Resumen Sesion 05 - Configuracion del Switch PDF

Preview

Summary

Configuracion del Switch ...

Description

SESIÓN 05 DESCRIPCIÓN Configuracion del Switch Los switches se usan para conectar varios dispositivos en la misma red. En una red diseñada correctamente, los switches LAN son responsables de controlar el flujo de datos en la capa de acceso y de dirigirlo a los recursos conectados en red. Los switches de Cisco son de configuración automática y no necesitan ninguna configuración adicional para comenzar a funcionar. Sin embargo, los switches Cisco ejecutan Cisco IOS y se pueden configurar manualmente para satisfacer mejor las necesidades de la red. Esto incluye el ajuste de los requisitos de velocidad, de ancho de banda y de seguridad de los puertos. Además, los switches Cisco se pueden administrar de manera local y remota. Para administrar un switch de forma remota, este se debe configurar con una dirección IP y un gateway predeterminado. Estos son solo dos de los parámetros de configuración que se analizan en esta sesión. Los switches funcionan en lugares de la capa de acceso donde los dispositivos de red cliente se conectan directamente a la red y donde los departamentos de TI quieren que los usuarios accedan de forma simple a esta. Es una de las áreas más vulnerables de la red, ya que está muy expuesta al usuario. Los switches se deben configurar para que sean resistentes a los ataques de todo tipo y, al mismo tiempo, protejan los datos de los usuarios y permitan que haya conexiones de alta velocidad. La seguridad de puertos es una de las características de seguridad que proporcionan los switches administrados por Cisco.

CAPACIDAD Configura en un switch el acceso remoto seguro, la seguridad de puerto y la segmentación de red de área local usando VLAN’s.

TEMÁTICA  Configuración básica del switch.  Seguridad del switch.

1. SECUENCIA DE ARRANQUE DEL SWITCH

Una vez que se enciende el switch Cisco, lleva a cabo la siguiente secuencia de arranque:  Primero, el switch carga un programa de autodiagnóstico al encender (POST) almacenado en la memoria ROM. El POST verifica el subsistema de la CPU. Este comprueba la CPU, la memoria DRAM y la parte del dispositivo flash que integra el sistema de archivos flash.  A continuación, el switch carga el software del cargador de arranque. El cargador de arranque es un pequeño programa almacenado en la memoria ROM que se ejecuta inmediatamente después de que el POST se completa correctamente.  El cargador de arranque lleva a cabo la inicialización de la CPU de bajo nivel. Inicializa los registros de la CPU, que controlan dónde está asignada la memoria física, la cantidad de memoria y su velocidad.  El cargador de arranque inicia el sistema de archivos flash en la placa del sistema.  Por último, el cargador de arranque ubica y carga en la memoria una imagen del software del sistema operativo IOS predeterminado y le cede el control del switch al IOS.

2. LEDs INDICADORES DEL SWITCH.

Un elemento fundamental para las tareas de diagnóstico de fallos en switches LAN Catalyst, son los LEDs indicadores que se encuentran en el panel frontal del dispositivo. Los switches Cisco Catalyst cuentan con 2 tipos de LED.  LEDs de estado de puertos. Cada puerto del switch está identificado con un LED que permite conocer el estado de un puerto en particular y hacer tareas de diagnóstico sobre ese puerto.  LEDs del panel de control. Un conjunto de LEDs ubicados en el panel lateral izquierdo. En este panel encontramos un botón de MODE que permite seleccionar diferentes opciones de utilización de esos LEDs para el monitoreo y diagnóstico.

1

Ilustración 1: LEDs indicadores del switch

Fuente tomada de: https://www.linkedin.com/pulse/running-express-setup-cisco-switches dipak-singh

2.1 LED de sistema:  Apagado: El sistema no está encendido.  Verde: Sistema encendido y operacional.  Ámbar: Error en el POST.

2.2 LED de fuente redundante. También está ubicado en el panel lateral de control y tiene como objetivo indicar el estado operativo de una fuente de alimentación externa redundante que soportan estos dispositivos:  Apagado: Fuente redundante apagada o no instalada.  Verde: Fuente operacional.  Parpadeando en verde: La fuente no está disponible pues está proveyendo a otro dispositivo. Tenga presente que una fuente de alimentación externa puede proveer soporte de fuente redundante a varios dispositivos simultáneamente.  Ámbar: La fuente redundante no está operacional.  Parpadeando en ámbar: La fuente interna ha fallado y está operando la fuente redundante.

2.3 Port Stat o LEDs de estado de puerto. Su significado depende de la selección que se ha realizado con el botón de modo. Habitualmente, para tareas de diagnóstico y monitoreo general, se selecciona el modo status. En modo status las opciones disponibles para cada LED de puerto son:  Apagados: No hay un enlace activo.  Verde: Enlace activo, sin actividad.

2.

 Parpadeante en verde: Enlace activo con actividad de tráfico.  Alternando verde y ámbar: Fallo en el enlace.  Ámbar: puerto bloqueado administrativamente.

3. Configuración básica del switch Catalyst 2960

Los switches de la familia Catalyst 2960 utilizan sistema operativo Cisco IOS. Por este motivo, los métodos de acceso a la línea de comandos, la estructura de modos y comandos, es la misma que la que los routers Cisco. Para recordar, la conexión de consola, utilizando el puerto homónimo del dispositivo tiene las siguientes características:  Conexión física: cable consola con conector RJ-45.  Requiere la utilización de un programa de emulación de terminal (p.e. Putty). - 9600 baudios. - 8 bits de datos. - Paridad ninguna. - bit de parada 1. - Control de flujo ninguno.  Por defecto no requiere clave de acceso. Pasemos ahora al desarrollo de una configuración básica para un switch Catalyst:

3.1 Configuración de parámetros globales.  Configuración de claves de acceso Switch>enable Switch#configure terminal

3

Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#line con 0 Switch(config-line)#password [clave] Switch(config-line)#login Switch(config-line)#exit Switch(config)#enable secret [clave] Switch(config)#service password-encryption

 Configuración del nombre del dispositivo. Switch(config)#hostname Swtich_2960

Este comando no admite la inclusión de espacios dentro del nombre del dispositivo  Configuración de una dirección IP para gestión del dispositivo. Switch_2960(config)#interface vlan1

En los switches Catalyst, por defecto, todos los puertos están asignados a la VLAN 1 y esta es la VLAN de Administración. Por lo tanto, al configurar la IP de la VLAN 1 se asigna una IP para el management del switch. El comando crea una interfaz virtual para la VLAN 1, ingresa al submodo de configuración de esa interfaz permitiendo entonces asignar una dirección IP con propósitos de management. ¡Atención!: No se está configurando una IP en un puerto del switch. Es la dirección IP de una interfaz virtual del dispositivo con propósito exclusivamente de administración. Switch_2960(config-if)#ip address 172.16.5.2 255.255.255.0

Esta es la dirección IP que se utilizará para acceder vía Telnet, SSH o para SNMP. Switch_2960(config-if)#no shutdown

Se requiere habilitar la interfaz administrativamente para que comience a ser operacional ya que por defecto está deshabilitada. Switch_2960(config-if)#exit Switch_2960(config)#ip default-gateway 172.16.5.1

Permite definir un default-gateway para el switch. Para poder tener acceso remoto (desde otra red o subred) para la administración es necesario configurar también un default gateway. El default-gateway se configura en el modo de configuración global.

3.2 Configuración del acceso remoto utilizando SSH Switch_2960(config)#username xxxxx password 0 xxxxx

4.

Define un usuario y su clave para utilizar en el acceso a través de las líneas de terminal virtual. Switch_2960(config)#ip domain-name mydomain.com

Define un nombre de domino por defecto que completa el hostname. Cuando no se define ningún nombre de dominio se utiliza por defecto cisco.com Switch_2960(config)#crypto key generate rsa Switch_2960(config)#ip ssh version 2

Activa el dispositivo como servidor SSH para realizar acceso in band de modo seguro. Switch_2960(config)#line vty 0 15 Switch_2960(config-line)#login local

Define que al solicitar acceso por las líneas de terminal virtual (por telnet o ssh) se requiera el ingreso de usuario y clave configurados localmente en el dispositivo. Switch_2960(config-line)#transport input ssh

Establece la utilización de SSH para el acceso remoto utilizando la línea de terminal virtual. Otra alternativa es habilitar el acceso por terminal virtual utilizando Telnet. Para esto, el procedimiento de configuración es el mismo que se utilizó para los routers. Los switches Catalyst 2960 no tienen puerto auxiliar. Switch_2960(config-line)#exit

3.3 Configuración de interfaces. Switch_2960(config)#interface FastEthernet 0/1

Por defecto, todas las interfaces están en modo de auto negociación para velocidad y modo full / half-dúplex, y están asignadas a la VLAN 1. A diferencia de las interfaces del router, las interfaces del switch están todas administrativamente habilitadas por defecto. Switch_2960(config-if)#duplex full

Establece el modo de operación de una interfaz o grupo de interfaces.  [auto] Es el valor por defecto. Activa la auto negociación de half/full dúplex.  [full] Define el modo operación como full dúplex.  [half] Configura el modo de operación como half dúplex. 5

Los puertos de fibra óptica operan solamente en modo full dúplex. La negociación de modo está habilitada solamente en puertos de par trenzado de cobre. Switch_2960(config-if)#speed 100

Saca a la interfaz del modo auto-negociación de velocidad y lo coloca en la velocidad seleccionada. Las opciones disponibles difieren según la interfaz de que se trata. Switch_2960(config-if)#description puerto servidor 2

3.4 Comandos de monitoreo Switch_2960#show interfaces status Switch_2960#show running-config Switch_2960#show version

Para revisar las prestaciones de los comandos show que son comunes con los routers, verifique los capítulos correspondientes. Switch_2960#show flash Directory of flash:/ 2 -rwx 736 Mar 1 1993 22:58:54 +00:00 vlan.dat 3 drwx 512 Mar 1 1993 00:07:35 +00:00 c2960-lanbase-mz.122-35.SE 27998208 bytes total (19312640 bytes free)

Por defecto en la flash del switch se encuentra: una imagen del IOS, un archivo env_vars y un directorio html. Una vez configurado el dispositivo, se guardan 2 nuevos archivos: config.text (el archivo de configuración de respaldo) y la base de datos de VLAN vlan.dat. Switch_2960#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----All 000a.f450.5d40 STATIC CPU All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0100.0cdd.dddd STATIC CPU 1 0004.75cd.b87e DYNAMIC Fa0/3 1 0007.eb33.aa19 DYNAMIC Fa0/6 1 00e0.59aa.195b STATIC Fa0/23 Total Mac Addresses for this criterion: 7

Muestra el contenido de la tabla de direccionamiento MAC. Switch_2960#clear mac-address-table

6.

Borra todas las entradas creadas dinámicamente en la tabla de direccionamiento MAC forzando al dispositivo a iniciar nuevamente Switch_2960#show spanning-tree brief

4. Configuración seguridad del switch Catalyst 2960

4.1 Control de acceso a la red switcheada En las redes actuales es de singular importancia la implementación de políticas de seguridad adecuadas. Un primer aspecto de estas políticas de seguridad es el aseguramiento del acceso a la configuración del dispositivo. Otro elemento importante en el caso de los switches LAN es el aseguramiento de los puertos para evitar la utilización no autorizada de los recursos de la red o la realización de un ataque de flooding de direcciones MAC. Con este propósito se pueden implementar diversos recursos. Uno muy importante es ajustar la configuración de los switches a fin de evitar posibles ataques o intrusiones en la red.

4.2 Configuración de entradas estáticas en la tabla de direcciones MAC El corazón de la operación de un switch LAN es su tabla de direcciones MAC, la cual determina el reenvío de tráfico en función de la dirección MAC de destino de cada trama. Por defecto la tabla de direcciones MAC se construye dinámicamente a partir de la lectura de las direcciones MAC de origen de cada trama que recibe el dispositivo. Sin embargo, cuando las políticas de seguridad lo requieren, esas entradas de la tabla CAM (que asocian una dirección MAC con el puerto en el cual se encuentra conectada) pueden ser configuradas estáticamente por el Administrador. Switch_2960(config)#mac-address-table static 0001.3a5c.45f2 vlan 2 interface FastEthernet0/2

Permite crear una entrada estática en la tabla de direcciones MAC, mapeando estáticamente una dirección MAC a una interfaz de una vlan. De este modo, toda trama dirigida a la dirección MAC definida será reenviada exclusivamente a esa interfaz. Esta entrada de la tabla de reenvío MAC se registrará como estática y no tiene tiempo de envejecimiento como las entradas dinámicas.

7

4.3 Implementación de seguridad por puerto (port security) Cisco IOS incorpora en los switches una serie de funciones de seguridad avanzadas englobadas bajo la denominación port security. El objetivo básico de port security es definir un conjunto específico o una cantidad acotada de direcciones MAC que pueden asociarse a un puerto en la tabla de direcciones MAC. De esta manera se limita la cantidad y cuáles son las direcciones MAC que pueden conectarse efectivamente a la red a través de un puerto específico y se mitiga uno de los posibles ataques a los que están sometidos los switches LAN que es el desbordamiento de sus tablas de direcciones MAC. Como ocurre con la mayoría de los features de Cisco IOS, cuando se activa aplica parámetros por defecto que luego pueden ser modificados por configuración. Los valores por defecto de port security son los siguientes: Tabla 1: Port-security valores por defecto Parámetro Port security Máximo de direcciones MAC Modo de aprendizaje de las direcciones MAC Acción en caso de violación de política

Valor por defecto Deshabilitado 1 Dinámico Shutdown

 Configuración de port security: Switch_2960(config)#interface fastethernet 0/10 Switch_2960(config-if)#switchport mode access

Las prestaciones de port-security sólo se pueden aplicar a interfaces que operan en modo de acceso. Las interfaces del switch están por defecto en modo dinámico. En consecuencia el primer paso es colocar los puertos en modo acceso. Switch_2960(config-if)#switchport port-security

Habilita las funciones de port-security en el puerto con los parámetros definidos por defecto. Switch_2960(config-if)#switchport port-security maximum 2

Define el número máximo de direcciones MAC que se admiten como asociadas a este puerto. Este valor máximo se puede completar con direcciones MAC definidas estáticamente, aprendidas dinámicamente, o una combinación de ambas. Puede tomar un valor entre 1 y 132. El valor por defecto es 1. El valor total de direcciones admitidas, sumando todos los puertos del switch, es 1024. Switch_2960(config-if)#switchport port-security mac-address 0001.3a5c.45f2

8.

Indica la metodología por la cual la interfaz ha de aprender las direcciones MAC. Por defecto la interfaz asume dinámicamente las direcciones asociadas hasta el máximo permitido. Con este comando se pueden definir como “seguras” direcciones MAC estáticamente hasta completar el número máximo admitido. También se puede realizar el aprendizaje de direcciones “seguras” de modo dinámico. Si no se especifica una dirección, sino el keyword sticky, las direcciones “seguras” asociadas al puerto se aprenderán dinámicamente a partir de las entradas existentes en la tabla de direcciones MAC y luego se incorporarán a la configuración activa como direcciones estáticas. Si al momento de ingresar el comando ya hay una dirección MAC asociada al puerto en la tabla de forwardeo, esa dirección será asumida como dirección segura. Las direcciones se incorporan solamente en la running config. Si se desea incorporarlas en la configuración de respaldo, se deberá guardar manualmente la configuración activa. Switch_2960(config-if)#switchport port-security violation restrict

Define la acción que se tomará en este puerto en caso de que se reciba tráfico desde una dirección MAC no permitida. Hay 3 acciones posibles:  restrict – deniega el tráfico considerado ilícito y genera un mensaje de error.  protect – deniega el tráfico considerado ilícito y no genera ningún mensaje.  shutdown – la interface se coloca en estado errdisabled y se genera un mensaje de error. Se requiere la intervención manual para que la interfaz vuelva a ser operativa. Para que el puerto retome el estado operativo se deberá reactivar manualmente utilizando el comando errdisable recovery cause psecure-violation en modo configuración global, o ejecutando la secuencia shutdown | no shutdown en la interfaz. Se considera una violación de la política:  Cuando se ha completado el máximo de direcciones permitidas en el puerto, y una nueva MAC de origen desea utilizar esa interfaz.  Cuando una dirección MAC considerada como “segura” asociada a un puerto, es descubierta como conectada a otro puerto en la misma VLAN.

 Comandos de verificación: Switch_2960#show port-security

9

Muestra las interfaces en las que se ha habilitado port-security. Adicionalmente presenta un contador y las acciones que se toman por interfaz. Switch_2960#show port-security interface FastEthernet 0/1

Muestra la configuración de port-security en un puerto específico. Switch_2960#show port-security address

Permite verificar las direcciones MAC que están asociadas a cada puerto como resultado de la utilización de port-security.

5. Optimización de performance de la red conmutada

Las redes Ethernet complejas tienen requerimientos más avanzados en función de la diversidad de dispositivos conectados, de la capacidad de los enlaces y la necesidad de implementar redundancia. En función de esto, es necesario implementar tecnologías vinculadas a Ethernet que expanden su capacidad.

5.1 Determinación de dúplex y velocidad La implementación de enlaces Ethernet full dúplex mejora significativamente la performance de los enlaces sin necesidad de cambiar el medio físico (cobre) utilizado en el enlace.  Se utilizan 2 circuitos separados, uno para transmitir y otro recibir, en un solo puerto.  Es un entorno libre de colisiones. Se generan conexiones punto a punto.  Mejora realmente la performance del enlace ya que ambos extremos pueden transmitir simultáneamente. Adicionalmente, en una red de mediana o gran complejidad encontramos enlaces de diferentes velocidades en diferentes puntos de la red. Para facilitar la operación en un mismo enlace de puertos de diferente capacidad se pueden utilizar las funciones de auto negociación previstas en el estándar.

5.2 Configuración de condiciones de dúplex y velocidad Switch_2960(config)#interface FastEthernet 0/1 Switch_2960(config-if)#duplex full

Define el modo de operación dúplex del puerto. Las opciones disponible son auto | full | half. La opción por defecto es auto. En puertos 100Base FX la opción por defecto es full. La opción half no está disponible en puertos configurados para operar en modo GigabitEthernet. Switch_2960(config-if)#speed 100

10.

Permite definir la velocidad a la que operará el puerto. Las opciones disponibles son 10 | 100 | 1000 | auto | nonegotiate. Switch_2960(config-if)#description puerto servidor 2

Para utilizar auto negociación es necesario que ambos extremos del ...