Professional Documents
Culture Documents
CSMA/CD
Las seales de Ethernet se transmiten a todos los hosts que estn conectados a la LAN mediante un
conjunto de normas especiales que determinan cul es la estacin que puede tener acceso a la red.
CSMA/CD se utiliza solamente con la comunicacin half-duplex que suele encontrarse en los hubs.
Los switches full-duplex no utilizan CSMA/CD. Cuando no se detecta trfico alguno, el dispositivo
transmite su mensaje. Mientras se produce dicha transmisin, el dispositivo contina atento al trfico
o a posibles colisiones en la LAN.
Acceso mltiple
Si la distancia entre los dispositivos es tal que la latencia de las seales de un dispositivo supone la
no deteccin de stas por parte de un segundo dispositivo, ste tambin podra comenzar a
transmitirlas. De este modo, los medios contaran con dos dispositivos transmitiendo seales al
mismo tiempo. Los mensajes se propagan en todos los medios hasta que se encuentran. En ese
momento, las seales se mezclan y los mensajes se destruyen: se ha producido una colisin. Aunque
los mensajes se daan, la mezcla de seales contina propagndose en todos los medios.
Deteccin de colisiones
Cuando un dispositivo est en el modo de escucha, puede detectar cuando se produce una colisin en
los medios compartidos, ya que todos los dispositivos pueden detectar un aumento en la amplitud de
la seal que est por encima del nivel normal.
Cuando se detecta una colisin, los dispositivos de transmisin envan una seal de
congestionamiento. La seal de congestionamiento avisa a los dems dispositivos acerca de la
colisin para que stos invoquen un algoritmo de postergacin. La funcin de ste es hacer que todos
los dispositivos detengan su transmisin durante un perodo aleatorio, con lo cual se reducen las
seales de colisin. Una vez que finaliza el retraso asignado a un dispositivo, dicho dispositivo
regresa al modo "escuchar antes de transmitir".
Comunicaciones Ethernet
Unicast: Comunicacin en la que un host enva una trama a un destino especfico. En la transmisin
unicast slo existe un emisor y un receptor.Ej: HTTP, SMTP, FTP y Telnet.
Broadcast: Comunicacin en la que se enva una trama desde una direccin hacia todas las dems
direcciones. Un ejemplo de transmisin broadcast es la consulta de resolucin de direcciones que
enva el protocolo de resolucin de direcciones (ARP) a todas las computadoras en una LAN.
Trama de Ethernet
La estructura de la trama de Ethernet agrega encabezados y trilers alrededor de la Capa 3 PDU para
encapsular el mensaje que debe enviarse. Tanto el triler como el encabezado de Ethernet cuentan
con varias secciones (o campos) que el protocolo Ethernet utiliza. La figura muestra la estructura del
estndar de la trama actual de Ethernet, versin revisada IEEE 802.3 (Ethernet).
Los campos Prembulo (7 bytes) y Delimitador de inicio de trama (SFD) (1 byte) se utilizan para la
sincronizacin entre los dispositivos emisores y receptores. Estos primeros 8 bytes de la trama se
emplean para captar la atencin de los nodos receptores. Bsicamente, los primeros bytes sirven para
que los receptores se preparen para recibir una nueva trama.
El campo Longitud/Tipo (2 bytes) define la longitud exacta del campo Datos de la trama. Este
campo se utiliza ms adelante como parte de la Secuencia de verificacin de trama (FCS) con el
objeto de asegurar que se haya recibido el mensaje de manera adecuada. Si el valor de los dos
octetos es igual o mayor que el hexadecimal de 0x0600 o decimal de 1536, el contenido del campo
Datos se descifra segn el protocolo indicado. Si el valor de dos bytes es menor que 0x0600,
entonces el valor representa la longitud de los datos de la trama.
Los campos Datos y Relleno (de 46 a 1500 bytes) contienen la informacin encapsulada de una capa
superior, que es una PDU de Capa 3 genrica, o, ms comnmente, un paquete de IPv4. Todas las
tramas deben tener una longitud mnima de 64 bytes (longitud mnima que colabora en la deteccin
de colisiones). Si se encapsula un paquete menor, el campo Relleno se utiliza para incrementar el
tamao de la trama hasta alcanzar el tamao mnimo.
El campo FCS (4 bytes) detecta errores en una trama. Utiliza una comprobacin de redundancia
cclica (CRC). El dispositivo emisor incluye los resultados de la CRC en el campo FCS de la trama.
El dispositivo receptor recibe la trama y genera una CRC para buscar errores. Si los clculos
coinciden, no se ha producido ningn error. Si los clculos no coinciden, la trama se descarta.
MAC
Una direccin Ethernet MAC es un valor binario de 48 bits que se compone de dos partes y se
expresa como 12 dgitos hexadecimales. Los formatos de las direcciones pueden ser similares a 00-
05-9A-3C-78-00, 00:05:9A:3C:78:00 0005.9A3C.7800.
El OUI (Organization Unique Identifier) es la primera parte de una direccin MAC. Tiene una
longitud de 24 bits e identifica al fabricante de la tarjeta NIC. El estndar IEEE regula la asignacin
de los nmeros de OUI. Dentro del OUI, existen 2 bits que slo tienen significado cuando se utilizan
en la direccin de destino, como se describe a continuacin:
Bit multicast o broadcast: Indica a la interfaz receptora que la trama est destinada a un grupo o a
todas las estaciones finales del segmento de la LAN.
Bit de direcciones administrado de manera local: Si la direccin MAC asignada por el fabricante
puede modificarse en forma local, ste es el bit que debe configurarse.
Adems estn las limitaciones del half duplex (bidireccional, pero 1 equipo transmite a la vez). Los
Hubs fueron muy usados para eso, tienen un alto potencial para las colisiones si ambos nodos
deciden transmitir a la vez. En Full duplex ambos pueden transmitir a la vez, solo para punto a punto
y ambos equipos tienen que ser compatibles. El puerto de switch es dedicado y no hay colisiones.
La opcin auto (predeterminado para puertos 10/100/1000 y Fast Ethernet,) establece el modo
autonegociacin de duplex. Cuando este modo se encuentra habilitado, los dos puertos se comunican
para decidir el mejor modo de funcionamiento.
La opcin full (predeterminado para puertos 100BASE-FX)establece el modo full-duplex.
La opcin half establece el modo half-duplex.
10/100 pueden funcionar para full y half, pero 1000 solo funciona en full.
Nota: El modo autonegociacin puede producir resultados impredecibles. De manera
predeterminada, cuando la autonegociacin falla, el switch Catalyst establece el correspondiente
puerto del switch en el modo half-duplex. Si existe half en un switch y full (manualmente
configurado)en el otro, puede producir colisiones.
Auto-MDIX
Al habilitar el comando mdix auto, el switch detecta el tipo de cable que se requiere para las
conexiones Ethernet de cobre y, conforme a ello, configura las interfaces. Por lo tanto, se puede
utilizar un cable de conexin directa o cruzada para realizar la conexin con un puerto 10/100/1000
de cobre situado en el switch, independientemente del tipo de dispositivo que se encuentre en el otro
extremo de la conexin. Esta predeterminada en los switches con Cisco IOS, versin 12.2(18)SE o
posterior. Si si es una versin anterior,est deshabilitado.
El switch determina cmo manejar las tramas de datos entrantes mediante una tabla de direcciones
MAC. El switch genera su tabla de direcciones MAC grabando las direcciones MAC de los nodos
que se encuentran conectados en cada uno de sus puertos. Una vez que la direccin MAC de un nodo
especfico en un puerto determinado queda registrada en la tabla de direcciones, el switch ya sabe
enviar el trfico destinado a ese nodo especfico desde el puerto asignado a dicho nodo para
posteriores transmisiones.
Cuando un switch recibe una trama de datos entrantes y la direccin MAC de destino no figura en la
tabla, ste reenva la trama a todos los puertos excepto al que la recibi en primer lugar (inundacion).
Cuando el nodo de destino responde, el switch registra la direccin MAC de ste en la tabla de
direcciones del campo direccin de origen de la trama.
(Bsicamente, el mismo proceso que hace el router en trminos de adyacencia).
Dominios de Colision
El rea de red donde se originan las tramas y se producen las colisiones se denomina dominio de
colisiones. Todos los entornos de los medios compartidos, como aquellos creados mediante el uso de
hubs, son dominios de colisin. Cuando un host se conecta a un puerto de switch, el switch crea una
conexin dedicada. Esta conexin se considera como un dominio de colisiones individual
Si host A y B de un mismo switch necesitan comunicarse:switch crea la conexin a la que se
denomina microsegmento. El microsegmento se comporta como una red de slo dos hosts, un host
que enva y otro que recibe, y se utiliza el mximo ancho de banda disponible.
Dominios de broadcast
Los switches filtran la mayora de las tramas segn las direcciones MAC, pero para que otros
switches de la LAN obtengan tramas de broadcast, stas deben ser reenviadas por switches. Una
serie de switches interconectados forma un dominio de broadcast simple, broadcast MAC (capa 2)..
Slo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un
dominio de broadcast de Capa 3. Los routers y las VLAN se utilizan para segmentar los dominios
de colisin y de broadcast.
Cuando un dispositivo desea enviar un broadcast de Capa 2, la direccin MAC destino en la trama se
establece en slo unos. Al configurar el destino en este valor, todos los dispositivos aceptan y
procesarn la trama de broadcast. Esto ocurre entre host conectados al switch, as como si un switch
enva el broadcast a otro. El segundo switch aplicar inundacin entre sus puertos y enviar el
broadcast a sus host (como si el mismo lo hubiese originado).
Latencia de red
La latencia es el tiempo que una trama o paquete tarda en hacer el recorrido desde la estacin origen
hasta su destino final. Tiene al menos 3 componentes:
1ro:, el tiempo que toma la NIC origen en colocar pulsos de voltaje en el cable y el tiempo que tarda
la NIC destino en interpretar estos pulsos(o sea, el inverso). Esto se denomina a veces retraso de la
NIC (por lo general, es de 1 microsegundo para una NIC 10BASE-T)
2d:, el retardo de propagacin real, ya que la seal tarda un tiempo en recorrer el cable.
Normalmente, ste es de unos 0,556 microsegundos por 100 m para Cat 5 UTP. Si la longitud del
cable es mayor y la velocidad nominal de propagacin (NVP, Nominal Velocity of Propagation) es
menor, el retraso de propagacin ser mayor.
3ro: la latencia aumenta segn los dispositivos de red que se encuentren en la ruta entre dos
dispositivos.
La latencia no solo depende de la cantidad de dispositivos entre los host, sino tambin de los
dispositivos mismos. Ej:si dos computadoras estn separadas por tres switches correctamente
configurados, es probable que stas experimenten una latencia menor que la que se producira si
estuvieran separadas por dos routers correctamente configurados. Esto se debe a que los routers
ejecutan funciones ms complejas y que llevan ms tiempo. Ademas, podria haber una latencia
interna dentro del switch por la capacidad de manejar el ancho de banda en todos los puertos a la
vez. Aunque los switches han avanzado y esto ya no debe(ria) suponer un problema. Tpicamente la
latencia se relaciona con los protocolos de enrutamiento y otros problemas de la red.
Congestin de red
-Las causas ms comunes son:
Tecnologa de redes y computadoras cada vez ms potente =Volumen de trfico de la red cada vez
mayor (incluido el trfico de control).
-Aplicaciones con alta demanda de ancho de banda.
Segmentacion:
Puentes y Switches: Los puentes tienen slo un par de puertos para la conectividad de la LAN,
mientras que los switches cuentan con varios.
Routers: Todos los hosts conectados al switch pertenecen al mismo dominio de broadcast. Los
routers pueden utilizarse para crear dominios de broadcast, ya que no reenvan trfico de broadcast
predeterminado. Si se crean pequeos dominios de broadcast adicionales con un router, se reducir
el trfico de broadcast y se proporcionar mayor disponibilidad de ancho de banda para las
comunicaciones unicast.
Control de Latencia
Si un switch central tiene que brindar soporte a 48 puertos, siendo cada uno capaz de funcionar a
1000 Mb/s full duplex, el switch tendra que admitir aproximadamente 96 Gb/s de rendimiento
interno para mantener la velocidad plena del cable en todos los puertos al mismo tiempo. En este
ejemplo, los requisitos de rendimiento mencionados son tpicos de los switches de nivel central y no
de los switches de nivel de acceso.
El empleo de dispositivos de capas superiores tambin puede aumentar la latencia en la red. Cuando
un dispositivo de Capa 3, como un router, debe examinar la informacin de direccionamiento que
contiene la trama, debe realizar una lectura ms profunda de la trama que un dispositivo de Capa 2,
lo cual se traduce en mayor cantidad de tiempo de procesamiento. Al limitar el uso de dispositivos
de capas superiores, se reducir el nivel de latencia de la red!!!
Eliminar cuellos de botella:
En este tipo de conmutacin, cuando el switch recibe la trama, la almacena en los buffers de datos
hasta recibir la trama en su totalidad. Durante el proceso de almacenamiento, el switch analiza la
trama para buscar informacin acerca de su destino. En este proceso, el switch tambin lleva a cabo
una verificacin de errores utilizando la porcin del triler de comprobacin de redundancia cclica
(CRC). Si hay errores, se descarta (igual que en el router) La conmutacin por almacenamiento y
envo se requiere para el anlisis de calidad de servicio (QoS) en las redes convergentes, en donde se
necesita una clasificacin de la trama para decidir el orden de prioridad del trfico. Este mtodo es el
nico que usan los Cisco Catalyst actualmente.
El Switch conmuta y enva la trama apenas tenga la direccin MAC, sin siquiera haberla recibido
completa. Esta conmutacin es mas rapida, pero permite enviar tramas daadas que necesitan ancho
de banda y luego sern descartadas por la NIC del dispositivo receptor. Puede ser de dos formas:
Conmutacin por envio rapido que el metodo tipico aqu descrito y Conmutacin Libre de
fragmentos, donde el switch almacena slo los primeros 64 bits de la trama y hace la comprobacin
de errores ah antes de enviarla.
Algunos switches se configuran para realizar una conmutacin por mtodo de corte por puerto hasta
llegar a un umbral de error definido por el usuario y, luego, cambian la conmutacin al modo de
almacenamiento y envo. Si el ndice de error est por debajo del umbral, el puerto vuelve
automticamente a la conmutacin por mtodo de corte.
Conmutacion Simetrica: Todos los puertos tienen acceso al mismo ancho de banda.
Conmutacion Asimetrica: Un servidor tiene acceso a mas ancho de banda para evitar cuellos de
botella. La mayora de switches son asimtricos por ser ms flexibles.
Como se describi en el tema anterior, el switch analiza parte del paquete, o su totalidad, antes de
reenviarlo al host de destino mediante el mtodo de reenvo.
Conmutacion de Capa 2 y 3:
Un switch LAN de Capa 2 lleva a cabo los procesos de conmutacin y filtrado basndose
solamente en la direccin MAC de la Capa de enlace de datos (Capa 2) del modelo OSI.
Un switch de Capa 3, como el Catalyst 3560, funciona de modo similar a un switch de Capa 2,
como el Catalyst 2960, pero en lugar de utilizar slo la informacin de las direcciones MAC para
determinar los envos, el switch de Capa 3 puede tambin emplear la informacin de la direccin IP.
Normalmente, pueden enviar datos con la misma rapidez con la que pueden conmutar. Sin embargo,
los switches de Capa 3 no reemplazan completamente la necesidad de utilizar routers en una red.
Ambos pueden: Enrutar por capa 3, Administrar el trfico, enrutar por velocidad de cable. Pero solo
los router pueden soportar enrutamiento avanzado y soportar WIC (WAN Interface Card)
El asistente de red Cisco es una aplicacin de la GUI basada en PC para la administracin de redes y
optimizada para las LAN pequeas y medianas. Puede configurar y administrar grupos de switches o
switches independientes.
Aplicacin CiscoView
La aplicacin de administracin de dispositivos CiscoView proporciona una vista fsica del switch
que se puede utilizar para establecer parmetros de configuracin y para ver la informacin de
funcionamiento y el estado del switch. La aplicacin CiscoView, que se compra por separado, puede
ser una aplicacin independiente o bien formar parte de una plataforma de Protocolo de
administracin de red simple (SNMP).
Administrador de dispositivos Cisco
Se pueden administrar switches desde una estacin de administracin compatible con SNMP, como
HP OpenView. El switch es capaz de proporcionar amplia informacin de administracin y ofrece
cuatro grupos de Monitoreo remoto (RMON).
Ayudas de Cisco IOS (Interfaz de comandos)
Historial de comandos
(switch#show history)
El historial de comandos permite llevar a cabo las siguientes tareas:
Mostrar los contenidos del bfer de comandos.
Establecer el tamao del bfer del historial de comandos.
Recordar comandos previamente ingresados y almacenados en el bfer del historial. Cada modo de
configuracin cuenta con un bfer exclusivo. Es configurable:
Sequencia de Arranque del Switch
Antes de Empezar, revisar que los cables (incluido el de consola) estn bien conectados. Revisar que
Hyper Terminal (o el software que vayamos a usar para emular este bien conectado). Algunos
switches como la serie Cisco Catalyst 2960 no tienen botn de encendido.
Cuando se enciende el switch, se inicia la prueba POST. Durante la POST, los indicadores de los
LED parpadean mientras una serie de pruebas determina si el switch est funcionando
correctamente. Cuando la POST finaliza, el LED SYST parpadea rpidamente en color verde. Si el
switch no pasa la POST, el LED SYST se vuelve de color mbar. Si un switch no aprueba la POST,
ser necesario repararlo.
Un switch de capa de acceso se parece mucho a una PC en que se necesita configurar una direccin
IP, una mscara de subred y una gateway predeterminada. Para manejar un switch en forma remota
mediante TCP/IP, se necesita asignar al switch una direccin IP. Se recomienda que la VLAN no sea
1.
Interfaz de Administracin:
Tenga en cuenta que un switch de Capa 2, como el Cisco Catalyst 2960, permite que slo una
interfaz de la VLAN se encuentre activa por vez. Ello significa que la interfaz de Capa 3 VLAN 99
est activa pero la interfaz de Capa 3 VLAN 1 no lo est.
Gateway:
Para verificar la configuracin, usamos S#show runing-config y S#show ip interface brief. Adems
de que mdix auto est activado automticamente (por dicha!!).
Para controlar las personas que obtienen acceso a los servicios HTTP del switch, puede configurarse
de manera opcional la autenticacin. Los mtodos de autenticacin pueden ser complejos. Es
probable que sean tantas las personas que utilizan los servicios HTTP que se requerira un servidor
independiente utilizado especficamente para administrar la autenticacin de los usuarios. Los modos
de autenticacin AAA (Authentication, Authorization and Accounting quien y como acceder y que
hizo) y TACACS (Sistema de control de acceso del controlador de acceso al terminal) son ejemplos
que utilizan este tipo de mtodo de autenticacin remota.. Posiblemente se necesite un mtodo de
autenticacin menos complejo. El mtodo enable requiere que los usuarios utilicen la contrasea de
enable del servidor.
Los switches utilizan tablas de direcciones MAC para determinar cmo enviar trfico de puerto a
puerto. Estas tablas de direcciones MAC incluyen direcciones estticas y dinmicas. La figura
muestra un ejemplo de tabla de direcciones MAC, en el resultado del comando show mac-address-
table, que incluye direcciones MAC estticas y dinmicas.
El tiempo por defecto que esas direcciones estn en la Tabla MAC es 300 segundos, se puede
modificar para mas o para menos, con las implicaciones que eso tendra en ambos casos.
Un administrador de red puede asignar direcciones MAC estticas a determinados puertos de manera
especfica. Las direcciones estticas no expiran y el switch siempre sabe a qu puerto enviar el
trfico destinado a esa direccin MAC en particular. Una razn para implementar direcciones MAC
estticas es de proporcionar al administrador de red un completo control sobre el acceso a la red.
Slo los dispositivos conocidos por el administrador de red podrn conectarse a la red.
Para crear una asignacin esttica en la tabla de direcciones MAC, ingrese el comando mac-
address-table static <direccin MAC> vlan {1-4096, ALL} interface -id de la interfaz-
Para eliminar una asignacin esttica en la tabla de direcciones MAC, use el comando no mac-
address-table static <direccin MAC> vlan {1-4096, ALL} interface -id de la interfaz-
Se puede utilizar TFTP para realizar la copia de seguridad de los archivos de configuracin en la red.
El software IOS de Cisco viene con un cliente de TFTP incorporado que permite que el usuario se
conecte con un servidor TFTP en su red.
Paso 1.
Verifique que el servidor TFTP se est ejecutando en la red
Paso 2. Inicie sesin en el switch a travs del puerto de consola o sesin Telnet. Habilite el switch y
luego haga ping al servidor TFTP.
Paso 3.
Suba la configuracin del switch en el servidor TFTP. Especifique la direccin IP o el nombre de
host del servidor TFTP y el nombre del archivo de destino. El comando del IOS de Cisco es: #copy
system:running-config tftp://ubicacin]/directorio]/nombre de archivo] o #copy nvram:startup-config
tftp://ubicacin]/directorio]/nombre de archivo]. Se ve asi:
Paso 4. Descargue el archivo de configuracin del servidor TFTP para configurar el switch.
Especifique la direccin IP o el nombre de host del servidor TFTP y el nombre del archivo que desea
descargar. El comando del IOS de Cisco es: #copy tftp://ubicacin]/directorio]/nombre de archivo]
system:running-config o #copy tftp://ubicacin]/directorio]/nombre de archivo] nvram:startup-
config.
Para Eliminar un archivo de configuracin (no se podr restaurar luego, debe guardarse una copia
de seguridad si va a necesitarse mas adelante):
S1#erase nvram (o erase startup)
Para eliminar un archivo de configuracin almacenado en el RAM (no se podr restaurar luego,
debe guardarse una copia de seguridad si va a necesitarse ms adelante):
S1# delete flash:-nombre de archivo-
Una vez que se ha borrado o eliminado la configuracin, se puede volver a cargar el switch con una
nueva configuracin.
(Actividad en 2.3.8.4)
Configuracin de Contraseas
Consola:
Para eliminar la contrasea, se siguen los mismos comandos, pero se usa no password y no login.
Terminal Virtual
Para eliminar la contrasea, se siguen los mismos comandos, pero se usa no password y no login.
Modo EXEC: Se utilizan los comandos anteriores con el nombre enable. Para eliminar la
contrasea, se siguen los mismos comandos, pero se usa no password y no login.
Contrasenas Encriptadas:
No se puede recuperar, pero se podra crear una nueva, se requiere acceso consola:
Paso 1. Conecte un terminal o PC, con el software de emulacin de terminal, al puerto de consola del
switch.
Directory of flash:/
13 drwx 192 Mar 01 1993 22:30:48 c2960-lanbase-mz.122-25.FX
11 -rwx 5825 Mar 01 1993 22:31:59 config.text
18 -rwx 720 Mar 01 1993 02:21:30 vlan.dat
16128000 bytes total (10003456 bytes free)
Paso 7. Cambie el nombre del archivo de configuracin por config.text.old, que contiene la
definicin de la contrasea, mediante el comando rename flash:config.text flash:config.text.old.
Paso 9. Se solicitar que ejecute el programa de configuracin inicial. Ingrese N ante la solicitud y
luego cuando el sistema pregunte si desea continuar con el dilogo de configuracin, ingrese N.
Paso 10. Ante la indicacin de switch, ingrese al modo EXEC privilegiado por medio del comando
enable.
Paso 11. Cambie el nombre del archivo de configuracin y vuelva a colocarle el nombre original
mediante el comando rename flash:config.text.old flash:config.text.
Paso 12. Copie el archivo de configuracin en la memoria a travs del comando copy
flash:config.text system:running-config. Despus de ingresar este comando, se mostrar el siguiente
texto en la consola:
Source filename [config.text]?
Paso 13. Ingrese al modo de configuracin global mediante el comando configure terminal.
Paso 14. Cambie la contrasea mediante el comando enable secret -contrasea-.
Notas: Estos comandos pueden variar segn el switch. flash_init, load_helper, boot son comandos
para inicializar el sistema de archivos flash y terminar de cargar IOS, en caso de que el inicio se
interrumpa antes de iniciar los archivos flash.
Mensaje MODT
El mensaje MOTD se muestra en todos los terminales conectados en el inicio de sesin y es til para
enviar mensajes que afectan a todos los usuarios de la red (como desconexiones inminentes del
sistema). Si se configura, el mensaje MOTD se muestra antes que el mensaje de inicio de sesin.
Como Telnet es el transporte predeterminado para las lneas vty, no necesita especificarlo despus de
que se lleve a cabo la configuracin inicial del switch. Sin embargo, si ha conmutado el protocolo de
transporte en las lneas vty para permitir slo SSH, debe habilitar el protocolo de Telnet para
permitir el acceso manual de Telnet.
S1(config)# line vty 0 15
S1(config-line)# transport input telnet
o:
S1(config-line)# transport input all
SSH:
Paso 2. Configure un nombre de host para su switch utilizando el comando hostname -nombre del
host-
Paso 4. Habilite el servidor SSH para la autenticacin remota y local en el switch y genere un par de
claves RSA utilizando el comando crypto key generate rsa.
Cuando genera claves RSA se le indica que ingrese una longitud de mdulo. Cisco recomienda
utilizar un tamao de mdulo de 1024 bits. Una longitud de mdulo ms larga puede ser ms segura,
pero demora ms en generar y utilizar.
Paso 6. Muestre el estado del servidor SSH en el switch utilizando el comando show ip ssh o show
ssh.
Para eliminar el par de claves RSA, utilice el comando crypto key zeroize rsa de configuracin
global. Despus de eliminarse el par de claves RSA, el servidor SSH se deshabilita automticamente.
Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el servidor SSH.
Paso 2. (Opcional) Configure el switch para ejecutar SSHv1 o SSHv2 utilizando el comando ip ssh
version [1 | 2].
Si no ingresa este comando o no especifica una palabra clave, el servidor SSH selecciona la ltima
versin admitida por el cliente SSH. Por ejemplo: si el cliente SSH admite SSHv1 y SSHv2, el
servidor SSH selecciona SSHv2.
Si no ingresa este comando o no especifica una palabra clave, el servidor SSH selecciona la ltima
versin admitida por el cliente SSH. Por ejemplo: si el cliente SSH admite SSHv1 y SSHv2, el
servidor SSH selecciona SSHv2.
Especifique el valor del tiempo de espera terminado en segundos; la opcin predeterminada es 120
segundos. El intervalo es de 0 a 120 segundos.
De manera predeterminada, estn disponibles hasta cinco conexiones SSH simultneas encriptadas
para varias sesiones basadas en CLI sobre la red (sesin 0 a sesin 4).
Repita este paso cuando configure ambos parmetros. Para configurar ambos parmetros utilice el
comandoip ssh {timeout segundos | authentication-retries nmero}.
Paso 5. Muestre el estado de las conexiones del servidor SSH en el switch utilizando el comando
show ip ssh o show ssh.
Paso 6. (Opcional) Guarde sus entradas en el archivo de configuracin utilizando el comando copy
running-config startup-config.
Si quiere evitar conexiones que no sean de SSH, agregue el comando transport input ssh en el modo
configuracin en lnea para limitar al switch a conexiones slo de SSH.
Ataques de seguridad
Basicamente consisten en:
-Switch aprende la direccin MAC de un host y la agrega a su tabla MAC.
-El atacante llena la tabla MAC del switch con direcciones inexistentes.
-El switch tiene dificultad para encontrar las direcciones vlidas en medio de la inundacin y
comienza a actuar como un Hub, enviando todas las tramas por todos los puertos.
Suplantacion de Identidad (DHCP)
Paso 2. Habilitar el snooping de DHCP para VLAN especficas mediante el comando ip dhcp
snooping vlan -numero de vlan-
Paso 3. Definir los puertos como confiables o no confiables a nivel de interfaz identificando los
puertos confiables mediante el comando ip dhcp snooping trust
Paso 4. (Opcional) Limitar la tasa a la que un atacante puede enviar solicitudes de DHCP bogus de
manera continua a travs de puertos no confiables al servidor de DHCP mediante el comando ip
dhcp snooping limit rate -rate-
Ataques en CDP
Es simple deshabilitar varios puertos en un switch. Explore todos los puertos no utilizados y emita el
comando IOS de Cisco shutdown. Una forma alternativa de desactivar varios puertos es mediante el
comando interface range. Si un puerto debe ser activado, se puede ingresar el comando no shutdown
en forma manual para esa interfaz.