Redes de Computadores

Redes de computadores 2
Configuración básicas del conmutador y seguridad de puertos.
Primera parte: Configuración básica del conmutador.
Los conmutadores se usan para conectar varios dispositivos en la misma red. En una red diseñada correctamente, los
conmutadores LAN son responsables de controlar el flujo de datos en la capa de acceso y de dirigirlo a los recursos
conectados en red.
Por defecto, los conmutadores poseen una configuración automática que les permite comenzar a funcionar. Pero, también
pueden ser configurados manualmente para satisfaces necesidades específicas de la red.
De igual forma que los enrutadores, los conmutadores pueden ser administrados de manera local usando un computador
que se conectara con un cable de consola, a través de un puerto serial o USB (dependerá del tipo de cable) y por medio
de un programa de emulación de terminal (putty, gtkterm, teraterm, etc).
De manera remota (utilizando una dirección IP), también podríamos administrar el conmutador. En este caso, se necesita
una dirección IP especial, conocida como “interfaz virtual de conmutador” (SVI). Si se asigna una dirección IP a la SVI de la
VLAN 1, de manera predeterminada, todos los puertos en la VLAN 1 tienen acceso a la dirección IP de administración de
SVI.
La siguiente es la topología de red para la primera parte del laboratorio. Inicialmente solo conectar el cable de consola, el
cable Ethernet lo conectaremos más adelante.
a) ¿Por qué debe usar una conexión de consola para configurar inicialmente el conmutador? ¿Por qué no es posible
conectarse al conmutador a través de Telnet o SSH?
Partiremos de que en conmutador solo tiene la configuración predeterminada, en caso contrario, al igual que en los
enrutadores, usted puede borrar el archivo en la NVRAM y reiniciar el conmutador.
b) Realice la configuración básica del conmutador (nombre, contraseña enable, contraseña consola, conrtaseña vty),
lo anterior se realiza igual que en el enrutador. Escriba una descripción del procedimiento realizado para resolver
esta sección del laboratorio.
Redes de computadores 2
Como vamos a administrar el conmutador de forma remota, en este momento se debe realizar la conexión del cable
Ethernet a cualquiera de los puertos del conmutador (recuerde su elección). Antes de poder administrar el S1 en forma
remota desde la PC-A, debe asignar una dirección IP al conmutador. El conmutador está configurado de manera
predeterminada para que la administración de este se realice a través de VLAN 1. Sin embargo, la práctica recomendada
para la configuración básica del conmutador es cambiar la VLAN de administración a otra VLAN distinta de la VLAN 1.
Para lograr nuestro objetivo, lo primero que vamos a hacer es crear la nueva VLAN de administración, el número XX
(ustedes colocan un número) es una decisión libre y no afectara en nada el desarrollo del laboratorio y tampoco significa
que siempre tenga que ser el mismo:
S1# configure terminal
S1(config)# vlan XX
S1(config-vlan)# exit
Luego se asignará la dirección IP a la VLAN creada.
S1(config)# interface vlan XX
S1(config-if)# ip address 192.168.1.2 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)#
c) Examinar el estado de la VLANXX. ¿Cuál es el estado de la VLANXX? ¿Por qué de dicho estado? Para ayudarse a
responder, puede comparar con el estado de la vlan1
S1#show interface vlanXX
En los conmutadores, cada VLAN creada tendrá asignados unos puertos para funcionar y dependiendo del dispositivo que
se encuentre conectado a cada uno de los puertos, el puerto del conmutador podrá ser de dos tipos:
 Puerto de acceso: Que estará conectado a un dispositivo final y por lo tanto asociado solo a una VLAN.
 Puerto troncal: Puertos que se conectan con otros dispositivos intermedios y que estarán a asociados a varias
VLAN´s dependiendo de la red en la que estén siendo utilizados.
d) Observar la de asignación de puertos a las diferentes VLAN´s.
S1#show vlan brief
¿Qué relación se observa con los resultados obtenidos en c)? ¿Qué se debe hacer para cambiar el estado de
VLANXX?
Para asignar un puerto a una VLAN, se debe entrar al modo configuración de puerto, ponerlo como puerto de acceso
(estado por defecto) y asociarlo a una VLAN.
S1(config)# interface f0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan XX
En caso de necesitar asociar varios puertos a la misma VLAN, puede resultar útil hacer lo siguiente:
S1(config)# interface range f0/1 – 24
S1(config-if-range)# switchport mode access
Redes de computadores 2
S1(config-if-range)# switchport access vlan XX
e) Asigne algunos puertos a su VLAN de administración. Describa el procedimiento realizado. ¿Cómo puede
comprobar que la asignación se realizó correctamente? ¿Cambio el estado de la VLANXX?
Acceso SSH

Para habilitar acceso SSH en S1, en el modo de configuración global se crea el nombre de dominio. En este ejemplo
nombre.com, pero podrá ser cualquier nombre de dominio.
S1(config)# ip domain-name nombre.com

Se deben crear el usuario y contraseña necesarios a la hora de realizar el ingreso remoto.
S1(config)# username admin privilege 15 secret sshadmin
Tanto el nombre de usuario (admin) como la contraseña (sshadmin), podrán ser modificados por el administrador
de la red.
f)
Realizar una conexión telnet desde el PC y capturar paquetes con wireshark. ¿Cómo son enviados el usuario y la
contraseña para lograr la conexión?

Se recomienda utilizar solo conexiones SSH, y esta restricción se hace en la línea vty.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit

Se genera una clave criptográfica RSA con un módulo de 1024 bits
S1(config)# crypto key generate rsa modulus 1024
g) Realizar una conexión SSH desde el PC (obviamente desconectado telnet) y capturar paquetes con wireshark.
¿Cómo son enviados los datos de usuario y la contraseña para lograr la conexión?
h) Teniendo en cuenta lo aprendido acerca de redes IP ¿Qué características IP debe tener un dispositivo que quiera
acceder de forma remota al conmutador en este momento? ¿Se puede tener acceso remoto al conmutador desde
cualquier red o solamente desde la red local? ¿Por qué?
Normalmente la idea del acceso remoto, es tener acceso desde una red remota y no desde equipos directamente
conectados; por lo tanto, debemos poner un Gateway IP a nuestro conmutador.
S1(config)# ip default-gateway 192.168.1.1
i)
¿Cuál es la función de un Gateway IP? ¿Por qué se configura en la mayoría de equipos pertenecientes a una red
LAN?
Redes de computadores 2
Segunda parte: Tabla de direcciones MAC del conmutador.
Los conmutadores realizan envío de tramas utilizando direcciones MAC (origen y destino) y a diferencia de otros
dispositivos LAN, los conmutadores son capaces de asociar a cada puerto a la dirección MAC del dispositivo al que se
encuentran conectados. Estas asociaciones, los conmutadores las guardan en tablas y se pueden realizar de forma estática
(manualmente) y de forma dinámica (automáticamente el conmutador aprende los dispositivos a los que se encuentra
conectado).
Vamos a mirar las direcciones MAC que tiene asociadas el conmutador en este momento:
S1# show mac address-table
j)
¿Cuántas direcciones MAC dinámicas hay en la tabla? ¿Cuántas direcciones MAC hay en total? ¿Coincide la
dirección dinámica con la dirección del PC conectado al conmutador?
k) ¿Cómo asociar una dirección MAC a un puerto del conmutador de forma estática? ¿Cuál es la instrucción que se
debe configurar al conmutador? Compruébelo realizando la asociación estática de la dirección MAC del PC
conectado al puerto del conmutador. Mostrar al profesor que lo ha logrado.
l)
Explique el procedimiento que realiza el conmutador para realizar la asociación dinámica de direcciones MAC.
m) Conecte otro computador a otro puerto FastEthernet del conmutador. ¿Inmediatamente es asociada la dirección
MAC del nuevo computador conectado? ¿En caso contrario, que se deberá realizar para logar una asociación
dinámica entre la dirección MAC del PC que se acaba de conectar y el puerto en el conmutador?
Redes de computadores 2
Tercera parte: Seguridad en los puertos del conmutador.
Para esta parte del laboratorio utilizaremos y la siguiente topología de red:
NOTA: Ustedes son libres de escoger puertos a conectar y la VLAN de administración, solo recuerden las
elecciones
n) Realizar configuración básica de dispositivos (nombres, contraseña enable, contraseña consola, contraseña vty,
configuración IP de interfaces).
Seguridad de puertos
Se deben proteger todos los puertos (interfaces) del conmutador antes de implementar el dispositivo en una red. Una
forma de proteger los puertos es mediante la implementación de una característica denominada “seguridad de
puertos”. La seguridad de puerto limita la cantidad de direcciones MAC válidas permitidas en el puerto. Se permite el
acceso a las direcciones MAC de los dispositivos legítimos, mientras que otras direcciones MAC se rechazan.
La seguridad de puertos se puede configurar para permitir una o más direcciones MAC. Si la cantidad de direcciones MAC
permitidas en el puerto se limita a una, solo el dispositivo con esa dirección MAC específica puede conectarse
correctamente al puerto.
Si se configura un puerto como seguro y se alcanza la cantidad máxima de direcciones MAC, cualquier intento adicional
de conexión de las direcciones MAC desconocidas genera una violación de seguridad.
Lo primero que se debe realizar es habilitar seguridad de puerto en la interfaz:
S1(config-if)# switchport port-security
Luego, se debe indicarle al conmutador cuantas serán las direcciones MAC máximas permitidas en un puerto
S1(config-if)# switchport port-security máximum número máximo de direcciones
Tipos de direcciones MAC seguras:
Redes de computadores 2
Existen varias maneras de configurar la seguridad de puerto. El tipo de dirección segura se basa en la configuración e
incluye lo siguiente:

Direcciones MAC seguras estáticas: son direcciones MAC que se configuran manualmente en un puerto mediante
el comando:
S1(config-if)# switchport port-security mac-address dirección-mac
En el modo de configuración de interfaz. Las direcciones MAC configuradas de esta forma se almacenan en la tabla
de direcciones y se agregan a la configuración en ejecución del conmutador.

Direcciones MAC seguras dinámicas: son direcciones MAC detectadas dinámicamente y se almacenan solamente
en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el conmutador
se reinicia.

Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma dinámica o
configurarse de forma manual, y que después se almacenan en la tabla de direcciones y se agregan a la
configuración en ejecución.
Para configurar una interfaz a fin de convertir las direcciones MAC detectadas dinámicamente en direcciones MAC
seguras persistentes y agregarlas a la configuración en ejecución, debe habilitar el aprendizaje por persistencia. El
aprendizaje por persistencia se habilita en una interfaz mediante el comando:
S1(config-if)# switchport port-security mac-address sticky
En el modo de configuración de interfaz.
Existirá una violación de seguridad cuando se produce cualquiera de estas situaciones:

Se agregó la cantidad máxima de direcciones MAC seguras a la tabla de direcciones para esa interfaz, y una
estación cuya dirección MAC no figura en la tabla de direcciones intenta acceder a la interfaz.
 Una dirección aprendida o configurada en una interfaz segura puede verse en otra interfaz segura de la misma
VLAN.
Se puede configurar una interfaz para uno de tres modos de violación, con la acción específica que se debe realizar si se
produce una violación. La figura muestra los tipos de datos que se envían cuando se configura en el puerto uno de los
siguientes modos de violación de seguridad:



Protect (Proteger): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los
paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de
direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. No hay ninguna notificación
de que se produjo una violación de seguridad.
Restrict (Restringir): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto,
los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente
de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. En este modo, hay una
notificación de que se produjo una violación de seguridad.
Shutdown (Desactivar): en este modo de violación (predeterminado), una violación de seguridad de puerto
produce que la interfaz se inhabilite de inmediato por errores y que se apague el LED del puerto. Aumenta el
contador de violaciones. Cuando hay un puerto seguro en estado inhabilitado por errores, se lo puede sacar de
dicho estado mediante la introducción de los comandos:
Redes de computadores 2
S1(config-if)# shutdown
S1(config-if)# no shutdown
En el modo de configuración de interfaz.
Para cambiar el modo de violación en un puerto de conmutador, use el comando:
S1(config-if)# switchport port-security violation {protect | restrict |shutdown}.
En el modo de configuración de interfaz
Para probar la seguridad de puertos, realizaremos lo siguiente:
o) En el conmutador, habilitar máximo una dirección MAC para acceder al puerto FastEthernet conectado al
enrutador y de forma estática hacer la asociación con la dirección MAC del enrutador. Además, configurar el
conmutador para que en caso de violación, el puerto entre en estado protect. ¿Qué sucede si desde el enrutador
hacemos ping al conmutador?
p) Desconectar el enrutador y conectar un computador al mismo puerto (obvio el computador nuevo tendrá una IP
en la misma subred de la IP del enrutador). ¿Qué sucede si se intenta realizar ping desde el computador recién
conectado al conmutador? ¿Por qué?
q) Si desconectamos el computador y volvemos a conectar el enrutador. ¿Qué sucede con el intento de ping desde
el enrutador al conmutador? ¿Por qué?
En el conmutador, habilitar máximo una dirección MAC, para acceder al puerto FastEthernet conectado al computador
(PC-A), habilitar MAC seguras persistentes y realizar prueba de conectividad con el conmutador. Además, configurar el
conmutador para que en caso de violación, el puerto entre en estado shutdown.
r) Desconectar PC-A y conectar otro computador al mismo puerto (obvio el computador nuevo tendrá una IP en la
misma subred de PC-A). ¿Qué sucede si se intenta realizar ping desde el computador recién conectado al
conmutador? ¿Por qué?
s) Si desconectamos el computador nuevo y volvemos a conectar PC-A. ¿Qué sucede con el intento de ping desde
PC-A al conmutador? ¿Por qué? ¿Qué se debe hacer para volver a tener encendido el puerto?