Il tuo indirizzo IP è 108.162.219.115     

Cisco Zone-Based Policy Firewall

Scritto da Alessio Carta il . Inserito in CCNA Security

Cisco ha introdotto i firewall zone-based policy (ZPF o ZBF) nel 2006 a partire dalla release 12.4(6)T dell’IOS. La tecnologia zone-based prevede che le interfacce vengano assegnate a zone specifiche, con regole di analisi che si applicano al traffico tra zone. Ovviamente rimane il pieno supporto alle funzionalità stateful packet inspection, application inspection, URL filtering e protezione DoS già previste da Cisco IOS Classic Firewall, conosciuto come Context-Based Access Control (CBAC).

Cisco ACL: configurazioni avanzate

Scritto da Alessio Carta il . Inserito in CCNA Security

Le ACL, Access Control Lists, nel loro uso avanzato permettono di sfruttare un router con le funzionalità tipiche di un Firewall, inteso come elemento di separazione tra rete interna (sicura) e reti esterne (non sicure). In quest'articolo vedremo come utilizzare le ACL established, reflexive, dinamiche e a tempo (Time-Based).

Cisco ACL: configurazioni di base

Scritto da Alessio Carta il . Inserito in CCNA Security

Sui router Cisco, l’implementazione delle tecnologie di firewalling, almeno per una configurazione base, si ottiene tramite le Access Control Lists (ACL), funzionalità che permette un filtraggio del traffico basato principalmente sull’indirizzamento IP e sulle porte TCP e UDP. Ad esempio, un’ACL può permettere agli utenti con uno specifico indirizzo di rete di scaricare files da Internet tramite una connessione FTP, bloccando altri tipi di connessioni dalla stessa rete e bloccando inoltre qualsiasi altro traffico da indirizzi IP sorgenti diversi da quelli specificati.

Spanning Tree e varianti su switch Cisco

Scritto da Alessio Carta il . Inserito in CCNA

Gli switch Cisco eseguono diverse implementazioni del protocollo Spanning Tree. A partire dagli standard originali IEEE, esattamente 802.1d per lo Spanning Tree classico e 802.1w per il Rapid Spanning Tree, sono state introdotte delle varianti proprietarie, elencate di seguito:


  • PortFast: è una funzione che permette ad una porta di passare immediatamente allo stato di forwarding, saltando gli stati intermedi di listening e learning. L'uso di PortFast è utile nel collegamento diretto tra una porta ed una workstation o un server, permettendo a tali macchine un accesso immediato alla rete, senza le lunghe attese dovute ai tempi di convergenza di STP.
  • UplinkFast: è la versione "globale" del PortFast, ossia fa passare immediatamente qualsiasi porta dello switch allo stato di forwarding, saltando gli stati intermedi di listening e learning. Utile quando lo switch ha un solo collegamento di trunk.

Tecnologie dedicate al supporto di reti Ethernet con più VLAN:

  • PVST, Per-Vlan Spanning Tree: viene supportata un’istanza dello Spanning Tree Protocol per ogni VLAN, con un root bridge e una topologia STP differente per ogni VLAN. Utilizza il protocollo di trunking Cisco ISL (Inter Switch Link).
  • PVST+, variante del Per-Vlan Spanning Tree. Si tratta della modalità predefinita sugli switch Cisco. Mantiene tutte le caratteristiche del PVST, con un’istanza STP per ogni VLAN, e aggiunge il supporto allo standard 802.1Q per i trunk. Poiché di default esiste la VLAN1 su ogni switch, esisterà su ogni switch l’istanza STP predefinita per la VLAN1.
  • Rapid PVST+: si basa sul protocollo standard IEEE 802.1w (Rapid STP). Supporta tutte le estensioni di PVST e PVSTP+, ma rispetto a questi è più veloce a convergere, essendo "Rapid".

 

Poiché gli switch Cisco eseguono un’istanza dello Spanning Tree Protocol per ogni VLAN, visualizzando le relative informazioni su uno switch appena collegato in rete, si osserva che queste riguardano la VLAN predefinita 1:

Switch#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority    32769
Address     0000.0CBB.7E1E
Cost        19
Port        1(FastEthernet0/1)
Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
Address     00D0.BC04.E963
Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1            Root LRN 19        128.1    P2p

 

 

I comandi

Disabilitare il protocollo Spanning-Tree

Switch(config)#no spanning-tree vlan numero_VLAN

Se non sono state create VLAN oltre quella di default, il valore del numero_VLAN è 1.

Modificare il Bridge ID per uno switch – metodo priority

Switch(config)#spanning-tree vlan numero_VLAN priority bridge_priority

Il root bridge viene eletto in base al valore del Bridge ID: “vince” lo switch con il valore minore. Il BID è composto da 2 byte di Bridge Priority, che di default vale 32768, più 6 byte costituiti dal MAC-address. Ad esempio, se uno switch ha come MAC address AA-11-BB-22-CC-33, il BID sarà 32768:AA-11-BB-22-CC-33. Se si vuol forzare l'elezione del root bridge in favore di uno switch specifico, è sufficiente variare al ribasso la sua priorità con il comando appena indicato. Sono consentite variazioni a intervalli di 4096.

Modificare il Bridge ID per uno switch – metodo root

Switch(config)#spanning-tree vlan numero_VLAN root primay|secondary

L’opzione primary assegna un Bridge ID di 24576, ossia 8192 punti sotto il valore di default, mentre l’opzione secondary assegna un Bridge ID di 28672, ossia 4096 punti sotto il valore di default.

Abilitare la funzionalità Port Fast su una porta

Switch(config-if)#spanning-tree portfast

Impostare la modalità Rapid PVSTP+

Switch(config)#spanning-tree mode rapid-pvst

Utilizzando questo sito accetti l'uso di cookie per analisi, contenuti personalizzati e pubblicità mirata (tramite Google AdSense). Clicca qui per maggiori informazioni