Академический Документы
Профессиональный Документы
Культура Документы
SWITCH CISCO
1
INDICE
Tabla de contenido
1.-introducción 3
2.-Comprobando el equipo hardware 4
3.-Requisitos y alternativas previas de la configuración 5
4.-Configuración de un switch cisco
4.1.- configuración de VLAN 4
4.2.- configuración de hosts 5
4.3.- configuración de un troncal 6
4.4.- Conexión hacia la capa de distribución 5.- Seguridad.
6.- Administración de la red 6.1.- mensajes syslog
6.1.1.- Niveles de gravedad de Syslog
6.1.2.-Formato de mensaje Syslog 6.2.-CONFIGURACIÓN
6.2.1.-Habilitación marca de tiempo
6.2.2.-Almacenaje de mensajes Syslog localmente 6.2.3.-
Almacenamiento en Servidor Syslog
7.-documentacion
8.- conclusión
2
Introducción
Para esta actividad descubriremos procedimientos correctos con las buenas practicas
desde que se recibe un equipo hasta la puesta en marcha de una red, para eso es
importante establecer un manual de instalación de un equipo switch Catalyst Cisco
2960 series este trabaja en capa 2 del modelo O.S.I., donde el equipo pueda distribuir
los servicios y administrar los equipos finales, llamados hots, siguiendo las buenas
practicas del fabricante cisco.
Cisco menciona que en toda configuración e instalación debe incluir identificar,
administrar y colocar la seguridad a cada uno de los equipos de la red.
Cisco también especifica un buen correcto de la instalación del hardware para que su
identificar algún fallo antes de ponerlo en marcha.
Este procedimiento es aplicable a todo el personal competente en la configuración de
equipamiento cisco.
3
1.-Comprobando el equipo hardware
Realizar un chequeo del equipo una vez estando en nuestras manos se puede
garantizar de inmediato con el proveedor Cisco, el excelente estado del equipo para el
funcionamiento correcto de la operatividad.
5
-En la instalación inicial, el administrador de la red configura generalmente los
dispositivos de la red desde un terminal de consola, conectado por medio del
puerto de consola.
-Si el administrador debe dar soporte a dispositivos remotos, una conexión local
por módem con el puerto auxiliar del dispositivo permite a aquél configurar los
dispositivos de red.
Dispositivos con direcciones IP establecidas pueden permitir conexiones Telnet
para la tarea de configuración.
-Descargar un archivo de configuración de un servidor Trivial File Transfer
Protocol (TFTP).
-Configurar el dispositivo por medio de un navegador Hypertext Transfer Protocol
(http).
6
SW_PLANTA(config-line)#password Inacap: se establece la contraseña para el puerto
consola del equipo
SW_PLANTA(config-line)#login local: establece para entrar al equipo con un usuario y
contraseña única para cada uno.
SW_PLANTA (config-line)#exec-timeout 5:se utiliza para establecer el tiempo de espera
inactivo de la sesión remota, en minutos.
SW_PLANTA(config-line)#exit: para salir del Puerto consola
SW_PLANTA(config)#line vty 0 4: entra al terminal virtual del equipo, accesos remotos.
SW_PLANTA(config-line)#password Inacap: establece la contraseña para sesiones
remotas.
SW_PLANTA(config-line)#login local: se establece para entrar al equipo con un usuario
y contraseña única para cada uno.
SW_PLANTA(config-line)#exec-timeout 5: se utiliza para establecer el tiempo de espera
inactivo de la sesión remota, en minutos
SW_PLANTA(config-line)#transport input ssh: establece el tipo de conexión que se
utilizara, en este caso SSH.
SW_PLANTA(config-line)#exit: para salir del Puerto virtual VTY
SW_PLANTA(config)#username inacap privilege 15 password Inacap: se utiliza para
crear un nombre, contraseña y privilegios que tendrá un usuario en el equipo.
SW_PLANTA (config)#vtp mode transparent: VTP en modo transparente se utiliza para
no recibir ni enviar sus VLAN a otros equipos.
SW_PLANTA(config)#vtp version 2: es la versión VTP que se utilizara en la red.
SW_PLANTA(config)#vtp domain inacap.cl: es el dominio VTP que debe existir en
todos los equipos por igual.
SW_PLANTA(config)#vtp password Inacap: contraseña para VTP
SW_PLANTA(config)#ip domain-name inacap.cl: establece el nombre de dominio del
DNS.
SW_PLANTA(config)# ip ssh time-out 10: establece el tiempo de sesión ssh, en minutos
SW_PLANTA(config)# ip ssh authentication-retries 3:establece los intentos para
ingresar al equipo, luego de 3 se cerrara la sesión
SW_PLANTA(config)# ip ssh version 2: se establece la version de ssh
SW_PLANTA(config)# crypto key generate rsa: 1024: el comando es para dar el
tamaño de cifrado de las llaves, en este caso de 1024 bits de longitud.
7
SW_PLANTA(config)#spanning-tree mode rapid-pvst: establece el modo en que
trabajara spanning-tree, en este caso por vlan.
Se realizó la configuración de seguridad del equipo, tanto para entrar de forma remota
como por consola, adicional se configuro VTP en modo transparente y Rapid-pvst. En
versiones recientes de IOS se puede apagar VTP para evitar ataques. Ssh para generar
un túnel seguro para establecer conexiones remotas.
Para la configuración de las VLAN, es necesario segmentar los servicios para tener un
mejor orden de tus servicios hacia los usuarios, con los siguientes comandos.
Como se había mencionado se debe segmentar los servicios para un mayor orden
hacia los usuario, con nombre del tipo de servicio entregado como datos, voz, video,
etc…, la vlan 150 se crea para los puertos sin conexión que no fueron utilizados en el
momento de la implementación, estos puertos se deben apagar para mayor seguridad
de la red.
8
4.2.- configuración de hosts
Para la configuración de los puertos de hosts para en los servicios de datos se utilizarán
los siguientes comandos.
9
SW_PLANTA(config-if)#switchport port-security mac-address sticky: comando para
conocer de forma automática la primera mac que se conectará y se permitirá en la
interface del switch
SW_PLANTA(config-if)#spanning-tree portfast: es una función que permite a las
estaciones de usuarios finales obtener acceso inmediato a la red de capa 2.
SW_PLANTA(config-if)#spanning-tree bpduguard enable: comando para proteger
bpdus que puedan ingresar al puerto.
Con la configuración mostrada, se define la vlan en la cual participara el hosts, a la
misma vez se bloquea todo tipo de trafico en los protocolos lldp y cdp para evitar
ataques de este mismo, para mayor seguridad de la red se configura el protocolo port-
security el cual ante una mac que no este registrada en su interface la apagara y solo
para recuperar este estado se deberá ingresar al equipo y volver a activar la interface,
de igual manera se activa spanning-tree portfas el cual no negociara y entregara
inmediatamente datos, y el comando spanning-tree bpduguard el cual BPDU guard
previene que un puerto reciba BPDUs. Si el puerto recibe un BPDU, el puerto es
colocado en un estado de error-disabled como una manera de proteger el puerto. Dhcp
snooping limit rate se configura para establecer que un puerto de hosts no sea un
puerto confiable para la transmisión de dhcp, donde bloquea cualquier dato dhcp que
quiera introducirse a la red a través del mismo puerto. Con los comandos duplex y
speed auto se deja configurada la interface para que negocie de forma automática.
12
con versión sobre la 15.0, para esta versión igualmente se puede establecer calidad de
servicio para todo el switch con el comando auto qos srnd4.
Con la configuración mostrada, se activa una interface en modo troncal donde aparece
explícitamente que vlan pasaran por el troncal, evitando que pasen vlan no habilitadas
en la red, de la misma manera se muestra como se aplica el comando nonegotiate este
13
comando Fuerza siempre al puerto a permanecer en modo troncal, pero no envía
tramas DTP. Los vecinos deberán establecer el modo troncal en el enlace de forma
manual y así llevar la misma configuración que lleva el puerto, un tipo de transparencia
entre puertos. Con dhcp snooping trust se dejara el puerto como un puerto confiable
para la transmisión de DHCP. El comando ip arp inspection trust deja la interface como
confiable y el troncal solamente reenviara los paquetes sin realizar la inspección puesto
que viene de una fuente confiable. Para interfaces no confiables, el conmutador
intercepta todas las solicitudes y respuestas ARP. Verifica que los paquetes
interceptados tengan enlaces de dirección IP a MAC válidos antes de actualizar el
caché local y antes de reenviar el paquete al destino apropiado
Aquí se debe tomar la decisión del protocolo a utilizar, puesto que el protocolo PAGP es
prioritario de cisco por ende solo esta en equipamiento cisco, si se tiene otro tipo de
equipo y se quiere aplicar agregación de enlace debemos establecer el protocolo LACP
realizado y validado por la IEEE 802.3ad.
5.- Seguridad.
15
service password-encryption
transport input ssh
ip ssh time-out 10
ip ssh authentication-retries 3
crypto key generate rsa: 1024
no lldp transmite
no lldp receive
no cdp enable
port-security
ip dhcp snooping vlan 10,20,30,99
spanning-tree bpduguard
ip arp inspection trust
switchport trunk allowed vlan 10,20,30,99
16
la misma vez se utilizarán los siguientes servidores para la toma de decisiones y
seguimiento de lo que pasa en la red.
Servidor SYSLOG
Servidor NTP
Servidor SNMP
Monitoreo de la red por PRTG
Monitoreo de la red por Solardwinds
6.1.-MENSAJES SYSLOG
Los switches pueden ser configurados para para generar una auditoria describiendo
importantes eventos que han ocurrido. El sistema de mansajes logs (syslog) puede ser
recolectado y analizado para determinar que ocurrió, cuando y cuan severo fue.
Por defecto, estos mensajes de syslog solo se envían a la consola. Esto se debe a que
el comando de la logging console está habilitado de forma predeterminada. Si inicia
sesión a través de telnet o SSH, no verá ningún mensaje de syslog. Puede habilitar esto
con el comando de terminal monitor.
0. Emergencia
1. Alerta
2. Crítico
3. Error
17
4. Advertencia
5. Aviso
6. Informativo
7. Depuración
Formato:
6.2.-CONFIGURACIÓN
18
El buffer para el logging tiene un tamaño finito, por defecto está ajustado a 4096, el
almacenamiento funciona de manera circular, una vez agotado el tamaño los mensajes
nuevos se iran sobreponiendo, este tipo de almacenamiento no es recomendable a la
hora de requerir algún análisis de algún incidente.
Configuración opcional
Switch(config)#logging console debugging: Nivel de gravedad en la consola Valor
predeterminado.
Switch(config)#logging monitor debugging: Nivel de gravedad de mensajes que se
mostrará al iniciar una sesión a través de Telnet o SSH.
Ejemplo de configuración
7.-DOCUMENTACION
lista de equipamiento
tabla de direccionamiento IP
Network Mask VLAN Description
10.1.1-63.0 255.255.192.0 Corporate Office
10.1.64.0 255.255.254.0 VLAN 64 Client VoIP
Branch 1 Summary: 10.1.64.0/21 (255.255.248.0)
Tabla de vlan
VLAN 64 – Client VoIP
IP Address Mask VLAN Description
10.1.64.0 255.255.254.0 64 Client VoIP Network
10.1.64.1 NL-B1-SW1 VLAN 64 IP (Default Gateway)
10.1.64.2-10 Reserved
VLAN 68 – Server
IP Address Mask VLAN Description
10.1.68.0 255.255.255.0 68 Server Network
10.1.68.1 NL-B1-SW1 VLAN 68 IP (Default Gateway)
Lista de puertos
NL-B1-SW1
20
Physical VLAN / TRUNK / Remote Remote Notes
IP Device Interface
G0/1 Trunk NL-B1-SW2 G0/1 EtherChannel 1
2 Trunk NL-B1-SW2 G0/2 EtherChannel 1
3 V10 ISP - CCT ID 392021
Conclusion
21