configuracion de vlan
Post on 17-Feb-2016
38 Views
Preview:
DESCRIPTION
TRANSCRIPT
CONFIGURACION DE VLAN
Agregar Vlan al Switch
Tipos de VLAN De acuerdo con la terminología común de las VLAN se clasifican en: VLAN de Datos.- es la que está configurada sólo para enviar tráfico de datos generado por el usuario, a una
VLAN de datos también se le denomina VLAN de usuario. VLAN Predeterminada.- Es la VLAN a la cual todos los puertos del Switch se asignan cuando el dispositivo
inicia, en el caso de los switches cisco por defecto es la VLAN1, otra manera de referirse a la VLAN
predeterminada es aquella que el administrador haya definido como la VLAN a la que se asignan todos los
puertos cuando no estan en uso. VLAN Nativa.- una VLAN nativa está asiganada a un puerto troncal 802.1Q, un puerto de enlace troncal
802.1Q admite el tráfico que llega de una VLAN y también el que no llega de las VLAN’s, la VLAN nativa
sirve como un identificador común en extremos opuestos de un elace troncal, es aconsejable no utilizar la
VLAN1 como la VLAN Nativa cuando se configuran enlaces troncales VLAN de administración.- Es cualquier vlan que el administrador configura para acceder a la
administración de un switch, la VLAN1 sirve por defecto como la VLAN de administración si es que no se
define otra VLAN para que funcione como la VLAN de Administración (a esta Vlan es a la que le
colocamos Dirección IP
Ques es un Enlace Troncal
Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que transporta más de una VLAN.
Un enlace troncal de VLAN le permite extender las VLAN a través de toda una red. Cisco admite IEEE
802.1Q para la coordinación de enlaces troncales en interfaces Fast Ethernet y Gigabit Ethernet
Un enlace troncal de VLAN no pertenece a una VLAN específica, sino que es un conducto para las VLAN
entre switches y routers.
Hay que recordar que los switches son dispositivos de capa 2. Sólo utilizan la información del encabezado de
trama de Ethernet para enviar paquetes. El encabezado de trama no contiene la información que indique a qué
VLAN pertenece la trama. Posteriormente, cuando las tramas de Ethernet se ubican en un enlace troncal,
necesitan información adicional sobre las VLAN a las que pertenecen. Esto se logra por medio de la
utilización del encabezado de encapsulación 802.1Q. Este encabezado agrega una etiqueta a la trama de
Ethernet original y especifica la VLAN a la que pertenece la trama
Ejemplo
Configuracion de vlan
Agregar una Vlan S1#configure terminal S1(config)#vlan [numero de vlan a agregar] S1(config-if)#name [nombre de vlan]
Agregar puertos a las vlan S1#configure terminal S1(config)#interface fa0/18 S1(config)#interface range fa0/1-24 configurar varias interfaces a la ves S1(config-if)#switchport mode access S1(config-if)#switchport acces vlan [numero de vlan] asigna una vlan al puerto determinado S1(config-if)#switchport port-security habilita la seguridad en el puerto S1(config-if)#switchport port-security maximun [numero] establece el numero maximo de
direcciones seguras segun el numero especificado S1(config-if) #switchport port-securíty mac-address sticky activa el aprendizaje de la mac
address S1(config-if) #switchport port-securíty violation shutdown ante una violacion apaga el Puerto S1(config-if) #duplex full cambia la velocidad del puerto y habilita el envio y recepción de
datos simulaneamente S1(config-if)#speed 100 S1(config-if) #exit
Agregar enlace troncal S1#configure terminal S1(config )#interface fa0/1 S1(config-if) #switchport mode trunk establece el enlace como enlace troncal S1(config-if) #switchport trunk nativa vían 99 usa la vlan 99 como nativa o otra diferente que
elijamos como nativa S1(config-if) #switchport trunk allowed Vlan 10, 20 permite el trabajo solo de las vlan
especificadas S1(config-if) #exit
RECUPERACION DE CONTRASEÑAS ROUTER CISCO
Procedimiento para recuper las contraseñas del router
Para recuperar la contraseña de un router, siga estos pasos:
Paso 1. Conécte el PC al puerto de consola del Router
Paso 2. Si perdió la contraseña enable, todavía tendrá acceso al modo EXEC de usuario.
Escriba el comando show version cuando aparezca la indicación y guarde los parámetros de
registro de configuración.
R1>#show version
<show command output omitted>
El registro de configuración es 0x2102
R1>
Generalmente, el registro de configuración se define en 0x2102 ó 0x102. Si ya no puede
obtener acceso al router (debido a que perdió la contraseña TACACS o de conexión), puede
suponer con seguridad que su registro de configuración está definido en 0x2102.
Paso 3. Use el interruptor de alimentación para apagar el router y, a continuación, vuelva a
encenderlo
Paso 4. Presione Pausa en el teclado del terminal dentro de los 60 segundos desde el
encendido para colocar el router dentro de ROMmon.
Paso 5. Escriba confreg 0x2142 en la ventana rommon 1>. Esto hace que el router ignore la
configuración de inicio donde se almacena la contraseña enable olvidada.
Paso 6. Escriba reset en la ventana rommon 2>. El router se reinicia, pero ignora la
configuración guardada.
Paso 7. Escriba no después de cada pregunta de configuración, o presione Ctrl-C para
saltear el procedimiento de configuración inicial.
Paso 8. Escriba enable cuando aparezca el indicador Router>. Esto lo coloca en el modo
enable y debe poder ver el indicador Router#.
Paso 9. Escriba copy startup-config running-config para copiar la NVRAM en la memoria.
Tenga cuidado. No escriba copy running-config startup-config porque borra su
configuración de inicio.
Paso 10. Escriba show running-config. En esta configuración, el comando shutdown
aparece debajo de todas las interfaces, porque todas están actualmente cerradas. Lo que es
más importante, ahora puede ver las contraseñas (contraseña enable, enable secret, vty,
contraseñas de consola) ya sea en formato encriptado o no encriptado. Puede volver a usar
las contraseñas sin encriptar. Debe cambiar las contraseñas encriptadas por una nueva
contraseña.
Paso 11.Escriba configure terminal. Aparece la ventana
hostname(config)#.
Paso 12. Escriba enable secret password para modificar la contraseña enable secret. Por
ejemplo:
R1(config)# enable secret cisco
Paso 13. Emita el comando no shutdown en cada interfaz que desee utilizar. Puede emitir
un comando show ip interface brief para confirmar que la configuración de su interfaz sea
correcta. Cada interfaz que desee utilizar debe mostrar activado activado.
Paso 14. Escriba config-register configuration_register_setting.
configuration_register_setting es el valor que registró en el Paso 2 ó 0x2102 . Por ejemplo:
R1(config)#config-register 0x2102
Paso 15. Presione Ctrl-Z o escriba end para abandonar el modo de configuración. Aparece
la ventana hostname#.
SEGURIDAD EN LOS ROUTERS
Administracion de la Seguridad en los Routers Cisco
La seguridad básica de los routers consiste en la configuración de contraseñas. Una
contraseña sólida es el elemento más fundamental para controlar el acceso seguro a un
router. Por este motivo, siempre se deben configurar contraseñas sólidas.
De forma predeterminada, el software IOS de Cisco deja contraseñas en texto sin cifrar
cuando se introducen en un router. Esto no es seguro, ya que cualquiera que pase por detrás
suyo mientras observa la configuración de un router podría espiar por encima de su hombro
y ver la contraseña.
Si se usa el comando enable password o el comando username username password
password estas contraseñas se mostrarían al observar la configuración en ejecución.
Ejemplo:
R1(config)# username Student password cisco123
R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#
El 0 que aparece en la configuración en ejecución indica que la contraseña no está oculta.
Por este motivo, todas las contraseñas deben estar encriptadas en un archivo de
configuración. El IOS de Cisco ofrece dos esquemas de protección de contraseñas:
Encriptación simple, que se denomina esquema de tipo 7. Utiliza el algoritmo de
encriptación definido por Cisco y oculta la contraseña mediante el uso de un algoritmo de
encriptación simple.
Encriptación compleja, que se denomina esquema de tipo 5. Utiliza un hash MD5 más
seguro.
La encriptación del tipo 7 puede ser utilizada por los comandos enable password, username
y line password, incluidos vty, line console y aux port. No ofrece una gran protección, ya
que sólo oculta la contraseña utilizando un algoritmo de encriptación simple.
Para encriptar contraseñas mediante la encriptación de tipo 7, use el comando de
configuración global service password-encryption. Mediante este comando las
contraseñas que aparecen en la pantalla no son legibles.
Ejemplo:
R1(config)# service password-encryption
R1(config)# do show run | include username
username Student password 7 03075218050061
R1(config)#
El 7 que aparece en la configuración en ejecución indica que la contraseña está oculta.
Un router siempre utiliza la contraseña secreta antes que la contraseña de enable. Por este
motivo, el comando enable password nunca se debe configurar, ya que puede revelar la
contraseña de un sistema.
Los nombres de usuario de la base de datos local también deben estar configurados
mediante el comando de configuración global username username secret password. Por
ejemplo:
R1(config)# username Student secret cisco
R1(config)# do show run | include username
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#
El software IOS de Cisco Versión 12.3(1) y posteriores permite que los administradores
definan la longitud mínima en caracteres de todas las contraseñas de los routers utilizando
el comando de configuración global security passwords min-length, como se observa en
la figura. Este comando proporciona acceso con mayor seguridad al router, al permitirle
que especifique una longitud mínima para las contraseñas,
Ejemplo
Configurar las contraseñas del Router
Encriptar las contraseñas
cumplimiento de longitud de contraseña minima
Restingiendo el acceso adminitrativo a un Router
Para proteger el acceso administrativo a los routers y switches, primero debe proteger las
líneas administrativas (VTY, AUX), y después configurar el dispositivo de red para que
encripte el tráfico en un túnel SSH. ya que Telnet envía todo el tráfico de la red en forma de
texto sin cifrar
El acceso remoto no sólo se aplica a la línea de VTY del router, también se aplica a las
líneas de TTY y al puerto auxiliar (AUX). Las líneas de TTY proporcionan acceso
asíncrono a un router a través de un módem. Si bien son menos comunes que lo que fueron
en otro momento, todavía existen en algunas instalaciones. Proteger estos puertos es aun
más importante que proteger los puertos del terminal local.
Controles en los puertos VTY
De manera predeterminada, todas las líneas de VTY están configuradas para aceptar
cualquier tipo de conexión remota. Por razones de seguridad, las líneas de VTY se deben
configurar para aceptar conexiones sólo con los protocolos realmente necesarios. Esto se
hace mediante el comando transport input. Por ejemplo, un VTY que debe recibir sólo
sesiones de Telnet estaría configurado con transport input telnet, y un VTY que permite las
sesiones de Telnet y de SSH estaría configurado con transport input telnet ssh
Ejemplo
Otra táctica útil es configurar los tiempos de espera de los VTY mediante el comando exec-
timeout. Esto impide que una sesión inactiva consuma el VTY en forma indefinida. A
pesar de que su eficacia contra los ataques deliberados es relativamente limitada,
proporciona algo de protección contra las sesiones que se dejan accidentalmente inactivas.
Del mismo modo, la activación de los mensajes de actividad de TCP en las conexiones
entrantes mediante el comando service tcp-keepalives-in puede ayudar a resguardarse de
los ataques maliciosos y de las sesiones huérfanas provocadas por colapsos del sistema
remoto.
Ejemplo
Implementación de SSH para proteger el acceso administrativo remoto
Tradicionalmente, al acceso administrativo remoto de los routers se configuraba mediante
Telnet en el puerto TCP 23. Sin embargo, Telnet se desarrolló en un tiempo en el que la
seguridad no era un problema. Por este motivo, todo el tráfico de Telnet se envía en forma
de texto sin cifrar.
SSH reemplazó a Telnet como la mejor práctica para proporcionar administración remota
de los routers con conexiones que admiten una sólida privacidad e integridad de las
sesiones. SSH utiliza el puerto TCP 22. Brinda una funcionalidad similar a la de una
conexión Telnet saliente, con la excepción de que la conexión se encuentra encriptada.
Mediante la autenticación y la encriptación, SSH hace posibles las comunicaciones seguras
a través de una red insegura
Los routers Cisco pueden actuar como cliente y servidor SSH. De manera predeterminada,
ambas funciones se encuentran activadas en el router cuando se activa SSH. Como cliente,
un router puede realizar un SSH a otro router. Como servidor, un router puede aceptar
conexiones SSH cliente.
Configuración de la seguridad de SSH
Para permitir SSH en el router, se deben configurar los siguientes parámetros:
Nombre de host
Nombre de dominio
Claves asimétricas
Autenticación local
Entre los parámetros de configuración opcionales se encuentran:
Tiempos de espera
Reintentos
Los siguientes pasos configuran el SSH en un router.
Paso 1: Defina los parámetros de los routers
Configure el nombre de host del router con el comando hostname hostname del modo de
configuración.
Paso 2: Defina el nombre de dominio
Se debe crear un nombre de dominio para activar el SSH. En este ejemplo, escriba el
comando ip domain-name cisco.com del modo de configuración global.
Paso 3: Genere claves asimétricas
Debe crear una clave que el router pueda utilizar para encriptar su tráfico de administración
de SSH con el comando crypto key generate rsa del modo de configuración. El router
responde con un mensaje que muestra la norma de denominación de las claves. Elija el
tamaño del módulo de la clave que debe estar entre 360 y 2048 para sus Claves de
propósito general. Elegir un módulo de clave mayor a 512 puede llevar algunos minutos.
Como mejor práctica, Cisco recomienda utilizar una longitud de módulo mínima de 1024.
Debe saber que la creación y el uso de un módulo más largo llevan más tiempo, pero ofrece
mayor seguridad.
Paso 4: Configure la autenticación local y el vty
Debe definir un usuario local y asignar una comunicación de SSH a las líneas de vty, como
se observa en la figura.
Paso 5: Configure tiempos de espera de SSH (opcional)
Los tiempos de espera brindan seguridad adicional a la conexión, pues finalizan las
conexiones prolongadas e inactivas. Use el comando ip ssh time-out seconds
authentication-retries integer para activar los tiempos de espera y los reintentos de
autenticación. Configure el tiempo de espera del SSH en 15 segundos y la cantidad de
reintentos en 2:
Para conectarse a un router configurado con un SSH, debe utilizar una aplicación de SSH
cliente como PuTTY o TeraTerm. Debe asegurarse de elegir la opción SSH y de que
utilice el puerto TCP 22.
AutoSecure en un router Cisco
AutoSecure de Cisco utiliza un único comando para desactivar procesos y servicios no
esenciales del sistema y elimina amenazas de seguridad potenciales. Puede configurar
AutoSecure en el modo EXEC privilegiado mediante el comando auto secure en uno de
estos dos modos:
Modo interactivo: este modo le indica opciones para activar y desactivar servicios y otras
características de seguridad. Es el modo predeterminado.
Modo no interactivo: ejecuta automáticamente el comando auto secure con la
configuración predeterminada recomendada de Cisco. Este modo se activa con la opción
del comando no-interact.
Los datos que debemos de ingresar en el Comando auto secure son los siguientes
Detalles de la interfaz
Títulos
Contraseñas
SSH
Características del firewall del IOS
Administracion de las imagenes IOS de CISCO
Una buena práctica para mantener la disponibilidad del sistema es asegurarse de tener
siempre copias de seguridad de los archivos de configuración de inicio y de los archivos de
imagen del IOS
Ejemplo
Copiar la configuración en ejecución de la RAM a la configuración de inicio de
NVRAM:
R1# copy running-config startup-config
Copiar la configuración en ejecución de la RAM a una ubicación remota:
R1# copy running-config tftp:
Copiar una configuración desde un origen remoto a la configuración en ejecución:
R1# copy tftp: running-config
Copiar una configuración de un origen remoto a la configuración de inicio:
R2# copy tftp: startup-config
Guardar una imagen ios de cisco
Para salvar una imagen del sistema actual del router en un servidor TFTP de red se utiliza
el comando copy flash: tftp: en el modo EXEC privilegiado. El comando requiere que
escriba la dirección IP del host remoto y el nombre de los archivos de imagen del sistema
de origen y destino.
Durante el proceso de copia, los signos de exclamación (!) indican el progreso. Cada signo
de exclamación significa que un segmento del UDP se ha transferido con éxito.
Actualización de las imágenes del software IOS
Para actualizar un sistema a una versión de software más nueva requiere descargar un
archivo de imagen del sistema diferente en el router. para eso utilizamos el comando copy
tftp: flash: para descargar la nueva imagen desde el servidor TFTP de red.
El comando nos solicita que escribamos la dirección IP del host remoto y el nombre del
archivo de imagen del sistema de origen y destino. Escriba el nombre de archivo de la
imagen de la actualización correspondiente, tal como aparece en el servidor.
Una vez confirmadas estas entradas, aparece el indicador Erase flash: . Borrar la memoria
flash deja espacio para la nueva imagen. Borre la memoria flash si ésta no es suficiente para
más de una imagen del IOS de Cisco.
Restaurando una imagen de IOS en un Router desde TFTP
Un router no funciona sin un software IOS de Cisco. Si se elimina o se daña el IOS, un
administrador debe copiar una imagen en el router para que funcione nuevamente.
Una forma de lograrlo sería utilizar la imagen del IOS de Cisco que se guardó
anteriormente en el servidor TFTP
Cuando un IOS de un router se elimina accidentalmente de la memoria flash, el router sigue
funcionando porque IOS se está ejecutando en la memoria RAM. Sin embargo, es esencial
que el router no se reinicie en este momento, ya que no podría encontrar un IOS válido en
flash.
Paso 1. Conecte los dispositivos.
Conecte la PC del administrador del sistema al puerto de consola del router afectado.
Conecte el servidor TFTP al primer puerto Ethernet del router. En la figura, R1 es un router
Cisco 1841; por lo tanto, el puerto es Fa0/0. Active el servidor TFTP y configúrelo con la
dirección IP estática 192.168.1.1/24.
Paso 2. Inicie el router y defina las variables de ROMmon.
Dado que el router no tiene una imagen del IOS de Cisco válida, el router arranca
automáticamente en el modo ROMmon. Hay muy pocos comandos disponibles en el modo
ROMmon. Puede verlos al escribir ? en el indicador de comando rommon>.
Debe escribir todas las variables que se enumeran en la figura
Ahora, el router R1 debe estar configurado con los valores adecuados para conectarse al
servidor TFTP.
Paso 3. Introduzca el comando tftpdnld en el indicador de ROMmon.
El comando muestra las variables de entorno necesarias y advierte que se borran todos los
datos existentes en la memoria flash. Escriba y para seguir y presione Intro. El router
intenta conectarse al servidor TFTP para comenzar la descarga.
Restaurando una imagen de IOS en un Router desde XMODEM
Uso de xmodem para restaurar una imagen del IOSUsar el comando tftpdnld es una
forma muy rápida de copiar el archivo de imagen. Otro método para restaurar una imagen
del IOS de Cisco en un router es utilizar Xmodem. Sin embargo, la transferencia del
archivo se logra mediante el cable de la consola y, por lo tanto, es muy lenta en
comparación con el comando tftpdnld.
Si se pierde la imagen del IOS de Cisco, el router cambia al modo ROMmon cuando
arranca. ROMmon es compatible con Xmodem. Con esa capacidad, el router puede
comunicarse con una aplicación de emulación de terminal, como HyperTerminal, en la PC
del administrador del sistema. Un administrador del sistema que tiene una copia de la
imagen del IOS de Cisco en una PC puede restaurarla al router estableciendo una conexión
de consola entre la PC y el router, y ejecutando Xmodem desde HyperTerminal.
Paso 1. Conecte los dispositivos
Conecte la PC del administrador del sistema al puerto de consola del router afectado. Abra
una sesión de emulación de terminal entre el router R1 y la PC del administrador del
sistema.
Paso 2. Inicie el router y emita el comando xmodem en el indicador de ROMmon.
La sintaxis del comando es xmodem [-cyr] [nombre de archivo]. La opción cyr varía según
la configuración. Por ejemplo, -c especifica CRC-16, y especifica el protocolo Ymodem y r
copia la imagen a la memoria RAM. Filename es el nombre del archivo que se debe
transferir.
Acepte todas las solicitudes cuando se le indique, como se muestra en la figura
Paso 3. La figura muestra el proceso para enviar un archivo mediante HyperTerminal. En
este caso, seleccione Transfer > Send File.
Paso 4. Explore la ubicación de la imagen del IOS de Cisco que desea transferir y elija el
protocolo Xmodem. Haga clic en Send. Aparece un cuadro de diálogo en donde se muestra
el estado de la descarga. El host y el router comienzan a transferir la información después
de varios segundos.
top related