Capítulo 2: Configuración y conceptos básicos de switching

Los switches de Cisco no necesitan ninguna configuración. Sin embargo, se puede ajustar requisitos de velocidad, de ancho
de banda y de seguridad de los puertos. Se puede administrar de manera local y remota con una dirección IP y un Gateway

CONFIGURACIÓN BÁSICA DEL SWITCH

Switch tiene la siguiente secuencia de arranque:
1. carga un programa de autodiagnóstico (POST) almacenado en la
ROM y verifica la CPU, DRAM y FLASH
2. carga el software de arranque almacenado en la ROM después
de que el POST se completa correctamente.
3. Inicializa la CPU de bajo nivel que controla la memoria física, la
cantidad de memoria y su velocidad.
4. inicia el sistema de archivos FLASH
5. Por último carga en la memoria una imagen del IOS
predeterminado y le cede el control del switch al IOS

El cargador de arranque busca la imagen de Cisco IOS de la siguiente manera: el SW intenta arrancar mediante el BOOT si
no lo encuentra hace una búsqueda en profundidad en archivos de la FLASH. Luego, el IOS inicia las interfaces mediante
archivo de configuración, startup-config, almacenado en NVRAM.

El botón Mode se utiliza para alternar entre el estado del puerto, el modo dúplex del puerto, la velocidad del puerto y el
estado de alimentación por Ethernet (PoE [si se admite])
LED del sistema.
o apagado (no está encendido)
o verde (funciona normalmente)
o ámbar (recibe alimentación pero no funciona correctamente)
LED del sis. de alimen. redundante (RPS)
o Apagado (RPS apagado o no se conectó correctamente
o Verde (conectado y listo para respaldo
o Parpadea verde (conectado pero no está disponible porque está alimentando a otro dispositivo)
o Ámbar (modo de reserva o presenta una falla)
o Parpadea ámbar (fuente de alimentación interna del switch presenta una falla y RPS está alimentando)
LED de estado del puerto: color verde, se seleccionó este modo
o apagado, no hay enlace, o el puerto estaba administrativamente inactivo
o verde, hay un enlace
o parpadea verde, hay actividad y el puerto está enviando o recibiendo datos
o verde y ámbar, hay una falla en el enlace
o ámbar bloqueado para asegurar que no haya un bucle
o parpadea ámbar, el puerto está bloqueado para evitar un
posible bucle
LED de modo dúplex del puerto: verde se seleccionó el modo
dúplex del puerto
o Apagado, modo half-duplex
o Verde, modo full-duplex
LED de velocidad del puerto
o Apagado 10 Mb/s
o Verde 100 Mb/s.
o Parpadea verde 1000 Mb/s
LED de modo de alimentación por Ethernet:

Solamente para acceso a la administración remota del switch

configurar con una dirección IP a la interfaz virtual del switch (SVI) que de forma predeterminada es la VLAN1 (Por
seguridad, se recomienda usar VLAN distinta) y asignar un
gateway predeterminado

Paso 1. Configurar la interfaz de administración

S1(config)# vlan “nro”
S1(config-vlan)# name “nombre”
S1(config-vlan)# exit
S1(config)# interface “interface_id”
S1(config-if)# switchport access vlan “nro”
Paso 2. Configuración del gateway predeterminado
Paso 3. Verificar la configuración
S1# show ip interface brief //determinar el
estado de las interfaces virtuales y físicas.
Switch# show running-config //muestra configuración activo
Switch#show startup-config //muestra conf. alamacenado NVRAM
Switch#copy running-config startup-config //configuracion active lo guarda a la NVRAM ( (write memory) version 7 old)
Switch# show vlan
Switch# show flash
Switch# delete vlan.dat //elimina archivo
Switch# dir flash:

S1(config)# service password-encryption // encrypta las contraseñas

S1(config)# no ip domain-lookup //desabilita busqueda DNS (caso de escribir mal commando)
S1(config)# banner motd # //poner mensaje de restriccion
S1(config)#enable secret class // establece pass acceso a modo EXEC PRIVILIGEADO “ > a # ”
S1(config)# ip default-gateway 192.168.1.1 //asigna ip al SW para acceso remote de otras redes

S1(config)# line con 0 //establece pass para el acceso a consola

S1(config-line)# password cisco
S1(config-line)# exec-timeout 5 0 //establece que si en 5min con 0seg no se presenta actividad se sale
S1(config-line)# login
S1(config-line)# logging synchronous // evitar que los mensajes de consola interrumpan los comandos

S1(config)# line vty 0 15 //establece pass para el acceso remoto, 0 15 = 16 sesiones

S1(config-line)# password cisco
S1(config-line)# exec-timeout 5 0
S1(config-line)# login
S1(config-line)# logging synchronous // evitar que los mensajes de consola interrumpan los comandos

WINDOWS 7 : C:\ Users\User1> pkgmgr /iu:”TelnetClient” //habilita telnet cliente por consola

S1# copy running-config startup-config // guardar el archivo de configuración en ejecución

Router# erase startup-config //eliminar la configuración de inicio de la NVRAM

Router# reload //eliminar una configuración antigua de la memoria

S1#show controllers ethernet-controller // examinar la configuración de auto-MDIX de una interfaz específica

Full-duplex aumenta el ancho de banda
eficaz conocido también como “flujo de
datos bidireccional” Las tramas
no pueden colisionar
Half-duplex genera problemas de
rendimiento y colisiones se presenta en hardware más antiguos (hubs)
SW vienen con configuración predeterminada de dúplex y velocidad
Los puertos 10/100/1000 funcionan en el modo half-duplex o full-
duplex cuando se establecen en 10 Mb/s o 100 Mb/s, pero solo
funcionan en el modo full-duplex cuando se establecen en 1000 Mb/s
(1 Gb/s).
Al conectarse a dispositivos conocidos, como servidores, estaciones
de trabajo dedicadas o dispositivos de red, se recomienda establecer
manualmente la configuración de dúplex y de velocidad
Se puede presentar incompatibilidades debido a la configuracion
Todos los puertos de fibra óptica, como los puertos 100BASE-FX, solo funcionan a una velocidad predefinida y siempre son
full-duplex

auto-MDIX, la interfaz detecta automáticamente el tipo de

conexión de cable requerido (directo o cruzado) y configura la
conexión conforme a esa información
Cuando se usa auto-MDIX en una interfaz, la velocidad y el modo
dúplex de la interfaz se deben establecer en auto

El resultado del comando show interfaces se puede usar para detectar

problemas frecuentes de los medios
 El primer parámetro (FastEthernet0/1 is up) capa de hardware
recibe señal
 El segundo parámetro (line protocol is up) capa de enlace de datos
si se reciben los keepalive (paquetes que se envian para saber si el
equipo esta #vivo#)
“Input errors” suma de todos los errores en los datagramas que se
recibieron en la interfaz. Estos incluyen los recuentos de fragmentos
de colisión, de fragmentos gigantes, de los que no están almacenados
en buffer, de CRC, de tramas, de saturación y de ignorados.
 o Runt frames: causa de exceso de fragmentos
o Giants: tramas más largas que la permitida
o Errores de CRC: en interfaces Ethernet y seriales,
errores debido a los medios o en los cables (ruido en el
enlace). Las causas comunes incluyen interferencia
eléctrica, conexiones flojas o dañada

“Output errors” suma de todos los errores que impiden la

transmisión final de los datagramas por la interfaz que se
analiza
o Collisions: en operaciones half-duplex Se recomienda
usar full-duplex
o Late collisions ocurren después de que se transmitieron
512 bits, longitud excesiva de los cables o configuración
incorrecta de dúplex, full-duplex y el otro lado half-
duplex, Las colisiones se verían para half-duplex

Si la interfaz está inactiva, realice lo siguiente:

o Verifique que se usen los cables adecuados y los
conectores
o Puede deberse a una incompatibilidad en la
configuración de velocidad. Establezca manualmente la
misma velocidad en ambos extremos

Si la interfaz está activa pero aún hay problemas de

conectividad, realice lo siguiente:
o Busque indicios de ruido excesivo
o Si no verifique si hay un exceso de colisiones con la
configuración de dúplex (se recomienda usar full-duplex
ambos extremos)

SEGURIDAD DE SWITCHES: ADMINISTRACIÓN E IMPLEMENTACIÓN

Shell seguro (SSH) protocolo de administración remota segura, SHH (22).

Telnet (23)
Para habilitar SSH switch debe usar IOS que incluya características y
capacidades criptográficas, con show versión vemos si contiene “k9”

S1#show ip ssh //muestra version de ssh

S1#show ssh //muestra conexiones ssh al dispositivo
S1(config)# service password-encryption // encrypta las contraseñas
S1(config)#ip domain-name netacad.pka //crea dominio ip de la red

S1(config)#crypto key generate rsa //habilita servicio SSH

How many bits in the modulus [512]: 1024 //longitud de modulo cisco recomienda 1024 pero si es mayo es mas
seguro pero se tarda ms en generarlo y utilizarlo
S1(config)#username “administrador” password “cisco” //para autentificar se crea el usuario y pass
S1(config)#line vty 0 15
S1(config-line)#transport input ssh //habilita solo conexiones ssh en las lineas vty
S1(config-line)#login local //autentificación mediante base de datos de usuarios locales
S1(config-line)#end
S1(config)#ip ssh version 2 // 1.99 en (show ssh) significa q tiene ssh2.. la version 1 tienen
vulnerabilidad se recomienda la 2

S1(config)# crypto key zeroize rsa //elimina par de claves rsa, servicio SSH se desabilita

SS1(config)# username “usuario” privilege “15” password “password” //en caso de asignar privilegios a un usuario

SATURACION TABLA MAC (y poder recibir todas las tramas que se envían)
El comportamiento de un switch de saturar direcciones MAC para las direcciones desconocidas se puede usar para atacar
un switch conocido como “ataque de desbordamiento de la tabla
de direcciones MAC” o “ataques de saturación MAC”

Las tablas de direcciones MAC poseen límite de tamaño. Los

ataques de saturación MAC usan esta limitación para sobrecargar
al switch con direcciones MAC de origen falsas hasta que la tabla
de direcciones MAC del switch esté completa. El switch entra en
un modo que se conoce como modo “fail-open”. En este modo,
el switch transmite todas las tramas a todas las máquinas en la
red. Como resultado, el atacante puede ver todas las tramas.
Algunas herramientas de ataques de red pueden generar hasta
155 000 entradas de MAC por minuto en un switch
mientras la tabla de direcciones MAC en el switch esté llena, el
switch difunde todas las tramas recibidas por cada puerto

Una forma de mitigar los ataques de desbordamiento de la tabla

de direcciones MAC es configurar la seguridad de puertos

DHCP (agotamiento direcciones y suplantación DHCP y hacer como gateway predeterminado)

Se pueden realizar dos tipos de ataques DHCP a una red conmutada
1. ataques de agotamiento de DHCP, un atacante satura el servidor de DHCP con solicitudes de DHCP para utilizar
todas las direcciones IP que llega a se una denegación de servicio (DoS) que es cualquier ataque que se usa para
sobrecargar dispositivos y servicios de red específicos con tráfico ilegítimo, lo que impide que el tráfico legítimo

2. suplantación de identidad de DHCP, un atacante configura un servidor de DHCP falso El motivo es obligar a los
clientes a que usen servidores de Sistema de nombres de dominios (DNS) o de Servicio de nombres Internet de
Windows (WINS) falsos y hacer como gateway predeterminado.

El agotamiento de DHCP se suele utilizar antes de un ataque de suplantación lo que facilita la introducción de un servidor de
DHCP falso en la red

Para mitigar los ataques de DHCP, se usan las características de detección de DHCP y de seguridad de puertos de los
switches Cisco Catalyst. Estas características se abarcan más adelante en otro tema
(CDP, Cisco Discovery Protocol) (Descubriendo IOS, IPs vecinos ataque DOS)
protocolo propiedad de Cisco, detecta otros dispositivos de Cisco
conectados directamente que permite conexión automática, es capa 2
por lo q los routers no propagan mensajes CDP
CDP se envía en difusiones periódicas sin cifrar, como la dirección IP,
versión IOS
plataforma, las capacidades VLAN nativa y se puede usar en un ataque (DoS). Que los atacantes pueden crear paquetes CDP
falsos y enviarlos a un dispositivo de Cisco conectado directamente

Se recomienda inhabilitar puertos que no necesitan usarlo no cdp run y por puerto

 Ataques de Telnet: inseguro, Existen herramientas fuerza bruta contra las líneas vty
 Ataque de contraseña de fuerza bruta: La primera fase uso de contraseñas comunes y un programa
establecer una sesión de Telnet mediante todas las palabras del diccionario. la segunda fase un programa que
genera combinaciones de caracteres
Para mitigar los ataques de contraseña de fuerza bruta, use contraseñas seguras y cámbielas con frecuencia
El acceso a las líneas vty se puede limitar (ACL)
 Ataque DoS por Telnet: explota un defecto del software del servidor Telnet que se ejecuta en el switch se
recomienda usar SSH

PRÁCTICAS RECOMENDADAS DE SEGURIDAD (VIGILANCIA Y CAPACITACIÓN)

o Desarrolle una política de seguridad escrita para la organización
o Desactive los servicios y puertos que no se utilicen.
o Utilice contraseñas seguras y cámbielas con frecuencia.
o Controle el acceso físico a los dispositivos.
o use HTTPS
o Realice copias de respaldo y pruébelas periódicamente.
o Capacite a los empleados en ingeniería social y desarrolle políticas para validar identidades por teléfono y correo
o Cifre y proteja con contraseñas los datos confidenciales.
o Implemente hardware y software de seguridad, como firewalls.
o Mantenga el software actualizado semanal o mensual con parches de seguridad
Mediante herramientas, el administrador puede iniciar un ataque contra la red y analizar los resultados para determinar
cómo ajustar las políticas de seguridad . Las auditorías de seguridad y las pruebas de penetración son dos funciones básicas

Deshabilitar puertos en desuso

Switch(config)# interface range escriba el módulo/primer-número – último-número

El snooping DHCP, función que determina que puertos pueden

responder a solicitudes de DHCP, se identifican como confiables o no
confiables, confiables pueden recibir todos los mensajes de DHCP, no
confiables solo pueden recibir solicitudes si intenta enviar un paquete
de oferta de DHCP a la red, el puerto se desactiva

Seguridad del puerto (permitir una o más direcciones MAC)

Tipos de direcciones MAC seguras
o estáticas: manualmente switchport port-security mac-address
“dirección-mac”
o dinámicas: detectadas dinámicamente y se eliminan cuando el
switch se reinicia
o persistentes: debe habilitar el aprendizaje por persistencia
switchport port-security mac-address sticky
Para cambiar el modo de violación en un puerto de switch,
use el comando del modo de configuración de
interfaz switchport port-security
violation {protect| restrict | shutdown}.

Una violación puede provocar que el puerto se desactiva down

(inactivo)
El LED del puerto cambia a color naranja. El comando show
interfaces identifica el estado del puerto como err-disabled
El administrador debe determinar la causa de la violación de
seguridad antes de volver a habilitar el puerto y habilitar hasta que
se elimine la amenaza de seguridad
Para volver a habilitar el puerto, use el comando shutdown luego
no shutdown para que el puerto funcione

EL PROTOCOLO NTP permite que los dispositivos de red sincronicen

la configuración de la hora con un servidor NTP a un grupo de
clientes NTP que obtienen información de fecha y hora
Un método seguro es tener propios relojes maestros de red privada,
sincronizados en UTC por satélite o radio pero por el costo otros
origen seria Internet
Los dispositivos de red se pueden configurar como servidor NTP o
cliente NTP
R2 configurado como cliente NTP y R1 funciona como servidor NTP
 Para configurar un dispositivo con un reloj maestro NTP use el comando ntp master [capa] El valor de capa es un número
que va de 1 a 15, por defecto viene la Nro 8

R2# show ntp associations

// muestra el estado de las asociaciones NTP

R2# show ntp status

//muestra información como el estado de la sincronización de NTP, el
peer con el que el dispositivo está sincronizado y las capas NTP

Se registró automáticamente las dos

direcciones MACs de las PCs y no existe
violación en el envió de información
Se conecto la MAC de la laptop pero se le deniega el envió y
recepción de información debido a que la TABLA MAC o
DIRECCIONES SEGURIDAD ya están conformadas.. y se registraron
las violaciones al querer enviar o recibir informacion(2)

S1(config)#interface fastEthernet 0/1 //accediendo a la interface a configurar la seguridad

S1(config-if)#switchport port-security //habilita las opciones de seguridad
S1(config-if)#switchport port-security maximum 1 //un solo dispositivo MAC se pueda registrar y conectar
S1(config-if)#switchport port-security mac-address sticky // q se aprenda la MAC el momento que se conecta la PC
Si se desea agregar MAC manualmente luego de sticky agrega
S1(config-if)#switchport port-security violation restrict // cuando la tabla MAC se llena no permita remplazar o
ampliar la MAC para ese puerto (protect=descarta paquetes pero no
notifica) (restrict=descarta el paquete y notifica) (shutdown=apaga
el puerto, esta por default)

S1(config)#interface range f0/3-24 //apagando las demas interfaces

S1(config-if-range)#shutdown

S1#show port-security address //muestra las MACs ya registradas seguras

S1#show port-security interface f0/1 //muestra parametros como MAC asociada a esa interface, nro de
violaciones, y parámetros de seguridad