ccna3_capitulo2 (presencial)

7/28/2019 CCNA3_Capitulo2 (presencial)

1/54

2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1

Configuracin y

conceptos bsicos delswitch

Conmutacin y conexin inalmbrica de LAN.Captulo 2


2/54

2 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public

1.0.1 Objetivos


3/54


2.1.1.1 Elementos clave de las redes802.3/Ethernet

Acceso mltiple por deteccin de portadora ydeteccin de colisiones (CSMA/CD)

Escuchar antes de transmitir

Se detecta si hay una seal de la portadoraSi hay seal, espera un tiempo especificado luego de

que pasa la seal. Intntelo de nuevo ms adelante

No se detecta seal portadora

La computadora transmite

Si varios equipos escuchan el canal y est vaco

Los dos transmiten a la vez

Se produce una COLISIN

Los datos se destruyen

Los equipos que escuchan la colisin

Emiten una seal de CONGESTIN (JAM)

Todos los equios de la red activan un temporizadoraleatorio (Backoff algorithm) y , al completarse su

tiempo, empiezan el ciclo de escucha y transmisin

nuevamente, sin ninguna prioridad.


4/54


Trama deEthernet

Direccin

MAC


Formas decomunicacin

en Ethernet


5/54



Configuracin de Duplex

Los s

Rendimiento del200% de BW

Rendimiento del60% de BW


6/54


2.1.1.4 Elementos clave de las redes802.3/EthernetConfiguracin del puertos en switchesDuplex:

Auto: Negociael duplex con elequipo al queest conectado

Full: Estableceel modo full-duplex

Half: Estableceel modo half-

duplex

Speed:

Auto: Negociala velocidad conel equipo al queest conectado

10: Estableceen 10 Mbps.

100: Estableceen 100 Mbps.

1000: Estableceen 1 Gbps

MDIX:

Auto: Detectael tipo de cableconectado yconfigura elinterfaz

apropiadamente.Manual:Requiere el tipode cable

apropiado


7/547 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public


Direcciones MAC y Tablas MAC de switches

El switch recibe desde PC1, por el puerto 1, una trama condestino a la PC2

El switch ingresa la direccin MAC de origen y el puerto pordonde recibi la trama, en su Tabla MAC

Como no conoce la ubicacin de PC2, el switch enva latrama por todos los puertos, menos por el de llegada.

La respuesta de PC2 a PC1 llega al switch por el puerto 3.El switch actualiza su Tabla MAC con ese dato.

El switch ahora hace un envo selectivo por el puerto 1donde conoce que est conectada PC1



2.1.2.1 Aspectos que se deben tener encuenta para las redes 802.3/Ethernet

Dominios de colisin

Segmento de red en el quesi 2 hosts transmiten al

mismo tiempo, se produceuna colisin y se genera laseal de congestin atodos sus equipos.

Cada interfaz de equiposde capa 2 o superior(switches, routers, etc)determina un dominio de

colisin.




Dominios de difusin (broadcast)

Segmento de red en el quesi un host enva una seal

de difusin, todos los otrosequipos la reciben yprocesan

Cada interfaz de equipos

de capa 3 o superior(routers, etc) determina undominio de difusin(broadcast).



2.1.3.2 Consideraciones del diseo de la LAN

EjerciciosEjecute las 9 actividades de la hoja 2.1.3.2del currculo de Cisco CCNA3 para obtener

destreza en el reconocimiento de dominiosde colisin y de difusin en redes de datos




Latencia de red

Es el tiempo que una trama o paquete tarda en hacer elrecorrido desde el host origen hasta el destino.

Tres componentes de la latencia: NICs origen y destino, elmedio de transmisin y los equipos de red que atraviesa



2.1.3.1 Consideraciones del diseo de la LAN

Control de latencia y eliminacin decuellos de botella en una red

Ejecute las 9 actividades de la hoja 2.1.3.2

del currculo de Cisco CCNA3 para obtenerdestreza en el reconocimiento de dominiosde colisin y de difusin en redes de datos



2.2.1 Mtodos de reenvo del switch

Conmutacin por almacenamiento yenvo (Store-and-forward)

Conmutacin por mtodo de corte

(Cut-trough)



2.2.2 Conmutacin simtrica y asimtrica

Conmutacinsimtrica:

A cada puerto del switch se

le asigna el mismo anchode banda

Conmutacin

asimtrica:Se asigna mayor ancho debanda a los puertos del switchcon ms trfico (hacia

servidores, routers, etc)



2.2.3 Bfer de memoria

Almacenamiento temporal de tramas:Durante el proceso de anlisis de la trama (mtodo dealmacenamiento y envo) o si el puerto de destino estcongestionado, se guardan las tramas en memoria temporal

Memoria compartida:

Deposita todas las tramas en un bfer de

memoria comn que comparten todos los puertosMemoria basada en puerto:

Las tramas se almacenan en colas conectadas a

puertos de entrada especficos



2.2.4.1 Conmutacin de Capa 2 y Capa 3

Switch de capa 2:Filtra trfico en base a direcciones MAC

Segmenta dominios de colisin

Es transparente a los protocolos de red,transporte y aplicacin.

Switch de capa 3:

Filtra trfico en base a direcciones IP

Segmenta dominios de colisin y difusin

Ejerce funciones de enrutamiento

(reemplaza los ruteadores), en LAN

Cisco 2960

Cisco 3560




Comparacin entre un switch de capa 3 yun router




Evaluacin de aprendizajeRealice las 3 actividades propuestas en la

pgina 2.2.4.3 del currculo de Cisco

CCNA3 y autoevalese en su aprendizajede este tema.



2.3.1.1 Navegacin por los modos de lainterfaz de lnea de comandos (CLI)

Modo de ejecucin de usuario

Modo de ejecucin privilegiado

Modo de configuracin global

Modo de config.de lnea

Modo de config.de enrutamiento

Modo de config.de interfaz



2.3.1.2 Navegacin por los modos de lainterfaz de lnea de comandos (CLI)

Alternativas a la CLI basadas en la GUI



2.3.2 Cmo utilizar el servicio de ayuda

Ayuda sensible al contexto

Mensajes de error de la consola



2.3.3 Acceso al historial de comandos

Est activado por defecto y recuerda losltimos 10 comandos efectuadosSe puede configurar el

bfer de historial de

comandos



2.3.4 Secuencia de arranque del switch


24/54


2.3.5 Preparacin para la configuracindel switch


25/54


2.3.6.1 Configuracin bsica de switch

Interfaz de administracin


26/54



Puerta de enlace predeterminada

Verificacin de la configuracin


27/54



Velocidad y duplex de los puertos


28/54



Configurar una interfaz de Web


29/54



Administracin de la tabla de direccionesMAC (CAM Table)Para crear una asignacin esttica

en la tabla de direcciones MAC,ingrese el comando:

mac-address-table staticvlan {1-4096,ALL}interface ID de in terfaz.

Para eliminar una asignacin

esttica en la tabla dedirecciones MAC, ingrese elcomando:

no mac-address-table staticvlan {1-4096,ALL}interface ID de in terfaz.


30/54


2.3.7 Verificacin de la configuracin delswitch

Uso de los comandos show


31/54


2.3.8.1 Administracin bsica del switch

Respaldar en la memoria flash (como NVRAM)y restaurar la configuracin del switch


32/54


2.3.8.2 Administracin bsica del switchRespaldar en un servidor TFTP y restaurar la

configuracin del switchPaso 1. Verifique que el

servidor TFTP se estejecutando en la red.

Paso 2. Desde el puerto deconsola o sesin Telnet,haga ping al servidor TFTP.

Paso 3. Suba o descarge laconfiguracin del switch, en

o desde, el servidor TFTP.

PARA RESPALDO:copytftp:[[[//ubicacin]/directorio]/nombre del archivo]system:running-config

PARA RESTAURACIN:copy system:running-configtftp:[[[//ubicacin]/directorio]/nombre del archivo]


33/54


2.3.8.3 Administracin bsica del switch

Eliminacin de los archivos de configuracinAl borrar el archivo de configuracin de inicio, cuando elswitch se reinicia, se ejecuta el programa de configuracininicial (setup program).Para borrar el contenido de la configuracin de inicio, utiliceel comando erase nvram: o erase startup-config delmodo EXEC privilegiado.Para borrar un archivo de la memoria Flash, utilice elcomando delete flash: nombre del archivodel modoEXEC privilegiado


34/54


2.4.1.1 Configuracin de opciones de lascontraseas

Consola:S1(config)#line console 0S1(config-line)# password XXXS1(config-line)# loginS1(config-line)#endS1#

Eliminacin de contraseas de ingresoPaso 1. Ingrese a modo de configuracin de lnea.Paso 2. Elimine la contrasea con el comando no passwordPaso 3. Elimine la solicitud de ingreso con el comando no loginPaso 4. Regrese al modo EXEC privilegiado

Terminales virtuales:S1(config)#line vty 0 15

S1(config-line)# password XXXS1(config-line)# loginS1(config-line)#endS1#

Configuracin de contraseas de ingreso


35/54



Configuracin de contraseas para modo EXEC

S1#enable password XXXS1#enable secret YYYS1#end

Encriptacin de contraseas

Todas las contraseas del sistema se almacenarn en formatoencriptado. Es un estndar muy dbil (tipo 7). An con elcomando no service password-encription, NO se desencriptan.

S1(config)#service password-encryption


36/54



Recuperacin de contrasea secreta de EXECPaso 1: Conecte una PC al puerto deconsola del switch Catalyst 2960.Paso 2: Establezca la velocidad del

emulador en 9600 baudios.Paso 3: Desconecte y conectenuevamente el switch presionando elbotn MODE hasta que el LED desistema cambie a mbar.Paso 4: Inicialice el sistema de archivosen flash con el comando flash_init.

Paso 5: Cargue archivos helper con elcomando load_helper.Paso 6: Visualice el contenido de la flashcon el comsndo dir flash:.Paso 7: Cambie el nombre del archivode configuracin con el comandorename nombre_actual nuevo_nombre

Paso 8: Reinicie el sistema con elcomando boot y no ingrese al dilogo deconfiguracin inicial (setup).

Paso 9: Ingrese a modo privilegiado, conel comando enable.Paso 10: Vuelva a poner el nombreoriginal del archivo de configuracin:rename nuevo_nombre nombre anteriorPaso 11: Copie el archivo deconfiguracin a la RAM con el comando

copy flash:X.txt system:running-configPaso 12: Ingrese una nueva contrasea:enable secret zzzzPaso 13: Respalde la nueva configuracinen NVRAM: copy run starPaso 14: Recargue el switch nuevamentecon el comando reload


37/54


2.4.2 Mensajes de inicio de sesin

Configurar un mensaje de inicio de sesinSe muestra antes de poder ingresar a modo EXEC

usuario. Se usa para alertar a usuarios no deseados

S1(config)#banner login #Slo personal autorizado#

Configurar un mensaje del da de hoy (MOTD)

Se muestra antes del mensaje de inicio de sesin.Se usa para alertar sobre acciones para el da

S1(config)#banner MOTD #Hoy mantenimiento#


38/54


2.4.3.1 Configure Telnet y SSH

TelnetMtodo ms comn de acceso

Enva datos en texto llano

No es seguro.

Est activo por defecto

Secure Shell (SSH)Debe usarse siempre

Enva datos en texto encriptado

Es seguro

Hay versiones v1 y v2

Si necesita habilitar el protocolo de Telnet en un switch 2960 de

Cisco, utilice el siguiente comando desde el modo deconfiguracin de lnea:

S1(config -l ine)#transpo rt in pu t telnetO si requiere habilitar ambos protocolos en el switch:

S1(config -l ine)#transpo rt in pu t al l.


39/54


2.4.3.3 Configure Telnet y SSH

Cofiguracin de SSH1.- Poner hostname al switch

2.- Poner nombre de dominio ip

3.- Generar 2 claves RSA:>pblica (para encriptar elmensaje, conocida por todos), y>privada (para desencriptar el

mensaje)4.- Escoger la versin de SSH

5.- Escoger las lneas de acceso

6.- Habilitar ssh en esas lneas

Borrar claves RSA

S1(config )#crypto key

zero ize rsa

Mostrar estado SSH

S1#show ip ssh , oS1#show ssh

Switch(config)#hostname S1S1(config)#ip domain-name XXS1(config)#crypto key generate rsaS1(config)#ip ssh version 2S1(config)#line vty 0 15S1(config-liine)# trasnport input SSH


40/54


2.4.4.1 Ataques de seguridad comunes

Saturacin de la direccinMAC

El intruso de la red utiliza laherramienta de ataque parainundar el switch con una grancantidad de direcciones MAC deorigen no vlidas (bogus) hastaque se llene la tabla de

direcciones MAC. Esto haceque el switch acte como hub,enviando broadcast de todas lastramas recibidas, por todos suspuertos.


41/54



Suplantacin de identidad1) Un atacante activa un servidor de DHCP

en un segmento de red.

2) El cliente enva un broadcast de solicitud

de informacin de configuracin de DHCP.3) El servidor de DHCP malicioso responde

antes de que lo haga el servidor de DHCPlegtimo y asigna informacin deconfiguracin de IP definida por el atacante.

4) Los paquetes de host son redirigidos a ladireccin del atacante, ya que el mismoemula un gateway predeterminado para ladireccin de DHCP errnea provista alcliente.


42/54



Suplantacin de identidad:Snooping de DHCPEl snooping de DHCP permite saber si la

configuracin de los puertos es confiable o

no. Los puertos confiables pueden enviar

solicitudes de DHCP y acuses de recibo.

Los puertos no confiables slo puedenenviar solicitudes de DHCP.

- El snooping de DHCP permite que el switchconstruya una tabla enlazada que asignauna direccin MAC de cliente, direccin IP,VLAN e ID de puerto.

- Utilice el comando i p dhcp snoop ing .


43/54



Ataques de CDPCDP contiene informacin sobre el

dispositivo, como la direccin IP, la versindel software, la plataforma, las capacidadesy la VLAN nativa. Cuando esta informacin

est disponible para el atacante, puedeutilizarla para encontrar vulnerabilidadespara atacar la red, en la forma de ataque deDenegacin de servicio (DoS).

Un atacante puede generar paquetes de CDP

bogus y hacer que stos se reciban en eldispositivo Cisco conectado en formadirecta.

Para enfrentar esta vulnerabilidad serecomienda deshabilitar el uso de CDP en

los dispositivos que no necesitan utilizarlo.


44/54



Ataques de TelnetUn atacante puede utilizar el protocolo de Telnet para acceder de manera

remota a un switch de red de Cisco


45/54


2.4.5.1 Herramientas de seguridad


46/54


2.4.5.2 Herramientas de seguridad

Caractersticas de las herramientas deseguridad de redes


47/54


2.4.6.1 Configuracin de la seguridad delpuerto

Seguridad del puertoUn switch que no tiene seguridad de puerto permite que un atacante se

conecte a un puerto en desuso, recopile informacin y que genere ataques.La seguridad de puerto limita la cantidad de direcciones MAC vlidas

permitidas en el puerto.

Modos de violacin de seguridad y su respuesta

Cuando una estacin con direccin MAC adicional a las de la tabla MAC

del switch, cuando est llena, o cuando una misma MAC se encuentra en

dos puertos diferentes, el switch responde de tres formas distintas:


48/54



Tipos de direcciones MAC seguras

Estticas: Ingreso: manual. Almacenamiento: Tabla MAC y enel archivo de configuracin activo (running-config).

S1(config -i f)#switchport port-securi ty m ac-address XXXX

Dinmicas: Aprendizaje: Automtico. Almacenamiento: Sloen la Tabla MAC.

S1(config -i f)#switchport po rt-securi ty

Sin modificacin: Aprendizaje: Automtico. Almacenamiento:Tabla MAC y en el archivo de configuracin activo.

S1(config -i f)#switchport po rt-securi ty mac-address st ick y


49/54



Direcciones MAC seguras sin modificacin


50/54



Valores predeterminados en los puertos

Ejemplo de configuracin


51/54



Verificar la seguridad del puertoPara mostrar la configuracinde seguridad de puerto para elswitch o para la interfazespecificada, utilice elcomandoS1#show port-securi ty[interfaceinterface-id].

Para mostrar todas lasdirecciones MAC segurasutilice el comandoS1#show port-securi tyaddress.


52/54


2.4.7 Seguridad de los puertos noutilizados

Deshabilitar puertos en desuso

Explore todos los puertos

no utilizados y emita elcomando IOS de Ciscoshutdown.

Una forma alternativa de

desactivar varios puertosa la vez, es mediante elcomando interface range.


53/54


2.6.1 Resumen


54/54

ccna3_capitulo2 (presencial)

Documents