RS InstructorPPT Chapter2

Captulo2:
Introduccinaredes
conmutadas
Routingyswitching
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 1
Captulo2
2.0 Introduccin
2.1 Configuracin bsica de un switch
2.2 Seguridad de switches: administracin e
implementacin
Objetivos
Configurar los parmetros iniciales en un switch Cisco.
Configurar los puertos de un switch.
Configurar la interfaz virtual de administracin de un switch.
Describir los ataques y la prcticas recomendadas
Configurar la seguridad de puertos.
Configuracinbsicadeunswitch
Secuenciadearranquedeunswitch
1. POST
2. Se ejecuta el cargador de arranque (BOOT) .
3. El boot inicializa al CPU a bajo nivel.
4. El boot inicia el sistema de archivos flash.
5. El boot ubicaycargaen la RAM el IOS y le cede el
control del IOS del switch
Comando para establecer la variable de entorno del boot
Secuenciadearranquedeunswitch
ParaencontrarelIOS, el switch realiza los siguientes pasos:
1. Intenta arrancar automticamente con la informacin de la
variable de entorno BOOT.
2. Si la variable no est establecida, el switch realiza una
bsqueda en la flash, luego, carga y ejecuta el primer
archivo ejecutable.
3. Luego, el IOS inicia las interfaces mediante los comandos
en el archivo de configuracin, de la NVRAM.
Nota: el comando bootsystem se puede utilizar para establecer la
variable de entorno BOOT.
Recuperacintrasunbloqueodelsistema
El cargador de arranque tambin se puede utilizar
para administrar el switch si el IOS no se puede cargar.
Se puede acceder al cargador de arranque as:
1. Conecte una computadora al puerto de consola del switch.
Desconecte el cable de alimentacin del switch.
2. Vuelva a conectar el cable de alimentacin y mantenga
presionado el botn Mode (Modo).
3. El LED del sistema emite brevemente una luz color mbar y
despus verde slido. Suelte el botn Mode.
Aparece el promt switch: en la consola:
Switch:
IndicadoresLEDdelosswitches
Cada puerto en los switches Cisco Catalyst tiene
indicadores luminosos LED de estado.
Estos LED reflejan la actividad del puerto de manera
predeterminada, pero tambin pueden proporcionar otra
informacin sobre el switch mediante el botn Mode.
Preparacinparalaadministracinbsicade
unswitch
Para administrar un switch Cisco de forma remota, una
direccin IP y una mscara de subred.
Si el switch se administra desde una red remota, tambin
se debe configurar un gateway predeterminado.
La IP (direccin, mscara de subred, gateway) se debe
asignar a una SVI (interfaz virtual de switch) de switch.
La IP es solo para acceso remoto y no para que el
switch enrute paquetes de capa 3.
Preparacinparalaadministracinbsicade
unswitch En un PT nuevo, inserte una
PC, un switch 2960 y un
router 1841.
Configureelswitch:
vlan 99
interface vlan 99
ip add 172.17.99.11 255.255.0.0
no shutdown
interface f0/1
switchport mode access
switchport access vlan 99
interface f0/2
switchport mode access
switchport access vlan 99
Configure PC1 y R1 con las
IP: 99.2 y 99.1
Configuracindepuertosdeunswitch
Comunicacindplex
La comunicacin half-duplex genera problemas de rendimiento debido

a que los datos fluyen en una sola direccin por vez, lo que a menudo
provoca colisiones. Eficacia del 50 a 60%.
La comunicacin full-duplex aumenta el ancho de banda eficaz al

permitir que ambos extremos de una conexin transmitan y reciban
datos simultneamente. Eficacia del 200%
Configuracindepuertosdeswitchenlacapafsica
CaractersticaautomticadeMDIX
Cree una topologa como el de la figura.

Configure las IP siguientes:
PC1: 192.168.1.2
PC2: 192.168.1.3
VLAN1 de S1: 192.168.1.4
VLAN1 de S2: 192.168.1.5
Ping continuo entre PC1 y S2
En S1 dentro de F0/1:
duplex full qu genera? (conf S2)
mdix ? puedo cambiar de cable?
Quite el auto mdix acepta cambio de cable?
CaractersticaautomticadeMDIX
Nota: la caracterstica auto-MDIX est habilitada de

manera predeterminada en los switches Catalyst 2960 y
Catalyst 3560, pero no est disponible en los switches ms
antiguos.
Verificacindelaconfiguracindepuertosde
unswitch
Visualice los comandos en S1
Problemasdelacapadeaccesoalared
resultado del refiere

El primerupse comando a lashow
capa interfaces se puede usar
fsica y el segundoupse
para detectar
refiere problemas
a la capa de enlacefrecuentes
de datos.de los medios.
Problemasdelacapadeaccesoalared
Resolucin de problemas relacionados con la interfaz
Accesoremotoseguro
FuncionamientodeSSH
Shell seguro (SSH) es un protocolo que proporciona una
conexin segura (cifrada) a un dispositivo remoto basada en la
lnea de comandos.
Para habilitar SSH en un switch 2960, se requiere una versin
de IOS concaractersticas y capacidades criptogrficas (k8 yk9).
SSH reemplaza a Telnet para las conexiones de administracin,
debido a sus slidas caractersticas de cifrado.
SSH utiliza el puerto TCP22de manera predeterminada. Telnet
utiliza el puerto TCP 23.
Accesoremotoseguro
ConfiguracindeSSH
ConfigureS1:
hostname S1
ip domain-name cisco.com
crypto key generate rsa (1024)
ip ssh version 2
enable secret class
username student secret cisco
line vty 0 15
login local
Presentation_ID
DesdelaPC1en el cmd:
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 17
Accesoremotoseguro
VerificacindeSSH
Verifique las respuestas en S1
CuestionesdeseguridadenredesLAN
SaturacindedireccionesMAC
Los switches completan las tablas CAM al observar el trfico que
ingresa por los puertos.
Un atacante puede usar una herramienta y saturar la tabla CAM con
entradas falsas.
SaturacindedireccionesMAC
Cuando se llena la tabla CAM ya no tiene lugar para los
dispositivos legtimos presentes en la red y el switch funciona
como un hub.
AprovechamientodeCDP
CDP es un protocolo de Cisco, de capa 2, que se utiliza
para detectar otros dispositivos de Cisco en la red.
Si un atacante escuchara los mensajes CDP, podra
obtener informacin importante, como el modelo del
dispositivo o la versin del software en ejecucin.
Cisco recomienda deshabilitar CDP cuando no se usa.
En un PT en blanco agregue R1 y S1.

Configure Gi0/0 de R1 (192.168.1.1/24)
Desde el switch use el comando:
show cdp neighbors
Qu dispositivo tiene S1 en F0/1?
ConfiguracinyverificacindelCDP
VerificarelestadodelCDPymostrarinformacinsobreelmismo
Router# showcdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
ConfigurarelCDP
R1(config)# nocdprun
R1(config)# exit
Switch(config)# interfacegigabitethernet0/1 R1r# showcdp
Switch(config-if)# cdpenable %CDPisnotenabled
R1# conft
R1(config)# cdprun
ListadevecinosdelCDP
Router# showcdpneighbors
Router# showcdpinterface
R1# showcdpneighborsdetail
ConfiguracinyverificacindelLLDP
El protocolo de deteccin de capa de enlace (LLDP) es un protocolo
libre de deteccin de vecinos similar al CDP.
El LLDP funciona con routers, switches y APs.
ActivacinglobaldeLLDP Switch(config)# lldprun

LLDP se puede configurar en interfaces especficas
Switch(config)# interfacegigabitethernet0/1
Switch(config-if)# lldptransmit
Switch(config-if)# lldpreceive
VerificacindelfuncionamientodeLLDP
Switch# showlldp
Global LLDP Information:
Status: ACTIVE
LLDP advertisements are sent every 30 seconds
LLDP hold time advertised is 120 seconds
LLDP interface reinitialisation delay is 2 seconds
S1# showlldpneighbors S1# showlldpneighborsdetail

AprovechamientodeTelnet
Telnet no es seguro, y se debe reemplazar por SSH.
Sin embargo, un atacante pueda utilizar Telnet como
parte de otros ataques.
Dos de estos ataques son: ataquesdecontraseade
fuerza bruta y el ataqueDoSpor Telnet.
Ataquedecontraseadefuerzabruta. los atacantes
prueban con tantas combinaciones de caracteres como
sea posible. Telnet se puede utilizar para probar la
contrasea adivinada en el sistema.
Ataque DoS por Telnet, impide que un administrador
acceda en forma remota a las funciones de
administracin del switch.
Prcticasrecomendadasdeseguridad
10prcticasrecomendadas
Desarrolle una poltica de seguridad escrita para la
organizacin.
Desactivelosserviciosypuertosque no se utilicen.
Utilice contraseassegurasy cmbielas con frecuencia.
Controle el accesofsicoa los dispositivos.
Utilice HTTPS en lugar de HTTP.
Realice copiasdeseguridadregularmente.
Capacitealosempleadossobre los ataques de ingeniera
social.
Cifre y proteja con contraseas los datos confidenciales.
Implemente firewalls.
Mantenga el softwareactualizado.
Prcticasrecomendadasdeseguridad
Herramientasdeseguridaddered:auditoras
Las herramientas de seguridad de red se pueden
utilizar para auditar la red y pruebas de penetracin.
Por ejemplo, si se ataca y satura la tabla CAM de un
switch, el administrador puede descubrir qu puertos
del switch son vulnerables a la saturacin de
direcciones MAC y corregir el problema.
La prueba de penetracin es un ataque simulado y
ayuda a determinar qu tan vulnerable es la red, dichas
pruebas pueden daar la red, y se deben realizar en
condiciones muy controladas.
Content Addressable Memory
Seguridaddepuertosdeswitch
Seguridaddepuertossinutilizar
La accin de deshabilitar puertos sin utilizar es una pauta de
seguridad simple pero eficaz.
En un PT: R1 (192.168.1.1) Servidor DHCP-V
(.3) en F0/2 de S1, PC0 en F0/3 y Servidor
Seguridaddepuertosdeswitch DHCP-F (.100) en F0/4
DeteccindeDHCP Configure F0/2 de S1
ip dhcp snooping
La deteccin de DHCP permiteipdeterminar cules
dhcp snooping vlan 1son los puertos
de switch que pueden responder a solicitudes
interface F0/2 de DHCP.
ip dhcp snooping trust
interface range f0/3-24
ip dhcp snooping limit rate 5
Configure los servidores DHCP
DHCP-V 192.168.1.0/24 .10 inicial
DHCP-F 192.168.1.0/24 .120 inicial
Verifique en modo de simulacin.
La solicitud de PC0 llega a los 2 servidores
DHCP?
De cul servidor recibe la IP?
Seguridaddepuertos:funcionamiento
La seguridad de puertos limita la cantidad de direcciones
MACvlidaspermitidas en un puerto.
Cualquier intento adicional de conexin por parte de
direcciones MAC desconocidas generar una violacin de
seguridad.
Las direcciones MAC seguras se pueden configurar de
varias maneras:
Direcciones MAC seguras estticas
switchportport-securitymac-addressdireccin-mac
Direcciones MAC seguras dinmicas
Se eliminan al reiniciar el switch
Direcciones MAC seguras persistentes
switchportport-securitymac-addresssticky
Seguridaddepuertos:modosdeviolacinde
seguridad
IOS considera que se produce una violacin cuando:
Se agreg la cantidad mxima de direcciones MAC
seguras para esa interfaz, y una PC con MAC diferente
intenta acceder a la interfaz.
Una direccin aprendida o configurada en una interfaz
segura puede verse en otra interfaz de la misma VLAN.
Las violaciones pueden ser:
switchportport-securityviolation{protect|restrict|shutdown}.
Configure el puerto F0/3 de S1
Switchport mode access
Switchport port-security
Seguridaddepuertos:configuracin
Configuracin de la seguridad de puertosdinmicos
Agregar PC1 al puerto F0/5.
Configure F0/5 de S1 (persistente)
Use max=1
Seguridaddepuertos:configuracin
Ping de PC0 a PC1
Configuracin de la seguridad deshow port-security address
puertospersistentes
Hastaaquesel
dinamico
Hastaaques
constycky
Ejecute este comando en F0/3 y
Seguridaddepuertosdeswitch F0/5
Seguridaddepuertos:verificacin
Verificacin de la seguridad de puertospersistentes
Vea show runn
Verificacin de la seguridad de puertos persistentes:
configuracin en ejecucin
Verificacin de la seguridad de puertos: direccionesMAC
seguras
Genere una violacin en F0/5
Puertosenestadodeinhabilitacinporerrores
Una violacin de seguridad de puertos puede dejar al
switch en estado de inhabilitacin por errores.
Un puerto en estado de inhabilitacin por errores queda
desactivado completamente.
El switch comunicar estos eventos por medio de
mensajes de consola.
Vea el estado de F0/5
El comando show interface tambin indica si hay un puerto de
switch en estado de inhabilitacin por errores (err-disabled).
Reponga la PC1 a su puerto
Habilite el puerto F0/5 de S1
Se debe emitir un comando de interfaz shutdown y no
shutdown para volver a habilitarelpuerto.
Protocolodetiempodered(NTP)
NTP es un protocolo que se utiliza para sincronizar los
relojes de las redes de datos.
NTP puede obtener la hora correcta de un origen de hora
interno o externo
Los orgenes de hora pueden ser los siguientes:
Reloj maestro local
Reloj maestro en Internet
GPS o reloj atmico
Los dispositivos de red se pueden configurar como servidor
NTP o cliente NTP.
ntpserverdireccin-IP en el cliente
ntpmaster[capa]en el servidor
Configure el servidor DHCP como
NTP
En R1: show clock
Protocolodetiempodered(NTP) Configure R1 como cliente
Verifique que actualiz la fecha
Configuracin de NTP
Verificacin de NTP
Las redes NTP utilizan un sistema jerrquico de fuentes
horarias. Cada nivel en este sistema jerrquico se denomina
estrato. El nivel de estrato se define como la cantidad de
saltos desde fuente autorizada. La hora sincronizada se
distribuye en la red mediante el protocolo NTP.
Los de estrato 0, son
dispositivos de
cronometraje de alta
precisin que son muy
precisos y con poco o
ningn retraso.
Los de estrato 1 estn
conectados directamente
a las fuentes horarias
autorizada.
El R1 sincroniza su reloj con el servidor NTP externo (fuente horaria
autorizada) y S1 est configurado para sincronizar con R1 mediante NTP.
Otros dispositivos son configurados para sincronizar sus relojes con R1 o
S1 como fuente horaria.
Verificacindelafuentehoraria R1sincronizaconelNTPdeInternet
R1(config)# ntpserver209.165.200.225
R1# showclockdetail
R1# showclockdetail
20:55:10.207 UTC Fri Dec 11 2015
21:01:34.563 UTC Fri Dec 11 2015
Timesourceisuserconfiguration
TimesourceisNTP
Actividadesprcticas

RS InstructorPPT Chapter2

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

RS InstructorPPT Chapter2

Загружено:

Авторское право:

Доступные форматы

Captulo2:

Comando para establecer la variable de entorno del boot

La comunicacin half-duplex genera problemas de rendimiento debido

La comunicacin full-duplex aumenta el ancho de banda eficaz al

Cree una topologa como el de la figura.

Nota: la caracterstica auto-MDIX est habilitada de

resultado del refiere

Verifique las respuestas en S1

En un PT en blanco agregue R1 y S1.

ActivacinglobaldeLLDP Switch(config)# lldprun

S1# showlldpneighbors S1# showlldpneighborsdetail

Content Addressable Memory

Вам также может понравиться