При первоначальном включении коммутатор LAN Cisco проходит следующие стадии загрузки:
1. Во-первых, коммутатор загружает программу самотестирования при включении питания (POST), хранящуюся в ПЗУ. POST проверяет ЦП подсистемы. Программа тестирует ЦП, оперативную динамическую память (DRAM) и часть флеш-устройств, составляющих файловую систему флеш-памяти.
2. После этого на коммутаторе запускается программное обеспечение начального загрузчика. Начальный загрузчик — это небольшая программа, которая хранится в ПЗУ и запускается сразу после успешного завершения проверки POST.
3. Начальный загрузчик выполняет низкоуровневую инициализацию ЦП. Он инициализирует регистры ЦП, которые контролируют физическую память, количество памяти и скорость.
4. Затем программа запускает файловую систему флеш-памяти на материнской плате.
5. Наконец, начальный загрузчик находит и загружает образ операционной системы IOS по умолчанию и передаёт ей управление коммутатором.
Конкретный загруженный файл Cisco IOS определяется переменной средой BOOT. После загрузки Cisco IOS использует команды, находящиеся в файле начальной конфигурации для инициализации и настройки интерфейсов. Если файлы Cisco IOS отсутствуют или повреждены, можно выполнить перезагрузку или восстановление системы после сбоя с помощью начального загрузчика.
Рабочее состояние коммутатора отображается с помощью группы индикаторов на передней панели. Эти индикаторы информируют о состоянии порта, выбранном дуплексном режиме и настройке скорости.
Для того чтобы разрешить удалённую конфигурацию устройства, IP-адрес присваивается интерфейсу SVI, входящему в виртуальную локальную сеть управления VLAN. С помощью команды ip default-gateway на коммутаторе необходимо настроить шлюз по умолчанию, принадлежащий сети управления VLAN. Если шлюз по умолчанию настроен неправильно, удалённое управление невозможно. Для обеспечения безопасного (зашифрованного) управляющего подключения к удалённому устройству рекомендуется использовать протокол Secure Shell (SSH), который, в отличие от протокола Telnet, позволяет предотвратить перехват незашифрованных имён пользователей и паролей.
Одним из преимуществ коммутатора является то, что он поддерживает полнодуплексную связь между устройствами, что вдвое повышает скорость передачи данных. Несмотря на то что можно задать скорость и режим дуплексной связи интерфейса коммутатора, рекомендуется разрешить для коммутатора автоматическую настройку этих параметров для предотвращения появления ошибок.
Функция безопасности порта коммутатора необходима для предотвращения лавинной рассылки МАС-адресов и DHCP-спуфинга. Порты коммутатора следует настраивать таким образом, чтобы доступ был разрешён только для кадров с конкретными МАС-адресами источника. Кадры от неизвестных МАС-адресов источника должны быть запрещены и вызывать отключение порта для предотвращения дальнейших атак.
Функция безопасности портов — это единственное средство защиты от снижения производительности сети. Для обеспечения защиты сети предлагаем обратиться к следующим 10 практическим рекомендациям:
- Разработайте политику обеспечения безопасности для компании.
- Отключите неиспользуемые сервисы и порты.
- Используйте надёжные пароли и регулярно меняйте их.
- Ограничьте физический доступ к устройствам.
- Избегайте использования стандартных ненадёжных веб-сайтов HTTP, особенно для экранов входа в систему. Вместо них используйте более безопасные HTTPS.
- Регулярно выполняйте резервное копирование данных и проверяйте резервные файлы.
- Расскажите сотрудникам о технологии социальной инженерии и разработайте политику проверки идентификации людей по телефону, через электронную почту и лично.
- Зашифровывайте и защищайте паролем уязвимые данные.
- Обеспечьте безопасность на программном и аппаратном уровнях, например установите брандмауэры.
- Регулярно обновляйте ПО, ежедневно или еженедельно устанавливая исправления безопасности.
Вышеупомянутые рекомендации являются основами управления безопасностью. Организации должны обеспечивать непрерывную защиту от постоянно развивающихся технологий взлома.