Przełączniki (switch) możemy podzielić na zarządzalne oraz niezarządzalne. Przełącznik niezarządzalny to urządzenie umożliwiające podłączenie komputerów klienckich i wymianę informacji pomiędzy nimi. Nie posiada żadnych parametrów konfiguracyjnych umożliwiających zarządzanie bezpieczeństwem, czy dostępem do poszczególnych segmentów sieci. W przypadku przełączników zarządzalnych możliwa jest konfiguracja ich parametrów w zależności od potrzeb administratora sieci lokalnej. Dostęp do konfiguracji przełącznika możliwy jest zazwyczaj na dwa sposoby:
- poprzez przeglądarkę internetową,
- za pomocą konsoli telnet/ssh/serial.
Przykładowy przełącznik umożliwia dostęp poprzez stronę internetową oraz poprzez usługę Telnet. Poniżej pokazano sposób połączenia z przełącznikiem za pomocą usługi Telnet.
W przypadku telnetu, połączenie wykonujemy podając adres IP urządzenia. Przykładowy przełącznik TP-LINK ma domyślnie ustawiony adres IP 192.168.0.1. Po połączeniu należy się uwierzytelnić podając login i hasło. Fabrycznie ustawiony login i hasło to admin/admin. Po uwierzytelnieniu możemy przejść do konfiguracji urządzenia. Znak zapytania („?”) umożliwia wyświetlenie dostępnych w danym momencie opcji. Tryby pracy urządzenia oraz sposoby jego konfiguracji z wykorzystaniem usługi telnet opiszę w innej części. My zajmiemy się teraz wstępną konfiguracją przełącznika poprzez przeglądarkę internetową.
W celu połączenia się z przełącznikiem uruchomimy przeglądarkę internetową i wpiszemy adres: 192.168.0.1. Przeglądarka powinna wyświetlić stronę jak poniżej:
UWAGA!!!: Nasz komputer musi być w tej samej podsieci, co przełącznik. W przypadku, gdy nasza sieć lokalna pracuje w innej podsieci należy podłączyć komputer do przełącznika i skonfigurować kartę sieciową zgodnie z parametrami sieci ustawionymi w przełączniku. Switch nie pełni roli serwera DHCP, więc nie przydzieli naszej karcie sieciowej parametrów sieciowych. (Konfiguracja karty sieciowej - patrz załącznik .1)
Wpisujemy nazwę użytkownika (domyślnie admin) oraz hasło (domyślnie admin) i otrzymujemy dostęp do konfiguracji przełącznika sieciowego. Na zrzucie pokazano stronę konfiguracyjną przełącznika TP-LINK TL-SL2210.
Jak widać pierwsza zakładka „System info” wyświetla podstawowe informacje o urządzeniu. Do naszego przykładowego przełącznika podłączone są dwa inne urządzenia. Jedno na porcie „1”, drugie na porcie „7”. Adres IP przełącznika to 192.168.0.1/24, oznacza to, że urządzenie nie miało zmienionego adresu IP w stosunku do ustawień fabrycznych. Pierwszym krokiem będzie ustawienie adresu IP urządzenia na zgodny z adresacją naszej sieci LAN. Można to zrobić w zakładce: „System IP”.
UWAGA!!: Niektórzy administratorzy stosują adresację urządzeń takich jak przełączniki, czy punkty dostępowe z innego zakresu niż reszta urządzeń sieciowych. Jest to jeden z elementów zabezpieczających przed nieuprawnionym dostępem.
Na zrzucie poniżej pokazano zakładkę umożliwiającą zmianę adresu IP urządzenia sieciowego.
Jak widać możliwe jest ustawienie statycznego adresu IP, jak również jego dynamiczna konfiguracja z serwera DHCP. Dodatkowa informacja przydatna w późniejszym terminie, to identyfikator sieci VLAN, w ramach której będzie widzialny przełącznik. Jest to jeden z elementów bezpieczeństwa sieci, który zostanie omówiony później. Kolejną informacją, którą należy uzupełnić podczas konfiguracji przełącznika jest opis urządzenia. Poniżej pokazano zakładkę umożliwiającą ustawienie opisu urządzenia.
Pokazane powyżej informacje nie mają żadnego technicznego wpływu na funkcjonowanie przełącznika. Są one jednak niezbędne do zachowania przejrzystości budowanej sieci LAN. Ułatwiają identyfikację urządzenia oraz jego lokalizację. Dysponując urządzeniami rozmieszczonymi w różnych pomieszczeniach, czy budynkach warto wiedzieć które urządzenie w danej chwili konfigurujemy.
Kolejny element, który należy skonfigurować do prawidłowego funkcjonowania urządzenia, to synchronizacja czasu. Przełącznik może synchronizować czas systemowy z komputerem, z którego jest konfigurowany. Możliwe jest ręczne ustawienie czasu. Najlepszym jednak rozwiązaniem jest automatyczna synchronizacja czasu systemowego przełącznika z serwerem NTP. Synchronizacja czasu z serwerem NTP jest możliwa po włączeniu odpowiedniej opcji w zakładce pokazanej poniżej oraz odpowiednim skonfigurowaniu adresu IP i bramy domyślnej by przełącznik miał dostęp do sieci Internet.
Po wykonaniu wstępnej konfiguracji urządzenia należy przejść do zakładki „User Management”, gdzie możemy zarządzać użytkownikami. Przełącznik może mieć dwa rodzaje użytkowników:
- goście,
- administratorzy.
Konta gości umożliwiają wyświetlenie podstawowych danych statystycznych. Konta administracyjne umożliwiają zarządzanie przełącznikiem. Możemy założyć dodatkowe konta administracyjne. Najważniejsze jednak jest ustawienie hasła dla podstawowego konta administratora. Na zrzucie poniżej pokazano zakładkę umożliwiającą zarządzanie użytkownikami.
Jak widać możliwe jest utworzenie nowego użytkownika, lub edycja ustawień już istniejącego. Po wykonaniu powyższych operacji przełącznik zarządzalny jest gotowy do wpięcia go do sieci LAN. Adres IP przełącznika nie będzie powodował konfliktów w sieci, urządzenie będzie posiadało określoną nazwę oraz wpisaną lokalizację zgodną z rzeczywistością, konto administratora zostanie zabezpieczone hasłem znanym administratorowi sieci lokalnej. Tak przygotowany – skonfigurowany przełącznik zarządzalny ma jednak jedną podstawową wadę:
Niczym nie różni się od przełącznika niezarządzalnego.
By wykorzystać możliwości, jakie daje posiadanie przełącznika zarządzalnego, należy dodatkowo skonfigurować urządzenie w zależności od wymagań administratora sieci LAN.
Pierwszym elementem, który może mieć wpływ na bezpieczeństwo sieci LAN jest separacja portów. Poniżej pokazano zakładkę umożliwiającą ustawienie separacji portów przełącznika.
Izolacja portów ma zabezpieczyć poszczególne segmenty sieci przed przesyłaniem danych pomiędzy nimi. Dysponując przełącznikiem, do którego podłączone są komputery z np. księgowości oraz magazynu, w prosty sposób możemy rozdzielić obie grupy ustawiając na przełączniku na których portach podłączone są komputery z jednej grupy, a na których z drugiej. Dokładniej określamy dla każdego z portów przełącznika do których portów może przesyłać informacje, a do których nie. W celu ustawienia izolacji portów ustawiamy kolejno dla każdego z nich listę portów, do których może przesyłać dane. Przykładowo wybieramy port 2, następnie poniżej zaznaczamy port 1,3,4,5. Po zapisaniu ustawień dane z portu 2 będą mogły zostać przesłane do portów 1,3,4,5, natomiast porty 6,7,8,9,10 nie otrzymają informacji nawet w sytuacji, gdy logicznie (zgodnie z adresacją sieci) powinny tam trafić. Izolację portów możemy traktować jako okrojoną wersję VLAN.
Kolejnym elementem konfiguracyjnym jest ustawienie parametrów pracy poszczególnych portów. W zakładce „Port Config”. Można tam określić sposób funkcjonowania poszczególnych portów. Prędkość oraz rodzaj transmisji. Domyślnie wszystkie porty mają ustawioną opcję autonegcjacji połączenia. Możemy jednak wymusić konkretną prędkość transmisji oraz pracę w pełnym dupleksie lub półdupleksie. Poniżej pokazano zakładkę konfiguracyjną parametrów portów przełącznika.
Jak widać możliwe jest programowe wyłączenie portu, oraz włączenie kontroli przepływu danych. Dobrą praktyką jest również opisanie poszczególnych portów w taki sposób, by można było łatwo określić połączenie urządzenia z innymi elementami sieci LAN.
Użyteczną opcją konfiguracji portów jest możliwość zablokowania rozgłaszania komunikatów DHCP. W zakładce „DHCP Filtering” możemy określić na którym porcie podłączony jest serwer DHCP. Poniżej pokazano zakładkę konfiguracyjną filtra DHCP.
Filtrowanie DHCP należy włączyć w dwóch krokach. W pierwszym określa się, czy w ogóle filtrujemy ruch DHCP, a w drugim określamy na których portach go udostępniamy. Filtrowanie ruchu DHCP zabezpiecza sieć LAN przed przypadkowym podłączeniem nieuprawnionego serwera przydzielającego nieprawidłowe parametry sieciowe komputerom klienckim.
Kolejnym elementem zwiększającym bezpieczeństwo sieci LAN jest określenie adresów MAC kart sieciowych i przypisanie ich do konkretnych portów przełącznika. Przyporządkowanie adresu MAC utrudnia podłączenie nieuprawnionego komputera do sieci LAN. Na zrzucie poniżej pokazano zakładkę konfiguracyjną filtrowania adresów MAC komputerów klienckich.
Jak widać na zrzucie można określić statycznie adres MAC komputera klienckiego i przypisać go do określonego portu. Po wykonaniu powyższej operacji komputer będzie mógł korzystać z zasobów sieciowych wyłącznie poprzez wskazany port.
Tworząc konfigurację przełącznika warto mieć możliwość jej zapisania oraz odtworzenia w zależności od potrzeb. Funkcję tę znajdziemy w zakładce „System Tools”.
W ramach „System Tools” możliwe jest wykonanie kopii konfiguracji urządzenia poprzez zakładkę „Config Backup”. Strzałką zaznaczono pozycję menu „Save Config”. Jest to opcja odpowiedzialna za zapisanie ustawień przełącznika w jego pamięci. Dopiero po zapisaniu bieżących ustawień w pamięci przełącznika możliwe jest wykonanie kopii ustawień konfiguracyjnych na dysk komputera. Dysponując natomiast plikiem konfiguracyjnym możemy go wczytać z wykorzystaniem zakładki „Config Restore”. Wykonywanie kopii bezpieczeństwa urządzenia ma dwie podstawowe zalety:
- w przypadku błędnej konfiguracji możliwe jest odzyskanie ostatniej poprawnie konfiguracji,
- możliwe jest przeniesienie konfiguracji na inne urządzenie w przypadku wymiany, lub konfiguracji kolejnego przełącznika.
Zadanie:
Wykonaj konfigurację przełącznika zgodnie z poniższymi założeniami. Nagraj plik konfiguracyjny i zrzuty z wykonania zadania.
- Połącz się z urządzeniem za pomocą programu Telnet (kolejne kroki poprzez przeglądarkę)
- Ustaw adres urządzenia na: 192.168.120.2/24
- Ustaw nazwę przełącznika na 3i1, lokalizacja „sala Media/55”
- Dodaj nowego użytkownika uczen z hasłem ZAQ1
- Ustaw separację portów tak, by porty 1-3, 4-6, 7-9 mogły przesyłać dane wyłącznie w swoich grupach
- Ustaw rozgłoszenie DHCP na portach 1,4,7
- Wyłącz porty 2,5,8
- Ustaw dla portów 1,4,6 prędkość transmisji 10Mb/s w pełnym dupleksie
- Ustaw statyczny adres MAC dla posiadanego laptopa, żeby mógł łączyć się z portu 3
- Zapisz konfigurację przełącznika na dysku
Załącznik 1.
Konfiguracja karty sieciowej
Domyślne ustawienia sieciowe przełącznika powodują, że nie będzie on widzialny po podłączeniu do większości sieci lokalnych, a w sieciach, w których adresacja oparta jest na podsieci 192.168.0.0/24 może spowodować zakłócenia w funkcjonowaniu urządzeń. W związku z powyższym podstawową konfigurację przełącznika powinno się wykonać poprzez bezpośrednie jego podpięcie do karty sieciowej komputera (np. laptopa) bez wpinania urządzeń do funkcjonującej sieci LAN. Zapewnienie komunikacji pomiędzy komputerem a przełącznikiem wymaga ręcznego ustawienia adresu IP oraz maski karty sieciowej komputera.
W systemie Linux wykonujemy to przez wydanie polecenia:
ifconfig eth0 192.168.0.2/24 up
zakładając, że nasz interfejs sieciowy to eth0. Jeżeli nasza karta sieciowa jest ustawiona na inną pulę adresową np. 192.168.5.0/24, to możemy dodać drugi adres IP dla karty sieciowej wydając polecenie:
ifconfig eth0:1 192.168.0.2/24 up
Po wykonaniu powyższego polecenia nasza karta sieciowa będzie traktowana jak dwie karty sieciowe. Jedna z adresem naszej sieci LAN (192.168.5.x/24), druga natomiast jako 192.168.0.2/24. Takie rozwiązanie umożliwia konfigurację przełącznika bez jednoczesnej utraty łączności z siecią lokalną.
W przypadku systemu Windows należy ustawić parametry sieciowe w zakładce pokazanej poniżej:
W przypadku, gdy nasza karta sieciowa pracuje w innej sieci możemy ustawić adresację dodatkową (alternatywną):