Professional Documents
Culture Documents
Security
Security
هل ممكن يكون عندى ناس جوه الشركة فى vlanواحدة وأقدر أعزلهم عن بعض
أو هل ممكن يكون عندى جهازين فى vlanواحدة وميقدروش يشوفوا بعض
أو عندى vlanحاطط جواها مجموعة من الـــ serversالمهمة ومحتاج أفصلهم
عن بعض
MadeBY
MohamedAbdel
nas
ser
MadeBY
MohamedAbdel
nas
s ودى الـــ vlanالعادية واللى هيعرفها الجميع وهيتعامل معاها
er
يعنى هيبقى البورت الى هيقدر يتعامل مع جميع البورتات الموجودة على السويتش
وهيكون المنفذ اللى هيوصلنى مثال ب Switchتانى أو router
الــــ configurationبسيط
MadeBY
MohamedAbdel
nas
ser
vlan 100
private-vlan primary
private-vlan association 200,300
int f0/0
switchport mode private-vlan promiscous
switchport private-vlan mapping 100 200,300
لو انته فى شركة وعندك مثال 50جهاز PCوعندك جهازين Multi layer 3
Switchوقالك محتاجين نعمل High Availabilityبحيث لو واحد من الــــ
Multi layer 3وقع التانى يشتغل بشكلdynamic
الطبيعى إنك تعمل Vlansوتبدأ توزع األجهزة على حسب القسم اللى عندك
يعنى مثال :
MadeBY
MohamedAbdel
nas
ser
عملت Vlanرقم 10خاصة بقســــم الــــ Salesعلى الــــ Multi layer 3
المشكلة إن لو الـــ Multi layer 3 Switchده وقع كده الـــ PCاللى موجودين
فى Vlan 10مش هيقدروا يوصلوا ألى مكان إلن الـــ Gateway
بتاعهم وقع وبالتالى علشان يبدأوا يتحولوا على الـــ Multi layer 3 Switch
الثانى الزم يتعمل تعديل األيبيهات بشكل Manualعلى األجهزة
وهنا هيجى دور أهم 3بروتوكوالت بيعملولك الموضوع ده
MadeBY
من ضمنهم بروتوكولHSRP
MohamedAbdel
nas
ser
وبعدين هبدأ أعمل ليهم Virtual IPمشترك من نفس الــــ Subnetبتاع vlan
10وبعد كده هخلى الــــ Virtual IPهو الــــــ Gatewayبتاع الــــ Hosts
فى الــــ vlanدى
فالوحيد اللى هيتابع الـ ـ Hello messageمن الـــ Activeهو الـــ standby
والتالت مش هيتابع بس هيكون فى حالة Listenبرده
لكن هيبدأ يتابع الـــ Hello messageفى حالة إن الـــ Activeوقع
والـــ Standbyخد مكانه هنا التالت هيبدأ يتحول لـــ Standbyويبدأ يتابع بقى
ملحوظة :
لو الـــ Activeرجع بعد أما وقع هل هيرجع ياخد مكانه كـــ Active؟
ال مش هياخد مكانه علشان تحافظ على stabilityالشبكة عندك لكن لو محتاج
يرجع فهنا هتفعل خاصية الــــ standby preemption
: configuration الــــ
interface vlan 10
standby 1 priority 160
standby 1 ip ………………..
standby 1 preempt
interface vlan 10
standby 1 priority 120
standby 1 ip …………......
المشترك اللى انته اخترته وبالتالى مشGateway هيبقى الـــHost وعلى الــــ
لو حاجة حصلتGateway هيحتاج بعد كده إنه يغير الـــ
MadeBY
MohamedAbdel
nas
ser
MadeBY
MohamedAbdel
nas
ser
MadeBY
MohamedAbdel
nas
ser
MadeBY
MohamedAbdel
nas
ser
MadeBY
MohamedAbdel
nas
ser
MadeBY
MohamedAbdel
nas
ser
سيناريو مختلف داخل الــــــ HSRP
انته لما بدأت تعمل High avilabiltyبإستخدام أحد البروتوكوالت زى الـــ
HSRPزى موضحنا فوق أصبح فيه Multi layer 3 Switch
MadeBY هو ال ـ Gatewayلكل الـــ vlans
MohamedAbdel
nas
ser
لكن لو حصل فيه مشكلة فكل األجهزة اللى فى الــــ VLansاللى عندك هتتحول
بشكل dynamicللـــ Multi layer 3 Switchالتانى
interface vlan 10
standby ip .............
standby priority 160
standby preempt
interface vlan 30
standby ip .............
standby preempt
interface vlan 40
standby ip .............
standby preempt
2 رقمMulti layer 3 switch بعد كده هتيجى على الــــ
MadeBY
MohamedAbdel
nas
ser
MadeBY
MohamedAbdel
nas
ser
Etherchannel
Switches
Redundancy
loop
STP
Bandwith
STP Switches
Etherchannel
Etherchannel
Etherchannel
STP High avalibility
Etherchannel
Etherchannel
Backup
Manual Static
Requirement Etherchannel
Speed
GigabitEthernet FastEthernet switch
Duplex
Full Duplex Half Duplex
Switch mode
Trunk Access
Configuration
mode group
channel-group 1 mode desirable
switch layer 3
IP address IP
Bandwidth
Spanning Tree protocol
( STP )
Spaning tree protocol
network Design
Redundant topology
switch
Broadcast storm
STP devices
switch STP
frames Forward Root
logical switches
STP ATTACK
priority Root
priority STP ATTACK
BPDU
BPDU Root
Root ATTACKER switches
ATTACK
Portfast ACCESS
BPDU Guard
BPDU
Root guard
config mode portfast configuration
interface
(config)int g0/1
(config-if)switchport mode access
(config-if)spaning-tree portfast
interface
(config)int g1/1
(config-if) spaning-tree guard root
DHCP Starvation ATTACK
DHCP Spoofing ATTACK
IP DHCP
DNS Gateway Subnet mask
DHCP Client
DHCP Discover Client
offer DHCP
request Client
Acknowledge
DHCP Server
MAC IP ATTACK
Pool DHCP
IP IP Attacker
Gateway APIPA IP
DNS
Dos ATTACK
DHCP
Configuration
DHCP Spoofing ATTACK ATTACK
ATTACKS
DHCP DHCP Snooping
DHCP
untrusted Trusted DHCP Server
Snooping
untrusted vlan 1
DHCP
trusted
Command
F0/1 DHCP
(config)int f0/1
(config-if)ip dhcp snooping trust
untrusted
Discover Interface
error DHCP Server
disable state
command
Discover
IP Source Guard
DHCP
Security
DHCP Snooping
Configuration DHCP DHCP
Manual user
Pool Script
Pool offer DHCP
ATTACK-user
BAD IP DHCP
IP address
Service DHCP
IP SOURCE GUARD
interface port-security
Action
: Configuration
interfaces
command
int f0/1
ip verify source
DHCP
IP source Guard snooping
ARP Poison ARP Spoofing
MAC ARP
IP
MAC address IP
ARP Cash
MAC Address
ARP Request
IP MAC Address
:
IP
IP
Broadcast
MAC Address
ARP Cash
Destination
MAC Users
Destination Address
Snooping Table
IP
ARP
Configuration
(config)ip arp inspection vlan1
Vlan1
DHCP
(config)int f0/3
(config-if)ip arp inspection trust
Users
(config)int rang f0/4-24
Command