konfigurationsbeispiel_fuer_userport-sicherheit
no way to compare when less than two revisions
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
— | konfigurationsbeispiel_fuer_userport-sicherheit [2014/06/18 20:00] (aktuell) – angelegt benny | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== UserPorts Sicherheit ====== | ||
+ | Über die Funktion UserPorts können bestimmte Protokolle auf Access-Ports gefiltert werden oder diese Ports bei eingehenden Paketen dieser Art deaktiviert werden. Dieses ist speziell beim Empfang von BPDUs relevant, wobei in diesem Fall nicht das BPDU selbst ausschlaggebend ist, sondern die vorhandene Loop. Um diese zu erkennen, senden OmniSwitches auf UserPorts sog. Fake-BPDUs und schalten bei einem Empfang dieser Fake-BPDUs die betroffenen Ports down. Über diesen Mechanismus können Loops im Edge auf einfache Art und Weise verhindert werden. Eine Beispielkonfiguration sieht so aus: | ||
+ | < | ||
+ | qos user-port filter bgp ospf rip vrrp dhcp-server pim dvmrp dns-reply user-port shutdown bpdu | ||
+ | policy port group UserPorts | ||
+ | qos apply | ||
+ | </ | ||
+ | <WRAP center round tip 60%> | ||
+ | Es ist wichtig dass die Portrange nicht die Uplink-Ports beeinhaltet, | ||
+ | </ | ||
+ | |||
+ | Das Beispiel oben filtert Pakete die einen Angriff auf zentrale dynamische Routingprotokolle darstellen können raus und schützt vor einfacher Art des DHCP- und DNS-Spoofings (da nur Client-seitige Pakete zugelassen werden). | ||
+ | " | ||
+ | |||
+ | In Netzwerken wo intelligentere " | ||
konfigurationsbeispiel_fuer_userport-sicherheit.txt · Zuletzt geändert: 2014/06/18 20:00 von benny