Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
1. Modulo 01: Configuraciones Básicas
1. Conocimiento del Hardware
2. Lab 01: Primera Exploración
3. Lab 02: Reseteo a Configuración de Fábrica
4. Lab 03: Configuraciones Básicas
5. Lab 04: Manejo de Puertos
6. Lab 05: Administración Remota Segura
7. Lab 06: El tiempo y protocolos del tiempo
8. Lab 07: Repaso del Modulo 01
2
Módulo 01: Configuraciones Básicas
3
4
5
6
7
8
9
10
11
12
13
14
Puertos
Puertos Soporte
Código Descripción Smart Módulos
Gigabit de PoE+
Rate
JL319A Aruba 2930m 24G 1 slot 24 1
JL320A Aruba 2930m 24G PoE+ 1 slot 24 X 1
JL321A Aruba 2930m 48G 1 slot 48 1
JL322A Aruba 2930m 48G PoE+ 1 slot 48 X 1
JL323A Aruba 2930m 40G 8SR PoE+ 1 slot 40 8 X 1
JL324A Aruba 2930m 24SR PoE+ 1-slot 24 X 1
15
16
Código Descripción Velocidad Distancia Tipo de Cable
Fibra
J4858D 1GBase-SX 1Gigabit 500m
Multimodo
Fibra
J4859D 1GBase-LX 1Gigabit 10km
Monomodo
1GBase-LH Fibra
J4860D 1Gigabit 70km
(Long Haul) Monomodo
100Base-T
J8177D 1Gigabit 100m Cobre
RJ-45
17
Código Descripción Velocidad Distancia Tipo de Cable
33m om1
82m om2 Fibra
J9150D 10GBase-SR 10Gigabit
300m om3 Multimodo
400m om4
Fibra
J9151D 10GBase-LR 10Gigabit 10Km
Monomodo
Fibra
J9152D 10GBase-LRM 10Gigabit 220m
Multimodo
Fibra
J9153D 10GBase-ER 10Gigabit 40km
Monomodo
18
Tipo de
Código Descripción Velocidad Distancia Tipo de Cable
Conector
19
LC vs MPO
20
Twinaxial o Direct Attach Cable (DAC)
21
Módulo 01: Configuraciones Básicas
22
Laboratorio 01: Primera Exploración
23
Comunicación entre dispositivos que envía 1 Bit de
Datos a la vez secuencialmente.
Se le dice Serial a los Puertos y Cables con Conectores
DB-9 y DB-25
▪ Antes
▪ Se usaban para conectar una computadora a otros dispositivos
como una impresora o mouse.
▪ Ahora
▪ Se usan para administrar dispositivos debido a su bajo costo y bajos
requerimientos de hardware.
▪ Actualmente utilizamos comunicación serial a altas velocidades
usando conectores como los siguientes:
▪ USB (Universal Serial Bus)
▪ Firewire
▪ SATA (Serial ATA)
24
Se le llama Cable Serial al conector DB-9 a RJ-
45 utilizado para la administración de
dispositivos informáticos.
25
El adaptador Serial-USB permite conectar un
cable serial a una computadora que solo tiene
puertos USB.
26
Es un software que permite regular la velocidad de
los datos recibidos en el puerto USB para ajustarse a
velocidad del Puerto Serial del Switch.
27
La siguiente es la forma como se ve un Software
Emulador de Terminal Serial sincronizado
correctamente. Nos muestra el CLI (Command Line
Interface)
28
Interfaz que permite administrar el dispositivo
▪ Muestra información en pantalla
▪ Permite ingresar comandos y dar ordenes al dispositivo
Acceso Local: Puerto de Consola (Serial)
Acceso Remoto: Telnet o SSH
29
OPERATOR
LEVEL
enable
MANAGER LEVEL
configure
GLOBAL
CONFIGURATION
interface
CONTEXT
CONFIGURATION
PORT VLAN
30
Identificador Nombre Descripción
Hostname> OPERATOR LEVEL Es la primera interfaz que se muestra
Ej: Aruba2930f> luego del login.
• Permite hacer ping y algunos
comandos show.
Hostname# MANAGER LEVEL Permite realizar:
Ej: Aruba2930f# • Comandos de manejo de archivos
(copy, erase)
• Todos los comandos show
• write memory (para grabar la config)
Nombre<config># GLOBAL La mayor cantidad de comandos se
Ej: Aruba2930f<config># CONFIGURATION realizan en esta vista.
Permite ingresar a las interfaces.
Nombre<config-if- CONTEXT Existe una vista de interfaz para
interfaz># Ej: CONFIGURATION puertos, vlans, protocolos.
Aruba2930f<config-if- Por ejemplo:
vlan1># • Vista de Interface del Puerto
• Vista de Interfaz de la Vlan 31
Comando Función
enable Ingresar a la vista Manager Level
configure Ingresar a la vista Global Configuration
exit Retrocedemos a la vista de configuración
anterior
end Retrocedemos a la vista de manager
directamente (estemos en la vista de
configuración global o de un contexto)
interface nombre Entramos a la vista de configuración de la
interfaz (Puerto)
reload Reinicia el Switch
write memory Permite guardar la configuración del equipo
en memoria flash.
32
Comando Función
? Ayuda sobre comandos
help disponibles
texto? Autocompleta el comando
texto#Tecla Tab que se esta escribiendo o
muestra las opciones cuando
hay muchas opciones
#Tecla Escribe el último comando
utilizado
no comando Se coloca previamente a un
comando para deshacerlo
33
Comando Función
show comando Muestra información sobre XXXX (Puerto,
Vlan, Dispositivo, etc)
show running-config Muestra el archivo de configuración en
memoria ram (aun no esta guardado)
show config Muestra el archivo de configuración con el
cual inicia el equipo.
show system Muestra la información del sistema,
incluyendo mac address, numero de serie,
versión de software
show version Muestra la versión del sistema operativo
show tech all Muestra la información de diagnóstico del
switch.
show history Muestra las últimas 25 configuraciones
realizadas desde el último login
34
Laboratorio 01: Primera Exploración
35
Objetivos
▪ Aprender a conectarse a un puerto de consola.
▪ Aprender a navegar por la interfaz CLI.
▪ Aprender los comandos básicos de configuración
de los switches Aruba.
36
Requisitos (Por cada 2 – 4 Personas)
▪ 1 Switch
▪ 1 Cable de Consola (RJ-45 – Serial DB9)
▪ 1 Cable Adaptador Serial – USB
▪ 1 Laptop o PC
▪ Software Emulador de Terminal Serial
▪ Tera Term
37
Primeros Pasos
▪ Conectar el cable de consola al adaptador Serial
- USB
▪ Conectar el conector RJ-45 del Cable de Consola
al puerto de consola del switch y el otro extremo
al puerto USB de la computadora.
▪ Instalar el software Tera Term en la
computadora. Este software se encuentra en la
carpeta:
▪ Material/Software para Conexión Serial/Tera Term
38
Abrir el Tera Term, en la ventana de New
Connection:
▪ Elegir la opción Serial y elegir el COM# que haya
detectado el adaptador USB-Serial (Prolific USB-
to-Serial Comm Port)
39
Pueden verificar el número de puerto de
COM en el administrador de dispositivos.
40
En el Tera Term elegir las siguientes
opciones:
▪ Elegir la opción Setup/Serial Port
41
Ingresar los Parámetros de la Conexión
Serial
▪ Dependiendo del switch la velocidad de conexión
(Baud Rate) puede cambiar.
▪ Ingresar los siguientes valores:
Item Valor
Port COM[numero]
Baud Rate 9600
Data 8 bit
Parity None
Stop 1 bit
Flow Control none
42
Realizar la siguiente acción para ver la línea de comandos:
▪ #Tecla Enter
Ingresar los siguientes comandos para realizar un recorrido rápido
por el CLI
▪ ? #Permite ver los comandos disponibles en la vista del operador.
▪ enable #Ingresamos a la vista de manager del sistema
▪ ? #Para ver los comandos disponibles en la vista manager
▪ configure#Ingresamos a la vista de global configuration
▪ ? #Para ver los comandos disponibles en la vista de global
configuration
▪ hostname SwitchAruba#Cambio de nombre al switch
▪ exit #Regresamos a la vista de manager
▪ show running-config #Para ver la configuración actual
▪ show config #Para ver la configuración grabada en el sistema, hay
alguna diferencia con la configuración actual?
▪ show config status #¿Hay cambios entre las config?
43
Verificar los comandos escritos ¿Cuál es el comando
que causa un cambio en la configuración?
▪ show hitory #Escribir el comando mal a propósito
▪ #Utilizar la tecla para volver a escribir el comando mal
escrito y corregirlo
▪ show history #Muestra los últimos 25 comandos escritos
▪ ? #Permite ver los comandos disponibles en la vista del
operador.
▪ show history ? #Muestra que opciones tenemos
disponibles para el comando history
▪ show history timestamp #Muestra los últimos 25
comandos escritos y la hora a la que fueron colocados
44
Grabamos la configuración y revisamos los cambios
▪ w? #¿Que comandos comienzan con la letra w?
▪ wr #¿Que comandos comienzan con las letras wr?
▪ write ? #¿Aparte de write memory, que otra opción
tenemos para el comando write? ¿A que comando
equivale?
▪ write terminal #Revisar la configuración actual
▪ write memory #Grabar la configuración
▪ show running-config #Revisar la configuración actual
▪ show config #Revisar la configuración grabada en el
sistema ¿son iguales?
▪ show config status #Verificamos si las configuraciones
son iguales
45
Módulo 01: Configuraciones Básicas
46
Laboratorio 02: Reseteo a la Configuración de Fábrica
47
Reseteo a Configuración de Fábrica
▪ Usos:
▪ Cuando se recibe un switch con configuraciones, el
reseteo a fábrica permite borrar todas sus
configuraciones y se comporta como un switch nuevo.
▪ En ambientes de pruebas de configuraciones, es mejor
probar una sola característica sin que las demás influyan.
▪ Nota: El reseteo a fabrica no borra la información
de usuario y contraseña.
48
Los siguientes comandos solo se pueden usar
en la vista manager
Comando Función
write memory Permite grabar la configuración
show config Muestra los archivos de configuración.
erase startup-config Elimina el archivo de configuración que usa
el switch al encender y reinicia el switch.
reload Reinicia el Switch
49
Para resetear el equipo a configuración de
fábrica
▪ Modo 1 – En el CLI
▪ enable
▪ erase startup-config
▪ y #aceptar la configuración apretando la tecla y
▪ #Nota: No grabar la configuración al reiniciar
50
▪ Modo 2 – Usando los botones de Reset y Clear
▪ Presionar los botones de clear y reset al mismo tiempo.
▪ Dejando presionado el botón de clear, soltar el botón de
reset.
▪ Cuando el global status led comience a flashear de color
naranja (después de aproximadamente 5 segundos)
soltar el botón clear.
51
▪ Procedimiento para borrar los usuarios y
contraseñas
▪ Presionar el botón de clear mas de 5 segundos pero
menos de 15 segundos.
▪ Después de 5 segundos el Global Status Led se pondrá
de color verde para indicar que se han borrado las
contraseñas.
52
Laboratorio 02: Reseteo a la Configuración de Fábrica
53
Laboratorio 02
▪ Ejecutar los siguientes siguiente comando:
▪ enable
▪ configure #Entramos a la vista de configuración global
▪ hostname nombre
▪ Grabar la configuración
▪ write memory
▪ Reiniciar
▪ reload
▪ ¿Qué paso?¿Se mantuvo la configuración?
▪ show running-config
▪ #Podemos observar que el nombre del equipo se mantiene luego de reiniciar el switch, eso
significa que se grabo correctamente la configuración
▪ Resetear el equipo a configuración por defecto.
▪ #Utilizar cualquiera de los métodos aprendidos
▪ Reiniciar
▪ ¿Qué paso?
▪ show config
54
Módulo 01: Configuraciones Básicas
55
Laboratorio 03: Configuraciones Básicas
56
Los equipos vienen de fábrica
▪ Sin dirección IP
▪ Sin usuario y sin contraseña
▪ Imposible de administrar remotamente
57
Realizar una configuración básica significa.
▪ Crear usuarios y passwords para Consola, Telnet y
Web.
▪ Asignar dirección ip al equipo para permitir el
acceso y configuración remoto.
▪ Colocar nombre al equipo, Colocar un mensaje de
bienvenida al equipo
58
Asignación de una dirección IP
▪ Similar a la dirección de una casa.
▪ Una dirección IP permite que un switch se pueda comunicar con
otros dispositivos de red. Esto permite que podamos
administrar un switch de manera remota.
▪ La dirección IP se puede asignar y cambiar en cualquier
momento con comandos, aunque no es recomendable hacerlo
muy seguido.
▪ Nota: Los switches Aruba vienen por defecto con dhcp activo en
la vlan 1, es decir que pueden obtener una dirección IP de un
servidor DHCP.
59
Asignación de Nombre y Mensaje de Bienvenida
▪ Nombre del Switch
▪ Identificar que switch estoy configurando en este momento
cuando me conecto por consola. Ejemplo: SW-Informatica>
▪ Identificar a un switch rápidamente en un software de
administración.
▪ 00-e0-81-5e-95-fa vs→ Sw-Informatica
▪ Mensaje de bienvenida
▪ Sirve para brindar información a las personas que se conectan
a administrar el switch. Puede ser información legal, reglas de
uso del switch.
60
Los siguientes tipos de usuario vienen configurados
por defecto:
Tipo de usuario Permiso
63
Comandos para asignar contraseña a los
usuarios operator y manager.
Comando Función
password Permite colocar un pasword al usuario
manager/operator/all manager/operator/all
password manager/operator Permite cambiar el nombre de usuario al manager
user-name nombreusuario o al operador.
64
Laboratorio 03: Configuraciones Básicas
65
Laboratorio 3
▪ Configuramos todos los equipos con las siguientes direcciones
IP.
▪ Computadoras
▪ Dirección IP: 192.168.10.20X (La X es el número de switch que han sido asignados)
▪ Mascara 255.255.255.0 1111 1111 . 1111 1111 . 1111 1111. 0000 0000
▪ Switches
▪ Dirección IP: 192.168.10.X (La X es el número de switch que han sido asignados)
▪ Conectaremos todos los Switches al Switch Nº 01.
▪ Conectaremos nuestra pc a nuestro switch.
▪ Creamos un usuario y password para cada switch.
▪ Crearemos un mensaje de bienvenida a los equipos y les
asignaremos un nombre.
▪ Haremos Pruebas de conectividad (usando ping y telnet) entre
todos los equipos.
66
Topologia
PC-01
SW-01
SW-02 SW-04
SW-03
PC-02 PC-04
PC-03
67
Asignamos nombre al equipo y ponemos un mensaje de
bienvenida
▪ #Entramos a consola usando teraterm.
▪ enable #ingresamos a la vista privilegiada
▪ configure #ingresamos a la vista de configuración global
▪ hostname SW-GRUPO-01 #colocamos nombre al switch
▪ banner ? #Verificamos que comandos hay disponibles en banner
▪ banner motd *
------------------------------BEWARE---------------------------------
Este equipo es propiedad privada y esta prohibido ingresar sin
permiso * #Tomar en cuenta que el primer símbolo usado después
del comando banner motd delimita el principio y final del mensaje
▪ exit
▪ write memory #Grabamos la configuración
68
Asignar una dirección IP y hacemos pruebas de conectividad
▪ #Entramos a consola usando teraterm.
▪ enable #ingresamos a la vista privilegiada
▪ configure #ingresamos a la vista de configuración global
▪ vlan 1
▪ ? #Revisamos los comandos disponibles en una interfaz de Vlan
▪ no ip address #Si hubiera una IP, la borramos
▪ ip address 192.168.10.X 255.255.255.0 #Asignamos una IP
▪ exit
▪ exit
▪ show running-config #Revisamos la configuración realizada
▪ show ip # Revisamos las direcciones ip configuradas
▪ write memory #Grabamos la configuración
▪ ping 192.168.10.x #Probamos el ping a otros switches
▪ ping 192.168.10.20x #Probamos el ping entre switches y entre PCs
69
Realizar pruebas de conectividad
▪ Conectarse al switch utilizando telnet.
▪ ¿Funciona la conexión?
71
Importancia de los usuarios
▪ Por defecto los switches brindan acceso total a los usuarios que se
conectan por consola, telnet o web.
▪ Es importante configurar una contraseña al usuario operador y al
usuario manager para proteger el acceso de usuarios indeseados.
▪ Las contraseñas se encuentran encriptadas y guardadas de manera
segura.
72
Asignar contraseña al usuario operador
▪ Conectarse al switch utilizando telnet.
▪ enable #ingresamos a la vista del manager
▪ configure #ingresamos a la vista de configuración global
▪ password operator #Creamos el password para el usuario operator
▪ cks123 #colocamos el pasword para el operador
▪ cks123 #volvemos a colocar el password para el operador
▪ exit #salimos de la vista de configuración global
▪ exit #salimos del enable
▪ exit #salimos del switch
▪ y #confirmamos que queremos salir
▪ Conectarse al switch usando telnet o consola, esta vez nos solicitaran ingresar
usuario y contraseña
▪ operator #ingresamos el usuario
▪ cks123 #ingresamos la contraseña
▪ ¿En que vista ingresamos luego de hacer login?
▪ ¿Qué pasa si ingreso a la vista del manager (comando enable)?
▪ Es importante crear un usuario manager, sin un usuario manager el operator
puede obtener permisos de manager solo escribiendo enable.
73
Eliminar la contraseña del usuario operador
▪ Conectarse al switch usando telnet o consola, esta vez nos solicitaran ingresar
usuario y contraseña
▪ operator #ingresamos el usuario
▪ cks123 #ingresamos la contraseña
▪ enable #ingresamos a la vista de manager
▪ configure #ingresamos a la vista de configuración global
▪ no password operator #eliminamos el password del operator
▪ y #confirmamos
Creamos la contraseña para el manager
▪ Conectarse al switch utilizando telnet.
▪ enable #ingresamos a la vista del manager
▪ configure #ingresamos a la vista de configuración global
▪ password manager #Creamos el password para el usuario manager
▪ cks123 #colocamos el pasword para el operador
▪ cks123 #volvemos a colocar el password para el operador
▪ exit #salimos de la vista de configuración global
▪ exit #salimos del enable
▪ exit #salimos del switch
▪ y #confirmamos que queremos salir
74
Prueba del usuario manager
▪ Conectarse al switch usando telnet o consola e ingresar el usuario y
contraseña
▪ manager #ingresamos el usuario
▪ cks123 #ingresamos la contraseña
▪ ¿En que vista ingresamos luego de hacer login?
▪ ¿Qué pasa si ingreso a la vista del operador (comando exit)?
Prueba sin contraseña
▪ Conectarse al switch usando telnet o consola y no ingresar usuario y
contraseña.
▪ #apretamos enter cuando nos solicitan usuario
▪ ¿Ingresamos a alguna vista sin colocar usuario y contraseña?¿A cual?
▪ ¿Qué pasa si escribimos el comando enable? Ingresar datos del usuario
manager.
Resumen
▪ Es importante configurar una contraseña al usuario manager y al usuario
operator para proteger todas las vistas del sistema, esto se realiza con el
comando password all o asignando a cada uno por separado.
75
Configurar password para ambos usuarios y
cambiarles el nombre.
▪ #Conectarse al switch usando telnet
▪ configure #ingresamos a la vista de configuración global
▪ pasword all #Creamos un password para el manager y el
operator al mismo tiempo
▪ #Ingresar password operator
▪ #Repetir password operator
▪ #Ingresar password manager
▪ #Repetir password manager
▪ exit #retrocedemos a la vista privilegiada
▪ write memory #grabamos la configuración realizada
76
Verificamos la configuración realizada
▪ show running-config #verificamos la
configuración realizada
▪ show ip #verificamos las direcciones IP creadas
77
Realizar pruebas de conectividad y de la
configuración realizada
▪ Usar el comando exit hasta salir de la configuración y
volver a conectarse por consola.
▪ Ingresar las credenciales para ingresar al switch.
▪ Realizar pruebas de conectividad (ping) a todas las
demás computadoras y switches de la red.
▪ Conectarse con el usuario manager por telnet y web a
todos los switches.
▪ Conectarse con el usuario operator por telnet y usar
enable para aumentar los privilegios.
78
Eliminamos las configuraciones introducidas
▪ Eliminamos los usuarios y el password enable
▪ no password all
▪ Eliminamos ip address, hostname y banner
▪ vlan 1
▪ no ip address
▪ exit
▪ hostname Aruba2930M #El hostname no se puede
regresar a fabrica, solo se puede cambiar
▪ no banner motd
79
Ejercicio Propuesto
▪ Restaurar los equipos a su configuración por defecto
▪ Dependiendo del grupo al que pertenecemos asignar un nombre al switch: Sw-0#
▪ Crear mensaje de bienvenida, indicando las advertencias de entrar sin autorización.
▪ Colocar IP según:
▪ Switch: 192.168.20.# 255.255.255.0
▪ Computadora: 192.168.20.20# 255.255.255.0
▪ Crear el usuario de nombre administrador
▪ Password #Colocar el password que deseen
▪ Nivel manager
▪ Crear el usuario de nombre invitado
▪ Password 12345678
▪ Nivel operator
▪ Realizar pruebas de Ping, Telnet y Web a los demás switches.
▪ Tip:
▪ password manager user-name administrador
▪ password operator user-name invitado
80
Modulo 01: Configuraciones Básicas
Comandos en la interfaz de un puerto
Comando Función
interface [puerto] Ingresar a la interfaz de un puerto del switch.
#Ejemplo: #interface 5 Dentro de la interfaz se pueden realizar
multiples configuraciones como cambiar la
velocidad, apagar el puerto, entre otros.
interface [puerto]-[puerto],[puerto] Permite ingresar a la interfaz de varios puertos
#Ejemplo: interface ethernet 1-24 a la vez. La coma sirve para separar puertos o
interface ethernet 1,5-7,10,15-24 grupos de puertos y el guion permite
seleccionar múltiples puertos consecutivos.
name nombre Permite agregar un nombre a un puerto, ayuda
a recordar donde están conectados enlaces o
dispositivos.
disable Apagar un puerto
enable Encender un puerto 82
Comandos en la interfaz de un puerto
Comando Función
power-over-ethernet Activa poe en un puerto, por defecto viene
activo.
show power-over-ethernet Verifica el estado del PoE en los puertos.
brief
speed-duplex speed-dúplex Asignar manualmente la velocidad del puerto y
#Ejemplo speed-dúplex 100- dúplex del puerto, por defecto el valor es auto.
full
show interfaces brief Muestra el resumen de configuración de los
puertos.
show interfaces status Muestra el nombre, estado de los puertos, vlans
entre otros.
83
Laboratorio 04: Manejo de Puertos
Encender o apagar un puerto
▪ #Entramos a consola usando teraterm.
▪ enable #ingresamos a la vista de manager
▪ configure #ingresamos a la vista de configuración global
▪ interface [puerto] #Entramos a la interfaz de configuracion del puerto
donde esta conectada nuestra pc
▪ disable# Apagamos el puerto
▪ exit #Salimos de la interfaz del puerto
▪ exit
▪ Verificar que se apago el led del puerto y probar los comandos:
▪ show interfaces status
▪ show interfaces brief
▪ interface [puerto] #Entramos a la interfaz de configuración del puerto
donde esta conectada nuestra pc
▪ enable# Encendemos el puerto
▪ exit
85
Cambiar velocidad y duplex del Puerto
▪ Colocar el dúplex en half y la velocidad en 100 en todos los enlaces
entre switches
▪ interface [enlace] #Entrar al puerto donde estamos conectados con otros
switches
▪ speed-duplex 100-half
▪ exit
▪ Verificar el cambio de color del led del puerto (en modo speed) y
probar los comandos:
▪ show interfaces status
▪ show interfaces brief
▪ Regresar el puerto a su configuración original
▪ interface [enlace]
▪ speed-dúplex auto
▪ exit
▪ exit
▪ Verificar el cambio de color del led del puerto y probar los comandos:
▪ show interfaces status
▪ show interfaces brief 86
Ejercicio Propuesto
▪ Apagar todos los puertos que no se están usando del
switch.
▪ Setear la velocidad de conexión entre switches a
▪ Velocidad 10mb
▪ Duplex modo full
▪ ¿De que color es el led del puerto y a que velocidad parpadea
en modo speed?
▪ Regresar la velocidad de conexión a auto y verificar el
led en modo speed.
▪ ¿De que color es el led del puerto y a que velocidad parpadea?
▪ Probar los puertos apagados, no deberían funcionar.
87
Módulo 01: Configuraciones Básicas
Laboratorio 05: Administración Remota Segura
Administración Local (out-of-band)
▪ Tipos de administración Local
▪ Puerto de consola
▪ Puerto de administración fuera de banda.
▪ Protección Física.
▪ Se requiere acceso físico al puerto de consola.
▪ El switch debe estar protegido en un gabinete con llave.
▪ El gabinete esta vigilado por personal o cámaras.
▪ Es recomendable colocar contraseñas para incrementar la
seguridad
90
Administración Remota (in-band)
▪ Tipos de administración remota
▪ Por línea de comandos: telnet y SSH
▪ Por interfaz web: http y https
▪ No hay protección física, cualquiera que puede hacer
ping al switch puede utilizar administración remota.
▪ Es muy importante colocar contraseñas y utilizar
protocolos seguros.
PC-01 Switch
91
Telnet vs SSH
Telnet SSH
Nombre Telecommunication Network Secure Shell
Seguridad No seguro Seguro
Puerto TCP 23 22
Passwords Texto plano Encriptados
Sesión Texto plano Encriptados
Autenticación No tiene Uso de llave pública para autenticar
del servidor
Vulnerabilidades Mas vulnerable (menos soporte Menos vulnerable
y menos uso desde que
apareció SSH)
92
HTTP vs HTTPS
HTTP HTTPS
Nombre Protocolo de Transferencia de Protocolo seguro de Transferencia
Hipertexto de Hipertexto
Seguridad No seguro Seguro
Puerto TCP 80 443
Passwords Texto plano Encriptados
Sesión Texto plano Encriptados
Autenticación No tiene Uso de certificados digitales para
del servidor autenticar
93
Funcionamiento de SSH
▪ El servidor SSH tiene una llave privada y una publica
para autenticar al servidor.
▪ La llave privada esta guardada de manera segura en el
servidor.
▪ La llave publica se envía a los dispositivos que desean
conectarse al servidor SSH.
▪ El cliente autentica su llave publica con la llave privada del
servidor. En caso de ser positivo se crea un túnel seguro e
inicia la comunicación.
94
Funcionamiento de HTTPs
▪ El servidor HTTPs utiliza un certificado digital .
▪ El certificado digital es creado por un CA (certificate authority) e instalado en el
servidor HTTPs.
▪ Cuando un cliente se conecta a la web recibe la información del CA y le
pregunta si es cierto que ha emitido ese certificado digital a esa web.
▪ Luego de verificar que es válido ese certificado la conexión se vuelve segura. Y
toda la data se envía encriptada.
▪ En el caso que no se pueda verificar la validez del certificado digital la
comunicación con el servidor HTTPs va a funcionar con un mensaje de que la
comunicación puede no ser segura.
▪ En el caso de Self-Signed-Certificates la comunicación aparece como no segura
porque el switch es el mismo CA (Certificate Authority). Sin embargo se
mantiene la encriptación
95
Comandos activar o desactivar el acceso
remoto
Comando Función
telnet-server Permite activar el servidor telnet. Nota: Esta activo por defecto.
web- Permite activar el servidor web. Nota: Esta activo por defecto.
management
ip ssh Activar el servidor SSH. Nota: Esta activo por defecto
web- Activar el servidor HTTPs. Nota: No esta activo por defecto.
management
ssl
96
Comandos para generar el par de llaves de
SSH
Comando Función
crypto key generate ssh rsa Genera el par de llaves que se utilizará en la
bits 2048 conexión segura con SSH
show crypto host-public-key Muestra la llave pública. Esta llave es la que
utilizará el cliente para conectarse al servidor SSH.
La llave se envía automáticamente al cliente SSH.
show crypto host-public-key Muestra la huella de la llave pública, nos permite
fingerprint verificar que la llave que estamos aceptando es la
correcta.
crypto key zeroize ssh Elimina el par de llaves de SSH.
97
Comandos para generar el par de llaves de
HTTPs
Comando Función
crypto pki enroll-self-signed Genera el certificado digital firmado auto firmado
certificate-name httpscert por el switch.
subject common-name ip del
switch
crypto pki zeroize Elimina el certificado digital.
98
Laboratorio 05: Administración remota segura
Desactivamos el protocolo ssh y borramos las llaves
que vienen por defecto
▪ #Entramos a consola usando teraterm.
▪ enable #ingresamos a la vista de manager
▪ configure #ingresamos a la vista de configuración global
▪ no ip ssh #desactivamos el protocolo ssh
▪ crypto key zeroize ssh #eliminamos el par de llaves que
vienen por defecto
Activamos el protocolo SSH y creamos llaves nuevas.
▪ crypto key generate ssh rsa bits 2048 #creamos un par
de llaves nuevo para utilizar en el protocol ssh
▪ ip ssh #habilitamos el protocol ssh
▪ vlan 1 ip address 192.168.10.x/24 #Colocamos una
dirección ip para habilitar la administración remota 100
Utilizamos teraterm para conectarnos al
switch vía el protocolo SSH.
▪ Elegimos TCP/IP
▪ Elegimos SSH
▪ Colocamos la dirección IP de nuestro switch en el campo
Host
101
Teraterm enviará una alerta de seguridad
▪ ¿Es la primera vez que te conectas a este
switch con las nuevas llaves?
▪ Esta alerta es normal la primera vez.
▪ La primera vez que nos conectemos con un
servidor SSH el servidor nos envía la llave pública
y la guardamos.
▪ Verificar que el fingerprint de la llave sea la correcta:
show crypto host-public-key fingerprint
▪ Colocar el check:
Add this machine and its key to the known hosts list
▪ Luego de verificar presionar el botón continue
▪ ¿No es la primera vez que te conectas?
▪ Es probable que sea un ataque de man in the
middle.
▪ Alguien ha cambiado las llaves del ssh y tienes
que guardarlas nuevamente.
▪ No agregaste la key cuando te conectaste antes. 102
Completar los datos
solicitados y conectar al
switch usando SSH.
▪ Escribir usuario y contraseña
y poner ok.
▪ En caso no haya usuario y
contraseña configurado
dejar los valores en blanco.
▪ Dejar las demás opciones sin
cambio.
103
Conección con SSH finalizada
▪ En este momento deberíamos ver la conección
al CCI del equipo en teraterm.
104
Activamos el protocolo HTTPS
▪ #Entramos a consola usando teraterm.
▪ crypto pki zeroize #eliminamos certificados antiguos
▪ crypto pki enroll-self-signed certificate-name
httpscert subject common-name ip del switch
#Creamos el self signed certificate
▪ web-management ssl #activamos el protocolo https
▪ show crypto pki local-certificate #verificamos todos
los certificados creados
▪ show crypto pki local-certificate httpscert
#verificamos la información del certificado httpscert
105
Probamos conexión utilizando el protocolo HTTPS
▪ Abrimos un explorador web (Chrome o Firefox)
▪ Ingresamos la dirección https://ipaddressdelswitch
(ejemplo https://172.16.10.1)
▪ Presionar el botón Avanzada y luego Continuar a x.x.x.x
(no seguro)
106
Probamos conexión utilizando el protocolo HTTPS
▪ La conexión web con el switch se encuentra encriptada con el
protocolo SSL, por lo que nuestra contraseña y otros cambios que
hagamos están seguros.
▪ La advertencia de seguridad es porque el switch es el que emitió el
certificado, y no es una entidad conocida (como verisign o digicert).
107
Módulo 01: Configuraciones Básicas
Laboratorio 06: El tiempo y protocolos del tiempo
El tiempo en los switches
▪ La hora por defecto en los switches se verá asi:
▪ Mon Jan 1 02:40:12 1990
▪ Los switches pueden funcionar sin tener la hora correcta.
▪ Sin embargo el proceso de troubleshooting va a ser siempre difícil porque todos
los logs van a estar desactualizados.
▪ Ejemplo de troubleshooting: Alguien ha entrado en la noche y ha reiniciado los switches.
¿A que hora exacta ocurrió el último reinicio?
---- Event Log listing: Events Since Boot ----
I 01/01/90 00:00:13 03802 chassis: System Self test started on Master
I 01/01/90 00:00:13 03803 chassis: System Self test completed on Master
▪ Algunos protocolos podrían funcionar de manera incorrecta.
▪ Por ejemplo las acls basadas en el tiempo.
110
Colocar la hora de manera manual
▪ Es mejor que dejar el tiempo por defecto.
▪ Cada vez que un switch se apaga o se reinicia el reloj
interno deja de avanzar, haciendo que se retrase la
hora.
▪ Cuando hay muchos switches en la red es casi
imposible mantenerlos con la hora correcta.
111
Colocar la hora de manera automática
▪ Protocolos
▪ NTP (Network Time Protocol)
▪ Mas seguro (SHA1) y mas exacto al actualizar la hora
▪ SNTP (Simple Network Time Protocol)
▪ Menos seguro (MD5) y menos exacto al actualizar la hora
▪ Usa menos recursos de red
▪ NTP y SNTP son interoperables
▪ Funciona de manera cliente servidor
▪ El cliente sincroniza su hora con la del servidor cada cierto periodo de
tiempo.
▪ El servidor tiene la hora actual, este servidor también puede funcionar
como cliente sincronizándose con otros servidores a la vez.
▪ De esta manera los switches de la red se mantienen con al hora
siempre actualizada.
▪ Sin intervención manual
▪ Inclusive después de reiniciarse o apagarse por largos periodos.
112
Modelo Cliente – Servidor (Protocolo NTP o SNTP)
▪ Servidores NTP conocidos – Pool de Servidores
▪ server 0.pool.ntp.org
▪ server 1.pool.ntp.org
▪ server 2.pool.ntp.org
▪ server 3.pool.ntp.org
▪ Protocolo SNTP puede ser usado internamente en una LAN y NTP en la WAN
113
Comandos para configurar la hora de manera
manual.
Comando Función
time timezone +- Configura la zona horaria, el valor numérico esta
minutos expresado en minutos. Ej: time timezone -300
time mm/dd/yyyy Comando que permite setear la hora de manera
hh:mm:ss manual. Solo accesible desde la configuración
global.
show time Muestra la hora actual.
115
Laboratorio 06: El tiempo y protocolos de tiempo
Reseteamos el switch a configuración de fábrica
▪ erase startup-config
Colocamos la hora en el switch manualmente
▪ #Entramos a consola usando teraterm.
▪ enable #ingresamos a la vista de manager
▪ configure #ingresamos a la vista de configuración global
▪ show time #verificamos la hora actual
▪ time 10/07/2018 21:00 #configuramos la hora actual
Verificamos el cambio de hora
▪ show time #verificamos el cambio de hora
▪ show logging #verificamos los logs desde el encendido
del switch
117
Preparación para el laboratorio
▪ Configuramos un servidor NTP en nuestra
computadora.
▪ Abrimos el menú ejecutar en nuestra computadora
(tecla Windows + R)
▪ Escribimos regedit
118
Preparación para el laboratorio
▪ Activamos el servicio de servidor NTP en el registro
▪ Ingresamos a HKEY_LOCAL_MACHINE → SYSTEM →
CURRENTCONTROLSET → SERVICES → W32TIME →
TIMEPROVIDERS → NTPSERVER
▪ Cambiar el valor Enabled a 1.
119
Preparación para el laboratorio
▪ Configuramos un servidor NTP en nuestra
computadora.
▪ Abrimos el menú ejecutar en nuestra computadora
(tecla Windows + R)
▪ Escribimos services
120
Preparación para el laboratorio
▪ Localizamos el servicio Hora de Windows
(Windows Time en Ingles) → Click derecho →
Propiedades → Iniciar y Tipo de Inicio Automatico
→ Aplicar
121
Preparación para el laboratorio
▪ Entramos al símbolo del sistema
(ejecutar en modo administrador):
cmd
▪ Colocamos el comando
▪ w32tm /config /update command
▪ w32tm /query /configuration
▪ Verificar
▪ NTP Server enabled: 1
122
Configuramos el switch para conectarse al servidor NTP
▪ Colocamos una dirección IP
▪ enable
▪ configure
▪ vlan 1 ip address 192.168.10.x/24
▪ ping 192.168.10.20x #probamos la conexión con el servidor ntp
▪ Activamos el protocolo SNTP
▪ time timezone -300 #Colocamos la zona horaria en -5
▪ timesync sntp #ingresamos a la vista de configuración global
▪ sntp unicast #Configuramos SNTP en modo unicast
▪ sntp 30 #Colocamos el intervalo entre sincronizaciones en 30 segundos
▪ sntp server priority 3 192.168.10.20x #Indicamos cual es la dirección ip
del servidor sntp
123
Configuramos el switch para conectarse al
servidor NTP
▪ Verificamos el cambio de hora
▪ show time #verificamos el cambio de hora
▪ show sntp #Verificamos la asociacion con el servidor ntp
▪ Reiniciamos el switch
▪ reload after 1 #Reiniciamos el switch despues de 1 minuto.
▪ show time #Verificamos que la hora siga sincronizada luego
de reiniciar
124
Laboratorio 07: Repaso del Modulo 01
Laboratorio: Repaso del Modulo 01
▪ Resetear todos los switches a configuración de fábrica.
▪ Asignar dirección IP a computadoras y switches. todos los equipos con las
siguientes direcciones IP.
▪ Computadoras
▪ Dirección IP: 192.168.10.20X (La X es el número de switch que han sido asignados)
▪ Switches
▪ Dirección IP: 192.168.10.X (La X es el número de switch que han sido asignados)
▪ Colocar un nombre a cada switch de acuerdo al grupo al que pertenece.
Ejemplo: SW-Grupo-01, SW-Grupo-02.
▪ Conectaremos todos los switches y computadoras.
▪ Crear los usuarios manager y operator en los switches con clave 12345 para
ambos.
▪ Apagar todos los puertos que no se están utilizando.
▪ Activar SSH y HTTPs, desactivar telnet y http.
▪ Sincronizar los relojes de todos los switches con el reloj de la Pc del Grupo 2.
▪ Probar conexiones con los demás switches, verificar las configuraciones
realizadas en el laboratorio (show time, show configuration, show interfaces
brief)
126
Expositor
Luis José Regis Benavides
Ingeniero Informático y de Sistemas
Consulting Knowledge & Systems S.A.C.
lregis@cks.com.pe
127