Tischplattenbeißpotential: 0
1. Herausfinden, welcher Switch Root-Bridge ist:
Central#sh span
-> Die Ausgabe ist (gekürzt):
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0009.7C61.9058
Cost 4
Port 25(GigabitEthernet0/1)
-> die letzte Zeile bedeutet, dass die Root-Brigde mit Port G0/1 verbunden ist
-> schaut man nach, welcher Switch am anderen Ende des Kabels hängt, findet man SW-1:
SW-1#sh span
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0009.7C61.9058
This bridge is the root
-> hier sagt es uns der Switch SW-1 schon selbst, dass er die Root-Bridge ist
2. Switch "Central" zur "primary root bridge" machen, SW-1 zur "secondary root bridge"
Central(config)#spanning-tree vlan 1 root primary
SW-1(config)#spanning-tree vlan 1 root secondary
3. PortFast und BPDU guard an allen Access-Ports aktivieren (SW-A und SW-B, nicht etwa die Switches, auf denen wir gerade gearbeitet haben)
-> Access-Ports sind Ports, die nicht mit anderen Switches verbunden sind
SW-B(config)#int range fa0/1 - 22
-> mit dem Interface-Range-Befehl kann man mehrere Interfaces auf einmal konfigurieren
-> man kann Bereiche und Aufzählungen verwenden, zum Beispiel: int range fa0/1, fa0/3 - 6
SW-B(config-if-range)#switchport mode access
-> zur Sicherheit explizit die Ports in den Access-Modus schalten; wird hier aber nicht bewertet
SW-B(config-if-range)#spanning-tree portfast
-> Folgende Ausgabe ist in Ordnung:
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast will be configured in 22 interfaces due to the range command
but will only have effect when the interfaces are in a non-trunking mode.
SW-B(config-if-range)#spanning-tree bpduguard enable
-> ebenfalls in diesem Interface-Bereich an allen 22 Interfaces gleichzeitig
4. Root guard und Storm Control an allen Trunk-Ports aktivieren (diesmal an SW-1 und SW-2)
SW-1(config)#int range fa0/23-24
SW-1(config-if-range)#spanning-tree guard root
SW-1(config-if-range)#storm-control broadcast level 50
-> 50 ist die rising threshold; mehr geht hier auch nicht im Moment
-> und auch nicht diese Ports für Storm Control vergessen:
SW-1(config)#int range fa0/1, gi1/1
SW-1(config-if-range)#storm-control broadcast level 50
5. Port-Security aktivieren und ungenutzte Ports deaktivieren (SW-A und SW-B)
a) Port-Security: 2 MAC-Adressen sollen dynamisch gelernt werden (=sticky), bei Verletzung der Regeln soll der Port heruntergefahren werden (ist eigentlich default)
SW-A(config-if-range)#int r fa0/1-4
SW-A(config-if-range)#swi port max 2
SW-A(config-if-range)#swi port violation shutdown
SW-A(config-if-range)#swi port mac sticky
-> bei so etwas werde ich immer etwas schreibfaul, aber das macht nichts, denn diese Abkürzungen werden vom Cisco-IOS genau so wie die ausgeschriebenen Befehle interpretiert
b) ungenutze Ports deaktivieren:
SW-A(config)#int r fa0/5-22
SW-A(config-if-range)#shutdown
1. Herausfinden, welcher Switch Root-Bridge ist:
Central#sh span
-> Die Ausgabe ist (gekürzt):
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0009.7C61.9058
Cost 4
Port 25(GigabitEthernet0/1)
-> die letzte Zeile bedeutet, dass die Root-Brigde mit Port G0/1 verbunden ist
-> schaut man nach, welcher Switch am anderen Ende des Kabels hängt, findet man SW-1:
SW-1#sh span
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0009.7C61.9058
This bridge is the root
-> hier sagt es uns der Switch SW-1 schon selbst, dass er die Root-Bridge ist
2. Switch "Central" zur "primary root bridge" machen, SW-1 zur "secondary root bridge"
Central(config)#spanning-tree vlan 1 root primary
SW-1(config)#spanning-tree vlan 1 root secondary
3. PortFast und BPDU guard an allen Access-Ports aktivieren (SW-A und SW-B, nicht etwa die Switches, auf denen wir gerade gearbeitet haben)
-> Access-Ports sind Ports, die nicht mit anderen Switches verbunden sind
SW-B(config)#int range fa0/1 - 22
-> mit dem Interface-Range-Befehl kann man mehrere Interfaces auf einmal konfigurieren
-> man kann Bereiche und Aufzählungen verwenden, zum Beispiel: int range fa0/1, fa0/3 - 6
SW-B(config-if-range)#switchport mode access
-> zur Sicherheit explizit die Ports in den Access-Modus schalten; wird hier aber nicht bewertet
SW-B(config-if-range)#spanning-tree portfast
-> Folgende Ausgabe ist in Ordnung:
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION
%Portfast will be configured in 22 interfaces due to the range command
but will only have effect when the interfaces are in a non-trunking mode.
SW-B(config-if-range)#spanning-tree bpduguard enable
-> ebenfalls in diesem Interface-Bereich an allen 22 Interfaces gleichzeitig
4. Root guard und Storm Control an allen Trunk-Ports aktivieren (diesmal an SW-1 und SW-2)
SW-1(config)#int range fa0/23-24
SW-1(config-if-range)#spanning-tree guard root
SW-1(config-if-range)#storm-control broadcast level 50
-> 50 ist die rising threshold; mehr geht hier auch nicht im Moment
-> und auch nicht diese Ports für Storm Control vergessen:
SW-1(config)#int range fa0/1, gi1/1
SW-1(config-if-range)#storm-control broadcast level 50
5. Port-Security aktivieren und ungenutzte Ports deaktivieren (SW-A und SW-B)
a) Port-Security: 2 MAC-Adressen sollen dynamisch gelernt werden (=sticky), bei Verletzung der Regeln soll der Port heruntergefahren werden (ist eigentlich default)
SW-A(config-if-range)#int r fa0/1-4
SW-A(config-if-range)#swi port max 2
SW-A(config-if-range)#swi port violation shutdown
SW-A(config-if-range)#swi port mac sticky
-> bei so etwas werde ich immer etwas schreibfaul, aber das macht nichts, denn diese Abkürzungen werden vom Cisco-IOS genau so wie die ausgeschriebenen Befehle interpretiert
b) ungenutze Ports deaktivieren:
SW-A(config)#int r fa0/5-22
SW-A(config-if-range)#shutdown
Keine Kommentare:
Kommentar veröffentlichen