Universidad Privada Antenor Orrego

Escuela Profesional de Ingeniera Escuela Profesional de Ingeniera de Computacin y Sistemas

Configuracin de Switches
Comunicacin de Datos

Integrantes:
Avalos Olano, Miguel Narvaiza Cortes, Wilton Revilla Zavala, Alexander Rodrguez Vargas, Diego Villanueva Cruz, Daniel

Asesor:
Ing. Jorge Jara Arena

Trujillo Per 2014

MODOS DE CONFIGURACIN

Generalmente asociado a los equipos expansibles, se puede definir la configuracin del equipo mediante diferentes mtodos: Command Line Interface (CLI) o Graphic User Interface (GUI).

1. Command Line Interface (CLI), Los modelos ms bsico incluyen slo interfaz de comandos a travs de consolas seriales o servicios de telnet. Actualmente se incluye acceso remoto a travs de SSH o consola serial.

El IOS suministra un servicio de intrprete de comandos, denominado comando ejecutivo (EXEC), como caracterstica de seguridad de IOS divide las sesiones de EXEC en los siguientes niveles de acceso:

a) EXEC Usuario, Permite que una persona tenga acceso solamente a una cantidad limitada de comandos bsicos de monitoreo. El modo EXEC del usuario es el modo predeterminado al que se ingresa despus de iniciar sesin en un Switch de Cisco desde la CLI. El modo EXEC del usuario se identifica con la indicacin:

b) EXEC Privilegiado, Permite que una persona tenga acceso a todos los comandos del dispositivo, como aqullos que se utilizan para la configuracin y administracin, y es posible protegerlo por contrasea para que tengan acceso al dispositivo slo los usuarios autorizados. El modo EXEC privilegiado se identifica con la indicacin:

Para ingresar al nivel EXEC privilegiado desde el nivel EXEC Usuario, ejecute el comando enable con la peticin de entrada Switch> en pantalla. Si se ha configurado una contrasea, el Switch solicitar la contrasea. Por razones de seguridad, los dispositivos de red de Cisco no muestran la contrasea al ser introducida. Una vez que se ha introducido la contrasea correcta, la peticin de entrada del Switch cambia a "#", lo que indica que el usuario se encuentra ahora en el nivel EXEC Privilegiado. Si se introduce un signo de interrogacin (?) en el nivel EXEC Privilegiado, se mostrarn muchas opciones de comando, adicionales a las disponibles en el nivel EXEC usuario.

Comandos Modo EXEC Usuario

COMANDO
connect [direccin_ip|nombre] disconect conexin enable | ena logout ping [direccin_ip|nombre] resume conexin|resure conexin

DESCRIPCIN
Permite conectarse remotamente a un host Desconecte una sesin telnet establecida Ingresa al modo EXEC Privilegiado Sale del modo Enva una peticin de eco para diagnosticar la conectividad bsica de red Resume una sesin Telnet interrumpida con la secuencia CTRL+SHIFT+6 y X

show cdp

Muestra el intervalo entre publicaciones CDP, tiempo de validez y versin de la publicacin

show cdp entry [*|nombre_disp.| protocol|version] show cdp interfaces [tipo nmero]

Muestra informacin acerca de un dispositivo vecino registrado en una tabla CDP Muestra informacin acerca de las interfaces en las que CDP est habilitado

show cdp neighbors [tipo nmero| details] show clock show history show hosts

Muestra a los resultados del proceso de descubrimiento de CDP Muestra la hora y fecha del Router | Switch Muestra el historial de comandos ingresados Muestra una lista en cach de los nombres de host y direcciones Muestra un breve resumen de la informacin y del estado de una direccin IP Muestra el contenido de la base de datos privada de RIP Muestra el contenido de la tabla de enrutamiento IP. Muestra las conexiones Telnet establecidas en el Switch|Router Permite conectarse remotamente a un host Reactiva las funciones de edicin avanzada Deshabilita las funciones de edicin avanzada Desactiva todas las depuraciones activadas en el dispositivo

show ip interface brief show ip rip database show ip route [direccin|protocolo] show sessions terminal [direccin_ip|nombre] terminal enditing terminal no editing traceroute direccin_ip

Comandos Modo EXEC Privilegiado

COMANDO
clear cdp counters clear cdp table clear counters configure memory configure terminal copy flash tftp copy running-config startup-config copy running-config tftp copy tftp flash copy tftp runnig-config debug cdp adjacency debug cdp events debug cdp ip debug cdp packets

DESCRIPCIN
Permite conectarse remotamente a un host Elimina la tabla CDP de informacin de los vecinos Despeja los contadores de las interfaces Carga informacin de configuracin de la NVRAM Configura la terminal manualmente desde la terminal de consola Copia la imagen del sistema desde la memoria Flash a un servidor TFTP Guarda la configuracin activa en la NVRAM Almacena la configuracin activa en un servidor TFTP Descarga una nueva imagen desde un servidor TFTP en la memoria Flash Carga la informacin de configuracin desde un servidor TFTP Muestra informacin recibida de vecinos CDP Muestra informacin sobre eventos CDP Muestra informacin CDP especfica de IP Muestra informacin relacionada a los paquetes CDP Muestra el contenido de la base de datos privada de RIP Muestra todos los eventos IGRP que se estn enviando y recibiendo en el router. Muestra las actualizaciones IGRP que se estn enviando y recibiendo en el router Muestra informacin sobre las actualizaciones de enrutamiento RIP mientras el router las enva y recibe Muestra las actualizaciones de enrutamiento RIP a medida que se las enva y recibe Sale del modo EXEC Privilegiado hacia el modo EXEC Usuario Borra el contenido de la memoria Flash

show ip rip database

debug ip igrp events debug ip igrp transactions debug ip rip debug ip rip [events] disable erase flash

2. Graphic User Interface (GUI), Algunos modelos incluyen pequeos servidores Web con interfaces grficas para la configuracin. Otros incluyen herramientas grficas que sirven de interfaz para CLI

CONFIGURACIONES BSICAS

Al encender un SWITCH (nuevo) por primera vez, no encontraremos en l, ninguna configuracin, por lo tanto nos toca a nosotros configurar este equipo segn los requerimientos de nuestra red. En este artculo trataremos de hacer una configuracin bsica, configurando los siguientes parmetros.

1. Asignacin de nombre

Switch>enable|ena|en Para cambiar de modo usuario al modo privilegiado. Switch#configure terminal|conf ter|conf t Para entrar al modo de configuracin global. Switch(config) #hostname Sw_ComData Comando para cambiar el nombre. Sw_ComData(config) #exit Para cambiar al modo anterior, en este caso Modo privilegiado. Sw_ComData(config)#write En este modo se guardan los cambios.

2. Configuracin de la direccin IP
Direccin IP de su Gateway

Sw_ComData(config) #ip default-gateway (IP del Gateway)

Configurar una IP de gestin a una VLAN

Sw_ComData(config) #int vlan 1

Sw_ComData(config-vlan) #ip address (direccin IP + Macara )

Sw_ComData(config-vlan) #no shutdown

3. Banners
Los Banners son mensajes de advertencia que se muestran cuando alguien quieres establecer una sesin de telnet. Para configurar el Banner ms utilizado, el Banner MOTD (Message of the Day) escribimos en consola el siguiente comando:

Sw_ComData(config) #banner motd # (Mensaje) #

Al ingresar este comando se debe poner un carcter especial como por ejemplo # que indica el inicio y fin del mensaje.

10

4. Protocolo CDP
El Cisco Descoger Protocol (Protocolo CDP) se utiliza para obtener informacin de router y switches que estn conectados localmente. El CDP es un protocolo propietario de Cisco, destinado al descubrimiento de vecinos y es independiente de los medios y del protocolo de enrutamiento. Aunque el CDP solamente mostrar informacin sobre los vecinos conectados de forma directa, este constituye una herramienta de gran utilidad.

Sw_ComData> show cdp neighbors

El comando show cdp neighbors, brinda informacin de resumen sobre los equipos adyacentes que usan CDP, como por ejemplo: nombre de los quipos remotos, incluyendo el modelo, al igual que la interfaz local en la que est conectado el quipo remoto y la interfaz del quipo remoto que conectada al equipo local

11

Para obtener datos de Equipos vecinos en ms detalle

Sw_ComData> show cdp neighbors detail

Hay dos formas de deshabilitar CDP, una es en interfaz especfico y la otra de forma general Desde una interfaz: Sw_ComData(config) #interface FastEthernet0/1 Sw_ComData(config-if) #no cdp enable|cdp enable

Sw_ComData> show cdp interface

12

De modo Total Sw_ComData(config) #no cdp run|cdp run Sw_ComData#show cdp interface

Nota: show cdp interface, muestra el estado de todos las interfaces que tienen activado CDP.

13

Sw_ComData#clear cdp table

Borra la informacin contenida en la tabla de vecinos

14

15

5. Backup y Restore

Existen varias formas de realizar una copia de seguridad de un Switch Cisco (IOS). Vamos a ver mtodos muy sencillos de salvaguardar la configuracin del Switch, entre los que se encuentran algunos tan simples como efectivos.

Si accedemos a la Shell, podemos ver de primeras todas las posibilidades que nos ofrece el comando copy para copiar la configuracin almacenada en RAM (runningconfig) o en NVRAM (strartup-config). Como la mayora conocis, running-config es la configuracin en vivo del Switch mientras que startup-config es la que se encuentra almacenada en la memoria no voltil y se carga en el arranque.

Sw_ComData#copy startup-config ?

16

Otro mtodo, ms rudimentario pero igual de vlido es copiar y pegar directamente la salida del comando show running o show startup-config y pegarlo en un editor de texto

Sw_ComData#copy running-config startup-config

.txt

.mp4

Salida de Comando

Video de Aprendizaje

17

A la hora de necesitar restaurar la configuracin es simplemente el proceso inverso. Si lo que hemos hecho copiar y pegar a golpe de ratn toda la configuracin, tendramos que colocarnos en modo de configuracin (conf t) y pegar el contenido del fichero. Se trata de una secuencia ordenada de todos los comandos necesarios para configurar el Switch tal y como se encontraba en ese momento

18

19

6. VLANS

Las VLAN son bastante tiles para hacer ms eficiente el uso de un Switch dividindolo en tantos dominios de Broadcast como puertos posea el Switch. Tambin nos permiten garantizar la calidad de servicio y agrupar los usuarios en grupos especficos; todo lo anterior y otros beneficios se pueden conseguir utilizando un solo Switch con el uso de las VLANS.

Para realizar la configuracin de una VLAN, se debe ingresar al mtodo de configuracin de VLAN desde el modo de configuracin global utilizando el comando vlan, seguido del nmero de la vlan que deseamos configurar y para asignar el nombre a la vlan que estamos configurando utilzamos el comando name seguido del nombre que deseamos asignar a dicha VLAN

Sw_ComData(config)#vlan (id) Sw_ComData(config-vlan)#name (nombre)

Para asignar la VLAN a uno o varios puertos debemos de ingresar al modo de configuracin de la interfaz, utilizando el comando interface seguido de la interfaz correspondiente por ejemplo FastEthernet0/1. Luego utilizando el comando switchport mode access declaramos el puerto como como acceso y utilizando el comando switchport access vlan seguido del nmero de la VLAN que queremos asignar.

Sw_ComData(config)#interface FastEthernet0/1 | int fa0/1 | int f0/1 Sw_ComData(config-if)#switchport mode access Sw_ComData(config-if)#switchport access vlan (id)

20

Nota: Para configurar ms de una interfaz al mismo tiempo, solo debemos ingresar al modo de configuracin de varias interfaces con el comando interface range seguido del tipo de interfaz que deseamos configurar FastEthernet por ejemplo, y luego el rango a los nmeros de los puertos separados por una coma , si no estn en

secuencia por ejemplo FastEthernet 0/1, FastEthernet 0/3 o separados por un guion - si son un rango en secuencia, por ejemplo 0/1-5

Sw_ComData(config)#interface range FastEthernet0/1, FastEthernt0/2

21

Sw_ComData(config)#int range f0/7-10

Sw_ComData> show vlan

22

23

a) Configuracin de Puertos Troncales

Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que transportan ms de una VLAN. Un enlace troncal de VLAN le permite extender las VLAN a travs de toda una red. Cisco admite IEEE 802.1Q para la coordinacin de enlaces troncales en interfaces FastEthernet

Modos de Enlace Troncal

PROTOCOLO

DEFINICIN
Es un protocolo usado en las redes antiguas,

ISL (Inter-Switch Link)

en el cual todos los paquetes tanto recibidos como enviados sean encapsulados y empaquetados con un encabezado ISL.

802.1Q

En la actualidad se usa el 802.1Q (dot1q).

El protocolo de enlace troncal dinmico (DTP) es un protocolo propiedad de Cisco. Los Switches de otros proveedores no admiten DTP. El DTP administra la negociacin de enlace troncal slo si el puerto est configurado en modo enlace troncal en los protocolos ISL y 802.1Q

Sw_ComData(config)#int f0/1

Sw_ComData(config-if)#switchport mode trunk

Sw_ComData#show int f0/1 switchport

24

25

b) Configuracin de DTP DTP permite a dos equipos conectados establecer un enlace troncal entre ellos de una manera automtica. Muchas de las personas no entienden mucho acerca de este protocolo, es uno de los PROBLEMAS DE SEGURIDAD ms grandes a los que se enfrentan los administradores de red que no entienden las desventajas de dejar sus puertos con configuraciones por defecto.

Considere que CISCO crea protocolos que le pueden ayudar a los administradores en distintas situaciones, como es el caso de DTP, pero de la falta de experticia de nosotros nacen vulnerabilidades en nuestra red que pueden afectar gravemente el ptimo desempeo de la red.

DESVENTAJA Crea automticamente un enlace troncal al conectar dos Switch Cisco. Si se permite que cada vez que conecten un Switch a mi topologa se convierta en troncal, estoy abriendo la posibilidad de un ataque, recuerde que sobre un puerto troncal por defecto se transporta el trfico de todas las vlan, y si este es un Switch atacante le estoy entregando de una vez la posibilidad de adquirir informacin que podra ser sensible para la compaa. Otra desventaja de que se cree el troncal automticamente es que estoy permitiendo que las publicaciones VTP pasen por este y VTP tiene grandes problemas de seguridad asociados. (Leer VTP)

VENTAJA

Me ahorra el trabajo de configurar el enlace troncal entre los switch.

26

Funcionamiento de DTP a) Dynamic Auto Es un estado del puerto donde est dispuesto a negociar la configuracin del troncal. Pero no propone ser troncal, slo responde a mensajes DTP

b) Dynamic Desirable

Es un estado del puerto donde esta dispuesto a negociar la configuracin del troncal. El enva mensajes DTP para ser troncal

Desahabilitar DTP Es muy sencillo, lo primero que debes hacer es entrar al puerto - luego obligarlo a ser troncal o de acceso - y por ultimo deshabilitarle los mensajes DTP

Sw_ComData(config)#int f0/1 int range f0/1-3 Sw_ComData(config-if)#swichtport mode trunk Sw_ComData(config-if)#switchport nonegotiate

27

28

c) Configuracin de VTP (VLAN Trunking Protocol)

El protocolo VTP facilita la configuracin de VLANs en mltiples switches de manera simultanea solo con la configuracin del switch denominado como servidor (server). Inicialmente configuraremos los puertos troncales en los 3 switches, luego procederemos a configurar el resto de los puertos como acceso por motivos de seguridad, luego configuraremos el protocolo VTP en los 3 switches, las VLANs a utilizar las configuraremos en el switch denominado como servidor y por ultimo configuraremos los puertos en sus respectivas VLAN

Procedimiento para configuracin VTP

Para realizar la configuracin de VTP, se debe configurar como troncales (trunk), las interfaces que conectan los switches entre si, para esto debemos ingresar al mtodo de configuracin global utilizando el comando interface seguido la interfaz correspondiente, interface range si queremos configurar varias interfaces a la vez y luego utilizando el comando switchport mode trunk configuramos el puerto como troncal, luego de esto por motivos de seguridad configuramos los dems puertos como acceso ingresando al modo de configuracin de interfaces (S1(config-if-range)#) y utilizando el comando switchport mode access.

Sw_ComData(config)#int f0/1 int range f0/1-2 Sw_ComData(config-if)#switchport mode trunk Sw_ComData(config)#int range f0/2 int range f0/3-24 Sw_ComData(config)#switchport mode access

29

Luego debemos configurar el nombre del dominio VTP desde el modo de configuracin global utilizando el comando vtp domain seguido del nombre del dominio (el nombre del dominio es sensible al tipo de letra), Luego asignamos una contrasea al dominio con el comando vtp password seguido de la contrasea que deseamos utilizar, luego debemos especificar el modo en el que el switch funcionara, esto con el comando vtp mode seguido del modo (server, client, transparent).

Sw_ComData(config)#vtp domain (nombre) Sw_ComData(config)#vtp password (contrasea) Sw_ComData(config)#vtp mode serverclienttransparent

30

Luego de haber configurado VTP debemos ingresar las VLANs en el switch que esta en modo servidor para que los que estn en modo cliente puedan aprender las VLANs automticamente, esto lo conseguimos desde el modo de configuracin global utilizando el comando vlan seguido del numero de la VLAN (1-1005), luego en el modo de configuracin de VLAN asignamos un nombre a la VLAN utilizando el comando name seguido del nombre que deseamos asignar a la VLAN.

Sw_ComData(config)#vlan 10

Sw_ComData(config-vlan)#name ComData

31

Por ultimo debemos asignar las VLAN a los puertos, esto lo conseguimos desde el modo de configuracin global utilizando el comando interface o interface range seguido de la interfaz que deseamos asignar a una VLAN especifica, luego en el modo de configuracin de interfaz utilizamos el comando switchport access vlan seguido del numero de la VLAN correspondiente.

Sw_ComData(config)#int f0/2 int range f0/2-(3-24)

Sw_ComData(config-if)#switchport access vlan 1020?

En este punto la red tiene comunicacin a travs de las VLAN, es decir, los equipos que se encuentran en una misma red y una misma VLAN ya tienen comunicacin, por ejemplo las PC 1 y 3, tienen comunicacin entre si debido a que estn en la misma red (192.168.1.0/24) y en la misma VLAN (10), lo mismo pasa con las PC 2 y 4. Puede verificar la comunicacin haciendo pruebas con ping.

32

7. Port Security

Conjunto de medidas de seguridad a nivel de puertos disponibles en la mayora de los switchs de gama media y alta, la funciones provistas dependen de la marca, el modelo y la versin de firmware del switch en cuestin.

Es as que Port Security es un feature (rasgo) de los switches Cisco que nos permite retener las direcciones MAC conectadas a cada puerto del dispositivo o switch y permitir solamente a esas direcciones MAC registradas comunicarse a travs de ese puerto del switch.

Algo importante: para poder configurar Port Security en la interfaz tiene que estar en modo acceso (access mode) o trunk mode, en dynamic desirable no es posible. Nosotros no vamos a hacer tagging de VLAN ni configurar trunks as que modo acceso ser suficiente:

Sw_ComData(config)#int f0/2 int range f0/2-? Sw_ComData(config-if)#switchport mode access switchport mode trunk

Port Security por defecto esta desactivado, asi que lo activamos

Sw_ComData(config-if)#switchport port-security Sw_ComData(config-if)#switchport port-security maximum (1-132)

33

Esta opcin permite definir el nmero de direcciones MAC que est permitido que se conecten a travs de la interfaz del swtich. El nmero por defecto es 1 y mximo de direcciones permitidas por puerto es 132. Es importante tener presente que este feature tambin limita la posibilidad de ataque de seguridad por inundacin de la tabla CAM del switch.

Sw_ComData(config-if)#switchport port-security violation (protectrestrictshutdown) Este comando establece la accin que tomar el switch en caso de que se supere el nmero de direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Adminsitrador o permitir exclusivamente el trfico de la MAC que se registr inicialmente.

Protect: slo se permite trfico de las MAC permitidas en la configuracin descartando el trfico del resto, no se notifica sobre la intrusin.

Restrict: se enva una notificacin SNMP al administrador y el trfico del puerto se permite nicamente a las MAC especificadas, del resto se descarta.

Shutdown: el puerto se deshabilita.

Sw_ComData(config-if)#switchport port-security mac-adress (direccin MAC)

Esta opcin permite definir manualmente la direccin MAC que se permite conectar a travs de ese puerto, o dejar que la aprenda dinmicamente.

Atencin! Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con mltiples direcciones MAC diferentes de origen. Esto resultara en el bloqueo del puerto.

34