Jump to content

Sicherheitsfrage auf Trunk Ports & zu Syslogs


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Habe mal eine Frage zu Trunkports zwischen 2 Switchen.

 

Habe hier nen Catalyst 3750G und 2 Catalyst 2950 in folgender Config

 

SW1 (3750G) <--Fiber 1Gbit Trunk --> SW2 (2950) <---Kupfer 100Mbit Trunk --> SW3 (2950)

 

Sind also alle in Reihe und der 3750 ist der Kopf der Anlage, es sind zwar noch mehr Switche verbaut aber um dieses Segment gehts halt.

Auf allen Switchen läuft Port-Security im shutdown modus, funktioniert auch wunderbar! Nur ist mir aufgefallen, dass wenn ich aus dem SW2 die Verbindung zum SW3 rausnehme und statt dessen mein Notebook anklemme aufs Netz Zugriff bekomme. (Die MAC von meinem Laptop ist not allowed auf den Switchports). Beide Trunkports von SW2 und SW3 sind auf mode trunk gesetzt, aber mein Notebook geht trotzdem.

Die Frage ist also ob man das auch wegbekommt und quasi es nur erlaubt das die beiden Switche mit einander reden dürfen?

 

Und dann noch eine Frage, wie macht ihr das mit den SNMP Traps und Syslognachrichten? Wollte das bei uns auch nutzen aber ich habs noch nie gemacht, bringt Win2003 Server einen Server dafür mit, oder gibts da was gutes als Freeware? Oder was könnt ihr empfehlen?

 

Danke für eure Hilfe!

Link zu diesem Kommentar

Abschnitt von SW2

 

!

interface FastEthernet0/21

description UplinkSW3

switchport mode trunk

!

 

Abschnitt von Von SW3:

 

!

interface FastEthernet0/21

shutdown

!

interface FastEthernet0/22

description UplinkSW2

switchport mode trunk

!

interface FastEthernet0/23

shutdown

!

 

 

Über den Trunk sollen 2 VLANs übertragen werden (1&2)

 

Ja ist ein Windows Notebook mit XP prof2 und SP2 mit Domainanmeldung (AD)

Link zu diesem Kommentar

Hallo,

 

das port sec Feature ist ein ingress Featute am Switchport (non trunk). Wenn du nun den .Q Trunk zwischen den Switches absteckst und dein notebook ansteckst, wirst du in VLAN 1 landen. In der defaultconfig wird das native vlan, dass nicht getagged geführt wird VLAN 1 sein ==> du kannst alles in VLAN 1 erreichen. Falls eine Routinginstanz konfiguriert ist, kannst du natürlich auch alles aus VLAN 2 erreichen.

 

Best Practise ist hier:

 

a. Native Vlan

VLAN 1 nicht verwenden und unterschiedliche dummy native vlans auf den trunks verwenden. Vlan 1 wird nur für die interswitch kommunikation genutzt (CDP, ...)

!

interfa x/y

switchport trun encap dot1q

switchport mode trunk

switchport trunk allowed vl <A>,<B>,<DUMMY>

switchport trunk native vlan <DUMMY>

switchport nonegotiate

!

A und B sind deine "Nutzvlans"

 

b. All VLAN tagged

 

Variante a ist mit konfigurationsaufwand verbunden. Ein nicht 802.1q getaggtes VLAN gibt es nur aus backwardscompability Gründen im IEEE Standard. Generell bringt das native vlan keinerlei vorteile. Fall nun in einem [shared medium] segment bridges, die kein 802.1q unterstützen, vorhanden wären, wären diese über das native vlan erreichbar. Desshalb gibt es das native vlan. Derartige Switches sollte es nicht mehr geben (Falls vorhanden sollte eine migration auf "state of the art" Switches angestrebt werden (;-)).

Es gibt auf Catalyst Switches die Möglichkeit auch das native VLAN 802.1q tagged zu transportieren:

!

conf t

vlan dot1q tag native

!

Nun werden alle VLAN via 802.1q Header übertragen..

Bei der Implementierung sollte man natürlich Downtime kalkulieren.

 

Falls man nun eine 802.1q fähige karte hätte, könnte man natürlich wieder auf die VLANS zugreifen. Switches sind jedoch in gesicherten Räumen installiert, um physikalischen Zugriff zu vermeiden.

 

hope this helps

 

brgds and have a great day

Link zu diesem Kommentar

Hallo daking,

 

also erstmal Danke für die ausführliche Antwort!

Den Befehl switchport trun encap dot1q kennt mein 2950 zwar nicht (altes IOS, denke ich)

Aber der Rest nach Lösung A klappt wunderbar. Allerdings muss das native DUMMY Vlan der beiden gegenüberliegenen Trunkports das gleiche sein, da sonst ständig vlan configuration errors über das CPD Protokoll ermittelt werden.

Da ich immo das def Vlan 1 nicht einfach so ändern kann, weil es ein Teil eines großen Netzes ist was bisher nicht mit VLANs und Port-Securitys betrieben wurde, habe ich das erstmal so gelassen und lediglich die native vlans auf den Trunks auf X gesetzt.

 

Hat es denn überhaupt einen Nachteil VLAN 1 auch für Nutzdaten zu benutzen, außer das da auch die CDP Daten übertragen werden?

 

Danke!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...