Embed Size (px)
Citation preview
Configuración básica de un switch
Un switch se puede conectarse de forma remota de igual manera se puede administrarse desde un computador que se ubique a unos pocos metros conectados a la interfaz de consola de equipo es decir se puede administrarse de forma local
Para administrarlo de forma local debemos contar con los siguientes elementos el switch que será administrado un cable de consola conectado con el puerto con el PC un programa de emulador de terminal
Una vez conectados podremos configurarlo al igual que un Reuter
Como configurar la administración de un switch comandos para restringir un switch
Enable
Config terminal
Line console 0
Password redes
Login
End salir de la configuración global
Exit nos desconectamos del terminal
Volver a conectarnos para que nos solicite la password
Para tener un nivel de seguridad más elevado configuraremos la clave MD5 para ello debemos ingresar al modo de configuración global del switch y ejecutar el comando enable secret y la clave que en este caso será duoc no ingresamos el comando login como lo hicimos en la consola este comando solamente se utiliza las configuraciones de las líneas tantos de las consola y las vty
Enable
Config terminal
Enable secret duoc
SI EJECUTAMOS EL COMANDO SHOW RUN NOS MOSTRATARA QUE ESTA INCRIPTADA
Los switch que veremos en ccna son de capa 2 por lo cual no trabajan como router y el hecho de poner una dirección ip es solo de administración no se utilizara para en rutar distintas redes ip entonces los pasos a seguir son los siguientes en la configuración global del switch creamos la svi con la vlan 99
Para ello ingresaremos el comando vlan 99 luego ingresamos la dirección ip de administración que en este caso es 192.168.10.3 con una máscara 255.255.255.0 por ultimo habilitamos la interfaz con no shutdown adicionalmente si
queremos que este switch puede ser administrado desde distintas redes ip entonces debemos agregar el comando ip default-Gateway 192.168.10.1 el cual cumple una función similar a la de la puerta de enlace de un pc
Administración remota utilizando ssh el cual en cripta los datos de la administración que se transmiten por la red para ello seguiremos los siguientes pasos
1 configurar el nombre del switch utilizando el comando hostname
2 crear el usuario y la password que se utilizaran en la autenticación ssh
3 configurar el dominio DNS con él con comando ip domain-name en este ejemplo será douc.cl
4 general la clave ssh que se va a utilizar con el comando crypto key generate rsa indicando el lago de la clave que este caso será de 1024 bits
Restringiremos que las conexiones remotas al switch sean solamente utilizando ssh esto se logra ingresando a la configuración de 16 líneas de terminal virtuales utilizando el comando line vty 0 15 luego indicaremos que las conexiones de entrada sean solo por ssh con el comando transport input ssh y que los usuarios que se autentique por ssh estarán creados por la misma configuración del switch y no de una base externa
Además de las mejoras sindicadamente algunos switch pueden ser administrados implementar funciones avanzadas como administrar en forma segura este tipo de equipo
Como restringir el acceso a la red de un switch utilizando port-security?
Ahora restringiremos a la red local solo a los PC autorizados para ello implementaremos la funcionalidad de port _security ejemplo la red posee 3 PC que son debidamente autorizados para conectarse y utilizar los recursos informáticos los pc tiene las direciones ip 1.1.1.2 1.1.1.3 1.1.1.4 un usuario de la red instala sin autorizacion un hub de su propiedad y conecta su computador personal a la red corporativa para utilizar los recursos informaticos sin la devida autorizacion configurando este conputador con una direccion ip disponible en este caso la direccion ip 1.1.1.10
Puede comunicarse con los otros PC de la red corporativa sin problemas para evitar la situación anterior implementaremos port security en los switch port security es una función en los switch cisco destina a limitar la cantidad de direcciones mac-address que se pueden conectar a través de una interfaz y por ende la cantidad de PC que se pueden conectar a dicha interfaz
Para ver el efecto que se logra para implementar port_security utilizaremos este diagrama de red donde el PC 0 será el autorizado para poder conectarse a la interfaz fastethernet 0/1 del switch y poder utilizar los recursos informáticos
Primero identificaremos cual es la dirección mac-address del PC 0 esto se hace utilizando el comando ipconfing /all en la línea del comando del PC en este caso es 0007.eca3.48ab
Entonces los comandos que utilizaremos son los siguientes primero ingresaremos a la configuración global con el comando
Configure teminal
Ingresaremos al modo de configuración de la interfaz con el comando
interface Fastethernet0/1
Ingresaremos el comando
Switchport mode Access
Habilitaremos el port_security con el comando
Switchport port-security
Se conectara como máximo un equipo con el comando
Swichport port-security máximum 1
La dirección mac address permitida es la del PC 0 usando el comando
swichport port-security mac-address 0007.eca3.48ab
en caso que no se cumplan las condiciones anteriores de cantidad máxima o de la dirección mac-addres autorizada se deshabilitará la interfaz lo implementaremos con el comando
swichport port-security violation shutdown
Veamos el port-security en práctica el switch ya se encuentra configurado con port security los PC los tenemos configurados con sus respectivas direcciones ip enviamos un mensaje desde el PC 0 al PC 2 PC 0 recibe la respuesta del PC 2 con el cual comprobamos que existe conectividad entre dichos equipos
sdsdddfdf
Enviamos una señal desde el lapto 0 el cual no está autorizado al PC 2 cuando llegue el mensaje al switch la puerta se deshabilita ya que la dirección mac address del lapto 0 no es la autorizada
Para rehabilitar la interfaz del switch debemos deshabilitar manualmente con el comando shutdown luego debemos activar dicha interfaz con el comando no shutdown
Si reenviamos otro mensaje desde el lapto 0 nuevamente se deshabilitará la interfaz
Pero existirá la manera de ingresar la dirección mac address de una forma más dinámica pues si en vez de utilizar el comando
Switchport port-security mac-accdress 0000.eca3.48ab podríamos usar el comando Switchport port-security mac-accdress sticky entonces cuando el primer pc envía un mensaje al switch capturara la dirección mac address de dicho PC y lo ingresara como mac address autorizada si vemos la configuración con el comando show runnig-config antes que el PC 0 envie información podremos observar que aparece el comando tal cual lo ingresamos Switchport port-security mac-accdress 0000.eca3.48ab podríamos usar el comando Switchport port-security mac-accdress sticky
Posterior al envio de algún mensaje de parte del PC 0 en la configuración aparecerá el comando ingresamos acompañado de la dirección mac address del pc 0 cuando llega a una dirección mac addres no autorizada se puede configurar con una acción distinta al deshabilitar la interfaz claro el comando
Switchport port-security violation podrá hacer completado con la siguiente opciones
Switchport port-security violation protect solamente se prohibirá que el PC no autorizado envié sus mensajes sin deshabilitar la interfaz
Switchport port-security violation restrict en este caso se prohibirá que el PC no autorizado envié sus mensajes sin deshabilitar la interfaz y enviando una alerta administrativa
Switchport port-security violation shutdown en este caso se prohibirá que el PC no autorizado envié sus mensajes deshabilitando la interfaz como lo vimos en el ejemplo anterior
