společné paměti, kterou všechny porty sdílejí.

23 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 23  Layer 3 Switching Forwarding Ethernet Frames in a LAN

24 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 24  Layer 3 Switch and Router Comparison Forwarding Ethernet Frames in a LAN Směrování podle IP adresy Řízení provozu Podpora rozhraní pro WAN (WAN Interface Card) Vyspělé směrovací protokoly Směrování rychlostí blesku

25 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 25  Layer 3 Switch and Router Comparison Forwarding Ethernet Frames in a LAN Proč tedy vůbec ještě používat routery? Protože Layer 3 switch neumí připojit síť k jiné síti linkou WAN. Např. neumí připojit domácí síť linkou ADSL k poskytovateli internetu.... řídit provoz podle složitějších pravidel, např. „ smí komunikovat se všemi, kromě “.

26 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 26 Configure a Switch for Operation in a Network  Cisco IOS commands used in the command-line Switch používá velmi podobný systém příkazů jako router.

27 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 27 Configure a Switch for Operation in a Network Příklady příkazů

28 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 28 Configure a Switch for Operation in a Network Příklady příkazů

29 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 29 Configure a Switch for Operation in a Network  Command history

30 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 30 Configure a Switch for Operation in a Network Ulehčení práce Doporučuje se – podobně jako u routeru: Využívat zkrácené příkazy, např. conf t míst configure terminal Používat tabulátor k doplnění rozepsaného slova, např. conf -> configure Používat šipky nahoru – dolů k nalistování dříve zadaných příkazů Používat nápovědu – viz následující snímek

31 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 31 Configure a Switch for Operation in a Network Nápověda Necelé slovo, bez mezery, otazník: Dá možné varianty toho slova Slovo, mezera, otazník: Dá možné varianty pokračování příkazu

32 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 32 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Boot Loader inicializuje (probudí a zkontroluje) CPU provádí POST = Power On Self Test = test sebe sama po zapnutí inicializuje (prohlédne, probudí) systém souborů na flash natáhne a spustí operační systém z flash

33 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 33 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Tady mají hoši od Cisca hrubou chybu: Boot loader se stará o první kroky po zapnutí, kontroluje switch, umožňuje záchranu, když se zhroutí operační systém... => nemůže být v paměti, kterou je možno snadno smazat, jako je NVRAM. Boot loader musí být v ROM.

34 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 34 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Boot Loader se podobá BIOSu v PC: Také je uložen v paměti ROM, také řídí první kroky po zapnutí, provádí POST, předává řízení operačnímu systému. Operační systém se natahuje z paměti flash (v PC se natahuje z HDD, nebo v malých noteboocích také z flash). Operační systém se při svém běhu řídí podle obsahu souboru config.text (podobá se souboru config.sys, který se v PC užíval ve starších operačních systémech).

35 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 35 Configure a Switch for Operation in a Network  Boot sequence of a Cisco switch Boot Loader může pomoci při záchraně po zhroucení operačního systému. Poskytuje přístup do přepínače, když operační systém je tak poškozený, že je nepoužitelný. Umožňuje přístup k souborům v paměti flash před natažením operačního systému (hodí se např. při zlomení neznámého hesla). Při záchranných operacích ovládáme Boot Loader z příkazového řádku.

36 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 36 Configure a Switch for Operation in a Network How to prepare the switch to be configured

37 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 37 Configure a Switch for Operation in a Network Basic switch configuration Abychom mohli ovládat switch po síti, musíme mu dát IP adresu. Veškerá nastavení přepínače se dělají přes VLAN1. Proto vytvoříme další VLAN, např. 99. Tuto novou VLAN přiřadíme vhodnému portu, např. F0/18. Proto s VLAN1 je spojené bezpečnostní riziko: Kdo se tam dostane, může switch ovládat.

38 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 38 Configure a Switch for Operation in a Network Basic switch configuration

39 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 39 Configure a Switch for Operation in a Network  How to verify the Cisco IOS configuration

40 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 40 Configure a Switch for Operation in a Network  Managing the Cisco IOS configuration files Tady se tiše předpokládá, že running je na systémové RAM a startup je na NVRAM.

41 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 41 Configure Basic Security on a Switch  IOS commands used to configure password Toto je starší, méně bezpečný způsob zadání hesla. Heslo bude ve výpisu viditelné, čitelné. Zadáme-li ještě enable secret, bude využíván tento příkaz, bude vyžadováno toto heslo. Toto heslo je ve výpisu šifrované, nečitelné. Proč Cisco nechává obě možnosti, proč nezruší starý příkaz enable password? Nejspíš kvůli zpětné kompatibilitě se starými systémy. Mohu mít jednu univerzální konfiguraci, a tu nahrávat na staré i nové systémy. Starý využije starý příkaz a nového si nevšímá. Nový využije nový příkaz a starého si nevšímá.

42 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 42 Configure Basic Security on a Switch  IOS commands used to configure password Nezadáme-li service password- encryption, všechna hesla se vypisují nezašifrovaná. Zadáme-li service password-encryption, všechna hesla se uloží a vypisují zašifrovaná. Zadáme-li no service password-encryption, neuvidíme sice stará hesla, ale všechna nová budou zobrazována nešifrovaně.

43 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 43 Configure Basic Security on a Switch  IOS commands used to configure console Heslo, které bude patřit ke konzole: Dokud tady nezadáme příkaz login, heslo nebude požadováno. Příkaz login tedy říká: „Požaduj přilogování s heslem od každého, kdo chce použít konzolu.“ Podobné to je u vty - Telnetu.

44 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 44 Configure Basic Security on a Switch  IOS commands used to configure Telnet Heslo, které bude patřit k Telnetu: Dokud nezadáme příkaz login, heslo nebude požadováno.

45 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 45  Cisco IOS commands used to configure a login banner Configure Basic Security on a Switch Login banner: Nápis, který se objeví při pokusu o vstup do konfiguračního módu MOTD = Message of The Day = Heslo dne: Nápis, který se objeví po náběhu operačního systému.

46 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 46  Configuring Telnet and SSH Configure Basic Security on a Switch Telnet Nejobvyklejší způsob ovládání přepínače Přenáší zprávy otevřeným textem Není bezpečný SSH = Secure SHell = bezpečný síťový protokol Měl by se používat Přenáší zprávy šifrovaně Je bezpečný Připravit k použití a použít.

47 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 47  Switch security attacks –MAC address flooding –spoofing attacks –CDP attacks –Telnet attacks Configure Basic Security on a Switch

48 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 48  Switch security attacks MAC address flooding Configure Basic Security on a Switch Darebák na PC „MAC C“ posílá rámce s falešnými (bogus) MAC adresami. Switch se tyto adresy učí a učí, až si zaplní tabulku MAC adres. Žádnou skutečnou adresu tam pak nenajde, proto všechny rámce rozesílá jako broadcast (flooding = záplava, potopa) a chová se jako hub. Tím se jednak zpomalí činnost sítě, jednak jsou pro darebáka viditelné všechny rámce, které by jinak neviděl, protože by byly zaslány jen na správný port, a ne na všechny.

49 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 49  Switch security attacks Spoofing attacks = kanadské žertíky Configure Basic Security on a Switch 1.Útočník vytvoří v síti falešný DHCP server. 2.Klient vyšle broadcast se žádostí o konfiguraci DHCP (chce dostat IP adresu, DNS server, default gateway,...) 3.Falešný DHCP server odpoví dřív, než to stihne pravý, a přidělí klientovi falešnou IP konfiguraci. 4.Klientovy pakety jsou teď zasílány na útočníkovu adresu, protože ten si hraje na jeho default gateway.

50 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 50  Switch security attacks Spoofing attacks = kanadské žertíky Obrana: snooping = čenichání, špehování Configure Basic Security on a Switch - Všechny porty mohou být nastaveny jako důvěryhodné nebo nedůvěryhodné. Důvěryhodné porty smějí rozesílat veškeré informace o DHCP konfiguraci Nedůvěryhodné smějí posílat dál jen žádosti o konfiguraci DHCP Switch si vytvoří tabulku, ve které si zaznamená MAC adresu, IP adresu, VLAN, číslo portu. Využijeme příkaz ip dhcp snooping.

51 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 51  Switch security attacks CDP attacks Configure Basic Security on a Switch Cisco Discovery Protocol (CDP) umožňuje zařízením vysílat informace o jejich konfiguraci, verzi operačního systému, možnostech atd. To může usnadnit práci správci sítě. Když útočník zjistí tyto informace, mohou mu umožnit útok. Např. o verzi operačního systému si může zjistit, že tato verze trpěla nějakou slabinou, a tuto slabinu zneužít. Útoky mají obvykle formu DoS = Denial of Service = odepření služby. Nejjednodušší obranou je vypnout CDP tam, kde ho nevyužíváme. CDP pracuje na vrstvě 2, proto není šířen přes routery.

52 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 52  Switch security attacks Telnet attacks Configure Basic Security on a Switch Typy útoků přes Telnet: Útoky „hrubou silou“ na heslo Útoky DoS = Denial of Service = odepření služby, nejčastěji odepření Telnetu Ochrana proti útokům na heslo: často měnit heslo používat „silná“ hesla podle známých zásad omezit okruh uživatelů, kteří mohou komunikovat přes vty linky Ochrana proti útokům DoS používat nejnovější verze IOS, protože útočníci využívají bezpečnostní skuliny ve starých verzích

53 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 53  Network security tools used to improve network security Configure Basic Security on a Switch Bezpečnostní audit sítě Zjistí, jaké druhy informací může účastník zjistit prostým monitorování provozu v síti. Určí ideální množství adres k vymazání z MAC tabulky zasviněné spoofingem. Určí dobu, za kterou MAC tabulka zastarává. Testování slabin sítě vůči pronikání zvenku Zjistí slabiny v konfiguraci síťových zařízení. Spouští testovací útoky, aby otestoval síť. Pozor – dobře vybrat dobu pro tento test, abychom nenarušili provoz sítě.

54 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 54  Network Security Tools Features Configure Basic Security on a Switch Secure Sockets Layer (SSL) = protokol pro bezpečnou šifrovanou komunikaci Network File System (NFS) padělat

55 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 55  Network Security Tools Features = co mají umět Configure Basic Security on a Switch Service identification Pomocí bezpečnostních nástrojů můžeme zjistit přítomnost nežádoucího FTP nebo webového serveru testovat služby, běžící na stanicích Support of SSL services Umožňuje testování služeb užívajících Secure Sockets Layer (SSL), např. HTTPS, SMTPS, IMAPS

56 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 56  Network Security Tools Features = co mají umět Configure Basic Security on a Switch Non-destructive and destructive testing Nedestruktivní testy ovlivňují chod sítě jen málo nebo vůbec. Destruktivní testy zjišťují, jak je síť odolná proti útokům vetřelců. Database of vulnerabilities Udržujeme databázi aktuálních známých slabin sítí a bezpečnostním nástrojem testujeme odolnost sítě proti nim.

57 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 57  Using Network Security Tools = k čemu je použijeme Configure Basic Security on a Switch Bezpečnostní nástroje použijeme k zachycování chatových zpráv zachycování souborů z provozu NFS (= Network File System) zachycování HTTP požadavků zachycování mailových zpráv zachycování hesel zobrazování zachycených URL (= Uniform Resource Locator) zaplavování sítě náhodně generovanými MAC adresami falšování odpovědí na DNS požadavky odposlouchávání paketů v síti

58 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 58 Configure a Switch for Operation in a Network Příklady příkazů

59 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 59 Configure a Switch for Operation in a Network Příklady příkazů

60 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 60  Security Violation Modes Configure Basic Security on a Switch Za porušení bezpečnosti (= violation) se považuje, když se přihlásí víc než nastavený počet bezpečných adres jedna adresa se objeví na dvou bezpečných portech Zahazuje framy s neznámými (tj. ne bezpečnými) adresami, nedá vědět Zahazuje framy s neznámými adresami, dá vědět Zablokuje port, zhasne ledku, dá vědět

61 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 61  Securing unused port = zabezpečení nepoužitých portů Configure Basic Security on a Switch Nejjednodušší a nejúčinnější řešení: vypnout všechny nepoužité porty, a zapnout jen ty, které budu používat.

62 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 62 Summary Factors to consider in LAN design  Collision domains  Broadcast domains  Network latency  LAN segmentation

63 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 63 Summary  Switch forwarding methods  Store & forward  Cut through – 2 types Fragment free Fast forward

64 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 64 Summary  Symmetric switching All ports have the same bandwidth  Asymmetric switching Ports have unlike bandwidth

65 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 65 Summary  CISCO IOS CLI Built in help Command history/options  Switch security Password protection Use of SSH for remote access Port security

66 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 66


Stáhnout ppt "© 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE 1 Chapter 6 1 © 2006 Cisco Systems, Inc. All rights reserved.Cisco PublicITE I Chapter 6."

Podobné prezentace


Reklamy Google