HP ProCurve SKA 3.1 Certifiering



Relevanta dokument
Edgecore SKA 3.1 certifiering

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

CCNP Switchbibeln. Oskar Löwendahl 2/26/2014 1

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

IPv6 och säkerhet.

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

SEC. Godkänd: Rev: Augusti SEC 1(14)

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Inlämningsuppgift 12b Router med WiFi. Här ska du: Installera och konfigurera en trådlös router i nätverket.

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

Övningar - Datorkommunikation

IPv6 i Stadsnät. Anders Löwinger, PacketFront

DI a/11g Dualband 108Mbps trådlös router

Krav på kundens LAN och gränssnitt DataNet

Hur man ändrar från statisk till automatisk tilldelning av IP i routern.

Önskemål kring Studentstadens bredband och UpUnet-S

Ethernet-anslutning. För mer information om skrivarens Ethernet-funktion klickar du på avsnittet nedan: Ethernet-lampor. nätverkskonfigurationssida

Krav på kundens LAN och gränssnitt ProLane

DIG IN TO Nätverkssäkerhet

Switch- och WAN- teknik. F4: Repe55on switching

ZYXEL PRESTIGE 660H-61 INSTALLATIONSMANUAL

Waystream SKA/SEC Certifiering

Felsökningsguide för Windows XP

SSnF ÅRSKONFERENS Linköping mars 2012

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

DIG IN TO Administration av nätverk- och serverutrustning

DI-714P+ Innan du börjar. Kontrollera förpackningens innehåll. 2.4GHz trådlös router och printerserver. DI-714P+ 2.4GHz trådlös router

Planering och RA/DHCPv6 i detalj

5 Internet, TCP/IP och Tillämpningar

router n. filer och en Inter net- uppkoppling över flera datorer.

Setup Internet Acess CSE-H55N

SMC Barricade Routers

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Switch- och WAN- teknik. Intro, kapitel 1, 2

JobOffice SQL databas på server

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Systemkrav och tekniska förutsättningar

Nätverksteknik A - Introduktion till VLAN

Handbok för installation av programvara

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2

5 Internet, TCP/IP och Applikationer

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

DI-604 Express EtherNetwork bredbandsrouter

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Instruktioner för Internetanslutning

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

Installation av digitala enheter

Hjälpprotokoll till IP

Nätverksteknik A - Introduktion till Routing

Ver Guide. Nätverk

PUNKT TILL PUNKT-ANSLUTNING. Version 10/10. Att ansluta en PC till Controller 1

Handbok för installation av programvara

Lathund Beställningsblankett AddSecure Control

Konfigurera Routern manuellt

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

DIG IN TO. Nätverksadministration

Fick-router MP-01. tre i en fick-router med 6 olika lägen

DIG IN TO Nätverksteknologier

Installation av. Vitec Online

Advoco NetPBX. Konfiguration av Yealink SIP IP-telefoner

EXAMENSARBETE. Implementering av dot1x i Cisco-miljö. Claes Lind Högskoleexamen Datornätverk

Installation och setup av Net-controller AXCARD DS-202

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

INSTALLATIONSMANUAL NORDIC-SYSTEM WEBBSERVER, ios- OCH ANDROID-APP. Ver. 2.5

Installationsanvisningar

Aktivera och använda EtherTalk för Mac OS 9.x

HDMI Extender över Ethernet

Grundläggande rou-ngteknik

Att Säkra Internet Backbone

DIG IN TO Administration av nätverk- och serverutrustning

IPv6 - Råd och Rön Myter och skrönor. Torbjörn

INSTALLATIONSGUIDE Com Hem WiFi Hub L1 Bredband Fastighet FiberLAN

Konkurensneutrala fastigehetsanslutningar. SOF

Installationsmanual för Tyfon ADSL

Brandväggs-lösningar

Handbok för nätverk. För säker och korrekt användning, läs igenom säkerhetsinformationen i "Handbok för kopiator" innan du använder maskinen.

HDMI Extender över Ethernet

DA 2012: F13. Nätverk 2 Ann-Sofi Åhn

Ethernet kommunikation med hjälp av optionskortet OPT-CI

OJ436-6 UPPGRADERING FÖR SMARTTONNES

Se till att alltid starta om nätverket i den här ordningen:

Rapport för Högskoleexamen, Mars 2013 Datorkommunikation. Sektionen för informationsvetenskap, data- och elektroteknik

4 p o r t s 1 0 / m b p s

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Föreläsning 5. Vägval. Vägval: önskvärda egenskaper. Mål:

Switch- och WAN- teknik. F7: ACL och Teleworker Services

Snabbguide Installation Linkmanager och ansluta till SiteManager

DATALAGRINGSDIREKTIVET

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

Konfigurera Routern manuellt

Installationsanvisning För dig som har dynamisk IP-Adress

ETSF Routingprojektet WILLIAM TÄRNEBERG

Transkript:

HP ProCurve SKA 3.1 Certifiering

Innehållsförteckning 1. Bakgrund... 3 2. SSnFs krav för Ska 3.1 certifiering... 3 3. Funktioner i HP ProCurves switchar... 4 3.1. DHCP-Snooping... 4 3.2. DHCP-Snooping Option 82... 4 3.3. Dynamic ARP-Protection... 5 3.4. Source IP Lockdown... 6 3.5. Source-Port Filtering... 6 4. Exempelkonfiguration... 7 2

1. Bakgrund Detta dokument beskriver vilka funktioner och konfigurationer som används på HP ProCurve switchar för att uppfylla de krav som sätts av SSnF för SKA 3.1 Certifiering. 2. Minimikrav för SKA 3.1 Kraven nedan är kopierade direkt från SSnFs SKA Dokument som beskriver krav och tester för SKA 3.1. 1. Så kallad DHCP-snooping ska finnas på accessportarna, d v s. en kund ska inte kunna vara DHCP-server åt någon annan kund. 2. Det ska inte gå att sätta en fast IP-adress och komma vidare från porten som kunden är ansluten i. 3. När kunden fått en eller flera adresser via DHCP ska bara den eller de adresserna kunna skicka trafik ut från den porten. 4. Om inte adressen förnyas via DHCP-servern ska den adressen stängas av i switchporten. 5. Alla typer av spoofing/poisoning ska förhindras för TCP/IP och ARPprotokollen. D v s de av DHCP godkända adresserna är de enda adresserna som ska förekomma som sourceaddress i TCP/IP och ARP paket. 6. Alla försök till spoofing/poisoning bör kunna loggas till t.ex syslogserver för att trojaner/virus och hackare ska kunna spåras. 7. Spårbarhet ska läggas in i DHCP-förfrågningarna i L2-läge, accessswitchen ska inte vara DHCP-relay. 8. Det bör finnas filtreringsmöjligheter mellan kundportar så att t.ex godtyckliga TCP/UDP-portar kan filtreras bort mellan kunder 9. Om fasta IP-adresser används ska switchporten bara tillåta den för porten definierade IP-adressen som source-adress i TCP/IP och ARP-paket. 10. UPnP ska alltid vara spärrat mellan acessportar. 11. IPv6 ICMP6 router advertisment och IPv6 DHCP-servrar ska spärras mellan kundportar. 3

3 Beskrivning av funktioner i HP ProCurves switchar 3.1 DHCP Snooping DHCP Snooping skiljer på pålitliga och opålitliga portar. Funktionen används för att: - Droppa DHCP Server paket från opålitliga portar - Filtrera DHCP klient paket - Bygga en databas med IP-adresser till MAC-adresser kopplat till portar Konfiguration av DHCP Snooping dhcp-snooping dhcp-snooping vlan 10 interface a1 dhcp-snooping trust dhcp-snooping authorized-server 10.1.10.10 3.2 DHCP Snooping Option 82 Med Option 82 kan switchen lägga till information i klienternas DHCP förfrågningar som DHCP Servern kan använda sig av för att applicera rätt policy på DHCP förfrågningar. Option 82 ger också möjlighet att spåra vilken IP Adress som sitter på vilken switch och vilken port. Option 82 kan alltid läggas till DHCP Snooping är påslaget, oavsett om switchen är konfigurerad som DHCP-Relay eller inte. Konfiguration av Option 82 dhcp-snooping option 82 remote-id subnet-ip dhcp-snooping option 82 untrusted-policy replace 4

3.3 Dynamic ARP Protection Dynamic ARP protection delar upp portarna i Pålitliga och Opålitliga. På opålitliga portar verifierar den alla ARP förfrågningar och svar genom att jämföra den med sin IP- till MAC databas som skapas via DHCP Snooping. Detta gör det möjligt för switchen att filtrera ogiltiga ARP förfrågningar och svar. Dynamic ARP Protection har också stöd för ytterliggare kontroller som t ex: - Verifiering av käll MAC adress - Verifiering av destinations MAC adress - IP Adress OBS! Denna funktion kräver att DHCP Snooping är påslaget i switchen. Konfiguration av Dynamic ARP Protection arp-protect arp-protect vlan 8 arp-protect trust a23-a24 5

3.4 Source IP Lockdown Source IP lockdown arbetar tillsammans med DHCP Snooping för att låsa en IP Adress till en specifik port för att undvika IP Spoofing. Source IP Lockdown fungerar både för dynamiska och statiska IP adresser OBS! Denna funktion kräver att DHCP Snooping är påslaget i switchen. Konfiguration av Source IP Lockdown i dynamisk miljö ip source-lockdown a1-a24 Konfiguration av Source IP Lockdown för en statisk låsning ip source-binding <vlan-id> <ip-address> <mac-address> [ethernet] <port-number> 3.5 Source Port Filtering Source Port Filtering är en funktion för att styra vilka portar som får prata med vilka oavsett VLAN tillhörighet. Det innebär att all layer 2 trafik kan filtreras eller tvingas upp till en Switch/Router och vända om användarna skall kommunicera med varandra. Denna funktion filtrerar automatiskt UpnP och IPv6 mellan användar portar. Konfiguration av Source Port Filtering filter source-port "1" drop 2-49 6

Exempelkonfiguration J4899B Configuration Editor; Created on release #H.10.67 hostname "SKA_Edge" interface 50 name "Uplink" exit ip default-gateway 192.168.1.1 snmp-server community "public" Unrestricted vlan 1 name "DEFAULT_VLAN" untagged 49-50 ip address 192.168.1.2 255.255.255.0 no untagged 1-48 exit vlan 10 name "Users" untagged 1-48 tagged 50 exit filter source-port "1" drop 2-49 filter source-port "2" drop 1,3-49 filter source-port "3" drop 1-2,4-49 filter source-port "4" drop 1-3,5-49 filter source-port "5" drop 1-4,6-49 filter source-port "6" drop 1-5,7-49 filter source-port "7" drop 1-6,8-49 filter source-port "8" drop 1-7,9-49 filter source-port "9" drop 1-8,10-49 filter source-port "10" drop 1-9,11-49 filter source-port "11" drop 1-10,12-49 filter source-port "12" drop 1-11,13-49 filter source-port "14" drop 1-13,15-49 filter source-port "13" drop 1-12,14-49 filter source-port "15" drop 1-14,16-49 filter source-port "16" drop 1-15,17-49 filter source-port "17" drop 1-16,18-49 filter source-port "18" drop 1-17,19-49 filter source-port "19" drop 1-18,20-49 filter source-port "20" drop 1-19,21-49 filter source-port "21" drop 1-20,22-49 filter source-port "22" drop 1-21,23-49 filter source-port "23" drop 1-22,24-49 filter source-port "24" drop 1-23,25-49 filter source-port "25" drop 1-24,26-49 filter source-port "26" drop 1-25,27-49 filter source-port "27" drop 1-26,28-49 filter source-port "28" drop 1-27,29-49 filter source-port "29" drop 1-28,30-49 7

filter source-port "30" drop 1-29,31-49 filter source-port "31" drop 1-30,32-49 filter source-port "32" drop 1-31,33-49 filter source-port "33" drop 1-32,34-49 filter source-port "34" drop 1-33,35-49 filter source-port "35" drop 1-34,36-49 filter source-port "36" drop 1-35,37-49 filter source-port "37" drop 1-36,38-49 filter source-port "38" drop 1-37,39-49 filter source-port "39" drop 1-38,40-49 filter source-port "40" drop 1-39,41-49 filter source-port "41" drop 1-40,42-49 filter source-port "42" drop 1-41,43-49 filter source-port "43" drop 1-42,44-49 filter source-port "44" drop 1-43,45-49 filter source-port "45" drop 1-44,46-49 filter source-port "46" drop 1-45,47-49 filter source-port "47" drop 1-46,48-49 filter source-port "48" drop 1-47,49 filter source-port "49" drop 1-48 dhcp-snooping dhcp-snooping authorized-server 10.1.10.10 dhcp-snooping option 82 untrusted-policy replace remote-id subnet-ip dhcp-snooping vlan 10 interface 50 dhcp-snooping trust exit ip source-lockdown 1-48 arp-protect arp-protect trust 50 arp-protect validate src-mac arp-protect vlan 10 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss