‫الــــــ )‪Private VLAN (PVLAN‬‬

‫هل ممكن يكون عندى ناس جوه الشركة فى ‪ vlan‬واحدة وأقدر أعزلهم عن بعض‬
‫أو هل ممكن يكون عندى جهازين فى ‪ vlan‬واحدة وميقدروش يشوفوا بعض‬
‫أو عندى ‪ vlan‬حاطط جواها مجموعة من الـــ ‪ servers‬المهمة ومحتاج أفصلهم‬
‫عن بعض‬

‫‪MadeBY‬‬
‫‪MohamedAbdel‬‬
‫‪nas‬‬
‫‪s‬‬‫‪er‬‬

‫كل دى أسئلة ممكن تتسألها عن الــــ ‪private vlan‬‬

‫ودى من الــــ ‪ Security‬اللى ممكن تتعمل جوه الشركة‬

‫ودى بتنقسم إلى ‪ Primary vlan‬و ‪Secondary vlan‬‬

 ‫الــــ ‪: Primary vlan‬‬

‫‪MadeBY‬‬
‫‪MohamedAbdel‬‬
‫‪nas‬‬
‫‪s‬‬ ‫ودى الـــ ‪ vlan‬العادية واللى هيعرفها الجميع وهيتعامل معاها‬
‫‪er‬‬

‫البورت اللى بتملكه الـــ ‪ vlan‬دى بنسميه ‪Promiscuous‬‬

‫يعنى إيه ‪ Promiscuous‬؟‬

‫يعنى هيبقى البورت الى هيقدر يتعامل مع جميع البورتات الموجودة على السويتش‬
‫وهيكون المنفذ اللى هيوصلنى مثال ب ‪ Switch‬تانى أو ‪router‬‬

‫القسم التانى عندى هو الـــ ‪Secondary vlan‬‬

‫ودى منها نوعين‬

‫الـ ‪ Isolated‬والـ ‪Community‬‬

‫يعنى هبدأ أحدد الــــ ‪ Vlan‬الــــ ‪community‬‬

‫والــــ ‪ vlan‬الــــ ‪Isolated‬‬
‫وهحدد الــــ ‪ Vlan‬الــــ ‪ primary‬اللى هيبقوا تحتها‬

‫اللى داخل الـــــ ‪ community vlan‬هيقدروا يشوفوا بعض عادى‬

‫اللى داخل الــــ ‪ Isolated vlan‬مش هيقدروا يشوفوا بعض‬

‫الــــ ‪ configuration‬بسيط‬
 ‫‪MadeBY‬‬
‫‪MohamedAbdel‬‬
‫‪nas‬‬
‫‪s‬‬‫‪er‬‬

‫ملحوظة ‪vtp mode transparent :‬‬

‫أى حد درس الـــ ‪ VTP‬أكيد عارف إن النوع ده يعتبر ملوش دعوة باللى بيحصل‬
‫بره يعنى شفاف يعنى أى حاجة هتجيله مش هيعمل ‪ update‬عنده لكن هيعملها‬
‫‪ forward‬وعلشان هنا هعمل عليه ‪ private vlan‬خاصة بيه هو علشان كده‬
‫هيبقى النوع ‪transparent‬‬
vlan 200
private-vlan isolated
vlan 300
private-vlan community MadeBY
MohamedAbdel
nas
ser

‫ وبدأت أحدد نوعهم‬vlan 200 , 300 ‫هنا عملت‬

primary‫بعد كده هبدأ أعمل الـــ‬

vlan 100
private-vlan primary
private-vlan association 200,300

300 ‫ و‬200 ‫ عندى الــــ‬100 ‫جوه الـــ‬

interfaces ‫بعد كده هبدأ اشوف الـــ‬

promiscuous ‫البورت اللى متوصل بالروتر هيبقى‬

int f0/0
switchport mode private-vlan promiscous
switchport private-vlan mapping 100 200,300

‫بعد كده هبدأ أظبط البورتات التانية‬

community ‫البورتات اللى هتكون فى الــــ‬

int rang f1/0-3
switchport mode private-vlan host
switchport private-vlan host-association 100 300
MadeBY
MohamedAbdel
nas
ser

isolated ‫البورتات اللى هتكون فى الــــ‬

int rang f0/1-2

switchport mode private-vlan host
switchport private-vlan host-association 100 200
 ‫الــــــ ‪HSRP‬‬

‫لو انته فى شركة وعندك مثال ‪ 50‬جهاز ‪ PC‬وعندك جهازين ‪Multi layer 3‬‬
‫‪ Switch‬وقالك محتاجين نعمل ‪ High Availability‬بحيث لو واحد من الــــ‬
‫‪ Multi layer 3‬وقع التانى يشتغل بشكل‪dynamic‬‬

‫الطبيعى إنك تعمل ‪ Vlans‬وتبدأ توزع األجهزة على حسب القسم اللى عندك‬
‫يعنى مثال ‪:‬‬
‫‪MadeBY‬‬
‫‪MohamedAbdel‬‬
‫‪nas‬‬
‫‪s‬‬‫‪er‬‬

‫عملت ‪ Vlan‬رقم ‪ 10‬خاصة بقســــم الــــ ‪ Sales‬على الــــ ‪Multi layer 3‬‬

‫األول فهنا هتعمل نفس الموضوع على التانى‬

‫وبدأت تخلى الــــ ‪ Gateway‬بتاع الــــ ‪ PC‬اللى فى ‪ Vlan‬رقم ‪10‬‬

‫هو الـــ ‪ interface vlan 10‬اللى على ‪ Multi layer 3‬األول‬

‫طيب فين المشكلة ؟‬

‫المشكلة إن لو الـــ ‪ Multi layer 3 Switch‬ده وقع كده الـــ ‪ PC‬اللى موجودين‬
‫فى ‪ Vlan 10‬مش هيقدروا يوصلوا ألى مكان إلن الـــ ‪Gateway‬‬
‫بتاعهم وقع وبالتالى علشان يبدأوا يتحولوا على الـــ ‪Multi layer 3 Switch‬‬
‫الثانى الزم يتعمل تعديل األيبيهات بشكل ‪ Manual‬على األجهزة‬
 ‫وهنا هيجى دور أهم ‪ 3‬بروتوكوالت بيعملولك الموضوع ده‬

‫‪MadeBY‬‬
‫من ضمنهم بروتوكول‪HSRP‬‬
‫‪MohamedAbdel‬‬
‫‪nas‬‬
‫‪s‬‬‫‪er‬‬

‫الـــ ‪ HSRP‬وده اختصار ‪Hot standby Router Protocl‬‬

‫وده خاص بسيسكو‬

‫فكرة البروتوكول ده إنى هضع الــ ‪ IP‬بتاع كل ‪ MLS‬فى ‪HSRP Group‬‬

‫الـــ ‪ Group‬هنا يكون هو نفس الــ ‪ Group‬هنا‬

‫وبعدين هبدأ أعمل ليهم ‪ Virtual IP‬مشترك من نفس الــــ ‪ Subnet‬بتاع ‪vlan‬‬
‫‪ 10‬وبعد كده هخلى الــــ ‪ Virtual IP‬هو الــــــ ‪ Gateway‬بتاع الــــ ‪Hosts‬‬
‫فى الــــ ‪ vlan‬دى‬

‫ممكن أعمل ‪ Create‬لغاية ‪Group 16‬‬

‫هعمل واحد ‪ Active‬والتانى ‪standby‬‬

‫طيب بناء على إيه هيبقى ده ‪ active‬وده ‪standby‬‬

‫هيبقى بناء على ‪HSRP priority‬‬

‫األعلى فى الــــ ‪ priority‬هو الـــ ‪ Active‬بتبقى لغاية ‪255‬‬

‫الـــ ‪ Standby‬هيكون فى وضع الــــ ‪listen‬‬

 ‫طيب لو الــــ ‪ priority‬متساوية ‪!....‬؟‬

‫كده هيختاروا الـــ ‪Router with the Highest IP address‬‬

‫‪MadeBY‬‬
‫‪MohamedAbdel‬‬
‫‪nas‬‬
‫‪s‬‬‫‪er‬‬
‫لو أنا عندى أكتر من ‪ MLS‬فى الــــ ‪Group‬‬
‫يعنى مثال عندى ‪ MLS 3‬مش ‪ 2‬علشان لو اإلتنين حصل ليهم مشكلة‬

‫فالوحيد اللى هيتابع الـ ـ ‪ Hello message‬من الـــ ‪ Active‬هو الـــ ‪standby‬‬
‫والتالت مش هيتابع بس هيكون فى حالة ‪ Listen‬برده‬
‫لكن هيبدأ يتابع الـــ ‪ Hello message‬فى حالة إن الـــ ‪ Active‬وقع‬

‫والـــ ‪ Standby‬خد مكانه هنا التالت هيبدأ يتحول لـــ ‪ Standby‬ويبدأ يتابع بقى‬

‫الـــ ‪Hello message‬بتتبعت كل ‪ 3‬ثوانى‬

‫الـــ ‪ Standby‬هيعتبر الــــ ‪ Active‬مش موجود بعد تالتة ‪Hello message‬‬
‫ومفيش رد‬

‫ملحوظة ‪:‬‬
‫لو الـــ ‪ Active‬رجع بعد أما وقع هل هيرجع ياخد مكانه كـــ ‪ Active‬؟‬
‫ال مش هياخد مكانه علشان تحافظ على ‪ stability‬الشبكة عندك لكن لو محتاج‬
‫يرجع فهنا هتفعل خاصية الــــ ‪standby preemption‬‬
 : configuration ‫الــــ‬

MadeBY 1 ‫ رقم‬MLS ‫ بتاعك هتيجى على‬Vlans ‫بعد أما تعمل الــــ‬

MohamedAbdel
nas
ser
: ‫ دى‬command ‫وتعطيه الـــ‬

interface vlan 10
standby 1 priority 160
standby 1 ip ………………..
standby 1 preempt

2 ‫ رقم‬MLS ‫وبعدين تيجى على‬

‫ دى‬command ‫وتعطيه الـــ‬

interface vlan 10
standby 1 priority 120
standby 1 ip …………......

‫ المشترك اللى انته اخترته وبالتالى مش‬Gateway ‫ هيبقى الـــ‬Host ‫وعلى الــــ‬
‫ لو حاجة حصلت‬Gateway ‫هيحتاج بعد كده إنه يغير الـــ‬
 MadeBY
MohamedAbdel
nas
ser

MadeBY
MohamedAbdel
nas
ser
 MadeBY
MohamedAbdel
nas
ser

MadeBY
MohamedAbdel
nas
ser
 MadeBY
MohamedAbdel
nas
ser

MadeBY
MohamedAbdel
nas
ser
 ‫سيناريو مختلف داخل الــــــ ‪HSRP‬‬
‫انته لما بدأت تعمل ‪ High avilabilty‬بإستخدام أحد البروتوكوالت زى الـــ‬
‫‪ HSRP‬زى موضحنا فوق أصبح فيه ‪Multi layer 3 Switch‬‬
‫‪MadeBY‬‬ ‫هو ال ـ ‪ Gateway‬لكل الـــ ‪vlans‬‬
‫‪MohamedAbdel‬‬
‫‪nas‬‬
‫‪s‬‬‫‪er‬‬

‫لكن لو حصل فيه مشكلة فكل األجهزة اللى فى الــــ ‪ VLans‬اللى عندك هتتحول‬
‫بشكل ‪ dynamic‬للـــ ‪ Multi layer 3 Switch‬التانى‬

‫لكن هنفترض إنه اطلب منك تعمل توزيع بين اإلتنين‬

‫يعنى واحد يكون ‪ Gateway‬لمجموعة ‪ Vlans‬ويبقى فى نفس الوقت ‪Standby‬‬

‫لمجموعة ‪ Vlans‬تانية والتانى يبقى عكسه‬

‫هنا اللعب كله هيبقى فى الـــــ ‪priority‬‬

‫بحيث تبدأ تتحكم فى التوزيع‬

‫يعنى هتيجى على الــــ ‪ Multi layer 3 switch‬رقم ‪1‬‬

‫وتبدأ تعطيه الـــ ‪ Command‬دى‬
 Vlan 20‫ و‬vlan 10 ‫ لـــ‬Gateway ‫هو هيكون الـــ‬

interface vlan 10
standby ip .............
standby priority 160
standby preempt

interface vlan 20 MadeBY

standby ip ............. MohamedAbdel
nas
ser

standby priority 160

standby preempt

priority ‫ مش هنعدل فى الـــ‬vlan 40 ‫ و‬interface vlan 30 ‫لكن على الـــ‬

‫ علشان على السويتش التانى هنعلى‬default 100 ‫ولما مش هنعدل فهيبقى الـــ‬
100 ‫ بحيث تبقي أكبر من‬priority ‫هناك‬

interface vlan 30
standby ip .............
standby preempt

interface vlan 40
standby ip .............
standby preempt
 2 ‫ رقم‬Multi layer 3 switch ‫بعد كده هتيجى على الــــ‬
MadeBY
MohamedAbdel
nas
ser

‫ و‬priority ‫ مش هنعدل فى الـــ‬interface vlan 10 ‫وهتعكس العملية يعنى‬

‫ نفس األمر‬interface vlan 20

interface vlan 40 ‫ و‬interface vlan 30 ‫لكن هتيجى على‬

100 ‫ لقيمة أكبر من‬priority ‫وتبدأ تعدل‬

‫ لمجموعة‬standby ‫ وهيبقى‬Vlans ‫ لمجموعة‬Gateway ‫وبكده واحد هيشتغل‬

‫أخرى والتانى هيبقى عكسه‬

MadeBY
MohamedAbdel
nas
ser
 Etherchannel

Switches
Redundancy
loop
STP

Bandwith
STP Switches

Etherchannel
 Etherchannel

Etherchannel
STP High avalibility

Etherchannel

Etherchannel

cisco proprietary PAgP

Full Duplex Half Duplex
 Open standard LACP
Full Duplex
Backup

Backup

Manual Static

Requirement Etherchannel

Speed
GigabitEthernet FastEthernet switch

Duplex
Full Duplex Half Duplex
 Switch mode
Trunk Access

Configuration

interface rang f0/1-4

mode group
channel-group 1 mode desirable

trunk switch mode

interface port-channel1
switchport trunk encapsulation dot1q
switch port mode trunk

switch layer 3
IP address IP
Bandwidth
 Spanning Tree protocol

( STP )
Spaning tree protocol

network Design
Redundant topology
switch

Broadcast storm
STP devices
switch STP
frames Forward Root
logical switches

STP ATTACK

priority Root
priority STP ATTACK
BPDU
BPDU Root
Root ATTACKER switches
ATTACK

Portfast ACCESS

BPDU Guard
BPDU

Root guard
 config mode portfast configuration

( config ) # spaning-tree portfast default

interface

(config)int g0/1
(config-if)switchport mode access
(config-if)spaning-tree portfast

BPDU Guard configuration

config mode

(config)spaning-tree portfast bpduguard

interface

spaning-tree bpduguard enable

Root Guard configuration

interface

(config)int g1/1
(config-if) spaning-tree guard root
 DHCP Starvation ATTACK
DHCP Spoofing ATTACK

IP DHCP
DNS Gateway Subnet mask

DHCP Client
DHCP Discover Client
offer DHCP
request Client
Acknowledge
 DHCP Server
MAC IP ATTACK

Pool DHCP
IP IP Attacker
Gateway APIPA IP
DNS

»»» DHCP Starvation ATTACK »»»

Dos ATTACK

DHCP
Configuration
DHCP Spoofing ATTACK ATTACK

Kali linux DHCP Spoofing

Ettercap

ATTACKS
DHCP DHCP Snooping
DHCP
untrusted Trusted DHCP Server

(config)ip dhcp snooping

Snooping

(config)ip dhcp snooping vlan 1

untrusted vlan 1

DHCP
trusted

Command
F0/1 DHCP

(config)int f0/1
(config-if)ip dhcp snooping trust

untrusted

(config)int rang f0/2 - 24

 (config-if)ip dhcp snooping limit rate 4

Discover Interface
error DHCP Server
disable state

second Default Recovery

command

(config)errdisable recovery cause dhcp-rate-limit

(config)errdisable ( time in second )

Discover
 IP Source Guard

DHCP
Security
DHCP Snooping
Configuration DHCP DHCP

Manual user
Pool Script
 Pool offer DHCP
ATTACK-user

BAD IP DHCP
IP address
Service DHCP
IP SOURCE GUARD
interface port-security
Action

ip source guard interface

ip
 IP
IP DHCP

DHCP Snooping integrat

ip source guard ip source guard

: Configuration
interfaces
command
int f0/1
ip verify source

ip verify source port-security

 Arp Spoofing

DHCP
IP source Guard snooping
ARP Poison ARP Spoofing

MAC ARP
IP

MAC address IP
 ARP Cash

MAC Address

ARP Request
IP MAC Address

Broadcast ARP Request

ARP reply IP

:
IP

IP
Broadcast

MAC Address
ARP Cash

ARP Reply ARP

ARP Cash ARP Request
MAC
Address
 ARP
MAC ARP Reply Users Poison
MAC Address Address

ATTACK ARP Cash

»»»» Man in the middle attack »»»»

Destination
MAC Users
Destination Address

Dynamic ARP Inspection DAI

ARP

Snooping Table
IP
ARP
 Configuration
(config)ip arp inspection vlan1
Vlan1

DHCP

(config)int f0/3
(config-if)ip arp inspection trust

ARP user policy

Users
(config)int rang f0/4-24

(config-if)ip arp inspection limit rate

Command

(config)errdisable recovery cause arp-inspection

(config)errdisable recovery interval 90