Switch- och WAN- teknik Intro, kapitel 1, 2
INTRODUKTION, KURSPLANERING
Lärandemål Den studerande skall e@er genomgången kurs kunna redogöra för teorierna bakom datakommunikaeon i lokala datanät. Den studerande skall även e@er genomgången kurs kunna designa, installera och konfigurera trådbundna och trådlösa nätverk. Kursen innehåller följande moment: LAN/WAN- teori och design LAN- switching och VLAN VTP, STP och Inter- VLAN roueng Grundläggande trådlösa nätverk Tekniker för seriella länkar, PPP, Frame Relay. Nätverkssäkerhet, Access- listor DHCP, NAT och IPv6 Felsökning
Kursplanering Vecka Datum Moment 3 16 jan F1 IntrodukEon, LAN SWITCHING Kapitel 1 & 2 17 jan L1 4 23 jan F2 LAN SWITCHING Kapitel 3 & 4 24 jan L 5 30 jan F3 LAN SWITCHING Kapitel 5 & 6 31 jan L3 6 6 feb F4 LAN SWITCHING RepeEEon, genomgång övningsskilltest 8 feb Skilltest Switching 7 Omtentavecka 8 21 feb F5 WAN tech kapitel 1 & 2 21 feb L5 WAN TECH kapitel 1 & 2 9 27 feb F6 WAN TECH kapitel 3 & 4 28 feb L6 10 6 mars F7 WAN TECH kapitel 5 & 6 7 mars L7 11 13 mars F8 WAN TECH kapitel 7 & 8 14 mars L8 12 Tentavecka
Vad handlar kursen om? Del 1, switching Del 2, WAN LAN design Grundläggande switchkunskap och konfigurering VLAN, VTP, STP, InterVLAN- roueng Basic Wireless WAN- tekniker (PPP, Frame Relay osv) Accesslistor NAT, DHCP, IPv6 Nätverkssäkerhet
Cisco cerefikat?
Vad krävs för af klara kursen? Högskolepoäng CerEfikat Switching CerEfikat WAN Tenta Skilltest Switching Skilltest WAN Finaltest Switching Finaltest WAN
LAN Design
LAN Design
Nätverksdiameter 3 4 2 5 1 6
HasEghet Krävs: 500 MBit? 100 MBit
Redundans? Redundant länk Redundant länk
Typiska funkeoner i en switch Access DistribuEon CORE Port security VLAN 100, 1G PoE Link AggregaEon QoS ExpanEon: SFP, GBIC L3 support High forwarding rate Gigabit Ethernet, 10GE Redundans (nätagg etc) SäkerhetsfunkEoner Link AggregaEon QoS L3 support Very high forwarding rate Gigabit Ethernet, 10 GE Redundanta komponenter Link AggregaEon QoS
Ciscos modellbeteckningar C2960-24LT- L C3500 C3550 C2960-24TC- L C2960-48TC- L C3750-24PS- S
Hifa räf switch Val grundas på portdensitet, funkeonskrav och prestandakrav
Hifa räf switch
Vilka funkeoner krävs av switchen?
Converged Networks
Bra af veta Switchportar är uppe som standard No shutdown behövs inte STP är på som standard Kan ta 30 sekunder innan en switchport fungerar Switch sparar conf på flash Nollställning av switch annorlunda mot routrar
Kapitel 2 BASIC SWITCH CONCEPTS AND CONFIGURATION
Ethernet IEEE 802.3
Vad innebär Ethernet?
Tre typer av trafik Frame addresseras Dll Mofagarens MAC FF- FF- FF- FF- FF- FF 01-00- 5E- xx- xx- xx
Switch Hur vet switchen vilken port den skall skicka ut en frame på?
PopulaEon av MAC- tabellen En frame kommer in på en switchport Switchen läser av source mac address och sparar adressen Ellsammans med portnummret i en tabell. switch# show mac-address-table VLAN MAC Address Type Age Port ---------+-----------------+-------+---------+--------- 1 0018.b967.3cd0 dynamic 10 fa1/3 1 001c.b05a.5380 dynamic 200 fa1/3
PopulaEon av MAC- tabellen Om switchen inte känner Ell mofagaren då? Framen skickas ut på alla portar utom den som den kom in på. Svaren på defa låter switchen spara portnummer för MAC- adressen och nästkommande paket behöver inte skickas ut på alla portar.
Latency
Latency
Metoder för switching
Symmetrisk och asymmetrisk switching
Lager 2- vs Lager 3- switchar
Switch vs router FunkDon Lager- 2- switch Lager- 3- switch Router RouEng - Ja Ja Traffic management - Ja Ja WIC Support - - Ja Avancerade rouengprotokoll - Nja Ja Wirespeed roueng - Ja - Vanlig L2- switching Ja Ja -
Minns ni begreppen? Collision domain Broadcast domain Network congeseon
Switch boot
Konfigurering av switch
Console
Vanliga kommandon
Grundläggande säkerhet
Återställning av lösenord Starta switchen Håll in MODE- knappen på switchen Ells lampan blinkar och sedan blir grön. Kör kommandot flash_init Kör kommandot load_helper Ta bort konfiguraeonen, del flash:/config.text Starta om
Vad är VLAN? Virtual LAN är en logiskt uppdelning av fysiska nät, o@a baserat på funkeon (t.ex. lärare, student). Utan VLAN Med VLAN
VLAN VLAN idenedieras med ef nummer som kallas VLAN- ID Alla portar måste ha ef VLAN- ID Standard VLAN- ID är 1
The bad guys MAC address flooding MAC address spoofing CDP afacks Telnet afacks DHCP starvaeon Osv
MAC address flooding Teori: En switch sparar MAC- adress från avsändare Ellsammans med portnummer. MAC- adressen på frames kan säfas av operaevsystemet Utnyfjande: Skapa och skicka mängder av paket med fejkade avsändaradresser. Resultat: Switchens minne blir fullt. Den kommer då skicka ut alla paket på alla portar.
MAC address spoofing Teori: MAC- adressen på frames kan säfas av operaevsystemet Utnyfjande: Skapa paket med fejkad MAC- adress. Sy@et kan variera, men vanligen vill man utge sig för af vara någon annan. Resultat: Trafik skickas ut på fel port i switchen
MAC address spoofing MAC 00-0A 00-0B 00-0C Port Fa0/1 Fa0/2 Fa0/3 00-0B 00-0A 00-0C
MAC address spoofing MAC 00-0A 00-0B 00-0C Port Fa0/3 Fa0/2 Fa0/3 00-0B 00-0A Manipulerat paket: Source MAC address 00-0A 00-0C
MAC address spoofing 00-0B 00-0A 00-0C Gotcha!
Switch CAM table overflow MAC 00-0A 00-0B 00-0C Port Fa0/3 Fa0/2 Fa0/3 Switchens CAM- tabell blir full Trafik skickas ut på alla portar 00-0B 00-0A Fejkade MAC- adresser för avsändare 00-0C
ARP spoofing Jag vill logga in på www.dnlab.se 192.168.0.2 00-0B 192.168.0.1 00-0A Dnlab.se 00-0C 192.168.0.3
ARP spoofing ARP REQ: Vem har 192.168.0.1? 192.168.0.2 00-0B 192.168.0.1 00-0A Dnlab.se 00-0C 192.168.0.3
ARP spoofing ARP RESPONSE: Jag har 192.168.0.1, min MAC är 00-0A 192.168.0.2 00-0B 192.168.0.1 00-0A Dnlab.se 00-0C 192.168.0.3
ARP spoofing Frame Ell 00-0A 192.168.0.2 00-0B 192.168.0.1 00-0A Dnlab.se 00-0C 192.168.0.3
ARP spoofing OK, whatever 192.168.0.2 00-0B 192.168.0.1 00-0A ARP RESPONSE: Jag har 192.168.0.1. Min MAC är 00-0C Dnlab.se 00-0C 192.168.0.3
ARP spoofing 192.168.0.2 00-0B 192.168.0.1 00-0A Frame Ell 00-0C Dnlab.se 00-0C 192.168.0.3
ARP spoofing 192.168.0.2 00-0B 192.168.0.1 00-0A Vidarebefordra frame Ell 00-0A Dnlab.se 00-0C 192.168.0.3
ARP spoofing 192.168.0.2 00-0B 192.168.0.1 00-0A ARP RESPONSE: Jag har 192.168.0.2, MAC 00-0C Dnlab.se 00-0C 192.168.0.3
ARP spoofing 192.168.0.2 00-0B 192.168.0.1 00-0A Trafik går Ell 00-0C som vidarebefodrar Dnlab.se 00-0C 192.168.0.3
DHCP starvaeon Normal DHCP- sekvens. DHCP- Server DHCP pool: 10.0.0.0/24 DHCP DISCOVER DHCP OFFER MAC- adress IP Age 00-0A 10.0.0.1 1 hour 00-0B 10.0.0.2 4 minutes DHCP REQUEST DHCP ACK
DHCP starvaeon Afacken går ut på af begära IP- adresser Ells det inte finns några kvar af ge ut. DHCP- Server DHCP pool: 10.0.0.0/24 DHCP REQUEST DHCP REQUEST DHCP REQUEST DHCP REQUEST MAC- adress IP Age 00-0A 10.0.0.1 1 hour 00-0B 10.0.0.2 4 minutes 00- AA 10.0.0.3 1 sec 00- AB 10.0.0.4 1 sec 00-0C 10.0.0.5 1 sec.
Rouge DHCP server Åtgärd: Begränsa vilka portar som får skicka DHCP OFFER. Defa kallas DHCP snooping. DHCP- Server DHCP pool: 10.0.0.0/24 DHCP DISCOVER DHCP OFFER MAC- adress IP Age 00-0A 10.0.0.1 1 hour 00-0B 10.0.0.2 4 minutes DHCP REQUEST DHCP ACK
Port security Port security kan konfigureras för af motverka flera typer av oönskad trafik, t.ex. MAC address flooding. Switchen kan vidta åtgärder när oönskad trafik inkommit, vanligen af stänga av switchporten.
Fler afacker Brute force afacks DoS afacks DDoS afacks
Program af testa Nessus Hifar sårbarheter i tjänster Nmap Scannar e@er öppna portar på en server Metasploit Utnyfjar sårbarheter för af få access Ell opatchade system Backtrack LinuxdistribuEon fylld med verktyg för analys och sårbarheter Labbet finns Ell av en anledning. Testa i isolerad miljö.
Ciscos rekommendaeoner För oanvända portar i en switch Skapa ef VLAN som inte används Ell något Säf oanvända portar i defa VLAN Säf alla portar i accessläge Stäng av DTP Kör shut down Stäng av CDP (globalt eller per port)