CONFIGURACION SWITCHES SG 350

VIDEO VIGILANCIA 2

MINISTERIO DEL INTERIOR

SETIEMBRE 2017
1. Acceso al Switch .................................................................................................................................... 3
1.2 Acceso vía Web ............................................................................................................................. 3
2. Cambiar credenciales ................................................................................................................................. 5
2.1 Cambiar credenciales vía web ...................................................................................................... 5
3. Habilitar y Deshabilitar servicios ................................................................................................................ 6
3.1 Habilitar acceso HTTPS, SSH y SNMP ............................................................................................ 7
4. Configurar comunidad SNMP ..................................................................................................................... 7
4.1 Ingresar Comunidad SNMP vía web.............................................................................................. 8
5. Configuración IP......................................................................................................................................... 9
5.1 Configuración IP del switch ......................................................................................................... 10
6. Configurar Default Gateway ................................................................................................................. 13
6.1 Ingresar Default Gateway vía web .............................................................................................. 13
7. Configurar nombre del switch .............................................................................................................. 15
7.1 Ingresar un hostname ................................................................................................................. 15
8. Limitar accesos al switch ..................................................................................................................... 16
8.1 Configurar Access List Extendida para Gestión ........................................................................... 16
8.1.1 Permitir acceso HTTPS desde la red 192.168.128.0/24 ...................................................... 17
8.1.2 Permitir acceso SNMP desde la red 192.168.128.0/24 ...................................................... 18
8.1.3 Permitir acceso SSH desde la red 192.168.128.0/24 .......................................................... 20
8.1.4 Permitir acceso ICMP desde la red 192.168.128.0/24........................................................ 21
8.1.5 Permitir acceso HTTPS, SNMP, SSH e ICMP desde la red 172.24.0.0/16 ............................ 22
8.1.6 Permitir acceso HTTPS, SNMP, SSH e ICMP desde la red 192.168.124.0/23 ...................... 23
8.1.7 Denegar acceso IMCP desde cualquier origen .................................................................... 23
8.1.8 Denegar acceso HTTPS desde cualquier origen .................................................................. 24
8.1.9 Denegar acceso SSH desde cualquier origen ...................................................................... 26
8.1.10 Denegar acceso SNMP desde cualquier origen .................................................................. 26
8.2 Aplicar el Access List ................................................................................................................... 26
9. Configuración por Command Line (Consola)........................................................................................ 28
9.1 Conexión de Consola................................................................................................................... 28
9.2 Autenticacion por Command Line .............................................................................................. 29
9.3 Configuración por Command Line .............................................................................................. 29
10. Pruebas............................................................................................................................................ 32
10.1 Ping a una Cámara ...................................................................................................................... 32
Acceso al Switch

1.2 Acceso vía Web

Configurar en el PC la IP 192.168.1.2 mascara 255.255.255.0

Conectar el PC mediante un cable de red al switch en el puerto Link/Act 1
Abrir un navegador y en la barra de direcciones ingresar 192.168.1.254
En la pantalla de login ingresar:

 Application: Switch Management

 Username: cisco
 Password: cisco
Y hacer click en login in

Una vez dentro vamos a la esquina superior derecha y el Display Mode por Advanced
para ver todas las opciones de configuraciones.
2. Cambiar credenciales

2.1 Cambiar credenciales vía web

En el menú ir a Administration, User Accounts y hacer click en Add

En el cuadro para agregar un nuevo usuario ingresar

 Username: sondaadm
 Password: S0nd4M1n1nt
 Confirm Password: S0nd4M1n1nt
y le damos Apply
NOTA: El segundo caracter del password es un cero
El usuario de cisco se eliminara automáticamente siendo remplazado por sondaadm

3. Habilitar y Deshabilitar servicios

3.1 Habilitar acceso HTTPS, SSH y SNMP

En el menú ir a Security, TCP/UDP Services. Deshabilitar todos los servicios y dejar

habilitados HTTPS Service, SNMP Service y SSH Service.Hacer click en Apply.

4. Configurar comunidad SNMP

4.1 Ingresar Comunidad SNMP vía web

En el menú ir a SNMP, Communities y hacer click en Add

En el cuadro de configuración, en SNMP Management Station seleccionar ALL

En la opción de Community String ingresar s0nd4
Seleccionar Basic y en Access Mode seleccionar Read Write
Hacer click en Apply
NOTA: Ir guardando la configuración para no perder cambios haciendo click en el botón
superior sobre la esquina derecha.

5. Configuración IP
Para configurar esta información se debe contar con la planilla de Direccionamiento IP de
las zonas donde se instalara cada uno de los switches. La planilla tiene dos campos donde
ubica los datos necesarios para configurar el direccionamiento IP.

EJEMPLO DE COMO USAR LA PLANILLA:

SI tomáramos un switch para llevar a la zona 1200 en Bvar. Gral. Artigas Esquina Solano
Garcia, el direccionamiento correspondiente seria:

 IP del Switch: 172.24.37.1

 Mascara de subred: 255.255.255.240 (Este valor no está en la planilla y es el
mismo para todos los switches)
 Default Gateway: 172.24.37.14

5.1 Configuración IP del switch

En el menú ir a IP Configuration, IPv4 Interface y hacemos click sobre el botón Add

En el siguiente cuadro en la casilla IP Address ingresamos la IP del Switch
correspondiente.
Siguiendo el ejemplo del switch B1200 es la IP 172.24.37.1

Mask: 255.255.255.240 (para todos igual)

Hacemos click en Apply
NOTA: En este punto vamos a perder gestión del switch ya que el PC continúa con IP
192.168.1.2. Es necesario cambiar para una IP menordel Default Gateway. En este caso
es 172.24.37.13, con la misma mascara de red que los switches y nos volvemos a loguear.
6. Configurar Default Gateway

6.1 Ingresar Default Gateway vía web

En el menú ir a IP Configuration, IPv4 Routes, y hacemos click en Add.

En el siguiente Cuadro ingresamos:

 Destination IP Prefix: 0.0.0.0

 Network Mask: 0.0.0.0
 Next Hop Router IP Address: 172.24.37.14 (Siguiendo el ejemplo del Switch
B1200)

Y luego haces click en Add.

7. Configurar nombre del switch

7.1 Ingresar un hostname

En el menú ir a Administration, System Settings. En el cuadro Hostname seleccionamos

User Defined e ingresamos el nombre.
Siguiendo el ejemplo anterior, correspondería el nombre SW-B1200 que se identifica
como "Nombre identificador" en la planilla de direccionamiento.

Sobre la parte inferior le damos Apply y luego volvemos a guardar la configuración.

8. Limitar accesos al switch

8.1 Configurar Access List Extendida paraGestión

En el menú ir a Access Control, IPv4-Based ACL, y en IPv4-Based ACL Table hacer click en
Add

En el siguiente cuadro ingresamos el nombre la Access list: Gestion Switch

Por ultimo hacer click en Apply.

8.1.1 Permitir acceso HTTPS desde la red 192.168.128.0/24

En el menú ir a Access Control, IPv4-Based ACL, y en IPv4-Based ACL Table,

seleccionamos la access list creada previamente (Gestion Switch) y luego hacemos click
en IPv4 Based ACE Table.
La siguiente pantalla es como muestra la siguiente imagen, sin las Access list creada.

Para crear un access list hacer clik en Add.

Ingresar
 Priority:100
 Action: Pemit
 Protocol: TCP
 Source IP Address: User Defined
 Source IP Address Value: 192.168.128.0
 Source IP Wilcard Mask: 0.0.0.255
 Destination IP Address: User Defined
 Destination IP Address Value: 172.24.37.1 (Este valor es variable segun la IP del
Switch que se este configurando)
 Destination IP Wilcard Mask: 0.0.0.0
  Destination Port: Single by Number y 443
Hacemos clik en Apply

8.1.2 Permitir acceso SNMP desde la red 192.168.128.0/24

Para crear el access list hacer clik en Add.

Ingresar:
 Priority:101 (Como verán este valor debe ser diferente para cada Access List)
  Action: Pemit
 Protocol: UDP
 Source IP Address: User Defined
 Source IP Address Value: 192.168.128.0
 Source IP Wilcard Mask: 0.0.0.255
 Destination IP Address: User Defined
 Destination IP Address Value: 172.24.37.1 (Este valor es variable segun la IP del
Switch que se esté configurando)
 Destination IP Wilcard Mask: 0.0.0.0
 Destination Port: Range e ingresamos 161 - 162
Hacemos clik en Apply
 8.1.3 Permitir acceso SSH desde la red 192.168.128.0/24

Para crear un access list hacer clik en Add.

Ingresar
 Priority:103
 Action: Pemit
 Protocol: TCP
 Source IP Address: User Defined
 Source IP Address Value: 192.168.128.0
 Source IP Wilcard Mask: 0.0.0.255
 Destination IP Address: User Defined
 Destination IP Address Value: 172.24.37.1 (Este valor es variable segun la IP del
Switch que se esté configurando)
 Destination IP Wilcard Mask: 0.0.0.0
 Destination Port: Single by Number y 22
Hacemos clik en Apply
 8.1.4 Permitir acceso ICMP desde la red 192.168.128.0/24

Para crear un access list hacer clik en Add.

Ingresar
 Priority:104
 Action: Pemit
 Protocol: Select from list: ICMP
 Source IP Address: User Defined
 Source IP Address Value: 192.168.128.0
 Source IP Wilcard Mask: 0.0.0.255
 Destination IP Address: User Defined
  Destination IP Address Value: 172.24.37.1 (Este valor es variable segun la IP del
Switch que se esté configurando)
 Destination IP Wilcard Mask: 0.0.0.0
Hacemos clik en Apply

NOTA: Recordar ir guardando los cambios

8.1.5 Permitir acceso HTTPS, SNMP, SSH e ICMP desde la red 172.24.0.0/16

Repetir los pasos del 8.1.1 al 8.1.4 pero modificando los siguientes parámetros:

 Priority: 105 al108 (para HTTPS, SNMP, SSH e ICMP respectivamente)

  Source IP Address Value: 172.24.0.0
 Source IP Wilcard Mask: 0.0.255.255

8.1.6 Permitir acceso HTTPS, SNMP, SSH e ICMP desde la red 192.168.124.0/23

Repetir los pasos del 8.1.1 al 8.1.4 pero modificando los siguientes parámetros:

 Priority: 108 al 112 (para HTTPS, SNMP, SSH e ICMP respectivamente)

 Source IP Address Value: 192.168.124.0
 Source IP Wilcard Mask: 0.0.1.255

8.1.7 Denegar acceso IMCP desde cualquier origen

En el menú ir a Access Control, IPv4-Based ACL, y en IPv4-Based ACL Table,

seleccionamos la access list creada previamente (Gestion Switch) y luego hacemos click
en IPv4 Based ACE Table.

Ingresar:
 Priority:113
 Action: Deny
 Protocol: Any
 Source IP Address: Any
 Destination IP Address: User Defined
 Destination IP Address Value: 172.24.37.1 (Este valor es variable segun la IP del
Switch que se esté configurando)
 Destination IP Wilcard Mask: 0.0.0.0
Hacemos clik en Apply
 8.1.8 Denegar acceso HTTPS desde cualquier origen

En el menú ir a Access Control, IPv4-Based ACL, y en IPv4-Based ACL Table,

seleccionamos la access list creada previamente (Gestion Switch) y luego hacemos click
en IPv4 Based ACE Table.

Ingresar:
 Priority:114
 Action: Deny
  Protocol: Select from list: TCP
 Source IP Address: Any
 Destination IP Address: User Defined
 Destination IP Address Value: 172.24.37.1 (Este valor es variable segun la IP del
Switch que se esté configurando)
 Destination IP Wilcard Mask: 0.0.0.0
 Destination Port: Single by Number y 443
Hacemos clik en Apply
 8.1.9 Denegar acceso SSH desde cualquier origen

Repetir el paso 8.1.8 modificando el parámetro Destination Port: Single by Number y 22

8.1.10 Denegar acceso SNMP desde cualquier origen

Repetir el paso 8.1.8 modificando los parámetros

 Protocol: Select from list: UDP
 Destination Port: Range: 161-162

8.2 Aplicar el Access List

En el menú ir a ACL Binding (VLAN) y hacer clik en ADD

En la siguiente ventana seleccionar IPv4-Based ACL y el nombre de las acces list creada
previamente.En Default Action seleccionamos Deny Any y damos Apply
9. Configuraciónpor Command Line (Consola)

9.1 Conexión de Consola

En la parte trasera conectar el cable de consola al equipo y el otro extremo al puerto

serial o usb (mediante un adaptador) dependiendo del tipo de conexión que el PC utilice.
En la aplicación de terminal configurar los siguientes valores:

NOTA: Si se utiliza la aplicación Putty con un adaptador USB, el COM dependerá del
puerto que se utilice y que valor asigne el PC al puerto utilizado.
9.2 Autenticacion por Command Line

Una vez que nos conectamos pedirá las credenciales por default para autenticar:

 User Name: cisco

 Pasword: cisco
Pedirá para cambiar el password por default. Le damos N y <enter>

9.3 Configuración por Command Line

Ya autenticados en el equipo copiamos la siguiente configuración:

configure terminal
!
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
exit
!
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
bonjour interface range vlan 1
ip access-list extended "Gestion Switch"
permit tcp 192.168.128.0 0.0.0.255 any 172.24.37.1 0.0.0.0 443 ace-priority 100
permit udp 192.168.128.0 0.0.0.255 any 172.24.37.10.0.0.0 161-162 ace-priority 101
permit tcp 192.168.128.0 0.0.0.255 any 172.24.37.1 0.0.0.0 22 ace-priority 102
permit icmp 192.168.128.0 0.0.0.255 172.24.37.1 0.0.0.0 any any ace-priority 103
permit tcp 172.24.0.0 0.0.255.255 any172.24.37.10.0.0.0 443 ace-priority 104
permit udp 172.24.0.0 0.0.255.255 any 172.24.37.10.0.0.0 161-162 ace-priority 105
permit tcp 172.24.0.0 0.0.255.255 any 172.24.37.1 0.0.0.0 22 ace-priority 106
permit icmp 172.24.0.0 0.0.255.255 172.24.37.1 0.0.0.0 any any ace-priority 107
permit tcp 192.168.124.0 0.0.1.255 any 172.24.37.10.0.0.0 443 ace-priority 108
permit udp 192.168.124.0 0.0.1.255 any 172.24.37.10.0.0.0 161-162 ace-priority 109
permit tcp 192.168.124.0 0.0.1.255 any 172.24.37.10.0.0.0 22 ace-priority 110
permit icmp 192.168.124.0 0.0.1.255 172.24.37.1 0.0.0.0 any any ace-priority 111
deny icmp any 172.24.37.1 0.0.0.0 any any ace-priority 112
deny tcp any any 172.24.37.1 0.0.0.0 443 ace-priority 113
deny tcp any any 172.24.37.1 0.0.0.0 22 ace-priority 114
deny udp any any172.24.37.1 0.0.0.0 161-162 ace-priority 115
exit
hostname SW-1200
ip http authentication aaa login-authentication http none
username sondaadm password encrypted 31db85481819a54b2296248d6c6ab86298293e9f privilege 15
ip ssh server
snmp-server server
snmp-server community s0nd4 rw view Default
no ip http server
!
interface vlan 1
ip address 172.24.37.1 255.255.255.240
no ip address dhcp
service-acl input "Gestion Switch"
exit
!
ip default-gateway 172.24.37.14
exit
copy running-config startup-config

Nos preguntara si queremos sobre escribir la configuración Le damos Y y <enter>

NOTA: Los parámetros en rojo son variables según el equipo que estemos configurando,
su IP y Default Gateway
10. Pruebas

10.1 Ping a una Cámara

Una vez configurado el equipo podemos probar conectividad con una cámara conectada
en los puertos del 1 al 8 del switch.

Ejecutamos:

Ping [IP de la camara]