Вопрос 15 - allowed vlan

15. Приведите команды использования и проверки “allowed list”.
Предлагаю практический вопрос:
Как защититься от сброса разрешенных на порту vlan'ов, введя switchport trunk allowed vlan без ключа add?

У меня такое раз было :) пришлось бутать стэк 3750ых. После этого придумали способ защиты от такого.

Комментарии

  • Такое у всех было - боевое крещение.. зато 1 раза хватает =)))
  • Да, было думаю у многих ;)
    Но есть вариант как от этого защититься, собственно об этом и вопрос :)
  • Alex.Kovalev написал:

    Да, было думаю у многих ;)
    Но есть вариант как от этого защититься, собственно об этом и вопрос :)

    Заинтриговали. Обычно такое реализуется через систему commit/confirm commit, может сервис какой-специальный в IOS есть..
    Прямо интересно!
  • reload in 5 ? :)
    Критичные железки можно включать консолью в какой-нибудь сервер, связность с которым не зависит от этой железки
  • Такое решение? http://networkengineering.stackexchange.com/questions/1190/accidentally-removed-allowed-vlans-from-cisco-switch-dot1q-trunk

    When you don't use add/remove you're telling the port to only configure the new VLAN.

    This is a common error. If your platform supports it you can use the Cisco Embedded Event Manager to forbid this harmful syntax:

    event manager applet forbid-vlan-trunk
    event cli pattern "switchport trunk allowed vlan\s+[0-9]" skip yes sync no
    action 1.0 syslog msg "switchport trunk allowed vlan MUST be configured via add/remove"
  • Вместо reload in можно использовать archive
  • Можно ещё alias'ы команд add/remove написать и заставить всех пользоваться alias'ам.
  • EEM - наше все.
  • yotskry написал:

    reload in 5 ? :)

    Черевато, тем что забудешь про него ;) да и ради добавления в нового влана каждый раз делать reload in имхо #тяжеловато.
    cann написал:

    Вместо reload in можно использовать archive

    Лучше, но старые железки не поддерживают, и каждый раз вбивать перед добавлением нового влана придется.
    Serg.Zababurin написал:
    Тоже вариант :) Но emm имхо тут излишен, в IOS есть вполне себе встроенный функционал для подобного юзкейса.


    Мое решение, использовать: aaa authorization commands и запретить на AAA сервере (radius или tacacs) команду switchport trunk allowed vlan без ключа add. Делал такое на ACS 4.*, 5.*
    Если aaa сервера нет, как вариант можно настроить авторизацию команд и локально на свиче, но на практике локально не настраивал.
  • Alex.Kovalev написал:


    Мое решение, использовать: aaa authorization commands и запретить на AAA сервере

    А какие еще грабли вы так убирали из под своих ног?
  • Кое что для vtp запрещал, пока от него не отказались :)
    А в остальном command auth по прямому назначению использовали, учетки сборщиков/анализаторов конфига ограничивали и дежурных.
Войдите или Зарегистрируйтесь чтобы комментировать.