Posted by q3it on miércoles, marzo 02, 2022 in Redes
Ingreso a la Consola
El ingreso a un switch Cisco se realiza vía consola por defecto. Para ingresar al switch se necesita un computador con un puerto o interfaz DB-9, un cable de consola y el switch. Una vez conectado el computador al switch a través del cable de consola se deberá abrir un programa o software en la computadora. Seguidamente este software deberá ser configurado con los valores que se detallan en la imagen siguiente:
El ingreso a un switch Cisco se realiza vía consola por defecto. Para ingresar al switch se necesita un computador con un puerto o interfaz DB-9, un cable de consola y el switch. Una vez conectado el computador al switch a través del cable de consola se deberá abrir un programa o software en la computadora. Seguidamente este software deberá ser configurado con los valores que se detallan en la imagen siguiente:
 |
| Valores por defecto en consola |
Estos valores son necesarios y obligatorios al momento de intentar la conexión con el switch por primera vez. Igualmente estos valores pueden seguir siendo utilizados por el administrador para acceder en repetidas oportunidades al switch.
Varios Modos de Acceso (Telnet/Auxiliar)
La administración de un switch puede hacerse a través de varios mecanismos de acceso, uno de ellos es el acceso vía consola o puerto de consola. Otro mecanismo es el acceso vía puerto auxiliar, para el cual se requerirá de un modem. Otros mecanismos de acceso al switch son vía Telnet y vía SSH. Para el caso de la conexión vía Telnet, el switch deberá contar con una dirección IP asignada para que el administrador pueda acceder a través de la red independientemente de su ubicación geografica. La gran desventaja del acceso vía Telnet es que ésta es una conexión en texto plano, es decir, los datos pasan de forma legible a través de toda la internetwork. La mejora a Telnet es la conexión vía SSH, la cual, permite una conexión cifrada entre el computador del administrador y el switch.
 |
| Configuración SSH |
Modos de Comando (User/Exec/Config)
Una vez, tengamos acceso al switch, sea desde la consola, el puerto auxiliar, vía Telnet o SSH, se nos presenta una interfaz la cual llamaremos CLI ( Command Line Interface), y a su vez nos encontraremos en el primer modo de acceso al switch llamado Modo Usuario, el cual, identificaremos con el signo ">". Desde este modo tendremos acceso limitado a los recurso de configuración de switch. Para poder configurar un switch debemos ingresar al Modo Privilegiado, el cual identificaremos con el signo "#". Desde este modo podemos saltar al modo de configuración global, podemos guardar archivos de configuración, podemos resetear la interfaz y tener control sobre el dispositivo.
A continuación dejamos una imagen descriptiva de la configuración de un switch Cisco:
A continuación dejamos una imagen descriptiva de la configuración de un switch Cisco:
 |
| Modo usuario y modo privilegiado |
Configuración enable/secret password
Para pasar del modo usuario > al modo privilegiado # debemos escribir el comando enable. Para salir del modo privilegiado y pasar al modo usuario debemos escribir el comando disable. Existe una forma de proteger el paso desde el modo usuario hasta el modo privilegiado haciendo uso de claves. La primera clave la conoceremos como enable password y al habilitarla en el switch nos exigirá la clave que hayamos introducido con este comando.
Sin embargo este password se puede observar fácilmente y en texto legible en nuestro archivo de configuración. Para evitar este comportamiento se recomienda utilizar la clave enable secret, la cual, es cifrada en MD5 y no se visualiza fácilmente en el archivo de configuración. El enable secret tiene preferencia sobre el enable password. Debemos recordar que solo una de ellas tiene efecto a la vez y su función es la de permitir o negar el salto desde el modo usuario > hacia el modo privilegiado #.
Para pasar del modo usuario > al modo privilegiado # debemos escribir el comando enable. Para salir del modo privilegiado y pasar al modo usuario debemos escribir el comando disable. Existe una forma de proteger el paso desde el modo usuario hasta el modo privilegiado haciendo uso de claves. La primera clave la conoceremos como enable password y al habilitarla en el switch nos exigirá la clave que hayamos introducido con este comando.
Sin embargo este password se puede observar fácilmente y en texto legible en nuestro archivo de configuración. Para evitar este comportamiento se recomienda utilizar la clave enable secret, la cual, es cifrada en MD5 y no se visualiza fácilmente en el archivo de configuración. El enable secret tiene preferencia sobre el enable password. Debemos recordar que solo una de ellas tiene efecto a la vez y su función es la de permitir o negar el salto desde el modo usuario > hacia el modo privilegiado #.
 |
| Modo configuración CLI vs Modo EXEC |
Configuración IP Básica
A un switch le podemos asignar una dirección IP y una máscara de subred para efectos administrativos. Igualmente podemos asignarle una puerta de enlace predeterminada desde el modo de configuración global. Para asignar una dirección IP a un switch, debemos ingresar a la interface VLAN1, haciendo uso del comando ip address y finalmente levantando administrativamente la interface con el comando no shutdown.
A un switch le podemos asignar una dirección IP y una máscara de subred para efectos administrativos. Igualmente podemos asignarle una puerta de enlace predeterminada desde el modo de configuración global. Para asignar una dirección IP a un switch, debemos ingresar a la interface VLAN1, haciendo uso del comando ip address y finalmente levantando administrativamente la interface con el comando no shutdown.
Configuración Interfaces-Comando Duplex
Existen tres formas de comunicación y transmisión de datos, SIMPLEX (comunicación unidireccional), HALF DUPLEX ( comunicación bidireccional pero solo uno a la vez) y DUPLEX ( comunicación bidireccional ambos a la vez). Los switches trabajan en modo half duplex por defecto y es posible llevarlos al modo DUPLEX utilizando el comando duplex full. Al hacer esto en la interfaz del switch debemos hacer lo mismo en la interfaz del computador. De no hacerlo la comunicación no será posible entre ambos dispositivos.
Al habilitar el modo full duplex en la interfaz del switch se deshabilita el mecanismo de acceso al medio CSMA/CD.
Las interfaces Gigaethernet trabajan en modo full duplex.
Configuración Interfaces-Comando Speed
Existen varias velocidades que indican el ancho de banda de una interface para la comunicación y transmisión de datos. Entre las más comunes tenemos, Ethernet (10 Mbps), Fastethernet (100 Mbps), Gigaethernet ( 1000 Mbps). Los switches trabajan en modo Auto por defecto y es posible llevarlos a un ancho de banda determinado utilizando el comando speed. Al hacer esto en la interfaz del switch se recomienda hacer lo mismo en la interfaz del computador. De no hacerlo el switch estaría trabajando a una velocidad y el computador en otra.
Configuración Banners
Es posible asignar información de login en el switch a través de 3 mecanismos de banner dispuestos para ello. Podemos utilizar el banner MOTD (message of the day), el cual permite escribir información antes del login, seguidamente tenemos el banner. LOGIN que se muestra después del message of the day pero antes del login y finalmente tenemos el banner EXEC el cual se muestra después de hacer login en el switch.
Lógica del Switch
Un switch envía paquetes basados en la dirección MAC destino. El switch aprende
las direcciones MAC solo cuando un computador envía datos a través de una de sus interfaces. Seguidamente describimos la lógica de aprendizaje utilizada por un switch:
Existen tres formas de comunicación y transmisión de datos, SIMPLEX (comunicación unidireccional), HALF DUPLEX ( comunicación bidireccional pero solo uno a la vez) y DUPLEX ( comunicación bidireccional ambos a la vez). Los switches trabajan en modo half duplex por defecto y es posible llevarlos al modo DUPLEX utilizando el comando duplex full. Al hacer esto en la interfaz del switch debemos hacer lo mismo en la interfaz del computador. De no hacerlo la comunicación no será posible entre ambos dispositivos.
Al habilitar el modo full duplex en la interfaz del switch se deshabilita el mecanismo de acceso al medio CSMA/CD.
Las interfaces Gigaethernet trabajan en modo full duplex.
Configuración Interfaces-Comando Speed
Existen varias velocidades que indican el ancho de banda de una interface para la comunicación y transmisión de datos. Entre las más comunes tenemos, Ethernet (10 Mbps), Fastethernet (100 Mbps), Gigaethernet ( 1000 Mbps). Los switches trabajan en modo Auto por defecto y es posible llevarlos a un ancho de banda determinado utilizando el comando speed. Al hacer esto en la interfaz del switch se recomienda hacer lo mismo en la interfaz del computador. De no hacerlo el switch estaría trabajando a una velocidad y el computador en otra.
Configuración Banners
Es posible asignar información de login en el switch a través de 3 mecanismos de banner dispuestos para ello. Podemos utilizar el banner MOTD (message of the day), el cual permite escribir información antes del login, seguidamente tenemos el banner. LOGIN que se muestra después del message of the day pero antes del login y finalmente tenemos el banner EXEC el cual se muestra después de hacer login en el switch.
Lógica del Switch
Un switch envía paquetes basados en la dirección MAC destino. El switch aprende
las direcciones MAC solo cuando un computador envía datos a través de una de sus interfaces. Seguidamente describimos la lógica de aprendizaje utilizada por un switch:
- Una trama desde un Pc A que va hacia un Pc B, se recibe por el puerto 1.
- La dirección MAC del Pc A se inserta en la tabla MAC y se relaciona con el puerto 1.
- Si el switch no tiene en su tabla MAC la dirección MAC del Pc B, entonces inunda la trama que vino del Pc A por todos los puertos excepto por el puerto 1.
- Una trama desde el Pc B dirigida al Pc A se recibe por el puerto 2.
- La dirección MAC del Pc B se inserta en la tabla MAC y se relaciona con el puerto 2.
- El trafico subsecuente entre estos dos dispositivos se realiza en forma directa ya que el switch aprendió y relaciono la dirección MAC destino con uno de sus puertos.
Existen dos grandes archivos de configuración en el switch, estos son el running- config y startup-config. El running-config se mantiene activo en la memoria RAM mientras que el startup-config se guarda en la NVRAM. La RAM es una memoria volátil y pierde su información al apagar el equipo. LA NVRAM es una memoria no volátil y mantiene su información aun cuando el switch se apaga. Todo switch requiere de un archivo de configuración así como de una imagen del sistema operativo o IOS. El archivo de configuración es donde se guarda toda la información configurada en el switch y luego recuperada cuando el switch se enciende.
El comando utilizado para administrar el archivo de configuración es el comando copy y este nos permite guardar la información de configuración desde la RAM hacia la NVRAM y viceversa. También es posible utilizar un servidor externo conocido como TFTP para respaldar nuestro archivo de configuración fuera del switch. También utilizamos el comando copy para guardar información hacia un servidor TFTP desde la RAM como de desde la NVRAM.
Principales comandos para la configuración básica de un switch:
Habilitando port-security
Port-security es un mecanismo que nos permite incrementar el nivel de seguridad en nuestro switch haciendo filtrado de direcciones MAC y ejecutando tareas para negar trafico a través de una interfaz. Para habilitar port-security en una interfaz debemos activar primero el modo ACCESO a una interfaz. El port-security no se habilitará si no se activa el modo acceso a la interfaz.
Una vez activado el port-security en la interfaz del switch, podemos definir una dirección MAC relacionada con el puerto, la cual podrá ser de forma estática, usando el comando switchport port-security mac-address [mac address].
En el mismo orden de ideas, podemos definir una dirección MAC relacionándola con el puerto, pero de forma dinámica, usando el comando sticky. Ejemplo: switchport port-security mac-address sticky.
Habilitando port-security con maximum
Podemos definir un máximo de direcciones MAC que serán aprendidas por el switch y relacionadas con un puerto, usando el comando maximum. Ejemplo: switchport port-security maximum [1-132].
Habilitando port-security con violation protect
Podemos definir una acción en el puerto con el comando violation protect. Al habilitar esta opción en el puerto, el switch verificará la coincidencia con el valor de la dirección MAC asociada al puerto y si esta no coincide el switch eliminará los paquetes y el puerto permanecerá activo. Ejemplo: switchport port-security violation protect.
Habilitando port-security con violation restrict
Podemos definir una acción en el puerto con el comando violation restrict. Al habilitar esta opción en el puerto, el switch verificará la coincidencia con el valor de la dirección MAC asociada al puerto y si esta no coincide con el switch eliminará los paquetes, enviará un mensaje de log y el puerto permanecerá activo. Ejemplo: switchport port-security violation restrict.
Habilitando port-security con violation shutdown
Podemos definir una acción en el puerto con el comando violation shutdown. Al habilitar esta opción en el puerto, el switch verificará la coincidencia con el valor de la dirección MAC asociada al puerto y si esta no coincide con el switch eliminara los paquetes, colocara la interfaz en estado errdisable, enviará un mensaje de log y el puerto se desactivará. Para habilitarlo nuevamente, el administrador, deberá ingresar al puerto, desactivarlo manualmente con el comando shutdown y luego habilitarlo con el comando no shutdown. Ejemplo: switchport port-security violation shutdown.
Principales comandos para la configuración básica de un switch:
