ARGOMENTO:

Ciao a tutti,
Purtroppo sono ancora io
Volevo fare due domande.
1) il database delle Vlan deve essere creato su tutti gli switch presenti in una rete?
Mi spiego meglio.
ho 3 switch e 3 vlan (10,20,30) sui primi 2 switch ho bisogno di tutte e tre vlan. Sullo switch numero 3 invece ho bisogno solo della vlan 10. Cosa faccio le creo le altre 2 vlan nel database oppure posso farne a meno? Potrei avere dei problemi?

2) domanda
Marco nella lezione di lunedì ci ha mostrato alcuni esempi dell'autenticazione vty dell'utente locale e i suoi permessi. Ad un certo punto uno dei partecipanti ha chiesto, ma allora è' meglio usare il database locale? Marco ha risposto dipende perché ci potremmo trovare nella condizione che il database locale si danneggi. Ragionanandoci su, penso che quando si configurano le vty la cosa giusta sarebbe da 0 4 con autenticazione database locale e da 5 15 con autenticazione opzione solo login . (Oppure viceversa) È' giusta la mia osservazione?
Grazie e buon weekend a tutti.

Ciao Luigi,
per la prima domanda, la risposta dipende dalla VLAN: sebbene uno switch del dominio potrebbe tranquillamente non avere porte in accesso su una VLAN in particolare, l'assenza della definizione di tale VLAN dal database ne impedirebbe però il transito sui trunk. Esisteva in tal senso un protocollo proprietario CISCO ormai in disuso (tra l'altro tolto anche dalla CCNA), il VTP , che serviva proprio a mantenere la coerenza dei database

La seconda domanda invece prevede considerazioni di security e design: in ambienti medio-grandi si demandano le funzioni di autenticazione (come pure quelle di autorizzazione ed accounting) a dei server appositi, utilizzando TACACS+ o RADIUS . L'utilizzo di una password, contrapposta ad uno username ed una password, inficia sul grado di sicurezza e sulla possibilità di assegnare privilegi ad personam. Non c'è una ragione quindi per avere da 0 a 4 con DB locale e 5 15 con solo login.

Ciao Luigi, una precisazione sulla risposta alla domanda fatta a lezione. Mi sembra di ricordare che mi fu chiesto se aveva sempre senso utilizzare soloil database locale al posto di username e password sulle linee. In effetti la mia risposta meritava un approfondimento diverso che non poteva essere fatto a lezione (i tempi purtroppo non sempre lo consentono e noi docenti decidiamo quando sia opportuno rispondere esaustivamente e quando dobbiamo essere più "rapidi").
Considera ineccepibile la risposta di Jody sul fatto che se vuoi maggiore sicurezza devi utilizzare meccanismi "esterni" di autenticazione (come RADIUS o TACACS+).
Volevo aiutarti a capire meglio, invece, perché non è molto sensato utilizzare più password vty diverse sul dispositivo. La cosa migliore da fare è aiutarsi col packet tracer facendo una prova di questo tipo.
Collega uno switch con 4 PC. Esegui configurazione di base sullo switch in modo che accetti connessioni telnet, ma configura la password vty solo su 3 linee (line vty 0 2). Prova ad accedere da tutti i PC e vedrai che il quarto non può farlo. Il problema è che l'utente del quarto PC non sa perché non riesce ad accedere. Ha sbagliato a scrivere la password? Oppure ci sono già altri utenti collegati con la prima password e quindi deve usare la seconda?
Adesso rientra in configurazione sullo switch e aggiungi sulla quarta linea (line vty 3 3) una password diversa dalla prima. Vedrai che il quarto PC a questo punto può entrare con la nuova password. Questo esempio è significativo perché sul curriculum dice che per motivi di sicurezza conviene lasciare l'ultima linea vty con una password diversa. Questo perché qualora qualcuno scoprisse la (prima) password di accesso, con un attacco potrebbe impegnare tutte le linee, tagliando di fatto fuori l'amministratore. In questo modo l'ultima password ti permetterebbe di rientrare sul dispositivo.
A onor del vero, pur avendo una logica, mi ricollego a quanto detto da Jody. Se devo alzare il livello di sicurezza, uso il database locale, ma solo perché mi consente di accedere tramite SSH. In questo modo però devo creare gli utenti (qualora ce ne fossero più di uno con privilegi diversi) su tutti i dispositivi (la stessa controindicazione delle reti peer to peer Microsoft rispetto ad Active Directory, che è invece il database centralizzato degli utenti). Come vedi a quel punto torniamo alla risposta di Jody. Se voglio alzare l'asticella uso un meccanismo di autenticazione che si basa su un server "esterno" (in cui gli utenti sono creati una volta sola).
Noterai però che per dare una risposta più sensata, si parte per la tangente e potremmo parlarne per ore e ore ... (di argomenti che, fra l'altro, non riguardano la CCNA).
Fortuna che qui ci sono i forum per chiarire i dubbi, l'importante è non allontanarsi eccessivamente dagli argomenti relativi alla certificazione per cui vi state preparando (ma solo per il fatto che il tempo non ce lo consente, perché è chiaro che piacerebbe a tutti aumentare il più possibile le proprie conoscenze).
Spero di essere stato utile... Buono studio.

Come sempre grazie ad entrambi. Sono curiosità e dubbi che mi vengono durante lo studio e a volte non riesco a darmi una risposta da solo. Quindi grazie ancora