RIP, OSPF, EIGRP

Dynamické smerovacie protokoly

pod lupou
• RIPv1

• RIPv2

• EIGRP

• OSPF

Jargan/Kovacik
RIP v1

• classfull protokol (vyvinul sa v čase, keď ešte masky neboli)

• distance-vector protokol
• posiela svoje update-i na broadcast adresu 255.255.255.255
• R(config)# router rip
• predvolene prijíma update s verziou 1 a 2
• predvolene posiela update s verziou 1
• R(config-router)# version 1
• prijíma a posiela update-i len s verziou 1
• Pri vysvetlovaní RIPv1 je dôležitý pojem major network
• je to sieť odvodená podľa triedy, hlavná sieť
• 192.168.0.128/25 -> 192.168.0.0/24 ... TRIEDA C
• 172.16.30.0/19 -> 172.16.0.0/16 ... TRIEDA B
• 10.1.2.32/27 -> 10.0.0.0/8 ... TRIEDA A

Jargan/Kovacik
RIPv1
RIP v1
• rozdiel medzi AD a metrikou
• AD používa smerovač na to aby sa rozhodol, ktorý smerovací protokol, resp. zdroj
smerovacej informácie je vierohodnejší. Čím nižšie čislo, tým vierohodnejší zdroj informácie
• metriku využíva smerovací protokol na to, aby sa rozhodol, ktorá cesta do danej siete je
výhodnejšia
• AD = 120
• ako metriku používa hop count
• nekonečno je hodnota metriky = 16
• používa styri časovače
• UPDATE = 30sec
• INVALID = 180sec
• HOLDDOWN = 180sec
• FLUSH AFTER = 240sec

Jargan/Kovacik
RIPv1
RIP v1

INVALID = 180sec

UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec

Predvolene je INVALID timer 6 násobok UPDATE timera

Jargan/Kovacik
RIPv1
RIP v1

60sec
90sec
INVALID = 0sec
30sec

UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec

ak sekúnd
30 vypadnepoupdate,
po prijatí
prijatí INVALID
update-u
update-u timer
sa INVALID
má ďalej
INVALID beží
timer a sa
timer
stále inkrementuje
hodnotu
vynuluje30 sec.

Jargan/Kovacik
RIPv1
RIP v1

60sec
INVALID = 0sec
30sec
90sec
120sec
150sec
180sec

UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec UPDATE = 30sec

INVALID
ak INVALID
timertimer
dosiahne
dosiahne
hodnotu
hodnotu
180 180
len ak
sekúnd
smerovač
naštartuje
nepríjme
sa
HOLDDOWN
po sebea FLUSH
6 update-ov
timer naraz

Jargan/Kovacik
RIPv1
RIP v1
FLUSH = 240sec

HOLDDOWN = 180sec „hluchý interval“ = 60sec

• počas behu HOLDDOWN timer-a router oznamuje stratenú sieť s
metrikou „nekonečno“ = 16 , to jest vykonáva route poisening
• počas behu HOLDDOWN časovača smerovač ignoruje informáciu
o stratenej sieti s takou istou, resp. horšou metrikou
• ak počas behu HOLDDOWN časovača smerovač obdrží update o
stratenej sieti s lepšou metrikou, cesta sa zapíše do smerovacej
tabuľky a celý proces s UPDATE a INVALID timerom sa začne
znova
• po uplynutí HOLDDOWN timera sa neprijímajú žiadne informácie
o stratenej sieti po dobu FLUSH – HOLDDOWN (240-180=60). Po
uplynutí tohto času sa cesta so smerovacej tabuľky vymaže.

Jargan/Kovacik
 RIP v1– classfull behavior
RIPv1

UPDATE: 192.168.0.0
192.168.0.0/27 192.168.1.0
192.168.0.128/27
fa0/0
192.168.0.192/28
192.168.1.0/24 R(config-if)#ip address 10.0.0.1 255.255.255.0
fa0/1
R(config-if)#ip address 192.168.0.161 255.255.255.224

Pozor!!!
UPDATE: 192.168.0.0 Ak sieť, ktorá by bola oznámená je
192.168.0.128 súčasťou tej istej major network, ako
Keďže sieťcez
rozhranie 192.168.0.192 má masku
ktoré sa preposiela, tak /28,
platí
192.168.1.0 pravidlo:
ale sa update posiela na rozhraní, ktorý má
192.168.0.192 inú masku, tak sa update jednoducho
Oznamujú sa len tie siete, ktoré majú
nepošle. (platí iba ak sa jedná o tú istú
rovnakú masku, ako interface cez ktorý sú
major network)
posielané

Jargan/Kovacik
 RIP v1– classfull behavior
RIPv1

pozor na nespojité siete (discontinious network), RIPv1 ich nepodporuje !

Jargan/Kovacik
RIPv2
RIP v2
• classless protokol (posiela informáciu o maske)
• distance-vector protokol
• posiela svoje update-i na multicast adresu 224.0.0.9
• ostatné parametre totožné s RIPv1, akurát sa kus zmenila štruktúra RIPv2
paketu
• R(config)# router rip
R(config-router)# version 2
• prijíma a posiela update-i len s verziou 2 (dôsledok príkazu version)
• vykonáva automatickú sumarizáciu (na základe triedy)
• je nutné túto sumarizáciu vypnúť ak ide o nespojité siete (discontinuous networks)
• možnosť manuálne sumarizovať, je nutné pri tom vypnúť automatickú
sumarizáciu
• R(config-if)#ip summary-address rip <IP> <MASKA>

Jargan/Kovacik
RIPv2
RIP v2

• generovanie default-route
• redistribúcia statického smeru
• R(config)#redistribute static
• R(config)#ip route 0.0.0.0 0.0.0.0 <next-hop IP | interface>
alebo
• R(config)#default-information originate

Jargan/Kovacik
EIGRP
EIGRP
• classless protokol (posiela informáciu o maske)
• distance-vector protokol
• posiela svoje update-i na multicast adresu 224.0.0.10
• má 3 rôzne AD
• EIGRP sumárne smery – AD=5
• EIGRP interné smery – AD=90
• EIGRP externé smery – AD=170
• metrika sa môže rátať na základe 4 rôznych parametrov
• BANDWIDTH
• DELAY
• RELIABILITY
• LOAD

Jargan/Kovacik
EIGRP
EIGRP

• vzorec podľa ktorého EIGRP ráta metriku

• Metrika = [K1 * BW + ((K2 * BW) / (256 – Load)) + K3 * Delay]
• default K1=1, K2=0, K3=1, K4=0, K5=0
• Metrika = Metrika * [K5 / (Reliability + K4)]
•Ak je K5 rôzne od nuly

• BW = [107 Kbps / (najnižšia bandwidth pozdĺž cesty v

Kbps)] * 256
• Delay = (suma oneskorení celej cesty v desiatkach
mikrosekúnd) * 256

Jargan/Kovacik
EIGRP
EIGRP

• Sieť A -> sieť B

• horná cesta:
• metrika= [107kbps/64kbps]*256 + [100+100+100]*256 = 40076800
• dolná cesta:
• metrika= [107kbps/128kbps]*256 + [100+100+100]*256 = 154925
• EIGRP si zvolí dolnú cestu

Jargan/Kovacik
 EIGRP– typy paketov
EIGRP

• HELLO
• zodpovedný za nájdenie susedov
• obsahuje:
• hodnoty konštánt K
• Router ID
• číslo autonómneho systému
• hodnoty timerov (hello, holddown)
• posielané každých 5 sek na linkách rýchlejších ako T1(1,544Mbps). Na
linkách pomalších ako T1 60 sekúnd.
• holddown timer je predvolene 3 krát hodnota hello timer-a

Jargan/Kovacik
 EIGRP– typy paketov
EIGRP

• UPDATE
• obsahujú smerovaciu informáciu, teda pomocou nich si smerovače
navzájom oznamujú siete
• posielajú sa buď ako unicast, alebo multicast
• sú stále potvrdzované
• posielajú sa len ak nastane zmena v topológii, narozdiel od RIP, ktorý
posielal UPDATE packety každých 30 sekúnd

Jargan/Kovacik
 EIGRP– typy paketov
EIGRP

• QUERY
• pomocou nich smerovač hľadá najlepšiu cestu do danej siete (typicky ak
daná sieť už nie je viac dosažiteľná)
• posiela sa väčšinou ako multicast
• sú potvrdzované
• pomocou tohto typu paketov sa spúšťa, respektíve širi difúzny výpočet v
EIGRP sieti

Jargan/Kovacik
 EIGRP– typy paketov
EIGRP

• REPLY
• sú odpoveďou na Query pakety
• zastavujú, resp. obmedzujú šírenie difúzneho výpočtu
• posiela sa ako unicast originátorovy Query paketu
• je potvrdzovaný
• ACK
• povtrdzovací paket
• štruktúra: hello paket s prázdnym telom
• vždy unicastové
• potvrdzujú prijatie UPDATE, QUERY a REPLY paketov

Jargan/Kovacik
 EIGRP– pojmy
EIGRP

• DIFÚZNY VÝPOČET
• mechamizmus hľadania najkratšej cesty do siete
• v princípe to nie je nič iné ako séria otázok(query) a odpovedí(reply)
• otázka sa šíri v sieti dovtedy kým na ňu niekto nedá jednoznačnú
odpoveď, a to:
• danú sieť nepoznám
• danú sieť poznám a jej vzdialenosť odomňa je X
• ak smerovač dostane otázku na ktorú nevie odpovedať, tak sa spýta
všetkých svojich susedov. Akonáhle od nich obdrží všetky odpovede pošle
odpoveď späť tomu smerovaču, ktorý sa ho pýtal.

Jargan/Kovacik
 EIGRP– pojmy
EIGRP

• SUCCESSOR (S)
• smerovač ktorý je v smerovacej tabuľke uvádzaný ako next-hop router
• FEASIBLE SUCESSOR (FS)
• potencionálny náhradník SUCCESSOR-a.
• Neplatí pravidlo, že po vypadnutí SUCCESSOR-a sa automaticky novým
SUCCESOROM musí stať FEASIBLE SUCESSOR, avšak je výsoká
pravdepodobnosť, že sa tak stane
• FEASIBLE DISTANCE (FD)
• historicky najkratšia cesta do siete
• REPORTED DISTANCE (RD)
• vzdialenosť nášho suseda do siete, to ako nám to on hlási

Jargan/Kovacik
 EIGRP– pojmy
EIGRP
• FEASIBILITY CONDITION (FC)
• podmienka, ktorá zabezpečuje zaručene bezslučkovú cestu cez suseda
• musí platiť podmienka:
• RD < FD
• predstavuje postačujúcu podmienku pre bezslučkovosť cesty do danej
siete. Teda existujú cesty, ktoré nevyhovujú podmienke, ale sú
bezslučkové. EIGRP ide na istotu a teda s cestami, ktoré nespĺňajú
podmienku FC vôbec neráta. Inými slovami sused, ktorý nespĺňa FC sa
nikdy nemôže stať S ani FS
• NEIGHBOR TABLE
• tabuľka, ktorá obsahuje informáciu o susedoch
• TOPOLOGY TABLE
• obsahuje informáciu o FD do cieľovej siete a RD každého suseda, ktorý
cestu do cieľovej siete pozná

Jargan/Kovacik
 EIGRP– pojmy
EIGRP

• PASSIVE STATE
• stav v ktorom daná sieť má SUCCESOR-a

• ACTIVE STATE
• stav v ktorom daná sieť nemá SUCCESOR-a, ale ani FEASIBLE
SUCCESSOR-a
• v tomto stave sa cesta do cieľovej siete aktívne hľadá
• znamená spustenie difúzneho výpočtu

Jargan/Kovacik
EIGRP
EIGRP

Keďže
do sieteEIGRP
B sa dá
R1 dostáva jeupdate-i
dostať
distance-vector
cez
od EIGRP R2:
sa musí rozhodnúť,
RD=10, celkováktorú
rozhoduje
svojich susedov
sa na základe
R2, R3 a toho,
R4 cestu sivzdialenosť
vyberie ... je 20 (10+10)
router R2, R3 a R4
čo mu oznamujú
o sieti Bsusedné
...
R3: RD=17, celková
smerovače
vzdialenosť je 22 (17+5)
10 5
5 R4: RD=16, celková
vzdialenosť je 21 (16+5)
FD je minimálna celková
FD = 20
vzdialenosť
So smerovačov, ktoré prešli
Další
testomkrok
FCjeEIGRP
testovanie FC:
vyberie
17 16
10 Je RD ostroS menšie
a FS ako FD?
R2: 10 < 20
R3: 17 < 20
R4: 16 < 20

Jargan/Kovacik
EIGRP
EIGRP

Ďalší príklad ... R2: RD=10, celková

vzdialenosť je 20 (10+10)
(metriky pri R4 sa zmenili)
R3: RD=17, celková
vzdialenosť je 22 (17+5)
10 1
5 R4: RD=20, celková
vzdialenosť je 21 (20+1)
FD je minimálna celková
FD = 20
vzdialenosť
So smerovačov, ktoré prešli
Další
testomkrok
FCjeEIGRP
testovanie FC:
vyberie
17 20
10 Je RD ostroS menšie
a FS ako FD?
R2: 10 < 20
R3: 17 < 20
R4: 20 < 20

Jargan/Kovacik
 EIGRP– pojmy
EIGRP

• vykonáva automatickú sumarizáciu (na základe triedy)

• je nutné túto sumarizáciu vypnúť ak ide o nespojité siete (discontinuous
networks)
• možnosť manuálne sumarizovať, je nutné pri tom vypnúť automatickú
sumarizáciu
•R(config-if)#ip summary-address eigrp <AS> <IP> <MASKA>

• ako jediný protokol je schopný vykonávať unequal loadbalancing, práve kvôli

tomu, že feasibility condition zabezpečuje 100% bezslučkovosť
• aktivuje sa príkazom variance
• R(config-router)#variance <násobok>
• generovanie default-route:
• redistribúcia statickej cesty
• R(config)#redistribute static
• R(config)#ip route 0.0.0.0 0.0.0.0 <next-hop IP | interface>
alebo
• R(config)#ip default-network <IP>

Jargan/Kovacik
OSPF
OSPF

• classless protokol (posiela informáciu o maske)

• link-state protokol
• posiela svoje update-i na multicastové adresy 224.0.0.5, 224.0.0.6
• má AD = 110
• metrika sa ráta na základe šírky pásma (bandwidth), nazýva sa cost
• cost = (100Mbps)/(bandwith v Mbps)
• konštanda 100Mbps pre nové vysokorýchlostné linky už nevyhovuje
(dostaneme taký istý cost pre linku o rýchlosti 100Mbps aj 1Gbps)
• konštanta 100Mbps sa da zmeniť
• R(config-router)#auto-cost reference-bandwidth <bandwidth>

Jargan/Kovacik
OSPF
OSPF
• HELLO
• pomocou nich OSPF najde svojich susedov
• obsahuje:
• masku
• prioritu smerovača
• hello interval
• dead interval
• router ID designated routera
• router ID backup designated routera
• zoznam susedov, ktorých smerovač vidí
• typ oblasti a číslo oblasti
• typ autentifikácie

Jargan/Kovacik
OSPF
OSPF– typy paketov
OSPF

• HELLO
• posiela sa:
• každých 10 sekúnd na sieťach typu point-to-point a broadcast
• každých 30 sekúnd na sieťach typu non-broadcast multiaccess a
point-to-multipoint
• dead interval je 4 násobok hello intervalu (predvolene)

• DATABASE DESCRIPTION (DBD)

• prenáša len „zoznam“ položiek v databáze, nie však ich obsah
• pomocou nich si smerovače zisťujú či majú synchronizované databázy
pri synchronizácii

Jargan/Kovacik
 OSPF– typy paketov
OSPF

• LINK STATE REQUEST (LSR)

• pomocou neho router žiada konkrétnu položku z topologickej databázy
suseda
• LINK STATE UPDATE (LSU)
• prenáša samotnú topologickú informáciu
• LSU obsahuje jeden, alebo viacero LSA (link state advertisement)
•LINK STATE ACKNOWLEDGEMENT (LSAck)
• slúži na potvrdenie konkrétneho LSA
• jedno LSAck môže potvrdiť viacero LSA
Pozor!
LSA != LSAck

Jargan/Kovacik
 OSPF– Router ID
OSPF

• ROUTER ID – identifikátor smerovača

• je to 32bitové číslo zapísané buď vo formáte IP adresy, alebo ako
dekadické číslo
• smerovač musí mať unikátne RID v sieti, ináč odmietne nadviazať
susedstvá s okolitými smerovačmi
• selekcia RID:
1. nastavené administrátorom:
• R(config-router)#router-id <id>
2. najvyššia IP adresa loopback rozhrania
3. najvyššia IP adresa fyzického rozhrania

Jargan/Kovacik
 OSPF– pojmy
OSPF

• DESIGNATED ROUTER
• smerovač, ktorý vystupuje ako hovorca multiaccess siete
• Voľba DR:
1. stáva sa ním smerovač s najvyššou priority na segmente
2. ak je priorita rovnaká rozhoduje najvyššie router ID na segmente
• BACKUP DESIGNATED ROUTER
• Náhradník designated router-a
• Voľba BDR:
1. Stáva sa ním smerovač s druhou najvyššou router ID na segmente
2. Ak je priorita rovnaká rozhoduje opäť router ID na segmente (vyhráva
druhá najvyššia)
Ak sa raz DR zvolil zotrvá vo svojej funkcii až kým sa ospf proces na
segmente nevypne/nereštartne

Jargan/Kovacik
 OSPF– pojmy
OSPF

Funkcia DR/BDR na point-to-point linkách neexistuje

• Zmena priority:
• R(config-if)#ip ospf priority <0-255>
• hodnota 0 znamená, že sa router voľby DR a BDR
nezúčasťní

Jargan/Kovacik
 OSPF– pojmy
OSPF

• NEIGHBORHOOD
• stav keď sa smerovače navzájom „vidia“
• v tomto stave neprebieha výmena smerovacích informácií

• ADJECANCY
• užší komunikačný vzťah
• smerovače sa navzájom „vidia“ aj si vymieňajú smerovacie informácie

Jargan/Kovacik
 OSPF– pojmy
OSPF

pri výpadku nejakej siete sa pošle

informácia o výpadku na adresu
224.0.0.6 (na tejto adrese počúva
DR/BDR)

následne DR informáciu sprostredkuje

ostatným smerovačom, prepošle LSU
na adresu 224.0.0.5

Jargan/Kovacik
 OSPF– pojmy
OSPF

• AREA (oblasť)
• časť siete v ktorej smerovače poznajú celú topológiu, avšak nepoznajú
presnú topológiu zvyšnej časti autonómneho systému
• identifikované 32 bitovým číslom
• area 0 je tzv. backbone area, všetky ostatné oblasti sa na ňu musia
pripojiť!
• AREA BORDER ROUTER (ABR)
• smerovač, ktorý sa nachádza na rozhraní medzi areou 0 a inými oblasťami
• AUTONOMOUS SYSTEM BOUNDARY ROUTER (ASBR)
• smerovač, ktorý je na hranici medzi cudzím autonómnym systémom a
našim OSPF „svetom“

Jargan/Kovacik
 OSPF– pojmy
OSPF

Jargan/Kovacik
OSPF
OSPF

• generovanie default-route
• R(config-router)#default-information originate [always] [metric …]

pozor redistribúcia statickej default-route do OSPF

nefunguje!!!

Jargan/Kovacik
Interoperabilita
OSPF medzi smerovacími
protokolmi (redistribúcia)

na čo si dávať pozor ...

• pri redistribúcii do distance-vector protokolov (RIP, EIGRP) si treba dať
pozor na to, že treba stále použiť parameter metric. Lebo predvolená
hodnota redistribuovaných ciest do distance-vectorov je nekonečno. Čiže
ostatné smerovače redistribuované cesty nikdy nezapíšu do svojej
smerovacej tabuľky.
• pre redistribúcii do OSPF si treba dávať pozor na to, že OSPF defaultne
preposiela len classfull siete. Na prekonanie tohto správania je nutné
použiť parameter subnets pri redistribuovaní

Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)

• redistribúcia z RIP do EIGRP (RIP -> EIGRP)

• R(config)#router eigrp <AS>
• R(config-router)#redistribute rip metric <bw> <delay> <reliab.> <load> <MTU>
• ak dáme len redistribute rip tak sa cesty budú do EIGRP sveta oznamovať s
nekonečnou metrikou

• redistribúcia z OSPF do EIGRP (OSPF -> EIGRP)

• R(config)#router eigrp <AS>
• R(config-router)#redistribute ospf <pid> metric <bw> <delay> <reliab> <load>
<MTU>

Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)

• redistribúcia z EIGRP do RIP (EIGRP -> RIP)

• R(config)#router rip
• R(config-router)#redistribute eigrp <AS> metric <0-16>
• ak dáme len redistribute eigrp <AS> tak sa cesty budú do RIP sveta oznamovať s
nekonečnou metrikou (16)

• redistribúcia z OSPF do RIP (OSPF -> RIP)

• R(config)#router rip
• R(config-router)#redistribute ospf <pid> metric <0-16>

Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)

• redistribúcia z EIGRP do RIP (EIGRP -> RIP)

• R(config)#router rip
• R(config-router)#redistribute eigrp <AS> metric <0-16>
• ak dáme len redistribute eigrp <AS> tak sa cesty budú do RIP sveta oznamovať s
nekonečnou metrikou (16)

• redistribúcia z OSPF do RIP (OSPF -> RIP)

• R(config)#router rip
• R(config-router)#redistribute ospf <pid> metric <0-16>

Jargan/Kovacik
Interoperabilita
Redistribúcie medzi smerovacími
protokolmi (redistribúcia)

• redistribúcia z EIGRP do OSPF (EIGRP -> OSPF)

• R(config)#router ospf <pid>
• R(config-router)#redistribute eigrp <AS> [metric] subnets

• parameter metric pri OSPF nie je nutný

• redistribúcia z RIP do OSPF (RIP -> OSPF)

• R(config)#router ospf <pid>
• R(config-router)#redistribute rip [metric] subnets

Jargan/Kovacik
USERNAME/PASSWORD
IOS Basic a privilege levels

•PRIVILEGE LEVELS
• IOS je vetvený na 16 úrovní prístupových práv
• najnižsie práva má level 0
• najvyššie práva level 15 (klasicky po zadaní enable príkazu sa dostávame do
tohto módu)
• napríklad level 0 má iba nasledovné príkazy:
• disable, enable, exit, help a logout

• pomocou príkazu privilege exec je možné zmeniť predvolenú sadu povolených

príkazov pre daný level

Jargan/Kovacik
USERNAME/PASSWORD
IOS Basic a privilege levels

• príklad použitia:
• R(config)#privilege exec <level> <prikaz>

• R(config)#privilege exec 1 show runn

• R(config)#privilege exec 1 conf t
• R(config)#privilege exec 1 reload
• R(config)#privilege exec 1 show privilege
•… kreativite sa medze nekladú

• priradenie hesla pre konkrétny privilege level:

• R(config)#enable secret level <level> <heslo>

Jargan/Kovacik
USERNAME/PASSWORD
IOS Basic a privilege levels

• vytvorenie mapovanie username/password pre konkrétny privilege level:

• R(config)#username <login> privilege <level> secret <heslo>

• R(config)#line console 0
• R(config-line)#login local

• R(config)#line vty 0 15
• R(config-line)#login local

Jargan/Kovacik
Útoky
Útokyna
naprístupovú
prístupovúvrstvu
vrstvu

• zahĺtenie
CAM tebuľky prepínača generovaním veľkého počtu
náhodných MAC adries
• použiteľné programy: macof, ettercap
• ochrana: portsecurity

• STP útok, pokúsiť sa stať root bridgeom v topológii

• ettercap
• ochrana: bpduguard

Jargan/Kovacik
Základná konfigurácia prepínačov

• prepnutie na access port a priradenie VLAN

• SW(config)#interface range fa 0/0 - 15
• SW(config-if-range)#switchport mode access
• SW(config-if-range)#switchport access vlan <cislo VLAN>

• prepnutie na trunk port a filtrovanie VLAN na nom

• SW(config)#interface fa0/0
• SW(config-if)#switchport mode trunk
• SW(config-if)#switchport trunk allowed vlan <zoznam VLAN>

Jargan/Kovacik
Zabezpečenie portov

• konfigurácia port-security
• SW(config-if)#switchport portsecurity
• SW(config-if)#switchport portsecurity maximum <1-139>
• SW(config-if)#switchport portsecurity violation {restrict, shutdown a protected}
• SW(config-if)#switchport portsecurity mac-address sticky

Jargan/Kovacik
Čo sme doteraz nevedeli o MLS
prepínačoch

• funkcionalita DYNAMIC ARP INSPECTION

• chráni proti ARP spoofingu

• DHCP SNOOPING
• chráni proti DHCP spoofingu

Jargan/Kovacik