Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
FAQ
Know How
Testberichte
Hardware-DB
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Know How

Trunking :: Cisco Switch sicher einrichten

Eine Verbindung die Daten für mehrere VLANs transportiert wird von Cisco als Trunk bezeichnet. Ein Trunk kann die Protokolle Inter-Switch Link Protocol (ISL) oder IEEE 802.1Q (dot1q) für den Transport nutzen. Per Default kann ein Switchport über das Dynamic Trunking Protocol (DTP) als Trunk eingerichtet werden. Ein Angreifer, dem es gelingt einen Trunk auszuhandeln, kann mit anderen VLANs kommunizieren. Über VLAN-Hopping (Double Tagging) sind möglicherweise Angriffe auf VLANs möglich, die über einen Router nicht zu erreichen sind.

Trunking deaktivieren

DTP sollte auf Edge-Ports deaktiviert werden. Mit den Interface-Kommandos: 

interface FastEthernet0/2
 switchport mode access
 switchport nonegotiate
 switchport access vlan 44

wird der Port als Access-Port ohne DTP fest eingestellt. Der Beispiel-Port ist Mitglied im VLAN 44.

network lab Empfehlung

Deaktivieren Sie das automatische Aushandeln von Trunks mit DTP.

 

Inhalt

  1. Grundlagen
  2. Spanning Tree / BPDU-Guard
  3. Cisco Discovery Protocol (CDP)
  4. Trunking DTP / ISL / dot1q
  5. DHCP Snooping
  6. Dynamic ARP Inspection (DAI)
  7. Storm Control
  8. Port Security
  9. Beispielkonfigurationen

 

 
© 2004-2023, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012