STP + VTP + Security + Inter VLAN Routing

De WikiCat IT
Dreceres ràpides: navegació, cerca

En aquesta wiki veurem com configurar una topologia de xarxa amb STP (Spanning Tree protocol), VTP (Virtual Trunking Protocol), Inter VLAN Routing i Seguretat en els ports connectats a dispositius finals.

STP (Spanning Tree Protocol)

En una xarxa amb moltes màquines connectades, cal assegurar-nos que tenim camins redundants per si es dóna el cas que falla en en punt. D'aquesta manera, les rutes entre diferents nodes tornaria a calcular de forma automàtica. Ara bé, els camins redundants poden ser la causa de molts problemes a la xarxa si no es configuren bé. Per fer-ho bé, cal configurar el protocol STP.

Tota xarxa ha de tenir un "root bridge" (el switch principal) i, per calcular-lo, es segueix els següents criteris:

Criteris d'elecció del Route Bridge de l'STP

  1. Priority number: sempre agafa el més baix. Els switchs, per defecte, tenen el 32769.
  2. MAC address del siwtch: també agafa la MAC més baixa.
  3. combo of priority and MAN: O bridge ID.


Per a evitar els camins redundants (i sobretot no tenir broadcast storms) cal bloquejar un port d'un switch. Això es calcula automàticament a partir dels següents criteris:

Criteris d'elecció per bloquejar un port en STP

  1. A partir de la MAC address: tira la més alta.
  2. A partir de l'ample de banda (bandwith): tria el bandwith més lent i el bloqueja.
  3. A partir del port: bloqueja el número de port més alt.

Anem veure un petit exemple de cop funciona això:

bucle_3switch.png

Com veiem, tenim un bucle de ters switchs. A simple vista, veiem ràpidament quin port de quin switch està bloquejat; està en carbassa. Anem a fer, però, unes quantes comprovacions. Sabent que tots els dispositius estan a la mateixa VLAN (VLAN 1) Anem a mirar la interfície VLAN de cada switch. show interface vlan 1 (en mode privilegiat) per veure quina MAC address tenen assignada.

show interface vlan 1
  • Switch 0 (el de dalt)
Vlan1 is administratively down, line protocol is down
  Hardware is CPU Interface, address is 0090.2b41.32bc (bia 0090.2b41.32bc)
  MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 21:40:21, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     1682 packets input, 530955 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     563859 packets output, 0 bytes, 0 underruns
     0 output errors, 23 interface resets
     0 output buffer failures, 0 output buffers swapped out

Com podem veure la MAC és 0090.2b41.32bc

  • Switch 1 (el de l'esquerra)
Vlan1 is administratively down, line protocol is down
  Hardware is CPU Interface, address is 0005.5e2e.1d41 (bia 0005.5e2e.1d41)
  MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 21:40:21, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     1682 packets input, 530955 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     563859 packets output, 0 bytes, 0 underruns
     0 output errors, 23 interface resets
     0 output buffer failures, 0 output buffers swapped out

Com podem veure la MAC és 0005.5e2e.1d41

  • Switch 2 (el de la dreta)
Vlan1 is administratively down, line protocol is down
  Hardware is CPU Interface, address is 0003.e4d7.6a41 (bia 0003.e4d7.6a41)
  MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 21:40:21, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     1682 packets input, 530955 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     563859 packets output, 0 bytes, 0 underruns
     0 output errors, 23 interface resets
     0 output buffer failures, 0 output buffers swapped out

Com podem veure la MAC és 0003.e4d7.6a41

Quin serà el root bridge?

El rswitch 2, ja que té la MAC més baixa. (Recordem que el priority number és, per dececte, el mateix per als tres switchos.)

Quin port bloqujarà?

Triarà el switch 0, ja que té la MAC de VLAN 1 més alta. Entre tots dos ports, triarà el que estigui connectat a la MAC més alta, que en aquest cas es troba al switch 1, per tant bloquejarà f0/22 del switch 0 perquè és el que va cap al swith1.


Ara executarem la comanda show spanning-tree (en mode privilegiat)

show spanning-tree
  • Switch 0 (el de dalt)
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0003.E4D7.6A41
             Cost        19
             Port        23(FastEthernet0/23)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     0090.2B41.32BC
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/22           Altn BLK 19        128.22   P2p
Fa0/23           Root FWD 19        128.23   P2p

Aquí ens informa sobre el Root ID i el Bridge ID. Com podem comprovar el Root ID és inferior al Bridge ID (el d'aquest switch). També veiem que el port 22 està bloquejat i que el port 23 va cap al root brige.

  • Switch 1 (el de l'esquerra)
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0003.E4D7.6A41
             Cost        19
             Port        21(FastEthernet0/21)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     0005.5E2E.1D41
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/22           Desg FWD 19        128.22   P2p
Fa0/21           Root FWD 19        128.21   P2p

Aquí veiem que el port 22 és el que va cap a un switch que no és el root i que el 21 és el que va cap al root.

  • Switch 2 (el de la dreta)
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0003.E4D7.6A41
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     0003.E4D7.6A41
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/21           Desg FWD 19        128.21   P2p
Fa0/23           Desg FWD 19        128.23   P2p

Aquí veiem que tant el port 21 com el 23 van cap a switchos que no són el root.

Com podem canviar el root bridge?

bucle_3switch_PCs.png

Suposem que volem que el root bridge sigui el de dalt, perquè és el que anirà cap al router. Els altres dos switchos seran per a connectar PCs (VLAN 10 i VLAN 20). Com ho podem fer? Doncs canviant la prioritat. Anem a mode configuració:

spanning-tree vlan VLANs_separades_per_comes prioritat Priority_num

Aquest priority_num quan més baix sigui millor, per tant li posarem un 0 (en el switch 0, és clar):

spanning-tree vlan 1,10,20 priority 0

Anem a fer una comprovació:

Switch#show spanning-tree
VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    1
             Address     0090.2B41.32BC
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    1  (priority 0 sys-id-ext 1)
             Address     0090.2B41.32BC
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/22           Desg FWD 19        128.22   P2p
Fa0/23           Desg FWD 19        128.23   P2p

I podem veure que el switch 0 ja no té cap port bloquejat i que ell és el root bridge.

Si ens fixem a la topologia de dalt, veurem que els PCs estan connectats al port FastEthernet0/1 del switch. Imaginem que volem reservar tots els ports des del f0/1 fins al f0/15 per a PPcs.

A més a més, volem crear dues VLANs:

  • VLAN 10: a la xarxa 192.168.10.0/24 per als professors.
  • VLAN 20: a la xarxa 192.168.20.0/24 per a alumnes.
  • Els enllaços troncals dels switchos estaran a la VLAN 1 (la VLAN per defecte)

VTP (Virtual Trunking Protocol)

VTP és un protocol que serveix per a configurar i administrar VLANs a equips Cisco. Permet centralitzar i simplificar l'administració en un domini de VLANs, i reduir la necessitat de configurar la mateixa VLAN en tots els nodes.

VTP opera en 3 modes diferents:

  • Servidor
  • Client
  • Transparent

Servidor

Es el mode por defecte. Permet crear, eliminar o modificar VLANs. Anuncia la seva configuració a la resta de switchos del mateix domini VTP i sincronitza la configuració amb la resta de servidors.

Client

En aquest mode no es poden crear, eliminar o modificar VLANs, només sincronitzar esta informació basant-se en els missatges VTP rebuts de servidors del mateix domini. Un client VTP només desa la informació de la VLAN per al domini complet mentre el switch està actiu. Si es reinicia el switch s'esborraà la informació de la VLAN.

Transparent

Des d'aquest mode tampoc es poden crear, eliminar o modificar VLANs que afectin als altres switchos. La informació VLAN en aquests switchos només es pot modificar localment.

Per saber en quin mode està treballant el nostre switch podem utilitzar la següent comanda:

show vtp status

Per exemple, en el router 0 (el de dalt):

VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 255
Number of existing VLANs        : 5
VTP Operating Mode              : Server
VTP Domain Name                 : 
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72 0xA0 0x3A 
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Local updater ID is 0.0.0.0 (no valid interface found)

Es veu clarament que està en mode server.

Per canviar el mode d'un switch:

vtp mode client

Configuració del switch 0 (el de dalt)

A continuació farem el següent:

  • Posar CORE1 com a hostname
  • Crear la VLAN 10 i posar-li el nom PROFESSORS
  • Crear la VLAN 20 i posar-li el nom ESTUDIANTS
  • Posar cisco com a nom de domini (útil per a agrupar els switchos segons dominis)
  • Posar els ports f0/22, f0/23 i f0/24 com a enllaços troncals.
Switch(config)#hostname CORE1
CORE1(config)#vlan 10
CORE1(config-vlan)#name PROFESSORS
CORE1(config-vlan)#vlan 20
CORE1(config-vlan)#name ESTUDIANTS
CORE1(config-vlan)#vtp domain cisco
Changing VTP domain name from NULL to cisco
CORE1(config)#interface range f0/22-24
CORE1(config-if-range)#switchport mode trunk

Com es pot veure, aquí configurem moltes més coses a banda del VTP; l'STP no, és clar, que ja ho hem fet abans.

NOTA: A les màquines veïnes no cal configurar l'enllaç troncal, perquè aquest switch s'encarregarà de fer-los-hi saber.

Configuració del switch 1 (el de l'esquerra)

Primertament anem a comprovaar que el switch té una interfície en mode trunk ( i que és la que toca)

PROFESSORS#show in trunk
Port        Mode         Encapsulation  Status        Native vlan
Fa0/22      auto         n-802.1q       trunking      1

Port        Vlans allowed on trunk
Fa0/22      1-1005

Port        Vlans allowed and active in management domain
Fa0/22      1,10,20

Port        Vlans in spanning tree forwarding state and not pruned
Fa0/22      1,10,20


A continuació farem el següent:

  • Posar PROFESSORS com a hostname
  • Posar el switch en mode client (VTP)
  • Posar els ports fa0/1...fa0/15 a la VLAN 10.
  • Posar els ports que van cap a clients com a portfast (això ho podríem haver fet abans, quan parlàvem del STP, però se m'ha oblidat, hehehe)
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname PROFESSORS
PROFESSORS(config)#vtp mode client
Setting device to VTP CLIENT mode.
PROFESSORS(config)#int range f0/1-15
PROFESSORS(config-if-range)#switchport access vlan 10
PROFESSORS(config-if-range)#spanning portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface  when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION

%Portfast will be configured in 15 interfaces due to the range command
 but will only have effect when the interfaces are in a non-trunking mode.
PROFESSORS(config-if-range)#spanning-tree bpduguard enable

Configuració del switch 2 (el de la dreta)

A continuació farem el següent:

  • Posar ESTUDIANTS com a hostname
  • Posar el switch en mode cleint (VTP)
  • Posar els ports fa0/1...fa0/15 a la VLAN 20.
  • Posar els ports que van cap a clients com a portfast (això ho podríem haver fet abans, quan parlàvem del STP, però se m'ha oblidat, hehehe)
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname STUDENTS
STUDENTS(config)#vtp mode client
Setting device to VTP CLIENT mode.
STUDENTS(config)#int range f0/1-15
STUDENTS(config-if-range)#switchport mode access
STUDENTS(config-if-range)#switchport access vlan 20
STUDENTS(config-if-range)#spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface  when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION

%Portfast will be configured in 15 interfaces due to the range command
 but will only have effect when the interfaces are in a non-trunking mode.
	
STUDENTS(config-if-range)#spanning-tree bpduguard enable

CDP (Cisco Discovery Protocol)

Anem a mirar les taules de veïnes de cisco per als tres switchs.

  • SWitch 0
CORE1#show cdp neighbor
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID    Local Intrfce   Holdtme    Capability   Platform    Port ID
PROFESSORS   Fas 0/22         171            S       2950        Fas 0/22
STUDENTS     Fas 0/23         171            S       2950        Fas 0/23
  • SWitch 1
PROFESSORS#show cdp neighbor
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID    Local Intrfce   Holdtme    Capability   Platform    Port ID
CORE1        Fas 0/22         156            S       2950        Fas 0/22
STUDENTS     Fas 0/21         156            S       2950        Fas 0/21
  • SWitch 2

STUDENTS#show cdp neighbor
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID    Local Intrfce   Holdtme    Capability   Platform    Port ID
CORE1        Fas 0/23         168            S       2950        Fas 0/23
PROFESSORS   Fas 0/21         168            S       2950        Fas 0/21

Port Security

Anem ara a posar-li seguretat els ports que van cap a hosts (perquè els usuaris no facin cap malifeta) i que, en cas de violació, el port es desconnecti.

  • SWitch 1
PROFESSORS(config)#interface range fastethernet0/1-15
PROFESSORS(config-if-range)#switchport port-security mAC sticky
PROFESSORS(config-if-range)#switchport port-security vio shutdown
  • SWitch 2
STUDENTS(config)#interface range fastethernet 0/1-15
STUDENTS(config-if-range)#switchport port-security mac sticky
STUDENTS(config-if-range)#switchport port-security vio shutdown

Inter VLAN Rputing

Ara afegim un router a la xarxa, i li haurem de posar dues gateways en la mateixa interfície de xarxa (una per VLAN). Per fer aicò i, a més, canviar el hostname de router, cal fer el següent:

bucle_3switch_Rkra.png

Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#no shutdown

R1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

R1(config-if)#int f0/0.10
R1(config-subif)#
%LINK-5-CHANGED: Interface FastEthernet0/0.10, changed state to up
	
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 192.168.10.254 255.255.255.0
R1(config-subif)#int f0/0.20
R1(config-subif)#
%LINK-5-CHANGED: Interface FastEthernet0/0.20, changed state to up

R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 192.168.20.254 255.255.255.0

Per veure la taula de rutes, cal fer:

R1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.10.0/24 is directly connected, FastEthernet0/0.10
C    192.168.20.0/24 is directly connected, FastEthernet0/0.20
Eines de l'usuari
Espais de noms

Variants
Navegació
Eines