Cisco Ag642a Cisco MDS 9124e Fabric Switch to profesjonalny przełącznik do przemysłowych sieci danych. Przełącznik obsługuje wszystkie wymagane protokoły sieciowe, takie jak BGP, OSPF, EIGRP, VLAN, i inne. Przełącznik jest wyposażony w szeroką gamę funkcji, w tym możliwość skalowania do setek portów, wsparcie dla istniejących sieci wieloprotokołowych, zaawansowane funkcje bezpieczeństwa oraz zarządzanie zdalne. W celu skonfigurowania przełącznika Cisco MDS 9124e Fabric Switch, należy przeprowadzić następujące kroki: uzyskać dostęp do konsoli przełącznika, skonfigurować protokoły sieciowe, skonfigurować porty, skonfigurować VLANy, skonfigurować protokoły bezpieczeństwa oraz skonfigurować zdalne zarządzanie.
Ostatnia aktualizacja: Instrukcja konfiguracji sprzętu Cisco Ag642a Cisco Mds 9124e Fabric Switch
W niniejszym poradniku zaprezentujemy podstawową konfigurację urządzeń Cisco RV260 (router) i Cisco SG250X-24 (przełącznik). Na tej podstawie zapewnimy dostęp do usługi Internet naszym Klientom. Całą konfigurację wykonamy w oparciu o poniższy schemat topologii sieci: dwie podsieci w dwóch VLANach (10 i 20) oraz prosta konfiguracja routera Cisco. W pierwszej kolejności zaczniemy od konfiguracji naszego routera Cisco RV260 VPN. Istnieją dwa sposoby konfiguracji: poprzez port CONSOLE, za pomocą specjalnego kabla RS232-RJ45 lub poprzez interfejs www. Router, który będziemy konfigurować, jest przeznaczony dla małych i średnich firm (nie ma połączeń SSH i TELNET), w związku z tym konfigurację wykonamy przy pomocy interfejsu WWW. Konfigurujemy ustawienie portu WAN, zgodnie z naszym połączeniem do Internetu. Trzeba również pamiętać, aby ustawić dokładny czas, zgodny z nasza strefą czasową oraz ustawić synchronizację za pomocą protokołu NTP. Ustawienie dokładnego czasu pomoże w przyszłości w rozwiązywaniu problemów. I na sam koniec ostatnia pozycja w naszym kreatorze ustawień, dotyczy hasła dostępowego do urządzenia. Należy ustawić złożone hasło (minimum 8 znaków, z dużą i mała literą, a także cyfry i znaki) Ostatnim punktem podstawowej konfiguracji naszego routera jest ustawienie nazwy, która pomoże w identyfikowaniu naszego urządzenia. Wstępna konfiguracja już za nami. W związku z tym przejdźmy do bardziej zaawansowanych ustawień. Zgodnie z naszym założeniem naszą sieć podzielimy na dwie fizyczne podsieci VLAN, a dodatkowo zabezpieczymy nasz router: Ponadto ustawiliśmy opcję Device Management na Disabled we wszystkich sieciach VLAN, za wyjątkiem VLAN 100. Będzie to służyć jako ochrona sprzętu przed intruzami. Ponadto dla określonych portów, zdefiniujemy konkretne sieci VLAN. Dla pierwszego portu LAN definiujemy VLAN 10, 20, 100, natomiast dla piątego portu LAN - VLAN 100 Untagged (inne sieci VLAN na tym porcie są wyłączone). Dodatkowo dla względów bezpieczeństwa wyłączymy wszystkie nieużywane porty. Mamy już skonfigurowany router RV260, więc teraz zajmiemy się konfiguracją przełącznika Cisco SG250X-24 Z uwagi na fakt, że router został skonfigurowany poprzez interfejs WWW, to nasz przełącznik skonfigurujemy w podobny sposób. Następnie korzystamy z kreatora wstępnej konfiguracji sprzętu. I podobnie jak w przypadku konfiguracji routera, ustawiamy dokładny czas oraz synchronizację poprzez protokół NTP. NA tym etapie kończymy podstawową konfigurację sprzętu. W pierwszej kolejności tworzymy nasze podsieci: VLAN 10, VLAN 20, VLAN 100 Po utworzeniu sieci VLAN, musimy przypisać odpowiednie porty. W naszym przypadku porty GE1 - GE12 dedykowane są dla Room1 i będą w sieci VLAN10. Natomiast porty GE13 - GE24 przeznaczone są dla Room2, VLAN20Konfiguracja routera Cisco
Po podłączeniu do urządzenia, nasz system operacyjny otrzyma automatycznie adres IP. Otwieramy przeglądarkę i wpisujemy adres https://192. 168. 1. 1 i od razu przechodzimy do strony startowej Cisco, gdzie dokonujemy wstępnej konfiguracji:Zaawansowana konfiguracja routera Cisco
Konfiguracja przełącznika Cisco SG250X-24
192. 254 to domyślny adres switcha Cisco SG250X24. Po zalogowaniu na urządzenie (standardowy login i hasło), tworzymy nowego użytkownika i hasło. Hasło tworzymy oczywiście z uwzględnieniem wszystkich standardów bezpieczeństwa (duże i małe litery, cyfry oraz symbole, co najmniej 8 znaków). Konfiguracja sieci VLAN na przełączniku
Nie możemy oczywiście zapomnieć o porcie TRUNK, w naszym przypadku port XG1. Port będzie służył do wymiany pomiędzy sieciami VLAN i naszym routerem Cisco RV260
Oczywiście, abyśmy mogli w przyszłości uzyskać dostęp do naszego przełącznika poprzez nasz VLAN do zarządzania (VLAN 100), musimy nadać adres IP na VLAN100 (10. 2)
Sprawdzenie konfiguracji
Zakończyliśmy już konfigurację zarówno naszego routera, jak również przełącznika. Więc najwyższa pora na sprawdzenie naszej konfiguracji.
- Łącząc się do portu GE3, powinniśmy uzyskać adres z sieci VLAN10 (192. 0/24)
- Natomiast podłączając się portu GE14, powinniśmy uzyskać adres IP z sieci VLAN20 (192. 0/24)
Jak widać na zamieszczanych grafikach, nasza konfiguracja jest poprawna, a urządzenia dostają poprawne adresy IP względem podłączenia do odpowiednich portów. I na tym kończymy nasz poradnik o podstawowej konfiguracji urządzeń
Ustawienie portu możemy sprawdzić poprzez wydanie komendy: show interfaces f0/1
Opcją, która również pośrednio wpływa na szybkość ustanowionego połączenia pomiędzy przełącznikiem a np. hostem jest opcja trybu łącza. Oznacza to, że port może pracować w trybie pełnego dupleksu bądź pół-dupleksu. Dupleks oznacza, że port może jednocześnie dane odbierać i wysyłać natomiast pół-dupleks ogranicza interfejs do jednej z tych operacji. Oznacza to, że interfejs pracujący w trybie pół-dupleksu albo dane wysyła albo dane odbiera. Tryb ten można porównać do pracy CB-Radia w którym to jednoczesne mówienie i słuchanie jest niemożliwe.
Na zrzucie poniżej przedstawiłem zmianę pracy interfejsu f0/1 przełącznika S1 do trybu pół-dupleksu. Zmianę trybu realizujemy za pomocą poleceń: duplex half (tryb pół-dupleksu) bądź dublex full (tryb pełny dupleks). Polecenie to, również jest wydawane w trybie konfiguracji interfejsu.
I tak jak poprzednio efekt wydanego polecenia możemy sprawdzić po wywołaniu ustawień danego interfejsu.
Przy konfiguracji trybu interfejsu jest również dostępna opcja: auto która pozwala nam na wybranie trybu automatycznego. Tryb ten jest dostępny jedynie na portach typu FastEthernet bądź GigabitEthernet. Negocjacja rozpoczyna się od próby ustanowienia trybu pełnego dupleksu w przypadku niepowodzenia port jest ustawiany na tryb pół-dupleksu.
Przełączniki CISCO domyślnie są wyposażone w mechanizmy monitorujące stan interfejsu w przypadku wystąpienia błędu, port przechodzi w stan tzw. errdisable i jest blokowany. Jako administratorzy mamy wpływ na określenie sytuacji, w których porty powinny być blokowane. Aby wyświetlić wszystkie możliwe powody blokady portu wykorzystaj polecenie: errdisable detect cause?
Możliwych błędów, po których port zostanie przełączony w stan errdisable może być wiele, poniżej lista (choć niekompletna, bo wszystko zależy od modelu przełącznika jakim dysponujemy oraz wersji IOS) niektórych z nich:
- all – każdy rodzaj błędu,
- arp-inspection – dynamiczne sprawdzanie ARP,
- bpduguard – pojawienie się BPDU na porcie skonfigurowanym jako PortFast,
- dhcp-rate-limit – DHCP snooping,
- dtp-flap – zmiana typu trunkingu,
- gbic-invalid – problem z modułem GBIC bądź SFP,
- inline-power – problemy natury elektrycznej najczęściej związane PoE,
- l2ptguard – tunelowanie z wykorzystaniem L2 protocol tunneling
- link-flap – „migotanie łącza” interfejs raz jest w stanie up by po chwili przejść do stanu down,
- loopback – pętla zwrotna,
- pagp-flap – kłopoty z EtherChannel,
- security-violation – bezpieczeństwo portu,
- small-frame – pojawienie się pakietów VLAN-tagged o nieprawidłowej wielkości (67 bajtów bądź mniej).
Aby zablokować wystąpienie błędu należy użyć polecenia: errdisable detect cause <powód_błędu> z przedrostkiem no.
Domyślne ustawienia przełącznika powodują, że aby port powrócił do normalnego stanu działania trzeba w trybie konfiguracji danego interfejsu wydać komendę wyłączającą dany port – shutdown a następnie komendę włączającą interfejs – no shutdown.
Aby zmusić przełącznik do automatycznego reaktywowania portu możemy skorzystać z polecenia: errdisable recovery cause <powód_błędu>
Domyślnie powrót portu do normalnego działania został ustawiony na 300 sekund. Aby zmienić czas automatycznej reaktywacji interfejsu użyj komendy: errdisable recovery interval <czas_sekundy> Czas powrotu mieści się w przedziale od 30 do 86400 sekund.
Aby zmusić przełącznik do powrotu wszystkich swoich portów do stanu normalnego działania po czasie 30 minut od wykrycia obojętnie jakiego błędu użyj następujących poleceń:
Powrót do stanu normalnej pracy interfejsu przełącznika konfigurujemy w trybie konfiguracji globalnej oznacza to, że wprowadzone ustawienia dotyczą wszystkich portów switcha a nie tych wybranych.
Aby móc szybko wykryć stan w jakim znajduje się dany port przełącznika użyj polecenia: show interface status
Aby znaleźć tylko te porty, których stan został ustawiony na errdisable wpisz: show interface status err-disable
Przełączniki firmy CISCO zostały wyposażone w mechanizm, który pozwala nam na zabezpieczenie portów przełącznika przed nie autoryzowanym ruchem sieciowym. W skrócie chodzi o to, że możemy zdefiniować, które urządzenia mogą prowadzić komunikację z przełącznikiem. Działanie tego mechanizmu opiera się na adresach Port Security.
Aby sprawdzić czy Port Security został włączony i czy jakieś interfejsy przełącznika za pomocą tego mechanizmu są chronione wydaj polecenie: show port-security. Jak widać poniżej, żaden interfejs przełącznika nie jest chroniony.
Tak więc spróbujmy zmienić ten stan i zabezpieczyć port interfejsu podłączony do hosta HostA. Funkcję ochrony portu włączamy w konfiguracji konkretnego interfejsu. HostA jest podłączony do interfejsu f0/6 tak więc konfiguracja będzie obejmować ten port. Aby włączyć zabezpieczenie należy wydać polecenie: switchport port-security Po wydaniu polecenia jak można zauważyć na poniższym listingu wydanie komendy kończy się niepowodzeniem: Command rejected: FastEthernet0/6 is a dynamic port.
Włączenie funkcji Port Security jest niemożliwe ponieważ interfejs przełącznika jest skonfigurowany do automatycznej konfiguracji interfejsu. Stan tego ustawienia określimy po wydaniu polecenia: show interfaces <nazwa_interfejsu> switchport W sekcji Administrative Mode widnieje opis: dynamic auto oznaczający automatyczną konfigurację interfejsu przy użyciu protokołu DTP (ang. Discovery Trunk Protocol). Zadaniem protokołu jest wykrycie jakie urządzenie jest podłączone do portu i na podstawie tych informacji ustawiany jest odpowiedni typ pracy portu. W przypadku podłączenie komputera łącze zostanie ustawione jako access natomiast jeśli zostanie podłączony przełącznik z zestawionym łączem trunk przełącznik zestawi połączenie typu trunk. Łącze trunk jest typem połączenia pomiędzy przełącznikami za pomocą, którego jest przesyłany ruch sieciowy należący do różnych VLAN-ów. Na razie zdradzę tylko tyle, gdyż jak już wcześniej wspomniałem do tematu powrócę przy okazji omawiania konfiguracji sieci access (sekcja: Operational Mode)
Wracając do Port Security, aby więc móc włączyć ten mechanizm musimy interfejs w sposób ręczny przestawić do odpowiedniego typu pracy. Do interfejsu f0/6 przełącznika jest podłączony host tak więc typ pracy interfejsu powinien być ustawiony na tryb access. Aby przełączyć port do tego trybu pracy w linii konfiguracji interfejsu wydaj polecenie: switchport mode access (pkt. 1) po wykonaniu tej komendy możemy w końcu włączyć ochronę portu. Jak widać poniżej po wydaniu komendy: switchport port-security zostaje ona zaakceptowana.
Ustawiony tryb pracy sprawdźmy za pomocą już znanego nam polecenia: show interfaces f0/6 switchport Jak widzimy typ pracy portu zostaje tym razem ustawiony na: static access
Po skonfigurowaniu pierwszego interfejsu możemy sprawdzić stan mechanizmu Port Security. Po wydaniu polecenia: show port-security widzimy stan skonfigurowanych portów. Jak widać na liście pojawił się interfejs f0/6.
Informacje podawane przez polecenie są zgrupowane w tabeli:
- MaxSecureAddr – maksymalna liczba adresów, które mogą połączyć się z portem przełącznika (domyślnie po włączeniu 1),
- CurrentAddr – liczba hostów prowadzących komunikację,
- SecurityViolation – liczba zdarzeń powodujących naruszenie bezpieczeństwa,
- Security Action – sposób zareagowania przełącznika w przypadku wykrycia naruszenia zasad bezpieczeństwa (domyślnie skonfigurowane wyłączenie portu – Shutdown).
Po analizie powyższego listingu uważny obserwator dostrzeże, że już na wstępie po włączeniu funkcji Port Security wystąpił problem z naruszeniem zasad bezpieczeństwa (kolumna SecurityViolation) Sprawdźmy zatem stan portów – polecenie: show interfaces status Po wydaniu polecenia jak możemy zauważyć, przy statusie portu f0/6 pojawił się opis err-disabled informujący nas o wystąpieniu błędu.
Wydanie dodatkowego polecenia: show interfaces status err-disabled poinformuje nas o typie błędu. Jak widzimy problem błędu dotyczy naruszenia zasad bezpieczeństwa.
Wyświetlenie stanu interfejsów za pomocą komendy: show ip interfaces brief informuje nas o wyłączeniu interfejsu f0/6.
Dodatkowo stan ten możemy potwierdzić wydając polecenie: show interfaces f0/6
Wyłączenie interfejsu skutkuje brakiem komunikacji pomiędzy komputerem HostaA a przełącznikiem.
Włączenie funkcji Port Security nie wystarczy by dokonać zabezpieczenia portów przełącznika. W naszej przeprowadzonej konfiguracji (jak część z was się pewnie domyśla) zabrakło określenia informacji o adresie MAC hosta, który do portu f0/6 jest podłączony i ma prawo wykonać połączenie. Włączenie funkcji spowodowało automatyczne zadziałanie domyślnych ustawień powodujących wyłączenie portu.
Spróbujmy więc naprawić ten stan rzeczy. Aby nie następowało naruszenie zasad w trybie konfiguracji portu musimy określić adres MAC komputera podłączonego do interfejsu f0/6 przełącznika. Adres ten definiujemy za pomocą polecenia: switchport port-security mac-address <adres_MAC> Aby wyzerować liczniki mechanizmu Port Security interfejs dodatkowo musimy wyłączyć i włączyć.
Po zdefiniowaniu adresu MAC hosta HostA komunikacja z przełącznikiem została przywrócona.
Po wyświetleniu stanu funkcji Port Security nie widzimy już naruszeń zasad bezpieczeństwa a komunikacja odbywa się poprawnie.
Sposób ręcznego przypisywania adresów MAC, które mogą uzyskać połączenie z przełącznikiem jest procesem dość kłopotliwym i łatwo podczas tej operacji o błąd. Dlatego mechanizm Port Security wyposażono w funkcję automatycznego uczenia się adresów MAC hostów, które do przełącznika są podłączane (tzw. „lepkie” adresy MAC). Spróbujmy więc przetestować jej działanie w praktyce.
Aby adres MAC automatycznie dopisać do polecenia konfigurującego mechanizm zabezpieczeń portów przełącznika należy w poleceniu dodać parametr: sticky. Zastosowanie tego parametru spowoduje, że pierwszy wykryty adres MAC, który będzie chciał skorzystać z interfejsu przełącznika na którym komenda sticky została wydana, zostanie dopisany do polecenia.
Poniżej przykład wykorzystania tej funkcji na przykładzie interfejsu f0/6
Po włączeniu mechanizmu Port Security (jak na rysunku poniżej) jeszcze nic się nie wydarzyło ponieważ jeszcze żaden host do portu f0/6 nie został podłączony.
Dodatkowo stan zabezpieczeń portu w kontekście funkcji Port Security możemy sprawdzić za pomocą polecenia: show port-security interface <nazwa_interfejsu>
Polecenie te poinformuje nas o:
1 – stan mechanizmu Port Security,
2 – status portu Secure-down oznacza brak połączenia z interfejsem (brak ruchu sieciowego na interfejsie). Przy wykonaniu pierwszego podłączenia status powinien zmienić się na Seciure-up.
3 – co stanie się po naruszeniu zasad bezpieczeństwa – w przykładzie Shutdown czyli wyłączenie interfejsu,
4 – maksymalna liczba adresów MAC mogących korzystać z interfejsu,
5 – łączna liczba adresów MAC korzystająca z interfejsu,
6 – liczba skonfigurowanych statycznych adresów MAC,
7 – liczba adresów MAC skonfigurowanych przy użyciu parametru sticky,
8 – adres MAC interfejsu, który przesłał pakiet jako ostatni,
9 – liczba naruszeń zasad.
Mechanizm Port Security został skonfigurowany sprawdźmy co stanie się w momencie podłączenia hosta.
Sprawdzenie stanu Port Security za pomocą polecenia: show port-security informuje nas że wszystko jest w porządku. Jak widać poniżej naruszenie zasad bezpieczeństwa nie nastąpiło.
Upewnijmy się i sprawdźmy jeszcze jak to wygląda w kontekście interfejsu. Jak można przekonać się po zrzucie poniżej Port Security działa a interfejs ma status Secure-up.
Aby się całkowicie upewnić sprawdźmy połączenie z komputerem HostB. Wszystko działa.
Mechanizm Port Security posiada dodatkowe parametry, które możemy konfigurować. Jednym z nich jest ustalenie liczby maksymalnych adresów MAC mogących korzystać z portu przełącznika. Liczbę tych adresów ustalamy za pomocą polecenia: switchport port-security maximum <maksymalna_liczba_hostów> Zmieńmy domyślną liczbę hostów z wartości 1 na 2 i sprawdźmy co stanie się jak podłączymy kolejnego hosta.
Sprawdzenie stanu zabezpieczeń portu przekonuje nas, że do interfejsu f0/6 maksymalnie można podłączyć dwa hosty natomiast aktualnie jest podłączony jeden.
HostC został podłączony.
Podłączenie hosta powoduje zmianę parametrów mechanizmu Port Security. Jak widzimy powyżej liczba aktywnych interfejsów wynosi dwa. Zasady bezpieczeństwa nie zostały naruszone (port nie został zamknięty) gdyż maksymalna ilość hostów jakie mogą wykorzystywać ten interfejs to dwa.
Co nie zostało jeszcze powiedziane to to, że adresy poznane dzięki zastosowaniu parametru: sticky zostają automatycznie dopisane do konfiguracji bieżącej przełącznika. Poniżej zrzut konfiguracji przełącznika (fragment).
Opcję na jaką jeszcze mamy wpływ podczas konfiguracji mechanizmu Port Security jest tryb w jaki ma przejść interfejs gdy zostanie naruszone bezpieczeństwo interfejsu. Oprócz domyślnej opcji zamknięcia portu do dyspozycji mamy jeszcze dwa rozwiązania:
- protect – ustawienie tej opcji w przypadku naruszenia bezpieczeństwa spowoduje odrzucenie pakietów od hostów z nieskonfigurowanymi adresami MAC o fakcie tym nie jesteśmy informowani,
- restrict – tak jak powyżej tylko gdy nastąpi zdarzenie informacja o nim zostanie nam przekazana.
Aby skonfigurować stan jaki ma nastąpić po naruszeniu zasad bezpieczeństwa należy skorzystać z polecenia: switchport port-security violation <stan>
Spróbujmy zmienić domyślną opcję shutdown na restrict. Następnie podłączmy kolejnego hosta i sprawdźmy co nastąpi. Domyślna opcja zamknięcia portu zostaje zmieniona na tryb restrict.
Zmianę konfiguracji możemy zaobserwować po skorzystaniu z poleceń show.
Podłączmy trzeciego hosta. Jak widać poniżej sprawdzenie stanu funkcji Port Security w kontekście interfejsu f0/6 uwidacznia nam naruszenie zasad bezpieczeństwa.
Ruch sieciowy został dla tego hosta zablokowany. Adres MAC trzeciego podłączonego komputera wyczerpuje maksymalną ilość zdefiniowanych adresów mogących korzystać z interfejsu f0/6.
Hosty, których adresy MAC zostały poprawnie skonfigurowane nadal mogą prowadzić komunikację.
Na wstępie opisu mechanizmu Port Security wspomniałem, że mechanizm ten w 100% nie ochroni naszej sieci. Powróćmy do naszej sytuacji, w której to dwa hosty mają prawo połączenia z przełącznikiem natomiast trzeci już nie. Pytanie jest takie – Czy można obejść to zabezpieczenie tak aby trzeci host jednak uzyskał dostęp do sieci?
Hosty, które mogą komunikować się z przełącznikiem mają następujące adresy MAC (polecenie: show running-config):
Natomiast zablokowany host:
Jak już wiesz mechanizm Port Security opiera swoją zasadę działania na adresacji fizycznej podłączanych urządzeń. Aby ominąć to zabezpieczenie trzeba więc zmienić adres MAC hosta chcącego uzyskać dostęp. To co również zaznaczyłem niektóre karty sieciowe pozwalają nam na taką zmianę. Zmianę lokalną adresu MAC dokonujemy w ustawieniach karty sieciowej. Spróbujmy więc zablokowany adres MAC 0001. 96D2. C72D zamienić na 000C. 2979. 7004
Aby móc zmienić adres MAC w systemie Windows w oknie Połączenia sieciowe zaznaczamy dane połączenie i po kliknięciu PPM wybieramy Właściwości. W nowo otwartym oknie na karcie Sieć klikamy na Konfiguruj.
Na karcie Zaawansowane (tak jest w moim przypadku, choć tu należy mieć na uwadze, że w przypadku różnych modeli kart sieciowych ustawienia te mogą być zgrupowane na innych kartach i mogą mieć różną nazwę) odszukujemy ustawienie Locally Administered Address i w sekcji Wartość wpisujemy adres MAC (w naszym przypadku 000C29797004 gdyż ten adres może komunikować się z przełącznikiem).
Po zmianie adresu lokalnego MAC komunikacja jest możliwa – poniżej przykład wykonania testu ping z adresem bramy (interfejsu routera). Pierwszy test przed zmianą adresu MAC i tu próba oczywiście nieudana drugi test już po zmianie adresu MAC i jak widać test kończy się powodzeniem. Udało nam się ominąć zabezpieczenie Port Security.
W przypadku systemu Linux korzystamy z narzędzia macchanger. Składnia polecenia jest następująca: macchanger –m <nowy_adres_MAC> <interfejs>. Po wydaniu polecenia bieżący adres MAC zostaje zastąpiony „sfałszowanym”.
W przypadku niemożności wydania polecenia, odpowiedni pakiet trzeba doinstalować: sudo apt-get install macchanger
Po instalacji oprogramowania zmianę adresu MAC interfejsu eth0 wykonujemy za pomocą polecenia: macchanger -m 00:0C:29:79:70:04 eth0 Jak widać na rysunku poniżej udało się nam zmienić adres MAC. Po tej zmianie host uzyskuje łączność z przełącznikiem.
Innym rozwiązaniem jakim możemy posłużyć się w celu oszukania Port Security jest użycie routera, który ma funkcję klonowania adresu
Od tej pory gdy podłączymy do routera dowolny host, powinien on prowadzić swobodną komunikację. Choć przy wyborze tego typu rozwiązania mogą wystąpić problemy z routingiem pakietów ale to już zależne jest od topologii sieci i zastosowanych zabezpieczeń.
I tu wpis ten chciałbym zakończyć. Myślę, że przedstawione przykłady wyczerpują temat podstawowej konfiguracji przełączników CISCO i że art ten stanowi dobry start do dalszych rozważań.
