Scribd
Cargar
111 vistas14 páginas

Configuración de Switch y VLANs

El documento describe los pasos para configurar diversos aspectos de un router y switch, incluyendo la protección del acceso, configuración de interfaces de red, VLANs, enrutamiento entre VLANs, acceso remoto seguro, DHCP, NTP y syslog. Se explican opciones básicas y avanzadas para cada tema.

Cargado por

ANTONIO MARMOL
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
111 vistas14 páginas

Configuración de Switch y VLANs

El documento describe los pasos para configurar diversos aspectos de un router y switch, incluyendo la protección del acceso, configuración de interfaces de red, VLANs, enrutamiento entre VLANs, acceso remoto seguro, DHCP, NTP y syslog. Se explican opciones básicas y avanzadas para cada tema.

Cargado por

ANTONIO MARMOL
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Router>ENABLE----ENTRAMOS EN EL MODO DE USUARIO PRIVILEGIADO

Router#CONF T----ENTRAMOS EN EL MODO DE CONFIGURACIÓN GLOBAL

Router(config)#HOSTNAME R1---ASIGNAMOS EL NOMBRE R1 AL DISPOSITIVO

PROTEGER EL ACCESO AL MODO USUARIO PRIVILEGIADO EN ROUTER/SWITCH

R1(config)#ENABLE SECRET class--- CREAMOS CONTRASEÑA "class" PARA EL ACCESO AL


MODO USUARIO PRIVILEGIADO

PROTEGER EL ACCESO A LA CONSOLA EN ROUTER/SWITCH

OPCIÓN BÁSICA:

R1(config)#LINE CONSOLE 0 --- ENTRAMOS EN LA LINEA DE CONSOLA

R1(config-line)#PASSWORD class--- CREAMOS CONTRASEÑA "class" PARA EL ACCESO POR


CONSOLA

R1(config-line)#LOGIN --- LE DECIMOS AL ROUTER QUE LE PIDA A LOS USUARIOS


CONTRASEÑA PARA EL ACCESO POR CONSOLA

OPCIÓN MÁS AVANZADA:

R1(config)#USERNAME admin SECRET admin1234 --- CREAMOS BASE DE DATOS LOCAL CON
USUARIOS Y CONTRASEÑAS

R1(config)#LINE CONSOLE 0 --- ENTRAMOS EN LA LINEA DE CONSOLA

R1(config-line)#LOGIN LOCAL --- LE DECIMOS AL ROUTER QUE LE PIDA A LOS USUARIOS


USERNAME Y CONTRASEÑA AL CONECTARSE POR CONSOLA, Y VERIFIQUE LA BASE DE DATOS
LOCAL DE USUARIOS Y CONTRASEÑAS

R1(config)#SERVICE PASSWORD-ENCRYPTION --- CIFRAMOS TODAS LAS CONTRASEÑAS,


EXISTENTES Y FUTURAS, QUE NO ESTAN CIFRADAS

CONFIGURACIÓN DE INTERFACES DE RED EN ROUTER

R1(config)#INT F0/0----ENTRAMOS EN LA INTERFACE FASTETHERNET 0/0

R1(config-if)#IP ADD 192.168.1.1 255.255.255.0---ASIGNAMOS LA DIRECCIÓN IP A LA


INTERFACE

R1(config-if)#NO SH---ENCENDEMOS LA INTERFACE

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

R1# COPY RUNNING-CONFIG STARTUP-CONFIG---GUARDAMOS LOS CAMBIOS


CONFIGURACIÓN DE INTERFACES DE RED EN SWITCH

SW1(config)# INTERFACE VLAN 1 ---LOS SWITCHES SON DISPOSITIVOS DE CAPA 2, POR TANTO
SUS PUERTOS NO ADMITEN CONFIGURACIÓN IP. SI QUEREMOS ADMINISTRARLOS LOS
CONVERTIMOS EN HOST DE LA RED ASIGNANDOLE UNA IP EN UNA INTERFACE VIRTUAL
LLAMADA INTERFACE VLAN

SW1(config-if)# IP ADDRESS 10.10.10.100 255.255.255.0

SW1(config-if)#NO SHUTDOWN

SW1(config-if)#EXIT

SW1(config)# IP DEFAULT-GATEWAY 10.10.10.1 --- SI ADEMÁS QUEREMOS ADMINISTRARLOS


DESDE OTRA RED LE TENEMOS QUE DAR UNA DIRECCIÓN DE PUERRTA DE ENLACE O
GATEWAY

CONFIGURACIÓN DE VLAN

SW1(config)#VLAN 10 --- CREAMOS LA VLAN

SW1(config-vlan)#NAME “NOMBRE” --- LE DAMOS UN NOMBRE A LA VLAN

ASOCIACIÓN DE PUERTOS DEL SWITCH A VLAN

UNA INTERFACE

SW1(config)#INTERFACE F0/0 --- ENTRAMOS A LA INTERFACE QUE QUEREMOS ASOCIAR A LA


VLAN

SW1(config-if)#SWITCHPORT MODE ACCESS --- CONFIGURAMOS EL PUERTO COMO ESTÁTICO

SW1(config-if)#SWITCHPORT ACCESS VLAN 10 --- LO ASOCIAMOS A LA VLAN

UN RANGO DE INTERFACES

SW1(config)#INTERFACE RANGE F0/0-3,G0/1-2 --- ENTRAMOS EN EL RANGO DE INTERFACES


QUE QUEREMOS ASOCIAR A LA VLAN

SW1(config-if-range)#SWITCHPORT MODE ACCESS--- CONFIGURAMOS EL RANGO DE


PUERTOS COMO ESTÁTICOS

SW1(config-if-range)#SWITCHPORT ACCESS VLAN 10--- LOS ASOCIAMOS A LA VLAN

CONFIGURACIÓN DEL ENRUTAMIENTO ENTRE VLAN (ROUTER-ON-A-STICK)

1. EN EL SWITCH ES IMPRESCINDIBLE QUE CONFIGUREMOS EL PUERTO QUE CONECTA


AL ROUTER COMO TRONCAL

SW1(config)#INTERFACE G0/1 --- ENTRAMOS EN EL PUERTO QUE CONECTA AL SWITCH CON


EL ROUTER

SW1(config-if)#SWITCHPORT MODE TRUNK --- CONFIGURAMOS EL PUERTO COMO TRONCAL


SW1(config-if)#SWITCHPORT TRUNK ALLOWED VLAN 10,20,30….---PERMITIMOS LAS VLANs
EXISTENTES A TRAVÉS DEL TRONCAL

SW1(config-if)#DO WR

2. EN EL ROUTER LEVANTAMOS LA INTERFACE FÍSICA Y CREAMOS TANTAS


SUBINTERFACES LÓGICAS COMO VLANs TENEMOS

R1(config)#INTERFACE G0/1 ---ENTRAMOS A LA INTERFACE FÍSICA DEL ROUTER QUE


CONECTA AL SWITCH Y LA LEVANTAMOS

R1(config-if)#NO SHUTDOWN

R1(config-if)#EXIT

R1(config)#INTERFACE G0/1.10--- CREAMOS UNA SUBINTERFACE LÓGICA PARA EL TRÁFICO


DE LA VLAN 10

R1(config-subif)#ENCAPSULATION DOT1Q 10--- LE ESPECÍFICAMOS AL ROUTER QUE EN ESTA


SUBINTERFACE RECIBIRÁ/ENVIARÁ TRAMAS CON LA ETIQUETA 10

R1(config-subif)#IP ADDRESS 192.168.1.1 255.255.255.248--- LE ASIGNAMOS UNA DIRECCIÓN


IP A LA SUBINTERFACE QUE SERÁ LA DIRECCIÓN DE GATEWAY DE LOS ORDENADORES DE LA
VLAN 10

Y ASÍ PARA CADA VLAN EXISTENTE

CONFIGURACIÓN DE ROUTER/SWITCH COMO SERVIDOR TELNET

R1(config)#LINE VTY 0 15

OPCIÓN BÁSICA:

R1(config-line)#PASSWORD class--- CREAMOS CONTRASEÑA "class" PARA EL ACCESO POR


TELNET

R1(config-line)#LOGIN --- LE DECIMOS AL ROUTER QUE LE PIDA A LOS USUARIOS


CONTRASEÑA PARA EL ACCESO POR TELNET

OPCIÓN MÁS AVANZADA:

R1(config)#USERNAME admin SECRET admin1234 --- CREAMOS BASE DE DATOS LOCAL CON
USUARIOS Y CONTRASEÑAS

R1(config-line)#LOGIN LOCAL --- LE DECIMOS AL ROUTER QUE LE PIDA A LOS USUARIOS


USERNAME Y CONTRASEÑA AL CONECTARSE POR TELNET, Y VERIFIQUE LA BASE DE DATOS
LOCAL DE USUARIOS Y CONTRASEÑAS

CONFIGURACIÓN DE ROUTER/SWITCH COMO SERVIDOR SSH

Router(config)#HOSTNAME R1
Router(config)#IP DOMAIN-NAME ejemplo.com --- CREAMOS UN NOMBRE DE DOMINIO. EL
ROUTER LO UTILIZARÁ JUNTO CON SU HOSTNAME PARA GENERAR LAS CLAVES DE CIFRADO
Y DESCIFRADO (PÚBLICA Y PRIVADA)

R1(config)#USERNAME admin SECRET admin1234 --- CREAMOS BASE DE DATOS LOCAL CON
USUARIOS Y CONTRASEÑAS

R1(config)#CRYPTO KEY GENERATE RSA --- LE DECIMOS AL ROUTER QUE GENERE LAS CLAVES

NOS SALE EL SIGUIENTE MENSAJE:

The name for the keys will be: R1.ejemplo.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

afew minutes.

Howmany bits in themodulus [512]:1024 --- LE INDICAMOS LA LONGITUD DE LAS CLAVES, SE


RECOMIENDA AL MENOS 1024 BITS

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

R1(config)#IP SSH VERSION 2--- HABILITAMOS LA VERSIÓN 2 DE SSH QUE ES MÁS SEGURA

R1(config)#IP SSH TIME-OUT <X segundos> (POR DEFECTO 120) --- ESPECIFICAMOS EL TIEMPO
LIMITE DE ACTIVIDAD ANTES DE DESACTIVARSE LA CONEXIÓN

R1(config)#IP SSH AUTHENTICATION-RETRIES <Nº DE INTENTOS FALLIDOS>--- ESPECIFICAMOS


LOS INTENTOS FALLIDOS ADMITIDOS ANTES DE CERRAR LA CONEXIÓN

R1(config)#LINE VTY 0 15 --- ENTRAMOS EN LAS LINEAS VIRTUALES

R1(config-line)#LOGIN LOCAL --- LE DECIMOS AL ROUTER QUE LE PIDA A LOS USUARIOS


USERNAME Y CONTRASEÑA AL CONECTARSE POR TELNET, Y VERIFIQUE LA BASE DE DATOS
LOCAL DE USUARIOS Y CONTRASEÑAS

R1(config-LINE)#TRANSPORT INPUT SSH --- LE DECIMOS AL ROUTER QUE SOLO ACEPTE


SOLICITUDES DE ACCESO POR SSH

CONFIGURACIÓN DEL ROUTER COMO SERVIDOR DHCP

R1#CONFIGURE TERMINAL

Enter configuration commands, one per line. Endwith CNTL/Z.

EXCLUIMOS LAS DIRECCIONES QUE NO SE ASIGNARÁN POR DHCP

R1(config)#IP DHCP EXCLUDED?

excluded-address
R1(config)#IP DHCP EXCLUDED-ADDRESS 192.168.1.1 192.168.1.25---EXCLUIMOS LAS
DIRECCIONES QUE NO ASIGNAREMOS DINAMICAMENTE

R1(config)#IP DHCP EXCLUDED-ADDRESS 192.168.1.100---EXCLUIMOS LAS DIRECCIONES QUE


NO ASIGNAREMOS DINAMICAMENTE

R1(config)#IP DHCP POOL RRHH---CREAMOS EL CONJUNTO DE DIRECCIONES ASIGNABLES


PARA LA VLAN DE DATOS Y LE DAMOS NOMBRE

R1(dhcp-config)#NETWORK 192.168.1.0 255.255.255.0---DEFINIMOS LA RED DE LA QUE


ASIGNAREMOS IPS A LA VLAN DE DATOS

R1(dhcp-config)#DEFAULT-ROUTER 192.168.1.1---DEFINIMOS LA DIRECCIÓN DEL GATEWAY


DE LA VLAN DE DATOS

R1(dhcp-config)#DNS-SERVER 192.168.1.254---DEFINIMOS LA DIRECCIÓN DEL SERVIDOR DNS

R1(dhcp-config)#DO WR---GUARDAMOS LA CONFIGURACIÓN

R1#SHOW IP DHCP BINDING---VISUALIZAMOS LA TABLA DE ASIGNACIONES DHCP DEL


ROUTER

IP address Client-ID/ Lease expiration Type

Hardware address

192.168.1.26 00E0.F9DB.A255 -- Automatic

192.168.1.27 00E0.B0C2.A38E -- Automatic

CONFIGURACIÓN SERVIDOR DHCP PACKET TRACER

1. En el servidor nos vamos aServices -> DHCP

DHCP
2. Rellenar los campos de acuerdo a la siguiente imagen
HABILITAR EL SERVICIO DHCP

DEFINIMOS GATEWAY DE LOS CLIENTES


DEFINIMOS DNS SERVER DE LOS CLIENTES

DEFINIMOS LA 1ª IP ASIGNABLE
DEFINIMOS LA MÁSCAR DE SUBRED

DEFINIMOS EL Nº DE HOST

GUARDAMOS LOS CAMBIOS

SI EL SERVIDOR DHCP SE ENCUENTRA EN UNA SUBRED DIFERENTE A LOS CLIENTES DHCP ES


IMPRESCINDIBLE EN LA INTERFACE/ES DEL ROUTER APLICAR LA SIGUIENTE CONFIGURACIÓN:

R1(config)#INTERFACE TIPO/NÚMERO ENTRAMOS EN LA INTERFACE O INTERFACES


A LAS QUE SE CONECTAN LOS CLIENTES DHCP
R1(config)#INTERFACE RANGE TIPO/NÚMERO

R1(config-if)#IP HELPER-ADDRESS “IP_SERVIDOR_DHCP” LE DEFINIMOS AL ROUTER LA IP DEL SERVIDOR DHCP

CONFIGURACIÓN DEL ROUTER COMO CLIENTE NTP

R1(config)# NTP SERVER IP_SERVIDOR_NTP--- LE DECIMOS AL ROUTER QUIÉN ES SU


SERVIDOR NTP

R1(config)#NTP UPDATE-CALENDAR--- LE DECIMOS AL ROUTER QUE ACTUALICE LA FECHA Y


HORA DEL SISTEMA

AUTENTICACIÓN NTP

R1(config)#NTP SERVER < IP_SERVIDOR_NTP > KEY <nº> --- DEFINIMOS EL NÚMERO DE CLAVE
A UTILIZAR PARA LA AUTENTICACIÓN NTP

R1(config)#NTP AUTHENTICATE --- HABILITAMOS LA AUTENTICACIÓN EN EL ROUTER

R1(config)#NTP AUTHENTICATION-KEY <nº> MD5 <CLAVE> --- ASOCIAMOS EL NÚMERO DE


CLAVE CON LA CLAVE

CONFIGURACIÓN DE ROUTER/SWITCH COMO CLIENTE SYSLOG

R1(config)#LOGGING HOST IP_SERVIDOR_SYSLOG--- LE DECIMOS AL ROUTER A QUE


IP(SERVIDOR DE LOG) DEBE ENVÍAR LOS LOG
R1(config)#SERVICE TIMESTAMPS LOG DATETIME MSEC ---HABILITAMOS EL SERVICIO DE
MARCA HORARIA EN EL ROUTER

REALIZAR COPIA DE SEGURIDAD DE LA CONFIGURACIÓN DE ROUTER/SWITCH

#COPY RUNNING-CONFIG TFTP

Address or name of remote host []?A.B.C.D --- LE DAMOS LA IP DEL SERVIDOR TFTP

Destinationfilename [Switch-confg]?--- LE DAMOS EL NOMBRE CON EL QUE GUARDAREMOS


LA COPIA DE SEGURIDAD

CONFIGURACIÓN DE RUTAS ESTÁTICAS

R1(config)# IP ROUTE RED_DESTINOMÁSCARA_RED_DESTINOIP_SIGUIENTE_SALTO


RED DE DESTINO MÁSCAR RED DE IP DEL SIGUIENTE
EJEMPLO: DESTINO SALTO (ROUTER)

R1(config)#IP ROUTE 192.168.100.0 255.255.255.248 172.16.5.14

EJEMPLO CASO ESPECIAL (RUTA ESTÁTICA PREDETERMINADA):


CUALQUIER RED IP DEL SIGUIENTE
DESCONOCIDA SALTO (ROUTER)

R1(config)#IP ROUTE 0.0.0.0 0.0.0.0 172.16.5.14

CONFIGURACIÓN DE SNMP EN ROUTER/SWITCH

R1(config)#SNMP-SERVER COMMUNITY CADENA_DE_CARACTERES[RO/RW]---LA CADENA DE


CARACTERES ACTÚA COMO UNA CONTRASEÑA QUE NOS PERMITIRA RO(SÓLO LEER) O
RW(LEER Y ESCRIBIR)

HABILITAR SERVICIO HTTP EN ROUTER/SWITCH

R1(config)#USERNAME USUARIO PRIVILEGE 15 SECRET CONTRASEÑA -- CREAMOS UN


USUARIO DE NIVEL DE PRIVILEGIOS 15 NECESARIO PARA ACCEDER VIA WEB

R1(config)#IP HTTP SERVER

R1(config)#IP HTTP AUTHENTICATION LOCAL

CONFIGURACIÓN DE SPAN EN SWITCH

SW1(config)#MONITOR SESSION Nº_SESIÓN SOURCE INTERFACE INTERFACE/ES [BOTH,TX,RX]


---DEFINIMOS LAS INTERFACES QUE VAMOS A SNIFAR Y EL SENTIDO EN QUE VAMOS A
SNIFAR BOTH(AMBOS, ES LA OPCIÓN PREDETERMINADA/TX - ENVIADO/RX – RECIBIDO)

SW1(config)#MONITOR SESSION Nº_SESIÓN DESTINATION INTERFACE INTERFACE---


DEFINIMOS LAS INTERFACE DONDE VAMOS A RECIBIR EL TRÁFICO SNIFADO

CONFIGURACIÓN DE RSPAN (REMOTE SPAN) EN SWITCH


SW1(config)#VLAN Nº --- NOS CREAMOS UNA VLAN RSPAN EN TODOS LOS SWITCHES, ES
UNA VLAN ESPECIAL QUE SÓLO SE UTILIZARÁ PARA RECOGER Y ENVÍAR POR LOS TRONCALES
EL TRÁFICO CAPTURADO

SW1(config-vlan)#REMOTE-SPAN --- ESPECÍFICAMOS QUE ES UNA VLAN RSPAN

SW1(config)#MONITOR SESSION Nº_SESIÓN SOURCE INTERFACE INTERFACE/ES


[BOTH,TX,RX]---DEFINIMOS LAS INTERFACES QUE VAMOS A SNIFAR Y EL SENTIDO EN QUE
VAMOS A SNIFAR BOTH(AMBOS, ES LA OPCIÓN PREDETERMINADA/TX - ENVIADO/RX –
RECIBIDO)

SW1(config)#MONITOR SESSION Nº_SESIÓN DESTINATION REMOTE VLAN Nº---DEFINIMOS LA


VLAN RSPAN A TRAVÉS DE LA CUÁL TRANSPORTAREMOS EL TRÁFICO CAPTURADO POR LOS
TRONCALES

SW2(config)#VLAN Nº --- NOS CREAMOS UNA VLAN RSPAN EN TODOS LOS SWITCHES, ES
UNA VLAN ESPECIAL QUE SÓLO SE UTILIZARÁ PARA RECOGER Y ENVÍAR POR LOS TRONCALES
EL TRÁFICO CAPTURADO

SW2(config-vlan)#REMOTE-SPAN --- ESPECÍFICAMOS QUE ES UNA VLAN RSPAN

SW2(config)#MONITOR SESSION Nº_SESIÓN SOURCE REMOTE VLAN Nº ---DEFINIMOS LA


VLAN RSPAN DESDE LA CUÁL RECIBIREMOS EL TRÁFICO CAPTURADO

SW2(config)#MONITOR SESSION Nº_SESIÓN DESTINATION INTERFACE INTERFACE-DEFINIMOS


LAS INTERFACE DONDE VAMOS A RECIBIR EL TRÁFICO SNIFADO

CONFIGURACIÓN DE NETFLOW EN ROUTER

R1(config)#INTERFACE/S <TIPO/NÚMERO>--- ENTRAMOS EN LAS INTERFACES DONDE


QUEREMOS QUE NETFLOW CAPTURE EL FLUJO DE TRÁFICO

R1(config-if)#IP FLOW INGRESS --- LE DECIMOS QUE CAPTURE LOS FLUJOS ENTRANTES

R1(config-if)#IP FLOW EGRESS --- LE DECIMOS QUE CAPTURE LOS FLUJOS SALIENTES

R1(config)#IP FLOW-EXPORT DESTINATION <IP_DEL_RECOLECTOR_FLUJOSNº


_DE_PUERTO(99,2055,9996)>---ESPECÍFICAMOS LA IP DEL SERVIDOR DE RECOLECCIÓN Y EL
Nº DE PUERTO A LLAMAR

R1(config)#IP FLOW-EXPORT VERSION <9>---ESPECÍFICAMOS LA VERSIÓN DE NETFLOW, LA


MÁS HABITUAL ES LA Nº 9

CONFIGURACIÓN DE HSRP EN ROUTERS O SWITCH MULTICAPA

ACTIVO

R1(config)#INTERFACE TIPO/NÚMERO

R1(config-if)#STANDBY Nº IP <X.X.X.X>--- DEFINIMOS CON EL Nº EL GRUPO STANDBY (TIENE


QUE COINCIDIR EN LOS ROUTERS O SWITCHES) Y LA IP VIRTUAL DEL GRUPO
R1(config-if)#STANDBY Nº PRIORITY <0 - 255>--- POR DEFECTO TODOS TIENEN 100 (A MAYOR
PRIORIDAD MAYOR POSIBILIDAD DE OBTENER EL ROL DE ACTIVO)

R1(config-if)#STANDBY Nº PREEMPT --- HACEMOS QUE AL RECUPERARSE EL ACTIVO VUELVA


A TOMAR SU ROL DE ACTIVO

R1(config-if)#STANDBY Nº TIMERS <1-254> <2-255>--- DEFINIMOS PRIMERO CADA CUANTO


TIEMPO SE ENVIA UN HELLO Y SEGUNDO, EL TIEMPO DE ESPERA ANTES QUE EL PASIVO
TOME EL ROL DE ACTIVO

R1(config-if)# STANDBY Nº TRACK <TIPO/NÚMERO DE INTERFACE> --- HABILITAMOS AL


ROUTER PARA QUE HAGA UN SEGUIMIENTO DEL ESTADO (UP/DOWN) DE LA INTERFACE
ESPECÍFICADA Y, EN CASO DE ESTAR DOWN, DECREMENTE SU PRIORIDAD (POR DEFECTO EN
10)

CONFIGURACIÓN DE LA SEGURIDAD DE PUERTOS (PORT-SECURITY)

SW1(config)#INTERFACE RANGE F0/7-12

SW1(config-if-range)#SWITCHPORT MODE ACCESS COMANDOS IMPRESCINDIBLES PARA HABILITAR LA SEGURIDAD


DE PUERTOS. POR DEFECTO PERMITIRÁ UNA DIRECCIÓN MAC Y
EL MODO DE VIOLACIÓN SERÁ SHUTDOWN
SW1(config-if-range)#SWITCHPORT PORT-SECURITY

SW1(config-if-range)# SWITCHPORT PORT-SECURITY MAXIMUM <nº>

SW1(config-if-range)# SWITCHPORT PORT-SECURITY MAC-ADDRESS <xxxx.xxxx.xxxx>

SW1(config-if-range)# SWITCHPORT PORT-SECURITY MAC-ADDRESS STICKY


SHUTDOWN --- EL PUERTO PASA AL ESTADO DE
DESHABILITADO POR ERROR Y LO CONTABILIZA

PROTECT --- EL PUERTO DESCARTA TODAS LAS TRAMAS


CON DIRECCIONES MAC NO PERMITIDAS

SW1(config-if-range)# SWITCHPORT PORT-SECURITY VIOLATION RESTRICT --- LO MISMO QUE PROTECT, PERO ADEMAS
NOTIFICA SOBRE LA VIOLACIÓN DE SEGURIDAD Y
CONTABILIZA LAS MISMAS

CONFIGURACIÓN DE SEGURIDAD PARA PROTEGER AL ROUTER CONTRA ATAQUES DE


DICCIONARIO O POR DENEGACIÓN DE SERVICIO A LA CONTRASEÑA

TIEMPO DE NÚMERO MAX UMBRAL DE


BLOQUEO DE INTENTOS TIEMPO DE LOS
DEL LOGIN FALLIDOS REINTENTOS

R1(config)#LOGIN BLOCK-FOR <1-65535> ATTEMPTS <1-65535> WITHIN <1-65535> --- SI


DURANTE EL UMBRAL DE TIEMPO SELECCIONADO SE ALCANZA EL NÚMERO MÁXIMO DE
INTENTOS FALLIDOS SE BLOQUEAN TODOS LOS INTENTOS DE AUTENTICACIÓN REMOTOS

R1(config)#LOGIN ON-FAILURE LOG --- HABILITAMOS LA GENERACIÓN DE LOG CADA VEZ QUE
OCURRA UN INTENTO FALLIDO DE AUTENTICACIÓN
R1(config)#LOGIN ON-SUCCESS LOG --- HABILITAMOS LA GENERACIÓN DE LOG CADA VEZ QUE
OCURRA UN INTENTO SATISFACTORIO DE AUTENTICACIÓN

R1(config)#LOGIN QUIET-MODE ACCESS-CLASS <Nº o NOMBRE DE LA ACL> --- APLICAMOS


UNA ACL QUE PERMITIRÁ DESDE DETERMINDAS IPs LOGUEARSE DURANTE EL PERIODO DE
BLOQUEO

ACL ESTÁNDAR NÚMERADA

R1(config)#ACCESS-LIST <1-99> PERMIT HOST X.X.X.X

R1(config)#ACCESS-LIST <1-99> PERMIT <IP_RED/SUBRED> <WILDCARD MASK>


DEFINIMOS EL HOST O
ACL ESTÁNDAR NOMBRADA CONJUNTO DE HOSTS
(RED/SUBRED) QUE SE
PUEDEN CONECTAR DURANTE
R1(config)#IP ACCESS-LIST STANDARD <NOMBRE>
EL PERIODO DE BLOQUEO

R1(config-std-nacl)#PERMIT HOST X.X.X.X

R1(config-std-nacl)#PERMIT <IP_RED/SUBRED> <WILDCARD MASK>

ACL EXTENDIDA NÚMERADA

RED/SUBRED

R1(config)#ACCESS-LIST <100 - 199> <PERMIT/DENY/REMARK> <PROTOCOLO> <IP_RED/SUBRED> <WILDCARD MASK>


<OPERADOR> <nº Puerto> <IP_RED/SUBRED> <WILDCARD MASK> <OPERADOR> <nº Puerto>

HOST

R1(config)#ACCESS-LIST <100 - 199> <PERMIT/DENY/REMARK> <PROTOCOLO> HOST<IP_HOST> <OPERADOR> <nº Puerto>


<IP_HOST> <OPERADOR> <nº Puerto>

ACL EXTENDIDA NOMBRADA

R1(config)#IP ACCESS-LIST EXTENDED <NOMBRE>

RED/SUBRED

R1(config-ext-nacl)# <PERMIT/DENY/REMARK> <PROTOCOLO> <IP_RED/SUBRED> <WILDCARD MASK> <OPERADOR> <nº


Puerto> <IP_RED/SUBRED> <WILDCARD MASK> <OPERADOR> <nº Puerto>

HOST

R1(config-ext-nacl)# <PERMIT/DENY/REMARK> <PROTOCOLO> HOST<IP_HOST> <OPERADOR> <nº Puerto> <IP_HOST>


<OPERADOR> <nº Puerto>

APLICAR LAS ACLs NUMERADAS O NOMBRADAS A LAS INTERFACES

R1(config)#INTERFACE <TIPO/NÚMERO>

R1(config-if)#IP ACCESS-GROUP <NOMBRE/NÚMERO> <IN/OUT>


MÁSCARA DE WILDCARD: Una máscara wildcard es una cadena de 32 dígitos binarios que el
router utiliza para determinar qué bits de la dirección debe examinar para obtener una
coincidencia. Como ocurre con las máscaras de subred, los números 1 y 0 en la máscara
wildcard identifican lo que hay que hacer con los bits de dirección IPv4 correspondientes. Sin
embargo, en una máscara wildcard, estos bits se utilizan para fines diferentes y siguen
diferentes reglas. Las máscaras de subred utilizan unos y ceros binarios para identificar la
porción de red/subred y la porción de host de una dirección IPv4. Las máscaras wildcard
utilizan unos y ceros binarios para filtrar direcciones IPv4 individuales o grupos de direcciones
IPv4 para permitir o denegar el acceso a los recursos. Las máscaras wildcard y las máscaras de
subred se diferencian en la forma en que establecen la coincidencia entre los unos y ceros
binarios. Las máscaras wildcard utilizan las siguientes reglas para establecer la coincidencia
entre los unos y ceros binarios:

 Bit = 0 de máscara wildcard: se establece la coincidencia (corrobora) con el valor del


bit correspondiente en la dirección IP de host o red.

 Bit = 1 de máscara wildcard: se omite (no se corrobora) el valor del bit


correspondiente en la dirección IP de host o red.

Pensad en la máscara wildcard como lo inverso a una máscara de subred. Para calcular la
inversa de la máscara de subred, reste a la máscara de subred de 255.255.255.255 la máscara
de subred correspondiente:

CONFIGURACIÓN DE RIP

R1(config)#ROUTER RIP – ENTRAMOS EN LA CONFIGURACIÓN DE RIP

R1(config-router)#VERSION 2 --- HABILITAMOS LA VERSIÓN 2 DE RIP

R1(config-router)#NO AUTO-SUMMARY --- DESHABILITAMOS EL COMPORTAMIENTO CON


CLASE

R1(config-router)#NETWORK <X.X.X.X> --- PUBLICAMOS LAS REDES DIRECTAMENTE


CONECTADAS

CONFIGURACIÓN DE NAT

NAT ESTÁTICO

R1(config)#IP NAT INSIDE SOURCE STATIC <IP PRIVADA> <IP PÚBLICA>

NAT DINÁMICO CON SOBRECARGA O PAT


R1(config)#ACCESS-LIST Nº PERMIT <RED/HOST> <WILCARD> --- DEFINIMOS EL RANGO DE IPs
QUE PODRÁN SER TRADUCIDAS POR NAT

CASO 1: SÓLO TENEMOS UNA IP PÚBLICA

R1(config)#IP NAT INSIDE SOURCE LIST < nº_ACL / nombre_ACL > INTERFACE <TIPO/NÚMERO>
--- LE DECIMOS AL ROUTER QUE LOS PAQUETES RECIBIDOS CON IPs PERMITIDAS POR LA ACL
LOS TRADUZCA A LA IP DE SU INTERFACE WAN (EXTERNA)

CASO 1: SÓLO TENEMOS VARIAS IPs PÚBLICAS

R1(config)#IP NAT POOL <NOMBRE_POOL> <IP_INICIAL> <IP_FINAL> NETMASK <MÁSCARA> ---


CREAMOS UN POOL DE IPs PUBLICAS, DEFINIENDO LA 1ª IP DEL RANGO, LA ÚLTIMA IP DEL
RANGO Y LA MÁSCARA (LA MÁSCARA DEBE ABARCAR LAS IPs PERMITIDAS)

R1(config)#IP NAT INSIDE SOURCE LIST < nº_ACL / nombre_ACL > POOL <NOMBRE_POOL>
OVERLOAD --- LE DECIMOS AL ROUTER QUE LOS PAQUETES RECIBIDOS CON IPs PERMITIDAS
POR LA ACL LOS TRADUZCA A LAS IPs DEL POOL ESPECIFICADO

PARA TODOS LOS TIPOS DE NAT

R1(config)#INTERFACE <TIPO/NÚMERO> DEFINIMOS LA/LAS INTERFACES PRIVADAS, O SEA DESDE LAS


QUE EL ROUTER RECIBIRÁ LOS PAQUETES A ENVIAR A INTERNET
R1(config-if)#IP NAT INSIDE

R1(config)#INTERFACE <TIPO/NÚMERO> DEFINIMOS LA/LAS INTERFACES PÚBLICAS, O SEA DESDE LAS


QUE EL ROUTER ENVIARÁ LOS PAQUETES A INTERNET
R1(config-if)#IP NAT OUTSIDE

CONFIGURACIÓN DE AUTENTICACIÓN CON AAA

R1(config)#USERNAME admin SECRET admin1234 --- CREAMOS BASE DE DATOS LOCAL CON
USUARIOS Y CONTRASEÑAS

R1(config)#AAA NEW-MODEL --- HABILITAMOS AAA. A PARTIR DE ESTE MOMENTO TODOS


LOS MÉTODOS DE AUTENTICACIÓN DEJAN DE SER VÁLIDOS. IMPORTANTE CREAR UN
USUARIO DE BACKUP EN LA BASE DE DATOS LOCAL

DEFAULT
R1(config)#AAA AUTHENTICATION LOGIN <método 1> <método 2>
<NOMBRE_LISTA>

< método 3> < método 4>


CONFIGURACIÓN DE PPP CON AUTENTICACIÓN

R1(config)# interface serial <número>

R1(config-if)# encapsulation ppp

R3(config)# interface serial <número>

R3(config-if)# encapsulation ppp

AUTENTICACIÓN PAP

R1(config)# username R3 secret class

R1(config)# interface s0/0/0

R1(config-if)# ppp authentication pap

R1(config-if)# ppp pap sent-username R1 password cisco

R3(config)# username R1 secret cisco

R3(config)# interface s0/0/0

R3(config-if)# ppp authentication pap

R3(config-if)# ppp pap sent-username R3 password class

AUTENTICACIÓN CHAP

R1(config)# username R3 secret cisco

R1(config)# interface serial <número>

R1(config-if)# ppp authentication chap

R3(config)# username R1 secret cisco

R3(config)# interface serial <número>

R3(config-if)# ppp authentication chap


COMANDOS DE VERIFICACIÓN ROUTER/SWITCH

SHOW RUNNING-CONFIG --- NOS MUESTRA LA CONFIGURACIÓN QUE SE ESTA


EJECUTANDO ACTUALMENTE Y SE ENCUENTRA EN LA MEMORIA RAM

SHOW IP INTERFACE BRIEF --- NOS MUESTRA DE FORMA RESUMIDA LA


CONFIGURACIÓN DE LAS INTERFACES

SHOW MAC-ADDRESS-TABLE --- MUESTRA LA TABLA MAC DEL SWITCH

SHOW IP ARP --- NOS MUESTRA LA TABLA CACHE ARP

SHOW INTERFACES TRUNK --- NOS MUESTRA LOS PUERTOS TRONCALES DEL
SWITCH Y LAS VLANS PERMITIDAS EN LOS MISMOS

SHOW VLAN BRIEF--- NOS MUESTRA UN RESUMEN DE LAS VLANS EXISTENTES Y LOS
PUERTOS ASOCIADOS A CADA UNA

SHOW IP ROUTE --- NOS MUESTRA LA TABLA DE ENRUTAMIENTO DEL ROUTER

SHOW USERS --- NOS MUESTRA LOS USUARIOS CONECTADOS AL ROUTER/SWITCH

SHOW IP SSH o SHOW SSH --- NOS MUESTRA LA CONFIGURACIÓN DE SSH

SHOW STANDBY BRIEF --- NOS MUESTRA UN RESUMEN DE LA CONFIGURACIÓN DE


HSRP

SHOW ETHERCHANNEL SUMMARY --- NOS MUESTRA UN RESUMEN DEL ESTADO DE


LOS PORTCHANNEL

SHOW LOGIN FAILURES --- NOS MUESTRA LOS FALLOS DE AUTENTICACIÓN


OCURRIDOS CUANDO TENEMOS CONFIGURADO LOGIN BLOCK-FOR

También podría gustarte