Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CLI en Routers y Switches Cisco
CLI en Routers y Switches Cisco
IntroduccinalCLI
enRoutersySwitchesCISCO
(Versin2.2)
Puedesdescargarlaltimaversindeestedocumentode:
http://blog.unlugarenelmundo.es/?page_id=127
JosMaraMoralesVzquez
josemaria@morales-vazquez.com
Pgina 1
CONTENIDO
1.INTRODUCCIN...............................................................................................................3
Modosdeoperacin......................................................................................................3
OtrostrucostilesenelCLI............................................................................................4
2.CONTRASEADEACCESOALMODOPRIVILEGIADOYOTROSCOMANDOS.........4
Elcomandoshow............................................................................................................4
Historialdecomandos....................................................................................................4
Contraseadeaccesoalmodoprivilegiado.............................................................4
Elcomandono................................................................................................................5
Elcomandodo................................................................................................................5
Otroscomandosbsicos................................................................................................5
3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER..............................6
Identificacindeinterfacesylneas.............................................................................6
Configuracindeinterfacesethernet..........................................................................6
Configuracinderutasestticas..................................................................................7
4.ACCESOREMOTO............................................................................................................7
Accesoportelnet............................................................................................................8
Accesoporssh.................................................................................................................8
5.CONFIGURACINDEUNSERVIDORDHCP...................................................................9
6.SWITCHES.........................................................................................................................10
AsignacindeunaIPalswitchparaaccederdeformaremota..........................10
7.REDESVIRTUALES(VLANs).............................................................................................11
EnrutamientoentreVLANs...........................................................................................12
8.OTROSCOMANDOS......................................................................................................13
9.INTRODUCCINALOSPROTOCOLOSDEENCAMINAMIENTODINMICO............13
10.RIP,ROUTINGINFORMATIONPROTOCOL.................................................................14
11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL.................................15
12.OSPF,OPENSHORTESTPATHFIRST..............................................................................17
13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO.................................18
Desconexindepuertosnousadososospechosos.................................................18
DHCPSnooping.............................................................................................................19
ControldelasMACconectadasalospuertosdelSwitch......................................20
StormControl.................................................................................................................22
Pgina 2
1.INTRODUCCIN
Modosdeoperacin
LosroutersCISCOtienentresmodosdeoperacinensulneadecomando:
modonormaldeusuario,elinicialconunpromptas>
privilegiadoodeadministracin,conprompt#
deconfiguracin,conlapalabraconfigantesdelprompt#
Parapasardemodonormalaprivilegiadoseusaelcomandoenable
Parapasardeprivilegiadoaconfiguracinseusaelcomando configure
terminal
Para volver atrs un nivel se usa el comando exit. Ctrl+Z tambin nos
devuelve almodo privilegiado desdeelmodo de configuracin. disable
tambinnosdevuelvealmodonormaldesdeelmodoprivilegiado.
Jos Mara Morales Vzquez
Pgina 3
OtrostrucostilesenelCLI
Paraautocompletarcomandosseusaeltabulador
Parapedirayudadecomandosdisponiblesuopcionesdelosmismosseusa
elsigno?
No hace falta escribir los comandos completos. Basta con las letras
suficientesparaquenohayaconfusinconotrasalternativas.Esvlidoena
porenable,configtermporconfigureterminal,etc.
Ctrl+Shift+6interrumpelaejecucindeuncomandoquenorespondeyque
sehaquedadopillado.
Elcomandoshowesbsicoparaobtenerinformacinacercadelrouter.Iremos
viendootrasutilidadespero,porejemplo,tenemostambinlassiguientes:
showversionmuestralaversindeIOSqueestamosusando,lainformacin
decopyrightdeCISCOqueapareceenelarranqueyunresumendelas
caractersticaseinterfacesdenuestrorouter.
showrunningconfiglistalaconfiguracindelrouterqueestactualmente
en ejecucin (en RAM y no en NVRAM!). Es muy til para guardar en
papellaconfiguracindereferenciadecadaunodenuestrosrouters.
Historialdecomandos
Comocasitodoslosinterfacesenlneadecomandos,elCLIdeCISCOguardaun
historial de las ltimas rdenes que hemos ejecutado desde la cnsola y que
podemosvisualizarconlasiguienteordenquesepuedeejecutardesdeelmodo
normaloprivilegiado:
showhistory
Por defecto se guardan los ltimos 10 comandos ejecutados. Si queremos
incrementaresenmerolohacemosdesdeelmodoprivilegiadoconlasiguiente
orden:
terminalhistorysize50
Siquisiramosdesactivarelhistorialdecomandosejecutamoslosiguiente:
terminalhistorysize0
Contraseadeaccesoalmodoprivilegiado
Como hemos visto, al sacar el router de la caja este no est protegido con
contrasea. Existen diferentes formas de proteger el acceso al router pero la
primeraquedebemos deusaresladeasegurarnos quenadieentraalmodo
privilegiado sin una contrasea cifrada. Para ello, desde el modo de
configuracintenemosqueejecutarelcomandoenablesecretyacontinuacin
lacontraseaquedeseamos.
Pgina 4
Elcomandono
Elcomandonoantespuestoaotrocomandosirve,enlasocasionesenlasque
estosepuedehacer,paraeliminar,desactivar,volveratrsodeshacerelefecto
dedichocomando.Porejemplo,paraeliminarlacontraseadeaccesoalmodo
priviliegiado usamos no enable secret o para borrar el nombre que le hemos
puestoanuestrorouterpodemosusarelcomandonohostname.
Elcomandodo
Si queremos ejecutar un comando del modo privilegiado desde el modo
configuracin(algotpicosinecesitamosejecutaralgncomandoshowmientras
estamosconfigurandoalgo)ynoqueremosestarcambiandocontinuamentede
modo, podemos hacerlo anteponiendo el comando do. Por ejemplo,
escribiendo do sh ip route desde el modo de configuracin nos ejecutara el
comandocomosiestuveramosenelmodoprivilegiado.Elnicoinconveniente
deejecutarcomandoscon do esquenotendremosdisponiblesnilasfuncioens
deautocompletarnilaayudaconlatecla?
Otroscomandosbsicos
hostname<nombre>desdeelmododeconfiguracin,nospermitecambiar
elnombredistintivodelrouter.
banner motd # Tambin desde el modo de configuracin, nos permite
personalizar el mensaje de bienvenida que recibimos al conectarnos al
router. Podemos escribir lo que queramos usando varias lneas, etc. El
mensajefinalizacuandovolvamosaescribir # alprincipiodeunalneay
pulsemoslateclaINTRO.Silodeseamospodemosusarotrocaractercomo
finalizadorcambindoloenelcomando.
reload Desde el modo privilegiado reinicia el router. Los cambios no
salvadossepierden.
writememoryoslowritedesdeelmodoprivilegiadosalvalaconfiguracin
actualmenteenejecucincomoconfiguracinpordefecto.
copyrunningconfigstartupconfigIdemalanterior.
writeerase Limpiatodalaconfiguracindelrouterylodejacomorecin
salidodelacaja.
writestartupconfigIdemalanterior.
Pgina 5
3.INTERFACESYLNEAS.CONFIGURACINBSICADEUNROUTER
Identificacindeinterfacesylneas
LosroutersCISCOtienendostiposdeconexiones:interfacesylneas.Lasinterfaces
sonaquellasconexionesqueusamosparaconectarlosentresoaotrosequipos
paraquedesempeenlasfuncionesderutadopropiamentedichas.Laslneas,
porotrolado,sonconexionesqueusamossloparaconfigurarlosomanipularlos.
Lasinterfacespuedenserserie,ethernet,fastethernet,gigaethernet,atm,etc.
Laslneaspuedenserconsole,auxovty.
Lasinterfacesseidentificanporunasecuenciadenumerosseparadosporbarras
deltipo0/0/0dondeelprimerorepresentalabaha,elsegundoelslotyeltercero
elpuerto.Sislohubieradosseranslotypuertoysiapareceunosloesquese
identificaconelpuertosinms(aunqueestoslosueleocurrirenlaslneasynoen
losinterfaces). Seaadeadems,alprincipiodelasecuencia,unaletraque
indica el tipo de interface (e por ethernet, f por fast ethernet, g por gigabit
ethernet,sporserial,etc.).Porejemploe0/1/0of0/0,s0/0/0og7/0.
Podemos listarlos interfaces que tiene nuestra mquinacontodos sus detalles
medianteelcomandoshowinterfacesdesdeelmodoprivilegiado.
Siqueremosinformacinslodeundeterminadointerfaceloconcretamosenel
comando.Porejemploshowinterfacef0/1
ParaaadirunadireccinIPsecundariaauninterface(enPacketTracernoest
implementadoestoynofunciona)usamoslasiguientesintaxis:
ipaddress192.168.10.1255.255.255.0secondary
Configuracindeinterfacesethernet
Laconfiguracindeuninterfaceserealizaentrespasos,siempredesdeelmodo
deconfiguracin: seleccionarlainterfaceaconfigurar, asignarleuna ipyuna
mscara a ese interface y, finalmente, activarla. Para las interfaces serie
necesitaramos, adems, activar una seal de reloj en uno (y slo uno) de los
extremosdelacomunicacin,peroestonovamosaverloporelmomento.
Supongamosquequeremosconfigurarelinterfazfastethernetidentificadocomo
0/1conlaIP192.168.0.1delasubred192.168.0.0/25.Lasecuenciadecomandosa
aplicar(desdeelmododeconfiguracin)seralasiguiente:
interfacef0/0paraseleccionarlaconfiguracindelinterface
ipaddress192.168.0.1255.255.255.128paraasignarleIPymscara
noshutdownparaactivarlo
exitparasalirdelmododeconfiguracindeinterfaceyvolveralmodode
configuracinnormal.
Pgina 6
Configuracinderutasestticas
Las rutas estticas se introducen en el router a travs de los tres mismos
parmetrosqueusbamosenlasventanasdeasistenciadelpackettracer.Un
ejemplodelcomandoausar(desdeelmododeconfiguracin)paraintroducir
unarutaestticaeselsiguiente:
iproute192.168.3.0255.255.255.0192.168.0.2
Donde 192.168.3.0 es la direccin de la red a la que queremos llegar,
255.255.255.0 sumscaray 192.168.0.2 elsiguientesalto,esdecir,ladireccinIP
de otro router, conocido por el que estamos configurando, donde hay que
entregarlosmensajesparaencaminarloshacalaredalaquequeremosllegar.
Sinecesitamosrutasalternativas,podemosaadiralfinalotroparmetroconuna
mtricaquesimbolizeladistanciaopreferenciaderuta.Cuantomenorseael
nmero,mayorpreferenciasedaraesaruta.Pordefectosinoponemosnada
seconfiguracomo1:
iproute192.168.3.0255.255.255.0192.168.0.52
Elcomandoshowiproutenosmuestratodaslasredesquenuestrorouterconoce,
distinguiendosiestconectadodirectamenteaellas,sitienealgunarutaesttica
configurada o cualquier otra condicin. Si slo queremos ver las redes
directamenteconectadasanuestrorouterusaremoselcomando showiproute
connected
4.ACCESOREMOTO
HastaahorahemostrabajadoenmodoCLIconnuestrosroutersCISCO,peroen
ningnmomentonoshemosplanteadocomorealizamoseseacceso.
Cmo accedemos a la pantalla del CLI de un dispositivo CISCO realmente?
Tenemos varias formas de hacerlo. Una de ellas, la que deberamos de usar
inicialmente cuando sacamos el dispositivo de su caja, es conectarnos
directamenteconunPCmedianteunemuladordeterminalyatravsdelpuerto
de consola que traen todos ellos. Pero una vez instalado, configurado y
Jos Mara Morales Vzquez
Pgina 7
Accesoportelnet
Laconfiguracindelaccesomediantetelneteslamssimple,perohemosde
recordar que el acceso por telnet se hace siempre en claro y cualquierea
podra escuchar a travs de la red cualquier comando o contrasea que
escribamos.Desdeelmododeconfiguracin,ejecutamoslosiguiente:
linevty04vamosaconfigurarhastacincoaccesossimultaneos(desdeel0
al4)remotos.Elpromptcambiaa(configline)#
passwordsmrdefinimoslacontraseadeentradaportelnetcomosmr
loginhabilitamoselacceso
Conestonosdejaconectarnosportelnetperononosvaadejarentraralmodo
privilegiado o al de configuracin porque no est protegido con contrasea.
Para que se nos permita usar el modo privilegiado en una conexin remota
tenemosqueprotegerlomediantecontraseacomoyasabemoshacer:
enablesecretarboleda
NOTA: El procedimiento es el mismo para poder acceder a un router o a un
switch.
Accesoporssh
Elaccesoporssheselmscomnyltamenterecomendado.Todoeltrfico
entre nuestro terminal y el dispositivo de CISCO se realiza cifrado y es
indescifrable.Todoslosroutersadmitenaccesoporsshperoslolosswitchsde
gamaaltalosoportan.Recuerda,adems,quetantounoscomootrosdebende
tenerconfiguradaunadireccinIPparaquepodamosaccederaellosporssh.
Loscomandosnecesariosdesdeelmododeconfiguracinson:
hostnamemirouter
ipdomainnamearboleda.netEsobligatoriodefinirunnombreyunnombre
dedominioparaeldispositivo.Lohacemosconelcomandoanterior(que
yaconocemos)yconeste.
cryptokeygeneratersaparaconfigurarlafortalezadelaclavedecifrado
queusaremos.Senospedirunnmeroquepuedeser512,1024o2048.A
msalto,mayorfortalezaperotambinmayorconsumodeCPU.1024esel
Pgina 8
5.CONFIGURACINDEUNSERVIDORDHCP
Los router CISCO, al igual que casi todos los routers, pueden configurarse de
forma que adems realicen las funciones de servidor dhcp. La forma de
configurarlosesmuysimpleytienecuatropasos:crearunpooldedirecciones,
asociarlo a una determinada red (indicando la direccin de la misma y su
mscara), indicar la direccin del router por defecto que entregaran a sus
clientes y, por ltimo, excluir las direcciones que usaremos para asignaciones
manuales.Loscomandosconcretosausar,desdeelmododeconfiguracin,son
lossiguientes:
ipdhcppoollaarboledacreaunpooldedireccionesparaadministrarpor
dhcpyleasignaelnombredistintivolaarboleda
network 192.168.0.0 255.255.255.128 le asigna al pool anterior la red
delimitadaporladireccindered192.168.0.0conmscara255.255.255.128
defaultrouter192.168.0.1asignaladireccin192.168.0.1comoladelrouter
pordefectoqueentregaralosclientesjuntoconlaipcorrespondiente,
exit parasalirdelmododeconfiguracindeldhcpyvolveralmodode
configuracinnormal.
Elrouterpuedetenermsdeuninterfacederedytambinmsdeunpoolde
direcciones dhcp. El asocia los pools con los interfaces a travs de los cuales
entregarlasdireccionesporqueladireccindelinterfacedebedecorresponder
Jos Mara Morales Vzquez
Pgina 9
6.SWITCHES
AsignacindeunaIPalswitchparaaccederdeformaremota
Elprimerpasopararealizarunaccesoremotoesqueeldispositivocuentecon
unadireccinIPconfigurada.Enlosroutersyasabemoshacerlo.Paralosswitches
elprocedimientodeconfiguracindeunaIPesligeramentediferente.Desdeel
mododeconfiguracinejecutamoslosiguiente:
intvlan1entramosaconfigurarlavlan1.UnswitchdeCISCOpuedetener
Jos Mara Morales Vzquez
Pgina 10
7.REDESVIRTUALES(VLANs)
LasRedesVirtualesconstituyenunatcnicatilparadividirunaredendiferentes
subredes separadas entre si sin necesidad de usar routers y permitiendo una
separacinfuncionaldelosequiposendiferentesgruposdetrabajosinimportar
laubicacindondeseencuentranconectados.Nosetratadeunatecnologa
propietariadeCISCOypuedeimplementarseigualmenteconswitchesdeotros
fabricantes.
Comohemosdichoantes,losswitchesCISCOpermitenhasta1005VLANsdelas
cualesla1esespecialylasexistentesentrela1002yla1005estnreservadas.
PodemosverinformacindelasVLAN'sactivasennuestroswitchconelcomando
siguiente:
showvlanbrief
Crear una VLAN es tan fcil como ejecutar lo siguiente (desde el modo de
configuracin):
vlan 2 para crear una vlan con el identificador 2. El prompt cambia a
(configvlan)#
nameestudiantesparaasignarleelnombreestudiantes(estoesopcionaly
noindispensableparaquefuncione.Sinoseasignanombreseponeuno
deformaautomatica)
intvlan2
noshentraenlaconfiguracindelavlan2ylaactiva
Paraasignarunpuertodelswitch,poeejemploelf0/10,aunadeterminadaVLAN,
la2enesteejemplo:
intf0/10
switchportmodeaccess
switchportaccessvlan2
Pgina 11
EnrutamientoentreVLANs
LacomunicacinentrelasdiferentesVLANssepuedehacerdevariasformas.Una
de ellas consiste en usar switches de capa 3 que incluyen funciones de
enrutamientobsicas.Lasegundaformaconsisteenusarunroutercomncon
diferentesinterfacesdemaneraquecadaunodeellosseconfiguracomorouter
pordefectodeunadelasVLANsyseconfiguranadecuadamentelospuertosdel
switchdondeseconectanestosinterfaces.Puestoquenoesnecesarioningn
comandodistintoalosqueyasabemosparaesto,loveremosenlosejercicios.
Enelsiguienteenlace,eningls,teexplicanalgomsdeestoycomoserealiza:
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_configuration_exam
Jos Mara Morales Vzquez
Pgina 12
8.OTROSCOMANDOS
Pordefecto,yalrevesdeloqueocurreconlosrouters,todoslosinterfacesdeun
switchvienenactivos.Siqueremosdeshabilitarunodeellos(porejemploporque
vemos una actividad de trfico sospechoso) ejecutamos lo siguiente desde el
mododeconfiguracin:
intf0/12
shparadeshabilitarlo
ElcomandoquenospermiteverlasdireccionesMACasociadasacadapuerto
delswitcheseste:
show macaddresstable para visualizar la tabla de direcciones MAC
asociadasacadapuertodelswitch.
Losrouterspuedenutilizardostiposdemodosdefuncionamientoalahorade
realizarsutrabajodeencaminamiento:usartablasdeencaminamientoesttico
(loquehemosvistohastaahora)ousarprotocolosdeencaminamientodinmico.
Enredessencillasenlasquesloexisteunnicocaminoparacomunicarentre
dospuntoslosprotocolosdeencaminamientodinmiconotienenrazndeser.
Enlasredescomplejasenlasquepodemostenerdiferentesrutasentredospuntos
y,adems,latopologapuedecambiaroexisteelriesgodequeciertostramosse
colapsen en determinadas circunstancias, los protocolos de encaminamiento
dinmicoofrecenunmejorresultado.
Seusandosestrategiasenlosprotocolosdinmicos:lasdenominadasdevector
distancia y las de estado de enlace. A grandes rasgos, la primera trata el
problema como las indicaciones de carretera. Para llegar a un destino slo
tenemosqueseguirloscartelesperonotenemosunainformacintotaldelaruta:
sloelnmerodekms.quenosseparadenuestrodestino.Sitenemosdosrutas
alternativas veremos los kms. que faltan segn cojamos una u otra, pero no
tendremos casininguna otrainformacin.Los protocolos deestado de enlace
seran comparables a viajar con un GPS y un mapa de carreteras: tenemos
informacincompletadetodalarutahastanuestro destinoypodemostomar
decisionesnosloporelnmerodekms.
Lostresprotocolosdeencaminamientodinmicomsutilizadosenlaactualidad
son RIP, EIGRP y OSPF. Todos ellos pueden usarse en routers CISCO. Los dos
primerossondevectordistanciayeltercerodeestadodeenlace.
Pgina 13
10.RIP,ROUTINGINFORMATIONPROTOCOL
RoutingInformationProtocol.Protocolodeencaminamientodinmicoestndar
muysimple.Esunprotocolodelosdenominadosde vectordistancia yesmuy
utilizadoenredespequeasomedianas.
LaconfiguracindeRIPesmuysencilla:elrouterslonecesitainformacindelas
redesconectadasdirectamenteal.Elrestolodescubrirporlainformacinque
leenvenlosdemsrouters.RIPeligesiemprelarutaconmnimonmerodesaltos,
perosiestasecaeyexisteotradisponibleserecuperaylasustituye(aunquelo
hace de forma bastante lenta comparada con otros protocolos). Existen dos
versionesdeRIP.Lasegunda,queeslaqueveremos,esdeconfiguracinsin
clase(classless),ynospermitirelusodesubnettingysupernettingennuestras
redessintener,adems,queindicarlasmscarasdelasmismas.
Enlosprotocolosdevectordistancialosroutersnotienenunatablacompletade
lared,sinoslodelosdestinosadyacentes(deformamuyparecidaalasrutas
estticas).RIPestrestringidoaredesconmsde15saltosentredosdestinos.De
formapredeterminadaactualizalainformacindesustablascomunicandocon
losdemsroutersdelaredcada30segundos.Estoesasinclusocuandonohay
cambiosenlaredenvariosdas.
LosroutersconRIPensuversin1secomunicanentreellosusandobroadcastyla
direccin especial 255.255.255.255. En la versin 2, ms recomendable, usan
multicastyladireccinIP 224.0.0.9 (recuerda:unadireccinclaseDqueestn
reservadasparausosespecialescomoeste).
Los comandos bsicos para configurar un roter CISCO con la versin 2 del
protocoloRIPson:
routerripdesdeelmododeconfiguracinactivaelmododeconfiguracin
delprotocoloRIP.Elpromptcambiaa(configrouter).
version2 habilitaelusodelaversin2delprotocolo,queesconlaque
trabajaremos.
Acontinuacintenemosqueiragregandounaaunatodaslasredesquetienen
conexindirectaconelrouter.Lohacemosaadiendoslolasdireccionesdered
(sinmscara)atravsdelsiguientecomando:
network192.168.20.0
Enredesconsubnettingysupernettingcomplejastenemosquedecirlealrouter
que no queremos que agrupe las rutas de forma automtica con el siguiente
comando:
Pgina 14
11.EIGRP,ENHACEDINTERIORGATEWAYROUTINGPROTOCOL
EnhancedInteriorGatewayRoutingProtocol.Setratadeunprotocolopropietario
deCISCO.Avecesseloconsideraunprotocolohbridoqueusavectordistancia
yestadodeenlace,peroenrealidadesunprotocolodevectordistanciaqueusa
algunasdelascaractersticasdelosprotocolosdeestadodeenlacey,alahora
detransmitirinformacinalosroutersvecinos,notieneencuentasloelnmero
desaltosparallegaradestinosinoquetambinconsideraotrosparmetros.
EIGRPusa5mtricasparaestablecerlasrutasptimas:elanchodebanda,el
retrasodelared,laconfiabilidad,lacargadelaredyelmtuounidadmximade
transferencia,aunque tieneunmodo pordefectoqueslo tomaelancho de
bandayelretraso. Sitodoslosenlacestienenelmismoanchodebandayel
mismoretraso,eselnmerodesaltosloquedeterminaelcamino.Enestecasose
comportaigualqueRIPalahoradeescogerelcamino(minimizandoelnmero
desaltos)perorecomponelarutamuchomsrpidosisecaealgnenlace.En
una rutaconvarios saltos setomacomo anchodebandaeldelsalto quelo
tengamenorycomoretrasolasumadetodoslosdelaruta.
Pgina 15
Pgina 16
shipeigrpinterfaces
shipeigrpneighbors
shipeigrptopology
shipeigrptraffic
Msinformacin:
http://www.cisco.com/en/US/docs/ios/12_1/iproute/configuration/guide/1cdeigrp.html
12.OSPF,OPENSHORTESTPATHFIRST
OpenShortestPathFirst.Esunprotocoloestndarddelosdenominadosdeestado
deenlace quenosgarantizaelusodelcaminomscortoentredospuntos.Se
trata,posiblemente,delprotocolomsusadoenredesgrandesycomplejas. A
grandesrasgos,cadarouterconstruyeunatopologadelaredqueconoceyla
comparteconsusvecinosdeformaqueentretodoscompletanunplanototalde
laredenlaquetrabajanydeformaquecadaunocalculasusrutasdeforma
independientealosdems.
Ensumodocompletosetratadeunprotocolocomplejoquepermitedividirlared
en diferentes reas y tratarlas de forma diferente. Nosotros veremos aqu el
protocoloOSPFdereanica.
SeleconsideracomoelsucesordeRIP.Paralacomunicacinusalasdirecciones
multicast224.0.0.5y224.0.0.6.AligualqueocurryaconEIGRP,sloenvannuevas
comunicacionescuandodetectancambiosenlatopologadelared.
Los principales problemas de OSPF (y de todos los protocolos de estado de
enlaceengeneral)sonlossiguientes:
Pgina 17
13.INTRODUCCINALASEGURIDADENLOSSWITCHESCISCO
Losswitchessonelementoscentralesdelaconfiguracindenuestrasredes.Todo
el trfico pasa por ellos y todos los equipos deben, de una forma directa o
indirecta, estar conectados a un switch para tener acceso a nuestra red.
Introducirmecanismosdeseguridadenlosmismoses,portanto,unabuenaforma
decontrolardeformapreventivaalgunosproblemasimportantesdeseguridad.
Enestedocumentoveremosalgunasdeestasmedidasysuimplementacinen
switchesCISCO.
Desconexindepuertosnousadososospechosos
Los puertos no usados de nuestros switcheso sospechosos detener problemas
deberandesconectarsedelared.Pordefectotodoslospuertosdelosswitches
aparecen conectados pero su desconexin es bien sencilla. En las siguientes
lneasdesconectamoselpuertof0/4
ena
configterm
intf0/4
shutdown
Pgina 18
DHCPSnooping
ELDHCPSnoopingcomprendeunconjuntodetcnicasencaminadasahacer
msseguroelfuncionamientodelprotocoloDHCP.Yavimosensumomentoque
setratabadeunprotocolomuycmodoenredesgrandesperoconevidentes
problemasdeseguridad.
CISCOimplementaalgunastcnicasencaminadasaestefin.Laprimeradeellas
nospermiteprohibireltrficodeunservidorDHCPdesdetodoslospuertosdel
switchsalvodelosquenosotrosautoricemos.Paradecir,porejemplo,quenuestro
servidorDHCPestenelpuertof0/2,ejecutaramoslosiguiente:
ena
configterm
ipdhcpsnooping
intf0/2
ipdhcpsnoopingtrust
Pararetirarlaautorizacindelinterfazusaramoselcomandono:
intf0/2
noipdhcpsnoopingtrust
SinuestroswitchdetectaraunservidorDHCPconectadoacualquierotropuerto
lodesconectaradeformaautomtica.
Elsegundomecanismodeseguridadnospermitelimitarelnmerodepeticiones
aunservidorDHCPqueserealizadesdedeterminadospuertos.Estonosayudaa
mitigar que alguien trate de saturar un servidor DHCP cambiando de MAC y
enviadopeticionesalservidor.Enelsiguienteejemploselimitana5paquetespor
segundolaspeticionesquepuedenrealizarsedesdelospuertos10al24:
ena
configterm
ipdhcpsnooping
intrangef0/1024
ipdhcpsnoopinglimitrate5
Pgina 19
ControldelasMACconectadasalospuertosdelSwitch
Todos sabemos que la principal diferencia del switch frente al hub es que el
primeromemorizalospuertosalosqueestnconectadoslosdistintosequipos
de forma que la comunicacin entre un equipo y otro slo se enva por los
segmentosderedadecuados.Estomejoralacalidaddelascomunicacionesen
nuestraredlocal(tenemosunmayoranchodebandadisponible)ymejorala
seguridad en la red (alguien con un sniffer lo tiene ms difcil para leer la
informacinquenovadestinadaal.)
Losswitchesrealizanestafuncindeformasimplealmacenandoensumemoria
unastablasconlasdireccionesMACdelosequiposylospuertosalosqueestn
conectados los mismos. Estas tablas deben de tener capacidad para guardar
msdeunaMACporpuerto(podemostenerunswitchde96puertosconectado
encascadaalpuertodeotroswitch)y,lgicamente,tienenuntamaofinito.
SiunswitchrecibeunmensajeparaunequipocuyaMACnotieneregistradoen
sustablasenvaelmensajeatodossuspuertoscomosifueseunhub.Cuandoel
equiporesponderegistraelpuertodesdeelquelohahechoy,apartirdeese
momento,yaleenviarsiemprelosmensajesdirectamente.
Perocmosecomportaunswitchsiestastablassellenandeltodoytieneque
enviarleunmensajeaunequipocuyaMACnoestincluidaenellasyportanto
no sabe en que puerto est conectado? Difundiendo el mensaje a travs de
todossuspuertoscomosisetratasedeunhub.Elprobelmaocurrecuandoeste
equipo contesta. Puesto que el switch no tiene espacio no incluir el puerto
desde el que lo hace y seguir siempre enviandole los mensajes como si se
tratasedeunhub.
UnataquedesaturacinoinundacindedireccionesMAC(MACfloodingoARP
flooding)estencaminadoaesto:inundarunswitchconpeticionesdediferentes
direcciones MAC ficticias para que el switch sature sus tablas y comience a
comportarse como un hub con mensajes legtimos de forma que podamos
capturarlosmedianteelusodeunsniffer.CISCOincluyefuncionalidadesquenos
permiten limitar el nmero de MAC diferentes que pueden conectarse en los
puertos de sus switches de forma que nos permiten solucionar este problema.
Adems,tambinevitalosataquesdesaturacinaunservidorDHCP.
Si queremos limitar el puerto de un switch de forma que por este slo pueda
conectarseunequipoconunaMACconocidaejecutaramoslosiguiente:
ena
configterm
intf0/5
Pgina 20
Pgina 21
StormControl
Aveces,ygeneralmenteporaverashardwareosoftware,algunastarjetasdered
creanunacantidaddetrficotangrandequesaturan alswitchal queestn
conectadas, deteriorando las comunicaciones y llegando incluso al punto de
hacercaertotaloparcialmentelared.LosswitchesCISCOtienenlaposibilidad
decontrolarestomedianteunsubconjuntodecomandos.
ena
configterm
intf0/1
stormcontrolbroadcastlevel20
Enelejemplo anteriorhabilitamoselstormcontrolparaelpuerto 1denuestro
switchdeformqueeltrficobroadcastdelmismonosupereel20%delanchode
bandanominaldelmismo.
Podemos controlar de igual forma el trfico unicast y el multicast con, por
ejemplo,lasiguientesintrucciones:
stormcontrolmulticastlevel50
stormcontrolunicastlevel90
Nodebemosdeolvidarcuandoconfiguramosestosparmetrosquelostrestipos
detrficosonnecesariosyque,enparticular,elmulticastseusaportodoslos
protocolos de rutado dinmico (entre otros) y el unicast constituira el trfico
comndeunequipo.
Siquisieramosbloqueartotalmenteeltrficobroadcastdeunequipopodramos
ponerlosiguiente:
stormcontrolbroadcastlevel0
El trfico multicast y el unicast puede bloquearsetambin, adems de con el
comandoanterior,conelsiguiente:
switchportblockunicast
switchportblockmulticast
Pgina 22
Pgina 23