Beveiligen Cisco Switch

In de vorige post hebben we gekeken hoe we de basisconfiguratie van een switch maken via de CLI. In deze post gaan we de switch verder beveiligen. Dit beveiligen doen we uiteraard ook via de CLI. We hebben het hier nog steeds over security op een standaard switch. Elke koppeling en elke techniek die gebruikt wordt vraag om zijn eigen implementatie eisen en dus ook om zijn eigen op maat gemaakte security oplossing. Maak je gebruik van een AAA server, dan moet je kijken hoe je dat verkeer het beste kunt beveiligen. Maak je gebruik van het RIP routing protocol dan is het zaak om te kijken hoe je dit het beste kunt beveiligen. Wellicht is in sommige gevallen een upgrade van een specifiek protocol beter. Gebruik je RIP en alleen Cisco switches dan zou een upgrade naar EIGRP mogelijk zijn. Kortom alle keuzes hebben impact op beveiliging. Hier kijken we naar de basic security op een basic Cisco switch.

Laten we eens vaststellen hoe we de switch gaan beveiligen.

Disable HTTP server
Activeren van storm control op de alle switchport access poorten
Activeren van het IEEE 802.1x authenticatie protocol
Port security instellen op VLAN 101
SNMP verkeer versleutelen
CDP uitschakelen
Spanning Tree Security inschakelen
DHCP verkeer beveiligen / DHCP Snooping

Buiten het activeren van bovenstaande opties zijn altijd de “basis” voorwaarden van kracht zoals het up-to-date houden van de firmware, regelmatig backups maken van de configuratie, niet gebruikte poorten uitschakelen en de switch in een beveiligde afgesloten omgeving opbergen.

Onderstaande voorbeeldconfiguratie is niet op elke Cisco switch mogelijk en in sommige gevallen is de commando opbouw net iets anders. Echter zullen de commando’s in onderstaande voorbeelden in de meeste scenario’s wel werken.

Disable HTTP server

Standaard is de HTTP webserver enabled. Omdat we deze toch niet gebruiken is het aan te raden deze uit te schakelen.

no ip http server
no ip http secure-server

Activeren van storm control op de alle switchport access poorten

Traffic storm control zorgt ervoor dat de switch de poortbelasting berekend van het inkomende broadcast-, multicast- en unicast-verkeer gedurende een specifieke interval. Tijdens de interval wordt dit percentage van broadcast-, multicast- en unicast-verkeer afgemeten tegen het percentage van de totale beschikbare bandbreedte van de poort. Wanneer het inkomende verkeer het niveau bereikt welke we als storm control threshold hebben ingeschakeld zal de switch het niveau verlagen zodat de poort niet overbelast wordt en het overige verkeer niet gehinderd wordt.

We kunnen voor ieder type verkeer een verschillende threshold configureren. Bij het commando “storm-control broadcast level 40” zal de switch al het broadcast verkeer droppen als deze meer dan 40% van de bandbreedte inneemt gedurende de 1-seconde interval. Als we meerdere types opgeven word al het verkeer gedropt als aan 1 storm control regel voldaan is. Als we dus ter aanvulling op bovenstaande ook de volgende regel configureren: “storm-control unicast level 10” en deze threshold wordt gehaald dan zal zowel het unicast als het broadcast verkeer gedropt worden. Naast bovenstaande voorbeeld, waar we werken met een percentage kunnen we ook de threshold aangeven middels BPS (bits per seconds) en PPS (packets per second).

Laten we storm control inschakelen voor broadcast verkeer (vaak door malware gebruikt) op alle poorten:

enable
configure terminal
interface range FastEthernet 0/2 - 22
storm-control broadcast level 40

Activeren van het IEEE 802.1x authenticatie protocol

802.1x is een IEE beveiligingsprotocol welke samenwerkt met bekabelde en draadloze netwerken. Het 802.1x protocol maakt het mogelijk om gebruikers toegang te geven op je interne netwerk of om deze juist te weigeren. Het 802.1x protocol werkt samen met een authentication server (b.v. RADIUS). De switch fungeert in dit geval als proxy server om de aanvraag te verifiëren en om op die manier wel of geen toegang te verlenen tot het netwerk. Het voordeel van dit protocol is dat hij goedkoop geactiveerd kan worden op ondersteunende apparaten en dat het de veiligheid van je netwerk enorm verhoogd. Deze oplossing is volledig transparant voor alle applicaties en het beheer gebeurt centraal op de AAA server.
Bij een switch waar het 802.1x protocol geactiveerd is staan de poorten standaard in een “unauthenticated” state. Als de user zich aanmeld en de aanmelding is geverifieerd dan zal de poort veranderen naar een “authenticated” state waarna de switch pakket gaat routeren. Als de gebruiker weer afmeld dan gaat de poort weer terug naar een “unauthenticated” state.
Om IEEE 802.1x in te schakelen op alle poorten gaan we als volgt te werk.

Aanmaken RADIUS configuratie op de switch (de RADIUS configuratie moet o.a. EAP ondersteunen maar hier gaan we niet in deze post niet op in).
De IEEE 802.1x suplicant (gebruiker) moet een EAP logoff message sturen zodat de poort weer succesvol in unauthenticated state word geplaatst.
IEEE 802.1x moet op alle betreffende poorten worden ingeschakeld.

We gaan als eerste de switch configureren om te verbinden met de RADIUS server. Let op, maak eventueel een local user aan om te verbinden met de VTY lines (SSH). Uiteraard kunnen de VTY lijnen ook authentiseren over de AAA server maar vaak is het veiliger om hier een local user voor aan te maken zodat je altijd kunt inloggen over de VTY lijnen zelfs als de AAA server niet bereikbaar is. We gaan als volgt te werk:

enable
configure terminal
aaa new-model
radius-server host 10.10.100.100 auth-port 1812 acct-port 1813 key %DitIsDeRADIUSSleutel%

En nu vertellen we de switch dat nieuwe 802.1x verzoeken geauthentiseerd moeten worden tegen de RADIUS server:

aaa authentication dot1x default group radius

Nu we dat gedaan hebben kunnen we 802.1x activeren op de hele switch of alleen op een aantal specifieke poorten.

Voor de gehele switch:

enable
configure terminal
dot1x system-auth-control

Op specifieke poorten (stel deze poorten wel in als “switchport access” poorten):

enable
configure terminal
interface FastEthernet 0/12
dot1x port-control auto

Port security instellen op VLAN 101

Port Security is een veiligheidsmaatregel welke de toegang tot een poort kan beveiligen op basis van een MAC-adres. Port Security kan alleen lokaal geconfigureerd worden en dus niet centraal voor gedistribueerde switches. Normaliter wordt port security geconfigureerd op poorten waar altijd dezelfde apparaten aangesloten zijn zoals b.v. servers en printers. Port Security biedt dus beveiliging tegen ongeautoriseerde apparaten en wordt dus ook vaak toegepast op fysieke poorten in openbare ruimtes.

Het instellen van Port Security op alle poorten van VLAN 101 is simpel:

enable
configure terminal
interface range FastEthernet 0/2 - 11
switchport port-security

Nu moeten we de poort nog vertellen welk MAC adres geautoriseerd is om de poort te gebruiken.

enable
configure terminal
interface FastEthernet 0/2
switchport port-security mac-address 00-d1-ba-21-32-43

Default kan na het doorvoeren van configuratie maar 1 MAC adres geautoriseerd worden als “veilig” apparaat voor die specifieke poort. Dit is v.a. dat moment het enige apparaat welke connectie kan krijgen op die poort. Laten we ervoor zorgen dat 2 MAC adressen geautoriseerd kunnen worden op poort 10:

enable
configure terminal
interface FastEthernet 0/10
switchport port-security maximum 2

Vervolgens kunnen we Port Security instellen op 3 niveaus, namelijk:

Protect – Dropt het verkeer, zend geen SNMP bericht en houdt de poort open
Restrict – Dropt het verkeer, zend een SNMP bericht maar houdt de poort open
Shutdown – Drop het verkeer, zend een SNMP bericht en sluit de poort

De default actie is de “Shutdown” actie. Als er een Port Security violation heeft plaatsgevonden zal de poort de status “err-disable” krijgen en “administrativly down” zijn. De poort komt dus niet meer up, ook niet voor het geautoriseerde apparaat. Een administrator moet de poort weer openen met het “no shut” commando. Op zich is de default actie prima maar voor dit voorbeeld willen we Port Security op het “Restrict” level plaatsen:

enable
configure terminal
interface FastEthernet 0/10
switch port-security violation restrict

Omdat de MAC adressen opgeslagen in de running-config en niet in de startup-config is de poort-MAC associatie weg na een switch reboot. Daarna kunnen alle poorten weer een nieuw MAC adres leren en autoriseren. Om dit te voorkomen kunnen we de “sticky” optie gebruiken. Sticky MAC adressen worden ook opgeslagen in de startup-config en blijven dus bewaard na een reboot. Een ander voordeel van een sticky MAC adres is dat de switch zelf het MAC adres leert van het verbonden apparaat. Dit voorkomt dat je zelf het MAC adres handmatig op moet geven. Laten we alle poorten behalve poort 2 configureren als “sticky”:

enable
configure terminal
interface range FastEthernet 0/3 - 11
switchport port-security mac-address sticky

SNMP verkeer versleutelen

SNMP is een service welke gebruikt wordt om netwerk management taken uit te voeren. SNMP gebruikt een MIB (Management Information Base) structuur en functioneert standaard over UDP poort 161 (general SNMP messages) en 162 (SNMP trap messages).

SNMPv1 wordt heel veel gebruikt maar is niet veilig door het gebruik van clear-tekst community strings. SNMPv3 is heel wat veiliger door het gebruik van hashes. Laten we dus SNMPv3 instellen. Alvorens we dit doen schakelen we SNMP helemaal uit zodat we zeker weten dat er geen default plain-tekst community strings meer achterblijven. Gebruik je geen SNMP dan is het ook aan te raden om SNMP gewoon volledig uit te schakelen:

enable
configure terminal
no snmp-server community %communitystring%
no snmp-server enable traps
no snmp-server system-shutdown
no snmp-server

Nu gaan we een simpele access-list maken waarop we alleen de devices toegang geven welke SNMP moeten kunnen gebruiken. Dit word access-list 20:

enable
configure terminal
no access-list 20
access-list 20 permit 10.10.100.21
access-list 20 permit 10.10.100.22

Nu maken we een groep (bijv. SNMPAdmins) met lees- en schrijf MIB-views (bijv. AdminMIBview). Vervolgens wordt elke gebruiker (bijvoorbeeld root) aan de groep toegevoegd met een wachtwoord (bijv. MyS3cretP@ssword) welke kan worden gehasht voordat het over het netwerk wordt verzonden. Ook wordt de standaard toegangslijst (20) op de gebruiker toegepast. Daarna wordt de MIB-weergave (AdminMIBview) gedefinieerd door een of meer instructies van de MIB toe te staan of uit te sluiten.

enable
configure terminal
snmp-server group SNMPAdmins v3 auth read AdminMIBview write AdminMIBview
snmp-server user root SNMPAdmins v3 auth md5 MyS3cretP@ssword access
snmp-server view AdminMIBview internet included
snmp-server view AdminMIBview ipAddrEntry excluded

Als SNMP vereist is voor een switch en alleen SNMP-versie 1 beschikbaar is dan kun je de communitystring (COM-5tr1n9) alleen-lezen toestemmingen geven middels de access-list.

enable
configure terminal
snmp-server community COM-5tr1n9 ro 20

CDP uitschakelen

Het CDP (Cisco Discovery Protocol) protocol is een speciaal Cisco protocol om waarmee een Cisco apparaat informatie kan verzamelen van andere aangesloten Cisco apparaten. CDP fungeert op laag 2 (datalinklaag). Een alternatief voor CDP is LLDP. Met het CDP kun je o.a. hostnamen, systeemeigenschappen, hardware en netwerksettings van andere switches verzamelen.

Vaak wil je dit protocol uitschakelen omdat deze standaard aan staat en je vaak de CDP functie niet gebruikt. Als je de functie niet gebruikt kan deze nog wel misbruikt worden. Een hacker zou via het CDP protocol exact alle Cisco apparatuur in het netwerk kunnen achterhalen. Laten we dit protocol uitschakelen:

enable
configure terminal
no cdp run

Om CDP op een enkele interface uit te schakelen gebruik je:

enable
configure terminal
interface FastEthernet0/0
no cdp enable

Spanning Tree Security inschakelen

Spanning Tree is een protocol waarmee netwerk-loops en het versturen van dubbele pakketten voorkomen worden. Switches waarbij Spanning Tree is ingeschakeld selecteren onderling de beste netwerkpaden waarmee het verkeer een ideale route aflegt en loops voorkomen worden. Dit doen de switches met speciale pakketten (BPDU). Spanning Tree werkt op OSI laag 2. Er zijn verschillende Spanning Tree protocollen zoals STP, PVST+, RSTP en MSTP.

Op de meeste Cisco switches is STP standaard geactiveerd.

Als STP niet gebruikt wordt dan is het best-practice om STP uit te schakelen. We schakelen STP uit per VLAN. Dat doen we als volgt:

enable
configure terminal
no spanning-tree vlan 1

Als we wel STP willen gebruiken is het zaak om het protocol te beschermen. Laten we even uitgaan van het default STP protocol welke by-default niet secure is. Om de veiligheid te verbeteren kunnen we een aantal technieken toepassen. Laten we er 3 kiezen, namelijk:

PortFast
BPDU Guard
Root Guard

PortFast
PortFast is an-sich geen beveiligingsprotocol maar een aanvulling op het STP protocol waarmee randapparaten sneller een netwerkverbinding krijgen. Als STP actief is op de poort dan worden een aantal fases doorlopen wanneer er connectie wordt gemaakt met de poort. Deze fases kunnen een tijdje duren (45 seconde) en worden door STP gebruikt om de juiste routes te leren en onderhandelen. Echter is dit alleen handig voor netwerkapparatuur zoals andere switches en niet voor normale randapparatuur. Deze 45 seconde “wachttijd” kunnen ervoor zorgen dat PXE boot onmogelijk is of dat het domein niet op tijd benaderd kan worden voor aanmelding. Om deze wachttijd terug te dringen is PortFast bedacht. Als PortFast op een poort geactiveerd is dan doorloopt STP veel minder fases waardoor aanmelding veel sneller gaat. PortFast kan dus geactiveerd worden op alle normale access-ports maar niet op de trunk poorten.

PortFast op alle access-ports van de switch activeren (dus niet op trunk poorten):

enable
configure terminal
spanning-tree portfast default

PortFast alleen op de access-ports activeren:

enable
configure terminal
interface range FastEthernet 0/2 - 11
spanning-tree portfast

BPDU Guard
De BPDU Guard-functie beschermt PortFast poorten tegen het ontvangen van STP BPDU’s, maar zorgt er wel voor dat de poort STP BPDU’s kan verzenden. Wanneer een STP BPDU wordt ontvangen op een PortFast poort met BPDU Guard security dan wordt de poort afgesloten en verandert de status van de poort in de status “ErrDis”. De poort blijft in de ErrDis-status staan totdat een no-shut commando wordt gegeven op de interface. BPDU Guard voorkomt dus dat een rougue device zich kan aanmelden als participant in het STP netwerk en dus netwerkverkeer ontvangt waarna dit rogue device als man-in-the-middle fungeert. Het is dus aan te raden om BPDU Guard te activeren op alle access-ports met actief STP protocol. Activeer dit niet op poorten waar een andere switch op aangesloten zit zoals op b.v. de trunk poorten.

BPDU Guard activeren op de alle PortFast poorten:

enable
configure terminal
spanning-tree portfast default

Naast BPDU Guard kun je ook een BPDU filter instellen. BPDUfilter filtert/dropt alleen BPDU’s in beide richtingen, waardoor STP op de poort effectief wordt uitgeschakeld. Een apparaat, aangesloten op een poort met BPDU filter zal dus nooit geen BPDU pakketten ontvangen. Bpdu-filter voorkomt inkomend en uitgaand BPDU verkeer en verwijdert de PortFast-status van de poort als er toch een BPDU pakket wordt ontvangen. Het inschakelen van BPDU-filtering op een interface is de hetzelfde als het uitschakelen van spanning tree erop en kan resulteren in spanning-boom loops.

enable
configure terminal
spanning-tree portfast default

BPDU Filter activeren op alle PortFast poorten:

enable
configure terminal
spanning-tree portfast bpdufilter default

BPDU Filter activeren op een specifieke poort:

enable
configure terminal
interface range FastEthernet 0/2 - 11
spanning-tree bpdufilter enable

Root Guard
Binnen STP wordt er 1 switch gekozen als zogenaamde “root” bridge. Om te voorkomen dat een andere switch wordt geselecteerd als root bridge kun je Root Guard inschakelen. Op deze manier voorkom je dat een rogue switch zich registreert als root bridge in het netwerk en dus weer als man-in-the-middle kan fungeren. Een rogue switch zou dit kunnen doen door te adverteren met een betere “cost” wat een optelsom is van verschillende waardes waardoor het netwerk een root bridge kan kiezen.

Als Root Guard ingeschakeld wordt op een interface is deze van toepassing op alle VLAN’s waartoe de interface behoort. Schakel Root Guard in op interfaces die niet worden gebruikt door de “UplinkFast” functie. Met UplinkFast vervangen de back-upinterfaces (in de geblokkeerde toestand) de rootpoort in het geval van een error. Als Root Guard echter ook is ingeschakeld, worden alle back-upinterfaces die door de functie UplinkFast worden gebruikt, in de root-inconsistente status (geblokkeerd) geplaatst en kunnen ze de doorstuurstatus niet bereiken.

Dus ook in dit geval telt dat Root Guard alleen ingeschakeld moet worden op de poorten waarop devices aangesloten zijn doe nooit kunnen fungeren als Root Bridge. Denk aan normale randapparatuur, switches en Access Layer Switches. Schakel Root Guard bijvoorbeeld niet in op poorten waar Distribution Switches op aangesloten zitten. In ons geval activeren we Root Guard op alle poorten behalve op de trunk poorten.

enable
configure terminal
interface range FastEthernet 0/1 - 22
spanning-tree guard root

DHCP verkeer beveiligen – DHCP Snooping

Tenslotte kunnen we het netwerk ook beschermen tegen rogue DHCP servers. Een Rogue DHCP server is een server welke in het netwerk staat zonder dat deze geautoriseerd is door de netwerk beheerders. Een Rogue DHCP server kan het netwerk verstoren door foutieve IP adressen en IP eigenschappen uit te delen en kan wederom ook fungeren als man-in-the-middle of gebruikt worden om een DoS aanval uit te voeren. Om dit te voorkomen kunnen we binnen de switch DHCP beschermen met een techniek genaamd “DHCP Snooping”. DHCP Snooping is een layer 2 security technologie welke onacceptabel DHCP verkeer dropt. Onacceptabel DHCP verkeer is verkeer dat:

Afkomstig is van een ongeautoriseerde DHCP server
Als DHCP berichten afkomstig zijn van een bron waarbij het source MAC adres niet overeenkomt met het hardware MAC adres.
DHCP berichten die een leaseperiode opheffen of een lease weigeren als deze opheffing of weigering wordt ontvangen vanaf een andere poort als waar de originele DHCP onderhandeling op uitgevoerd is.

Laten we DHCP Snooping activeren. We moeten weten op welke poort we een geautoriseerde DHCP server hebben. Laten we zeggen op poort 2.

enable
configure terminal
ip dhcp snooping

Nu moeten we het nog activeren voor alle separate VLAN’s:

ip dhcp snooping vlan 100
ip dhcp snooping vlan 101
ip dhcp snooping vlan 102

Nu vertellen we de switch dat poort 2 en 12 een trusted DHCP poort is dat op deze 2 poorten een DHCP server op aangesloten is:

interface FastEthernet0/2
ip dhcp snooping trust
exit
interface FastEthernet0/12
ip dhcp snooping trust

Wat we vervolgens nog moeten doen is onze DHCP server beschermen zodat een malafide gebruiker geen DHCP DoS aanval kan doen waardoor de complete DHCP lease meteen vol is en er dus geen adressen meer uitgegeven kunnen worden. Dit beschermen doen we met een zogenaamde rate-limit. De rate-limit zijn het aantal pakketten per seconde en kan een waarde hebben van 1 tot 4294967294. 25 is in deze een veilige waarde.

enable
configure terminal
interface FastEthernet 0/1
ip dhcp snooping limit rate 25
exit
interface range FastEthernet 0/3 - 11
ip dhcp snooping limit rate 25
exit
interface range FastEthernet 0/13 - 22
ip dhcp snooping limit rate 25
exit

Conclusie

Er zijn natuurlijk nog veel meer security settings welke we door kunnen voeren zoals uitgebreide access lists, routing protocol security, NFP Best Practices en nog veel meer. Deze post is echter een goed begin naar een veel veiligere switch. Als er behoefte is aan speciale Cisco security informatie laat het me dan even weten en wellicht kunnen we daar dan een speciale post voor maken. Vond je deze post leuk, laat het me dan zeker ook even weten. Delen mag altijd… maar wel graag met referentie en URL vermelding 🙂 Dank jullie wel!

Ter info, de volledige configuratie ziet er nu als volgt uit:

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname CoreSwitch01
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$.JfZ$iZt4J8LhGgrRYEiP6OAcM.
!
username ditbenik password 7 104300130B121B0C090A3D2A272027222D1C1512
!
!
aaa new-model
!
!
aaa authentication dot1x default group radius
!
!
!
aaa session-id common
system mtu routing 1500
!
!
ip dhcp snooping vlan 100-102
ip dhcp snooping
ip domain-name corenetwork.nl
!
!
crypto pki trustpoint TP-self-signed-458544896
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-458544896
 revocation-check none
 rsakeypair TP-self-signed-458544896
!
!
crypto pki certificate chain TP-self-signed-458544896
 certificate self-signed 01
  30820251 308201BA A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 34353835 34343839 36301E17 0D393330 33303130 30303134 
  375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3435 38353434 
  38393630 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  A3BAD7FF 71AD2D7A EF151873 147EB759 CEA5FADE BC9D8F2F 0FAE6614 FEBDADAE 
  4A29B3D7 26E44F25 EFD32A66 31408D69 DC5A96E0 23E12EB1 C1ED2E56 7E23FCEB 
  F3C7B8EE DB3D4D78 74DC18BF 039412E1 4190B67E D3693960 1240A363 C433808A 
  5BABD5F9 75731E73 67D3DB35 BD6A1C01 8B516CA5 20AD99C1 317FE9A5 E236E4A1 
  02030100 01A37B30 79300F06 03551D13 0101FF04 05300301 01FF3026 0603551D 
  11041F30 1D821B43 6F726553 77697463 6830312E 636F7265 6E657477 6F726B2E 
  6E6C301F 0603551D 23041830 168014F2 BA342C0C 9644D861 225718F1 496ABC07 
  FA3FE430 1D060355 1D0E0416 0414F2BA 342C0C96 44D86122 5718F149 6ABC07FA 
  3FE4300D 06092A86 4886F70D 01010405 00038181 009221A4 DA0103EC A96C6328 
  D85F0B81 3C3936A8 16363C0F 31E76A98 72339A9F B7D08BF7 3D1E82EF B24E73C7 
  A1889A9E 42F8BE6E 215EFA88 804D6FAD 1B39A4D8 AA50E645 68DC3883 DF66B41D 
  A6631F70 634D01EA 0A1ECD36 2089555D D2B562DA BDDD8BFF 81DF8F79 6A5DBEFA 
  D16A5DCD 32324F76 D1FB7770 AA235886 AA767D6B 11
  quit
!
!
!
!
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
no spanning-tree vlan 1
!
vlan internal allocation policy ascending
!
ip ssh version 2
!
!
interface FastEthernet0/1
 switchport access vlan 100
 switchport mode access
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/2
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address 00d1.ba21.3243 vlan access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping trust
!
interface FastEthernet0/3
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/4
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/5
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/6
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/7
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/8
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/9
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/10
 switchport access vlan 101
 switchport mode access
 switchport port-security maximum 2
 switchport port-security
 switchport port-security violation restrict
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/11
 switchport access vlan 101
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree portfast
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/12
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping trust
!
interface FastEthernet0/13
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/14
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/15
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/16
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/17
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/18
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/19
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/20
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/21
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/22
 switchport access vlan 102
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator
 storm-control broadcast level 40.00
 spanning-tree guard root
 ip dhcp snooping limit rate 25
!
interface FastEthernet0/23
 switchport trunk allowed vlan 101,102
 switchport mode trunk
!
interface FastEthernet0/24
 switchport trunk allowed vlan 101,102
 switchport mode trunk
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
 no ip address
 no ip route-cache
!
interface Vlan100
 description Management
 ip address 10.10.100.1 255.255.255.0
 no ip route-cache
!
interface Vlan101
 description Accounting
 no ip address
!
interface Vlan102
 description Finance
 no ip address
!
ip default-gateway 10.10.100.254
no ip http server
no ip http secure-server
access-list 20 permit 10.10.100.21
access-list 20 permit 10.10.100.22
no cdp run
no cdp tlv location
no cdp tlv app
snmp-server group SNMPAdmins v3 auth read AdminMIBview write AdminMIBview 
snmp-server view AdminMIBview internet included
snmp-server view AdminMIBview ipAddrEntry excluded
radius-server host 10.10.100.100 auth-port 1812 acct-port 1813 key 7 13371616021917012E3D
vstack
banner motd 
---------------------------------------------------------------------------------
CoreSwitch01
Bedrijfsnaam
Tech Support: 000-0000000
---------------------------------------------------------------------------------
LET OP: Maak altijd een back-up van de configuratie voordat je 
begint met de werkzaamheden en sla de configuratie altijd op na 
het maken van een change en noteer de change in het logboek. 
Gebruik SHOW commandos om de configuratie te contoleren alvorens je deze opslaat.
---------------------------------------------------------------------------------
!
line con 0
 logging synchronous
line vty 0 4
 transport input ssh
line vty 5 15
 transport input ssh
!
end

! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname CoreSwitch01 ! boot-start-marker boot-end-marker ! enable secret 5 $1$.JfZ$iZt4J8LhGgrRYEiP6OAcM. ! username ditbenik password 7 104300130B121B0C090A3D2A272027222D1C1512 ! ! aaa new-model ! ! aaa authentication dot1x default group radius ! ! ! aaa session-id common system mtu routing 1500 ! ! ip dhcp snooping vlan 100-102 ip dhcp snooping ip domain-name corenetwork.nl ! ! crypto pki trustpoint TP-self-signed-458544896 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-458544896 revocation-check none rsakeypair TP-self-signed-458544896 ! ! crypto pki certificate chain TP-self-signed-458544896 certificate self-signed 01 30820251 308201BA A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 34353835 34343839 36301E17 0D393330 33303130 30303134 375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3435 38353434 38393630 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 A3BAD7FF 71AD2D7A EF151873 147EB759 CEA5FADE BC9D8F2F 0FAE6614 FEBDADAE 4A29B3D7 26E44F25 EFD32A66 31408D69 DC5A96E0 23E12EB1 C1ED2E56 7E23FCEB F3C7B8EE DB3D4D78 74DC18BF 039412E1 4190B67E D3693960 1240A363 C433808A 5BABD5F9 75731E73 67D3DB35 BD6A1C01 8B516CA5 20AD99C1 317FE9A5 E236E4A1 02030100 01A37B30 79300F06 03551D13 0101FF04 05300301 01FF3026 0603551D 11041F30 1D821B43 6F726553 77697463 6830312E 636F7265 6E657477 6F726B2E 6E6C301F 0603551D 23041830 168014F2 BA342C0C 9644D861 225718F1 496ABC07 FA3FE430 1D060355 1D0E0416 0414F2BA 342C0C96 44D86122 5718F149 6ABC07FA 3FE4300D 06092A86 4886F70D 01010405 00038181 009221A4 DA0103EC A96C6328 D85F0B81 3C3936A8 16363C0F 31E76A98 72339A9F B7D08BF7 3D1E82EF B24E73C7 A1889A9E 42F8BE6E 215EFA88 804D6FAD 1B39A4D8 AA50E645 68DC3883 DF66B41D A6631F70 634D01EA 0A1ECD36 2089555D D2B562DA BDDD8BFF 81DF8F79 6A5DBEFA D16A5DCD 32324F76 D1FB7770 AA235886 AA767D6B 11 quit ! ! ! ! spanning-tree mode pvst spanning-tree portfast default spanning-tree extend system-id no spanning-tree vlan 1 ! vlan internal allocation policy ascending ! ip ssh version 2 ! ! interface FastEthernet0/1 switchport access vlan 100 switchport mode access spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/2 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address 00d1.ba21.3243 vlan access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping trust ! interface FastEthernet0/3 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/4 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/5 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/6 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/7 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/8 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/9 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/10 switchport access vlan 101 switchport mode access switchport port-security maximum 2 switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/11 switchport access vlan 101 switchport mode access switchport port-security switchport port-security mac-address sticky authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree portfast spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/12 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping trust ! interface FastEthernet0/13 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/14 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/15 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/16 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/17 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/18 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/19 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/20 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/21 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/22 switchport access vlan 102 switchport mode access authentication port-control auto dot1x pae authenticator storm-control broadcast level 40.00 spanning-tree guard root ip dhcp snooping limit rate 25 ! interface FastEthernet0/23 switchport trunk allowed vlan 101,102 switchport mode trunk ! interface FastEthernet0/24 switchport trunk allowed vlan 101,102 switchport mode trunk ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache ! interface Vlan100 description Management ip address 10.10.100.1 255.255.255.0 no ip route-cache ! interface Vlan101 description Accounting no ip address ! interface Vlan102 description Finance no ip address ! ip default-gateway 10.10.100.254 no ip http server no ip http secure-server access-list 20 permit 10.10.100.21 access-list 20 permit 10.10.100.22 no cdp run no cdp tlv location no cdp tlv app snmp-server group SNMPAdmins v3 auth read AdminMIBview write AdminMIBview snmp-server view AdminMIBview internet included snmp-server view AdminMIBview ipAddrEntry excluded radius-server host 10.10.100.100 auth-port 1812 acct-port 1813 key 7 13371616021917012E3D vstack banner motd --------------------------------------------------------------------------------- CoreSwitch01 Bedrijfsnaam Tech Support: 000-0000000 --------------------------------------------------------------------------------- LET OP: Maak altijd een back-up van de configuratie voordat je begint met de werkzaamheden en sla de configuratie altijd op na het maken van een change en noteer de change in het logboek. Gebruik SHOW commandos om de configuratie te contoleren alvorens je deze opslaat. --------------------------------------------------------------------------------- ! line con 0 logging synchronous line vty 0 4 transport input ssh line vty 5 15 transport input ssh ! end

That’s all folks, Over en uit….!

copy running-config startup-config
copy running-config tftp
reload

Vond je het een interessant of leuk artikel? Overweeg s.v.p. of je me wilt sponsoren met een bakje arbeidsvitaminen. Want met koffie is immers alles beter :-)