Private-VLAN Trunk-Port Typen

Standard Trunk Ports

  • Zwischen PVLAN-Switches
  • Überträgt alle VLAN Typen: reguläre VLANs, Primary-VLANs und Secondary-VLANs (Isolated oder Commuity)
  • Beide Switches müssen Private-VLANs unterstützen und gleich konfiguriert sein
int gi0/24
    switchport mode trunk

Isolated PVLAN Trunk Ports

  • Zu Non-PVLAN Switches
  • Pakete werden nicht mit dem Primary-VLAN getagged sondern mit dem Secondary-VLAN
  • Auf Non-PVLAN Switches kann dann das Secondary-VLAN, zum Beispiel, als ein gewöhnliches Access-VLAN verwendet werden
  • Um weiterhin eine Trennung der Ports auf einem Non-PVLAN Switch zu ermöglichen könnte „Switchport Portected“ verwendet werden
int gi0/24
    switchport mode private-vlan trunk
    !switchport private-vlan trunk native vlan 100
    switchport private-vlan allowed vlan 20,30
    switchport private-vlan association trunk 10 20,30
  • If there is no native VLAN configured, all untagged packets are dropped

Promiscuous PVLAN Trunk Ports

  • Zu Non-PVLAN Router
  • Pakete werden mit dem Primary-VLAN getagged
  • Zu Routern oder Firewalls die keine Private-VLANs unterstützen, kann dann das Primary-VLAN ganz normal als L3 Routing-Interface konfiguriert werden
int gi0/24
    switchport mode private-vlan trunk promiscuous
    switchport private-vlan mapping trunk 10 20,30
    switchport private-vlan trunk allowed 10,40
  • Alle gewünschten primary (VLAN-ID 10) und regular VLANs (VLAN-ID 40) mit „allowed“-Befehl angeben

Verfiy

show vlan
show interface gi0/24 switchport

Quellen:

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/54sg/configuration/guide/config/pvlans.html

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9200/software/release/16-12/configuration_guide/vlan/b_1612_vlan_9200_cg/configuring_private_vlans.html

Neue Cisco Catalyst 9000 Serie

cat9k_series_hardware
Quelle Cisco.com

Einleitung

Die Weiterentwicklung der IT in den Bereichen IoT, allgegenwärtige Mobiliät, Cloud Adaptierung und fortschreitender Sicherheitsbedrohungen bringt auch neue Anforderungen an das klassische Netzwerk. Ciscos Antwort auf diese Herausforderungen ist die neue Catalyst 9k Series. Das neue Netzwerk mit dieser Plattform soll intuitiver werden, mehr Einsicht bieten, schützen und sich stets weiterentwickeln.

Hardware

Hardwareseitig bietet die Catalyst 9000 Serie ein breites Spektrum, vom Access bis zum Core, in allen Größen und Formen. Das neueste Modell aus der Serie ist der Catalyst 9200, welcher den beliebten 2960-X/XR ersetzen soll. Es muss gesagt sein, dass es sich nicht mehr nur um reinen Switches handelt, da diese neue Serie (ab 9300) auch Wireless Controller Funktionen bietet und somit LAN und WLAN vereinen soll.

cat9k_upgrade_path
Quelle Cisco.com

Software

Die Software für diese Geräte heißt IOS XE, welche viel mehr Flexibilität und Modularität bietet. Dank Containervirtualisierung lassen sich auch Anwendungen wie Wireshark direkt am Switch ausführen. Als Management Oberfläche gibt es lokalen Web- und CLI-Zugriff oder das neue zentrale Managment-Tool DNA-Center. SD-Access ist das neue Schlagwort um Switch-Fabric, ISE (TrustSec) und DNA-Center zu vereinen.

dna_center_1528350810430
Quelle Cisco.com

Lizenzierung

Es gibt zwei unbefristet Basis-Lizenzen „Essentials“ und „Advantage“ die auf die Hardware gebunden sind und drei unterschiedliche Add-On Lizenz als Subscription für DNA. Mehr dazu im Data Sheet.

Weitere Informationen

Produkt Homepage

At-a-Glance

Data Sheet

E-Book

 

Verschlagwortet mit

März 2018 Patchday bei Cisco

Mit einer gesammelten Veröffentlichung von Updates patcht Cisco gleich mehrere Sicherheitslücken in Cisco IOS und IOS XE (beides Betriebssysteme für Router und Switches). Es sind über 20 Advisories, 3 davon wurden als kritisch eingestuft.

Im Cisco Security Advisory Portal findet man eine Übersicht und weitere Informationen zu den Updates. Hier die Zusammenfassung:

SNMP Sicherheitslücke in Cisco IOS und IOS XE

Das für Router und Swichtes eingesetzte Betriebssystem IOS und IOS XE hat laut aktuellem Cisco Security Advisory eine kritische Sicherheitslücke in der Simple Network Management Protocol (SNMP) Implementierung. Betroffen sind alle IOS- und SNMP-Versionen.

Zum Ausnützen der Lücke muss ein Angreifer Zugriff auf den SNMP-Port (161/UDP) des Gerätes haben und im Besitz der SNMP-Community (bei SNMP Version 1 und 2) bzw. der Anmeldedaten (bei SNMP Version 3) sein. Ein erfolgreicher Angriff kann das Gerät komplett kompromittieren oder zum Absturz bringen.

Auf der Cisco Advisory Seite findet man eine Anleitung zum Abrufen der IOS Version und ein Tool zum Überprüfen, ob diese verwundbar ist oder nicht. Ein Update der Software wird dringend empfohlen!

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp

Kritische Sicherheitslücke in Cisco Switches

Cisco hat eine Sicherheitswarnung veröffentlicht die eine Sicherheitslücke in über 300 Switch-Modellen des Herstellers beschreibt, die Veröffentlichung steht vermutlich in Zusammenhang mit den Vault-7-Leaks.

Betroffen ist dabei das Cluster Management Protocol (CMP) in IOS und IOS XE, welches über Telnet kommuniziert. Ein Angreifer kann durch das senden spezieller Kommandos Vollzugriff auf den Switch erlangen. Die Lücke ist bereits in der Standardkonfiguration der Switches offen.

Aktuell gibt es keinen Workaround und auch kein Software-Update. Als Abhilfe wird lediglich genannt, auf SSH statt Telnet für den Switchzugriff umzustellen um den Angriffsvektor zu beseitigen.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp