CCNP Switchbibeln. Oskar Löwendahl 2/26/2014 1

2014 CCNP Switchbibeln Oskar Löwendahl 2/26/2014 1

Innehållsförteckning Grundläggande konfiguration... 2 Portar... 3 Stänga av portar/slask vlan... 3 Byta vlan på en accessport... 3 Byta vlan på en trunkport... 3 Att tänka på:... 3 Vlan... 4 Skapa vlan... 4 Ta bort vlan... 4 Att tänka på:... 4 VTP... 5 Stänga av VTP... 5 VTP versioner... 5 VTP mode... 5 VTP domain och password... 5 Spanning-tree, STP... 6 PVST... 6 Välja prio... 6 1... 6 2... 6 Verifiera... 6 RSTP, Rapid Spanning-tree... 7 För klienter:... 7 För upplänkar:... 7 MST... 7 Private vlan... 8 Vlan-delen... 8 Portdelen... 8 Verifiera... 9

IP DHCP Snooping/IP source guard... 10 Ip dhcp snooping... 10 Ip source guard... 10 Verifiera... 10 BPDU-Guard/Spanning-tree skydd... 11 Root-Guard... 11 Loop-Guard... 11 VACLs (Vlan Access Control List)... 12 PACL (Port Access Control List)... 12 Etherchannel L2... 13 PAGP Ciscos... 13 LACP 802.3AD... 13 Conf:... 13 Verifiera:... 13 Ta bort etherchannel... 13 Etherchannel L3... 13 HSRP... 15 VRRP... 16 GLBP... 16 SSH... 17 Cisco Switch: Best Practices... 18

Grundläggande konfiguration enable conf t hostname switchnamn no ip domain-lookup line console 0 logg syn password password login line vty 0 4 password password login enable secret password service password-encryption 2

Portar Stänga av portar/slask vlan interface range fastethernet 0/1-24, gigabitethernet 0/1-2 switchport access vlan 666 shutdown Byta vlan på en accessport interface fastethernet 0/1 switchport access vlan 100 (switchport voice vlan 200) switchport mode access Byta vlan på en trunkport interface fastethernet 0/1 switchport trunk encapsulation dot1q/isl switchport trunk native vlan 100 switchport voice vlan 200 switchport mode trunk Att tänka på: Native vlan är det vlanet som trafik taggas med om det inte har något vlan i headern ELLER det vlanet som man vill att datorer efter en ip-telefon ska ligga med i. Voice vlan använder man om man har IP-telefoner. Accessport med voice vlan fungerar ENDAST med Ciscotelefoner.

Vlan Skapa vlan vlan 100 name name Ta bort vlan no vlan 100 Att tänka på: Om det finns portar i vlanen som tas bort kommer de ligga kvar i det vlanet som inte längre finns. Glöm inte att flytta dessa till slask vlan.

VTP Måste vara trunkport för att vtp ska fungera. Stänga av VTP vtp version 1 vtp mode transparent VTP versioner 1, 2 eller 3 1 gammal 2 kan skicka vidare vtp genom mode transparent 3 Finns bara i CatOS 8.1 eller senare. VTP mode transparent, client, server transparent fungerar som en enskild klient, kan skicka vidare om det finns någon vtp switch på andra sidan, men lyssnar inte på uppdateringar från server. client bara klient, lyssnar på uppdateringar från servrarna. Kan inte skapa egna vlan. Sparar inga vlan lokalt utan kräver kontakt med en vtp server efter varje reboot. server Kan skapa vlan, delar ut till andra servrar och klienter om de har ett lägre rev nummer. VTP domain och password vtp domain domännamn vtp password password

Spanning-tree, STP Prioritet LÄGRE är bättre (4096-61440) Standard är 32768 headern innehåller prio och mac address prio mac address Först prio, sen mac-address, lägre är bättre. Länkkostnad sätts per interface för spanning-tree. (10Mbps = stp cost 100, 100Mbps = cost 19, 1GBps = cost 4) Måste den välja port så väljer det lägsta portnummret från sender bid alltså inte den lägsta som tar emot utan den lägsta porten på den som skickar. PVST headern innehåller VLANnummret också prio vlan mac address en root per vlan Välja prio 1 spanning-tree vlan x root primary spanning-tree vlan x root secondary 2 spanning-tree vlan x priority <number> (4096-61440) Verifiera show spanning-tree

RSTP, Rapid Spanning-tree För klienter: int fa0/1 spanning-tree portfast <- Endast accessportar! Men gärna alla accessportar. För upplänkar: 802.1w spanning-tree mode rapid-pvst MST spanning-tree mst configuration instance 1 vlan 100-130 instance 2 vlan 140-180 revision 1 <- OBS! Glöm inte ändra revisionen till ett högre nummer efter varje ändring. spanning-tree mst 1 priority 4096 spanning-tree mst 2 priority 8192 spanning-tree mode mst

Private vlan Vlan-delen Switcharna måste vara i vtp mode transparent vlan 200 private-vlan primary vlan 205 private-vlan community vlan 210 private-vlan isolated vlan 200 private-vlan association 205,210 Portdelen int fa0/10 sw mode private-vlan host sw private-vlan host-association 200 205 int fa0/11 sw mode private-vlan host sw private-vlan host-association 200 210 int fa0/1 sw mode private-vlan promiscuous sw private-vlan mapping 200 205,210

Verifiera show vlan private-vlan show vlan private-vlan type

IP DHCP Snooping/IP source guard IP dhcp snooping ALS Switchar ip dhcp snooping <- Slår på skydd mot dhcp spoofing, kan inte skicka dhcp offers på någon port int fa(portar närmast dhcp-server) - OBS är det en port-channel så ska det sättas på port-channel istället för interface! ip dhcp snooping trust På varje port man vill ska kunna skicka ut dhcp offers från dhcp serven så behöver man ge portarna en trust för att göra det. Så alltså alla portar mot DHCP-servern/DLS-Switcharna måste ha en trust. IP dhcp snooping DLS Switchar ip helper på båda/alla vlan-interface <- Om L3 länkar. ip dhcp relay information trust-all <- Om L2 länkar. Ip source guard int ra fa 0/1-24 ip verify source vlan dhcp-snooping port-security <- Tillåter INTE statiska ip-addresser. Blockar porten. Verifiera show ip dhcp snooping binding

BPDU-Guard/Spanning-tree skydd int fa0/1 spanning-tree bpduguard enable sätts på alla interface som är accessportar? Ej portar mot switchar som vi vet om finns? porten hamnar i err-disable läge och shutdown. Root-Guard Om man vill att en switch inte ska kunna få väljas som root, även om alla andra switchar går ner. Sätt på interface från root eller backup root till dålig switch. Ställ in root-guard efter att man valt root. int fa0/1 spanning-tree guard root sätter porten i inconsision mode?! Loop-Guard

VACLs (Vlan Access Control List) Fungerar bara på MLS (Multi layer switch). access-list 1 permit 10.1.10.0 0.0.0.255 (går även med extended acl och mac access-list) access-list 2 permit 10.1.30.0 0.0.0.255 vlan access-map DEMO 10 match ip address 1 action forward vlan access-map DEMO 20 action drop vlan filter DEMO vlan-list 10 vlan access-map TEST 10 match ip address 2 action forward vlan access-map TEST 20 action drop vlan filter TEST vlan-list 30 PACL (Port Access Control List) Fungerar bara på L2 portar. int fa0/1 ip access-group 1 in int fa0/2 mac access-group troll in

Etherchannel L2 PAGP Ciscos Auto, Desirable Om båda sidorna är auto så kommer det inte hända något. LACP 802.3AD Passive, Active On på båda sidorna är att rekommendera. Conf: Int ra fa0/23-24 (Channel-protocol lacp/pagp) går ej använda om du vill ha ON på båda sidorna. Channel-group 1 mode active/desirable port-channel load-balance (dst-mac/src-mac/dst-ip/src-ip) Verifiera: Show etherchannel 1? Show etherchannel detail show etherchannel summary Ta bort etherchannel no interface port-channel 1 Etherchannel L3 Interface port-channel 1 No switchport (Not a convertible port?) Om det felet kommer, gör så här: Exit Int ra fa0/23-24 No channel-group 1 Exit

Interfa Port-channel 1 No switchport Ip address 10.1.1.1 255.255.255.0 Int ra fa0/23-24 No switchport Channel-group 1 mode desirable

HSRP Steg 0: Skapa vlan interface sw1 int vlan 100 ip address 10.0.0.2 255.255.255.0 sw2 int vlan 100 ip address 10.0.0.3 255.255.255.0 Steg 1: Skapa standby group sw1 int vlan 100 standby 1 ip 10.0.0.1 standby 1 priority 150 (100 är standard högre är bättre) sw 2 int vlan 100 standby 1 ip 10.0.0.1 standby priority Steg 2: Tilldela ip-adresser. Steg 3: Verifiera show standby Steg 4: Optimera and tune. preempt tar tillbaka active om den kommer upp igen efter att ha varit nere priority ställer in vilken som ska vara den aktiva, högst prio vinner, standard är 100 tracking timers hello och dead timers.

VRRP vrrp group istället för standby group master/backup istället för active/standby int fa0/0 eller vlan 100 vrrp 1 ip 10.0.0.1 vrrp 1 preempt vrrp 1 timers advertise (skicka timers)/learn (lär dig från mastern) om advertise så fortsätt ställa in timers. GLBP

SSH ip domain-name CISCO username cisco password cisco crypto key generate rsa line vty 0 4 transport input ssh login local

Cisco Switch: Best Practices 1. Disable CDP wherever possible (no cdp run) / int fa0/1 -> no cdp enable 2. Lock down spanning-tree bpdu-guard / int fa -> sw host 3. Disable trunk negotiation on access ports sw host / sw mode access 4. Physical security is key lås in switchen 5. Place unused ports in a black-hole VLAN - 6. Use SSH when possible line vty 0 4 -> transport input ssh TÄNK PÅ: IP helper kan behövas när du har en DHCP-server.