domenica, Dicembre 22, 2024

Configurare Switch con VLAN e Port-Security

Vedere anche Cisco VLAN Trunking Protocol di Alessandro Torchia.

Introduzione

Questo è un esempio di configurazione di uno switch con tre VLAN (VLAN1 default, VLAN10 nome faculty e VLAN20 nome student). Quando configuriamo le VLAN, dobbiamo sapere prima di tutto che esse sono su separati domini di broadcast, vale a dire sono separate a livello network e non semplicemente a livello data-link, proprio come se ogni host sulle diverse VLAN fosse su un’interfaccia diversa di un router, infatti, ad ogni VLAN si da un indirizzo di rete o sottorete diverso. Quindi, ad esempio, tutti gli hosts collegati a VLAN10 faculty potranno comunicare tra loro, ma non con gli hosts di VLAN20 student oppure con gli hosts collegati alla VLAN1.
Attenzione: perchè le VLAN possano comunicare tra loro, si deve mettere un router in modo tale che siano i protocolli di routing a gestire le comunicazioni tra le diverse VLAN.
Questo comando permette di creare le VLAN, noi ne metteremo solo due: “VLAN10” e “VLAN 20” perché la VLAN1 è già presente e non si aggiunge, infatti, detta VLAN è quella di management alla quale sono assegnate tutte le porte quando si ha una configurazione di default nello switch, detta VLAN non può essere cancellata ed è sempre presente nello switch:

Switch# vlan database
Switch(vlan)# vlan 10 name faculty
Switch(vlan)# vlan 20 name student

Questo comando imposta il nome di dominio “Group1”:

Switch(vlan)# vtp domain Group1

Fatto questo si assegna il gateway per la VLAN qualora ci sia collegato un router o un’apparecchiatura che faccia da gateway:

Switch(config)# ip default-gateway 172.16.1.1

A questo punto entrando nella configurazione della VLAN1 specifichiamo l’indirizzo alla VLAN di management, questo ultimo sarà usato qualora dovremo gestire lo switch da remoto:

Switch(config)# interface vlan 1
Switch(config-if)# ip address 172.16.1.2 255.255.255.0

Ora assegniamo le porte dello switch alle VLAN, assegniamo la porta fa0/5 e fa0/6 alla VLAN 10 faculty e le porte fa0/7 e fa0/8 alla VLAN20 student, le rimanenti porte (fa0/1, fa0/2, fa0/3, fa0/4) non assegnandole a nessuno rimarranno nella VLAN di management VLAN1.

Switch(config)# interface fa0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Switch(config)# interface fa0/6
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10

Switch(config)# interface fa0/7
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20

Switch(config)# interface fa0/8
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 20

Port-Security

Per chi ha la necessità di fare in modo che su ciascuna porta dello switch possa attestarsi solo una macchina con mac-address fisso si imposta il port-security. Quando si configura il Port Security su una o più determinate porte dello Switch, queste saranno soggette alle nostre regole, possiamo ad esempio far sì che si spengano dopo aver letto un mac-address diverso da quello abituale.

Questi comandi che seguono permettono di impostare il numero di tentativi con cui un nuovo mac-address si può connettere alla porta dello switch, dopo di che la violazione di questo numero fa sì che la porta vada in shutdown. Questi comandi si danno dentro l’interfaccia alla quale si vuole applicare questa regola.

Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown

Attenzione: il primo mac-address che è letto dopo aver inserito il comando e il mac-address identificato come “buono”, quindi una volta trovato un mac-address diverso da questo la porta appunto sarà soggetta al Port-Security.

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie