Menu Zavrieť

5. Komunikácia so switchom

Fyzické pripojenie

Pre komunikáciu so switchom sa s ním musíme najprv nejakým spôsobom spojiť. Máme dve možnosti, spojenie pomocou

  1. konzolového portu – jedná sa o špeciálny port na switchi s konektorom RJ45, ktorý spojíme s COM portom na PC, používa sa rollover cable .
  2. ethernetového portu – na správne nakonfigurovaný switch (nastavená IP adresa pre VLAN, žiadne obmedzenia komunikácie a prístupu) sa môžeme pripojiť cez ľubovoľný sieťový port switcha. Pre úvodnú konfiguráciu môžeme využiť Express Setup (switch si nastaví určitú IP). Pre spojenie sa použije klasický priamy kábel (straight-through cable).

Spôsoby komunikácie

So switchom môžeme komunikovať niekoľkými metódami, pomocou

  1. webové rozhranie – niektoré konfigurácie a monitorovanie možno vykonávať cez zabudované rozhranie, je potrebné mať inštalovaný IOS s týmto rozhraním (štandardne áno) a mať ho zapnuté (štandardne áno), podľa verzie IOSu môžeme využívať HTTP alebo aj HTTPS.
  2. telnet, SSH, konzola – tieto metódy nám prináša možnosť využiť Command Line Interface – CLI, teda širokú škálu riadkových príkazov. Konzolový prístup je defaultne aktívny, telnet a SSH musíme nakonfigurovať. Pre SSH musíme mať verziu IOSu s podporou šifrovania. Pre tento druh spojenia treba nejaký program, ja používam Putty.
  3. Cisco Network Assistant (CNA) – prípadne ďalšie špeciálne aplikácie. Pre správu switcha možné použiť špeciálne aplikácie, ktoré využívajú rôznych protokolov pre riadenie switcha. CNA je slušná grafická aplikácia (možno bezplatne stiahnuť u Cisca), ktorá nám uľahčí rad nastavení a môže pracovať s celou skupinou zariadení naraz.
  4. SNMP – pomocou protokolu SNMP môžeme automatizovať rad funkcií, čítať aj nastavovať hodnoty. Prípadne existuje rad aplikácií, ktoré tento protokol využívajú.

Zabezpečenie – overovanie

Prístup na switch je samozrejme potrebné zabezpečiť. Základné dve možnosti zabezpečenia sú

  1. používať autentizáciu – pre všetky metódy komunikácie môžeme nastaviť heslo (a väčšinou používateľa). Najjednoduchšie je nastaviť iba heslo, ktoré sa uložia do konfigurácie switcha, môže byť uložené nešifrované ( password) alebo pomocou MD5 hashe ( secret). V lepšom prípade môžeme využiť AAA (Authentication Authorization Accounting).
  2. obmedziť prístup – zaleží na metóde pripojenia
    1. konzolový port – pre použitie tejto metódy je potrebné fyzický prístup ku switchu, ten by mal byť v zabezpečenej priestore s obmedzeným prístupom.
    2. ethernetový port – v tomto prípade je možný prístup z celej siete (z tej časti, kde je switch dosiahnuteľný), preto je dobré povoliť určité protokoly iba do špeciálnej VLANy (managovací) alebo len z určitej adresy, to dosiahneme konfiguráciou alebo pomocou Access Control List (ACL).

Konfigurácia jednotlivých vlastností

Prístup cez konzolu

Prístup cez konzolu je defaultne povolený a to bez overovania. Často ho využijeme pre úvodné konfiguráciu. Ak chceme viac zabezpečiť prístup ku switchu týmto spôsobom, môžeme nastaviť heslo. Ak však má niekto fyzický prístup k zariadeniu (aby mohol využiť konzolový prístup), tak ho väčšinou toto heslo nezastaví. Môže vykonať password recovery (u novších IOSů môžeme vypnúť) alebo môže resetovať konfiguráciu a má plný prístup na switch.

SWITCH (config) # line console 0           // prepneme sa do konfigurácie konzoly 
SWITCH (config-console) # password c      // nastavíme heslo

Pozn .: U routerov ešte musíme zapnúť, aby sa vykonávala kontrola hesla príkazomlogin. To sa týka všetkých prístupov cezline.

Prístup pomocou protokolu telnet

Pre vzdialený prístup sa používa Virtual terminal line (VTY). Prístup pomocou telnetu je aktívna vo chvíli, keď nastavíme IP adresu pre switch. Ale do chvíle, než nastavíme heslo pre telnet session, sa nemožno pripojiť. V nastavení určujeme koľko súčasných spojenie je povolené, maximálne 16 (záleží na modeli).

SWITCH (config) # line vty 0 1         // konfiguruje telnetové spojení s ID 0 až 1 
SWITCH (config-line) # password c      // heslo (tu c) pre prístup cez telnet

Linky, ktoré nechceme používať, je lepšie vypnúť

SWITCH (config) # line vty 2 15               // spoje 2 až 15 
SWITCH (config-line) # transport input none   // žiadny vstup

Heslá pre linky sa dajú zadať iba nešifrované. Aby sme viac zabezpečili ich uloženie v konfigurácii, môžeme nastaviť službu, ktorá všetky heslá ukladá pomocou MD5 hashe.

SWITCH (config) # service password-encryption 

Prístup pomocou protokolu ssh

Telnet má nevýhodu, že sa všetky dáta (vrátane hesiel) zasielajú nešifrované, takže je možné ich odpočúvať. Vhodnejšie je použiť šifrované riešenie a teda ssh. Aby sme však mohli ssh použiť, potrebujeme verziu IOSu, ktorá obsahuje šifrovanie. Potom musíme vytvoriť užívateľa, nastaviť parametre ssh a vlastné nastavenia prístupu. Vzdialený prístup pomocou ssh sa nastavuje obdobne ako telnet, iba zvolíme iný vstup.

SWITCH (config) # aaa new-model                     // zapnutie AAA 
SWITCH (config) # username cisco secret Heslo       // vytvorenie používateľa s heslom uloženým pomocou MD5 hashe 
SWITCH (config) # ip ssh time-out 60                // parametre SSH - vypršaní session 
SWITCH (config) # ip ssh authentication-retries 2  // parametre SSH - počet pokusov o prihlásenie 
SWITCH (config) # ip ssh version 2                  // parametre SSH - verzia 
SWITCH (config) # ip domain name firma.local       // meno domény pre vytváraný certifikát 
SWITCH (config) # crypto key generate rsa           // ak ešte nemáme, vygenerujeme kľúč
SWITCH (config) # line vty 0 1                      // konfigurácie linky s ID 0 až 1 
SWITCH (config-line) # transport input ssh         // vstup je SSH

Prístup do privilegovaného režimu

V rámci predvoľby sa po pripojení ku CLI môžeme prepnúť do privilegovaného módu zadaním príkazu enabled. Pretože v tomto móde môžeme meniť konfiguráciu switcha, tak sa odporúča zabezpečiť tento prístup pomocou hesla. Heslo môžeme zadať tak, že sa v konfigurácii uloží ako obyčajný text alebo iba MD5 hash.

SWITCH (config) # enable password c            // heslo (tu c) uložené ako čistý text 
SWITCH (config) # enable secret c              // heslo (tu c) uložené pomocou MD5 hashe 
SWITCH (config) # no enable secret            // zrušenie hesla

webové rozhranie

Potom čo nastavíme IP adresu, a máme verziu IOSu spolu s webovým rozhraním, tak je automaticky zapnuté.

SWITCH (config) # ip http server                // zapne web server 
SWITCH (config) # No-IP http server             // vypne web server

Ak máme verziu IOSu s šifrovaním (crypto), tak sa automaticky použije prístup cez HTTPS.

SWITCH # show ip http server status            // zobrazí nastavenie 
SWITCH (config) # ip http secure-server        // zapne HTTPS server

SNMP

V predvolenom stave je SNMP vypnuté. SNMP sa zapne nastavením community stringov (niečo ako heslo pre SNMP, používa sa v SNMPv1 a SNMPv2c, SNMPv3 používa účty).

SWITCH (config) # snmp-server community heslo ro    // nastaví community string pre čítanie 
SWITCH (config) # snmp-server contact Firma        // nastaví kontakt 
SWITCH (config) # snmp-server location serverovňa  // nastaví umiestneniu 
SWITCH (config) # no snmp-server                    // vypne SNMP

To sú len základné nastavenie SNMP. Môžeme samozrejme vytvárať trapy a nastavovať mnoho ďalších parametrov. Pre vytváranie používateľov v SNMPv3 alebo pre nastavenie použité verzie SNMP slúžia príkazy snmp-server groupsnmp-server user.