1 Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224 2016
2 Zaawansowana konfiguracja 1. Konfiguracja Port Security 2. Ograniczenie prędkość ruchu przychodzącego/wychodzącego na porcie (Bandwidth Control) 3. Konfiguracja VLAN-ów 4. DHCP Snooping 5. Konfiguracja IP z konsoli 6. Zabezpieczanie przełącznika przed spięciem dwóch portów 7. Separacja komputerów w sieci lokalnej 8. Konfiguracja VLAN-ów cz. 2 9. Konfiguracja VLAN-ów cz. 3 10. Monitorowanie sieci
3 Port Security
4 Port Security Port Security to funkcja, który chroni przełącznik przed atakiem złośliwego adresu MAC, ustawiając limit maksymalnej liczby adresów MAC, zapamiętywanych przez port. Port, z włączoną funkcją Port Security, zapamiętuje adresy MAC dynamicznie/statycznie. Gdy liczba zapamiętanych adresów MAC dojdzie do maksimum, port zakończy ich zapamiętywanie. Można to osiągnąć korzystając z dwóch metod: Metoda 1: Automatyczne zapamiętywanie Metoda 2: Ręczna konfiguracja
5 Konfiguracja Port Security Port, z włączoną funkcją Port Security, zapamiętuje adresy MAC dynamicznie /statycznie. Gdy liczba zapamiętanych adresów MAC dojdzie do maksimum, port zakończy ich zapamiętywanie.
6 Metoda 1: Automatyczne zapamiętywanie 1. Wybieramy porty, które chcemy skonfigurować, 2. Wpisujemy maksymalną liczbę adresów MAC (Max Learned MAC), które mają być zapamiętywane przez jeden port. 3. Learn mode ustawiamy na Permanent, a status na Enable.
7 Metoda 1: Automatyczne zapamiętywanie 1. Podłączamy komputer A do wybranego portu na przełączniku (w naszym przypadku 2) 2. Zapamiętany przez port adres MAC wyświetli się w MAC Address Table 3. Jeśli do portu 2 podłączymy inny komputer nie uzyskamy połączenia
8 Metoda 2: Ręczna konfiguracja Uzupełniamy informacje na temat adresu MAC komputera B, VLAN ID oraz informacje na temat portu do którego podłączymy nasz komputer.
9 Metoda 2: Ręczna konfiguracja Uruchomiamy teraz funkcję Port Security przy Max Learned MAC ustawiamy 0
10 Metoda 2: Ręczna konfiguracja Przypisany stały MAC Address możemy odszukać w MAC Address Table
11 Konfiguracja Port Security Komputer B o adresie MAC 48-5B-39-2F-4A-C8 (który wcześniej przypisałem do portu 8) przepiąłem do portu 10. Czy komputer B ma dostęp do sieci?
12 Bandwidth Control Ograniczenie prędkości wejściowej/wyjściowej na porcie (ingress/engress port rate)
13 Bandwidth Control wyłączony test Internetu Bandwidth Control ustawiony na 2048 KBps
14 VLAN-y Wirtualna sieć lokalna (ang. Virtual Local Area Network, VLAN) sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej. IEEE 802.1Q standard opisujący działanie wirtualnych sieci LAN (VLAN) budowanych w środowisku transportującym ramki. Podczas przesyłania danych z jednej sieci nie następuje ich wyciek do pozostałych, wykorzystujących to samo fizyczne łącze. W przełącznikach zarządzalnych zgodnych z IEEE 802.1Q możliwe jest znakowanie ramek (tagowanie) poprzez doklejenie do nich informacji o VLAN-ie, do którego należą. Dzięki temu możliwe jest transmitowanie ramek należących do wielu różnych VLAN-ów poprzez jedno fizyczne połączenie (trunking).
15 VLAN-y vlana 1-8 vlanb 9-16 Komputery w tej samej sieci VLAN komunikują się między sobą, jeżeli są podłączone do sieci lokalnej. Nie mogą natomiast nawiązać połączenia z komputerami przypisanymi do innych sieci VLAN. Przykład: Komputery podłączone do portu 2 i 4 lub 9 i 10 komunikują się ze sobą Komputery podłączone do portów 2 i 9 nie komunikują się.
16 VLAN-y Każdemu portowi można przypisać jeden z trzech typów trybów pracy VLAN, które definiują, jak traktowane są oznakowane i nieoznakowane ramki: ACCESS - domyślnie rozpakowuje (tj. wysyła nieoznaczone) ramki które opuszczają dany port, można na nim zdefiniować tylko jeden VLAN, akceptuje pakiety nieoznakowane lub takie które mają jego własny VLAN ID. TRUNK - domyślnie oznacza ramki opuszczające port, może obsługiwać wiele VLANów. GENERAL - domyślnie oznacza ramki opuszczające port, może obsługiwać wiele VLANów, pozwala na ustawienie PVID i mieszanie ramek oznakowanych i nieoznakowanych w kierunku wyjścia z portu.
17 Konfiguracja VLAN-ów vlana 1-8 vlanb 9-12 Zadanie: VlanA: porty 1 8 VlanB: porty 9 12 Internet: Port 14
18 Definiowanie typów połączeń dla portów (GENERAL)
19 Definiowanie vlana (VLAN ID: 100)
20 Definiowanie vlanb (VLAN ID: 200)
21 Utworzone dwa VLAN-y: vlana i vlanb
22 Uwaga: Domyślnie przełącznikiem zarządzamy z VLAN ID: 1.
23 Komputery w tym samym VLAN-ie: vlana (VLAN ID: 100) widzą się
24 Komputery w różnych VLAN-ach nie widzą się, mają dostęp do Internetu
25 DHCP Snooping DHCP Snooping zabezpiecza sieć przed wpięciem nieautoryzowanego serwera DHCP.
26
27 Konfiguracja IP z konsoli
28 Zabezpieczanie przełącznika przed spięciem dwóch portów Jaki będzie efekt takiego działania?
29 Separacja komputerów w sieci lokalnej INTERNET Do portów 1 16 podpięte są komputery Do portu 18 podpięty jest Internet Do portu 19 drukarka sieciowa Do portu 20 serwer FTP Skonfiguruj sieć aby komputery miały dostęp do Internetu, do drukarki sieciowej i serwera FTP, ale nie mogły się komunikować pomiędzy sobą
30 Konfiguracja VLAN-ów cz. 2 INTERNET vlana vlanb Skonfiguruj przełącznik aby komputery w tej samej sieci VLAN komunikowały się między sobą. Nie mogą natomiast nawiązać połączenia z komputerami przypisanymi do innych sieci VLAN.
31 Konfiguracja VLAN-ów cz. 2 INTERNET vlana vlanb Skonfiguruj przełącznik aby komputery w tej samej sieci VLAN komunikowały się między sobą. Nie mogą natomiast nawiązać połączenia z komputerami przypisanymi do innych sieci VLAN.
32 Monitorowanie sieci W celu monitorowania i likwidacji uszkodzeń sieci niezbędne może okazać się śledzenie zawartości przesyłanej na poszczególnych portach. W momencie zauważenia zwiększonego ruchu na jednym z portów w dłuższym okresie czasu, istnieje możliwość podejrzenia jaka zawartość przechodzi przez dany port. Wykorzystuję się do tego celu funkcję Port Mirroring. Umożliwia ona przesłanie zawartości z konkretnego portu na zupełnie inny port, do którego jest na przykład podłączony komputer zarządzający. W ten sposób po uruchomieniu na komputerze zarządzającym programu do analizy pakietów i ramek, mamy możliwość śledzenia zawartości przekazywanej przez poszczególne porty.