Hola a todos, estas últimas clases las hemos dedicado a poner el práctica los conceptos del capítulo 6 y 7, aunque hemos tenido que tirar de conceptos de capítulos anteriores porque enrutar entre VLANs obliga a tener VLANs.
En el temario, el enrutamiento entre VLANs lo plantea con routers puros, pero en la realidad es más habitual que el dispositivo que enrute entre redes locales sea un switch de nivel 3 (L3SW), así que por lo pronto os indico un enlace de Cisco donde explica como hacerlo puesto que en el temario no lo tenéis.
Otra de las funciones extras he que añadido a la práctica es la configuración de un servidor de NTP para que todos los switches tengan exactamente la misma hora. El problema es que en PT los L2SW no soportan el comando aunque en los reales si, así que solo está configurado en los L3SW.
También he añadido un servidor de logging para que toda la electrónica mande la notificación de sucesos a un servidor común de syslog.
También se ha configurado agregación de enlaces con la red de servidores, balanceo de carga entre con SpanningTree y varios temas interesantes.
No se ha configurado nada de VTP ni de seguridad a nivel de puertos ni a nivel de entrada en los equipos.
He intentado hacer funcionar los teléfonos IP pero no terminan de ir, algunos si tienen extensión y otros no, le he dedicado un tiempo pero como está tan cerca el examen para los presenciales lo subo ya al campus.
Un saludo.
miércoles, 23 de mayo de 2012
lunes, 14 de mayo de 2012
Clase del 14/05/2012
La clase de hoy va a servir para explicar los fundamentos del enrutamiento entre VLANs.
Vamos a ver tres métodos para hacerlo, aunque el más importante, por ser cercano a la realidad es utilizar un switch de nivel 3. Esta configuración, no se detalla en el temario pero el próximo dia la pondremos en práctica.
Es un capítulo sencillo de comprender y corto de estudiar así que os dejo que lo desarrolléis por vuestra cuenta. Una vez hechas las prácticas, si tenéis dudas, podéis plantearlas en el foro correspondiente del campus virtual.
Ánimo.
Vamos a ver tres métodos para hacerlo, aunque el más importante, por ser cercano a la realidad es utilizar un switch de nivel 3. Esta configuración, no se detalla en el temario pero el próximo dia la pondremos en práctica.
Es un capítulo sencillo de comprender y corto de estudiar así que os dejo que lo desarrolléis por vuestra cuenta. Una vez hechas las prácticas, si tenéis dudas, podéis plantearlas en el foro correspondiente del campus virtual.
Ánimo.
Clase del 9/05/2012
La clase de este miércoles la hemos dedicado a hacer todas las prácticas del final del capítulo 5 del temario dedicado a Spanning Tree.
lunes, 7 de mayo de 2012
Clase del día 07/05/2012
En la clase del día 07/05/2012 hemos tratado el tema de las variantes del protocolo STP.
Al principio de la clase se ha hablado sobre la practica.
Los tres primeros son propiedad de Cisco.
-PVST
-PVST+
-PVST+ rápido
Los dos últimos son Estándares.
-RSTP
-MSTP
Los comandos para configurar el PVST+ son los siguientes:
-S3(config)# spanning-tree vlan 20 root primary
Este comando configura al switch S3 a ser raíz principal para VLAN 20.
-S3(config)# spanning-tree vlan 10 root secondary
Este comando configura al switch S3 a ser raíz secundaria para VLAN 20.
-S1(config)# spanning-tree vlan 10 root primary
Este comando configura al switch S1 a ser raíz principal para VLAN 10.
-S1(config)# spanning-tree vlan 20 root secondary
Este comando configura al switch S1 a ser raíz secundaria para VLAN 20.
-S3(config)#spanning-tree vlan 20 priority 4096
Este comando establece la prioridad para el switch S3 para que sea la menor posible,aumenta la posibilidad que el switch S3 se convierta en raíz principal para VLAN 20.
-S1(config)#spanning-tree vlan 10 priority 4096
Este comando establece la prioridad para el switch S1 para que sea la menor posible,aumenta la posibilidad que el switch S1 se convierta en raíz principal para VLAN 10.
El comando show spanning-tree active
Muestra las interfaces de red spanning-tree solo para las interfaces activas.
RSTP: Las principales ventajas de RSPT es que es un protocolo más rápido que el STP, además integra mejoras de Cisco como las BPDU de que envían propuestas y acuerdos a los switches vecinos,es compatible con 802.1D, no requiere los temporizadores del 802.1D.
Puertos de Extremo:
¿Que es?
Es un puerto que nunca se debería conectar a otro dispositivo como puede ser a otro switch, por que pasa al estado de enviar de forma inmediata de forma automática cuando se encuentra habilitado.
Tipos de enlace:
Los tipos de enlace pueden ser de varios tipos en caso de no ser puerto de extremo:
-Punto a punto.
-Compartido.
En los puertos de extremo:
-Se utiliza el Punto a punto.
Configurar PVST+ rápido
-Ingresar en modo de conflagración global: configure terminal
-Configurar el modo rapid PVST+ spanning-tree: spanning-tree mode rapid-pvst
-Ingresar el modo de conflagración de la interfaz especificar una interfaz para configurar: interface interface-id
-Especificar que el tipo de enlace para este puerto es punto a punto: spanning-tree link-type point-to-point
-Volver al modo EXEC privilegiado: end
-Borrar todos los STP detectados: clear spanning-tree detected-protocols
Además hemos tratado el tema de la depuración VTP y la depuración manual.
Conmutación de Capa 3
La conmutación de Capa 3 implica que el enrutamiento se lleva acabo a la velocidad de una conmutación. un router realiza dos funciones principales:
-Construye una tabla de envíos: Se basa en que el router intercambia información con sus pares, mediante los protocolos de enrutamiento.
-Recibe paquetes y los envía a la interfaz correcta basándose en la dirección de destino.
Al establecer la VLAN según la conmutación de Capa 3 permite una alta velocidad como si contara con un puenteo dentro de la VLAN
Recomendaciones:
-Mantenga STP incluso si no es necesario.
-Mantenga el tráfico fuera de la VLAN administrativa.
-No permita que una única VLAN se expanda por toda la red.
Al principio de la clase se ha hablado sobre la practica.
Los tres primeros son propiedad de Cisco.
-PVST
-PVST+
-PVST+ rápido
Los dos últimos son Estándares.
-RSTP
-MSTP
Los comandos para configurar el PVST+ son los siguientes:
-S3(config)# spanning-tree vlan 20 root primary
Este comando configura al switch S3 a ser raíz principal para VLAN 20.
-S3(config)# spanning-tree vlan 10 root secondary
Este comando configura al switch S3 a ser raíz secundaria para VLAN 20.
-S1(config)# spanning-tree vlan 10 root primary
Este comando configura al switch S1 a ser raíz principal para VLAN 10.
-S1(config)# spanning-tree vlan 20 root secondary
Este comando configura al switch S1 a ser raíz secundaria para VLAN 20.
-S3(config)#spanning-tree vlan 20 priority 4096
Este comando establece la prioridad para el switch S3 para que sea la menor posible,aumenta la posibilidad que el switch S3 se convierta en raíz principal para VLAN 20.
-S1(config)#spanning-tree vlan 10 priority 4096
Este comando establece la prioridad para el switch S1 para que sea la menor posible,aumenta la posibilidad que el switch S1 se convierta en raíz principal para VLAN 10.
El comando show spanning-tree active
Muestra las interfaces de red spanning-tree solo para las interfaces activas.
RSTP: Las principales ventajas de RSPT es que es un protocolo más rápido que el STP, además integra mejoras de Cisco como las BPDU de que envían propuestas y acuerdos a los switches vecinos,es compatible con 802.1D, no requiere los temporizadores del 802.1D.
Puertos de Extremo:
¿Que es?
Es un puerto que nunca se debería conectar a otro dispositivo como puede ser a otro switch, por que pasa al estado de enviar de forma inmediata de forma automática cuando se encuentra habilitado.
Tipos de enlace:
Los tipos de enlace pueden ser de varios tipos en caso de no ser puerto de extremo:
-Punto a punto.
-Compartido.
En los puertos de extremo:
-Se utiliza el Punto a punto.
Configurar PVST+ rápido
-Ingresar en modo de conflagración global: configure terminal
-Configurar el modo rapid PVST+ spanning-tree: spanning-tree mode rapid-pvst
-Ingresar el modo de conflagración de la interfaz especificar una interfaz para configurar: interface interface-id
-Especificar que el tipo de enlace para este puerto es punto a punto: spanning-tree link-type point-to-point
-Volver al modo EXEC privilegiado: end
-Borrar todos los STP detectados: clear spanning-tree detected-protocols
Además hemos tratado el tema de la depuración VTP y la depuración manual.
Conmutación de Capa 3
La conmutación de Capa 3 implica que el enrutamiento se lleva acabo a la velocidad de una conmutación. un router realiza dos funciones principales:
-Construye una tabla de envíos: Se basa en que el router intercambia información con sus pares, mediante los protocolos de enrutamiento.
-Recibe paquetes y los envía a la interfaz correcta basándose en la dirección de destino.
Al establecer la VLAN según la conmutación de Capa 3 permite una alta velocidad como si contara con un puenteo dentro de la VLAN
Recomendaciones:
-Mantenga STP incluso si no es necesario.
-Mantenga el tráfico fuera de la VLAN administrativa.
-No permita que una única VLAN se expanda por toda la red.
miércoles, 2 de mayo de 2012
Clase 02/05/2012
Comenzamos con el
capítulo 5 de Cisco.
Protocolo spanning tree (STP).
Se usa cuando queremos redundancia para beneficiarnos de sus
ventajas pero no queremos sufrir sus inconvenientes.
La ventaja de la redundancia es que evita problemas si algún
cable falla, se aplica en capas de distribución y núcleo. Los inconvenientes de
la redundancia: tormenta de broadcast, mensajes
unicast pueden llegar repetidos (merma el rendimiento, usa ancho de banda
innecesario), confunde la tabla CAM del switch.
Los problemas de broadcast también pueden venir aunque no
tengamos redundancia.
Spanning tree corta uno de los cables (lo pone virtualmente
down) que hace la redundancia y dirige todo el tráfico por el otro, pero si
falla pone en marcha el cable que tiene cortado. Este protocolo bloquea unas
bocas y cuando hace falta las desbloquea. En cuanto el cable bueno vuelve a
estar activo, STP lo vuelve a poner como predeterminado.
Los switches se ponen de acuerdo en el protocolo STP mandándose
mensajes entre ellos, los llamados BPDU.
STP funciona en general para dispositivos de capa de
distribución, no solo funciona para Ethernet.
¿Cómo elegir qué bocas cortar?
Las bocas de un switch raíz son puertos designados y no se pueden bloquear. Todas las bocas de otro
switch que no sea el raíz pero que esté conectado directamente a él se
consideran puente raíz y tampoco
pueden ser bloqueadas. En el resto hay que negociar los puertos, algunos serán
designados y otros no designados.
¿Cómo se elige el switch raíz?
Se elige el que tiene el número más pequeño de prioridad,
pero si todos los switches tienen la misma prioridad, entonces elegirá el que
tenga la dirección MAC más pequeña. Si tenemos VLANs cada una puede tener un
switch raíz.
Campos BID, para establecer la prioridad, son números de 0
al 15 multiplicados por 4096 a los que
se le suma el número de la VLAN. Es diferente para el protocolo antiguo.
Para elegir las bocas se eligen las mejores rutas al puente
raíz, en función a la tabla (5.2.1.4).
Las bocas tienen un número de prioridad de 8 bits, esto
sirve cuando tenemos dos switches conectados entre ellos por dos cables,
entonces se elige la boca activa mediante esta prioridad. También sirve
para elegir la boca que se bloquea entre dos switches cuando se quiere cortar
ese camino, si las dos tienen la misma prioridad en este caso se elige por la
prioridad del switch. Se puede cambiar la prioridad de una boca: spanning-tree
port-priority 112 (por defecto viene la 128).
Los campos del BPDU (5.2.2.1), muestran entre otras cosas la
versión de STP, el tipo de BPDU, el root id, el bridge id, el hello time (manda
un mensaje para verificar que está activo, si fallan varios se considera que ha
caido), etc.
El proceso BPDU: nada más conectar todos los switches se ven
a sí mismos como switch raíz (tienen la misma id raíz que id puente), acto
seguido se comunican entre ellos para determinar cuál es el verdadero switch
raíz (el que tenga menor prioridad).
Para cambiar la prioridad a un switch usamos el siguiente
comando:
spanning-tree vlan 1 priority 24576
Presuponemos que este número es el más pequeño porque vienen
por defecto con un número más grande (32000) e imaginamos que nadie lo ha
tocado.
Otra posibilidad:
spanning-tree vlan 1 root primary
Esta opción sondea todas las prioridades y pone una más
pequeña.
Podemos establecer también switches secundarios:
spanning-tree vlan 1 root secondary
Esto sirve para poner a las VLANs un switch primario y otro
secundario por si cae. Ponemos algunas VLANs a un switch primario y otras a
otro y alternamos los switches secundarios para tenerlos todos en uso y tener
redundancia al mismo tiempo.
Estados de los puertos. Hay cinco estados por los que pasa
un switch: bloquear, escuchar, aprender, reenviar, deshabilitado. Algunas bocas
de switch pasan por todas las fases y otras se quedan en bloqueado.
Temporizadores BPDU. Tiempo de saludo(predet. 2 seg, pero
puede ser de 1 a 10 seg), retardo de envío (predet. 15 seg, puede cambiarse de
4 a 30 seg), antigüedad máxima (predet. 20 seg, puede ajustarse de 6 a 40 seg).
Desde que enciendemos un switch hasta que las bocas están
verdes pasan unos 50 segundos.
Comando que determina el número de switches a atravesar:
spanning-tree
vlan 1 root primary diameter 5
Sirve para modificar un poco los temporizadores para evitar el
problema de que se considere que los mensajes se han perdido porque tardan en
llegar más de lo que el temporizador tiene establecido.
Comando PortFast, tecnología de Cisco para que un switch que
se establece como puerto de acceso sufra una transición del estado de bloqueo
al de enviar de manera inmediata, saltando los pasos intermedios. Así, si
desconectamos un cable de un dispositivo final y lo volvemos a conectar no
tenemos que esperar.
Convergencia de STP. Pasos:
-Elegir un puente raíz
-Elegir un puerto raíz
-Elegir los designados y no designados
Hemos llegado hasta el punto 5.4.1.1
viernes, 27 de abril de 2012
Clase del 25/04/2012
Hoy nos hemos centrado en la parte final del capítulo 4 haciendo todos los ejercicios propuestos el final del mismo. Es importante que los hagáis puesto que os recuerdo que el examen final presencial incluye un tipo test pero también un práctico.
Os recuerdo el acuerdo al que llegamos sobre poder traer al examen una hoja A4, escrita a mano, con los comandos, solo comandos, que consideréis importantes.
Ánimo.
Os recuerdo el acuerdo al que llegamos sobre poder traer al examen una hoja A4, escrita a mano, con los comandos, solo comandos, que consideréis importantes.
Ánimo.
lunes, 23 de abril de 2012
Clase de 23/04/2012
Empezamos el capítulo 4. VTP.
Es un protocolo propietario de Cisco, para poder aprovechar sus ventajas requiere que toda la electronica de nivel 2 sea de la marca.
Tiene varias ventajas.
Un SW será servidor de VLANs el resto serán clientes, aunque puede haber más de un servidor por domino.
Por tanto evita que haya que crear todas las VLANs en cada SW.
VTP solo se envia por enlaces troncales, el origen del protocolo es propio SW, por tanto se usa la VLAN nativa.
No es un servicio cliente/servidor puro puesto que un SW cliente no necesita del servidor en linea para ver las VLANs existentes, solo se replican en su creación, modificación, o eliminación.
En un domino de VTP, hay un servidor y varios clientes. Puede haber SW en modo transparente que no aprenden las VLANs del servidor, tiene las suyas propias, pero deja pasar el tráfico de VTP entre clientes y servidor.
El VTP pruning optimiza el envio de mensajes de Broadcast y Multicast por los enlaces troncales por donde no hace falta, de tal modo que no llegue tráfico innecesario a un segmento de la LAN donde no hay ninguna boca de acceso asociada a la VLAN donde va dirigido el broadcast.
El servidor crea un nombre de nomino con una longitud máxima de 32 caractéres.
Los mensajes VTP se encapsulan en 802.1q, con la VLAN nativa. Como tenemos 802.1q, tenemos un 802.2 (LLC) con sus correspondientes SAP (Service Access Point).
VTP tiene tres tipos de mensajes.
Realizad la miniprueba del apartado 4.2.5.
Ánimo.
Es un protocolo propietario de Cisco, para poder aprovechar sus ventajas requiere que toda la electronica de nivel 2 sea de la marca.
Tiene varias ventajas.
Un SW será servidor de VLANs el resto serán clientes, aunque puede haber más de un servidor por domino.
Por tanto evita que haya que crear todas las VLANs en cada SW.
VTP solo se envia por enlaces troncales, el origen del protocolo es propio SW, por tanto se usa la VLAN nativa.
No es un servicio cliente/servidor puro puesto que un SW cliente no necesita del servidor en linea para ver las VLANs existentes, solo se replican en su creación, modificación, o eliminación.
En un domino de VTP, hay un servidor y varios clientes. Puede haber SW en modo transparente que no aprenden las VLANs del servidor, tiene las suyas propias, pero deja pasar el tráfico de VTP entre clientes y servidor.
El VTP pruning optimiza el envio de mensajes de Broadcast y Multicast por los enlaces troncales por donde no hace falta, de tal modo que no llegue tráfico innecesario a un segmento de la LAN donde no hay ninguna boca de acceso asociada a la VLAN donde va dirigido el broadcast.
El servidor crea un nombre de nomino con una longitud máxima de 32 caractéres.
Los mensajes VTP se encapsulan en 802.1q, con la VLAN nativa. Como tenemos 802.1q, tenemos un 802.2 (LLC) con sus correspondientes SAP (Service Access Point).
VTP tiene tres tipos de mensajes.
- Resumen: es un multicast a todos los SW clientes del mismo dominio, indicando el nombre del domino, una mar temporal y un número de revisión para que los SW clientes comprueben si están actualizados.
- Solicitud: Cuando un SW clientes comprueba gracias al número de revisión que su información sobre las VLANs no está actualizada, envía una solicitud al servidor, este responde con un nuevo resumen y justo a continuación, mensajes de subconjunto con los comandos de actualización de la base de datos de VLANs.
- Subconjunto: Se incluye la información detallada sobre cada VLAN: id, nombre, tipo, etc. Con esta información el SW cliente da de baja, alta o modifica las VLANs que conocía.
Realizad la miniprueba del apartado 4.2.5.
Ánimo.
miércoles, 18 de abril de 2012
Clase 18-04-2012
En la última clase antes de vacaciones hicimos una práctica real de todos los conceptos del capítulo 2 y algo del capítulo 3 en la red física.
En la clase del lunes comenzamos el capítulo 3. (Hasta finalizar el punto 3.1).
Hoy empezamos en el punto 3.2.1.1.
Temas que se han tratado:
VLANs, protocolos entre switches para gestion de VLANs. Un switch en modo troncal conserva la etiqueta del paquete, por una sola boca se pueden mandar paquetes de distintas VLANs. En modo acceso se necesita una boca para cada VLAN.
Wireshark: comprobamos que se captura tráfico con VLAN y etiqueta, se captura tráfico que solo debería llegar a switches, no a PCs. Este tipo de paquetes deberia enviarse por paquetes troncales, donde hay un switch escuchando, no por paquetes de acceso.
Detalles del campo etiqueta VLAN
Campos como novedad:
Colas de prioridad en switches con protocolo 802.1p (cámara, VoIP, … tienen más prioridad) prioridad a nivel de enlace.
VLAN Nativa y Enlace troncal 802.1Q
La VLAN nativa gestiona el tráfico que tiene que entrar por una boca de trunk pero no tiene etiqueta (puede que este tráfico nazca en el propio switch), la nativa generalmente es la 1, pero conviene cambiarla por la 99 para evitar conflictos.
Cisco inventó las VLANs, las llamó ISL. Más tarde se estandarizó al 802.1Q. Cisco sigue usando los dos.
DTP (dynamic trunking protocol), ahorra la configuración manual de las bocas de trunk, es de Cisco, tiene varios modos (automático, deseado, troncal y acceso).
Configuración de VLANs: Bocas que conectan PCs en modo acceso, bocas que conectan servidores en modo trunk. No debe haber ningun switch conectado a la VLAN por defecto. Asociar IPs a VLANs.
Una buena práctica sería poner todas las bocas del switch a la VLAN parking, donde no tenemos ningún servicio activo, de manera que nos obliguemos a configurar cada boca que vayamos a usar y evitemos que una boca que no tengamos controlada pueda ser usada para un fin inapropiado. No debemos usar como VLAN parking la VLAN 1, que es por defecto la de gestión.
Problemas que puede haber con las VLANs con enlaces troncales: falta de concordancia de la boca nativa (mismatch), falta de concordancia del modo de enlace troncal (por ejemplo, que los dos estén en modo auto), VLANs permitidas (por ejemplo, que pongamos en “allowed” una VLAN que no existe), VLAN y subredes IP (error al configurar IP).
Práctica con Packet Tracer en la página 3.5.2.
-Para el switch 1
Enable
Configure terminal
Hostname s1
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.11 255.255.255.0
No shut
-Para el switch 2
Enable
Configure terminal
Hostname s2
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.12 255.255.255.0
No shut
-Para el switch 3
Enable
Configure terminal
Hostname s3
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.13 255.255.255.0
No shut
-Para los switches 2 y 3
Int range f0/1-5
Sw mode access
Sw acc vlan 56
Int range f0/6-10
Sw mode access
Sw acc vlan 30
Int range f0/11-17
Sw mode access
Sw acc vlan 10
Int range f0/18-24
Sw mode access
Sw acc vlan 20
-Para los tres switches
Int range f0/1-2
Sw mode trunk
Sw trunk native vlan 56
Falta poner IPs a los PCs y comprobar que todo funciona.
En la clase del lunes comenzamos el capítulo 3. (Hasta finalizar el punto 3.1).
Hoy empezamos en el punto 3.2.1.1.
Temas que se han tratado:
VLANs, protocolos entre switches para gestion de VLANs. Un switch en modo troncal conserva la etiqueta del paquete, por una sola boca se pueden mandar paquetes de distintas VLANs. En modo acceso se necesita una boca para cada VLAN.
Wireshark: comprobamos que se captura tráfico con VLAN y etiqueta, se captura tráfico que solo debería llegar a switches, no a PCs. Este tipo de paquetes deberia enviarse por paquetes troncales, donde hay un switch escuchando, no por paquetes de acceso.
Detalles del campo etiqueta VLAN
Campos como novedad:
Colas de prioridad en switches con protocolo 802.1p (cámara, VoIP, … tienen más prioridad) prioridad a nivel de enlace.
VLAN Nativa y Enlace troncal 802.1Q
La VLAN nativa gestiona el tráfico que tiene que entrar por una boca de trunk pero no tiene etiqueta (puede que este tráfico nazca en el propio switch), la nativa generalmente es la 1, pero conviene cambiarla por la 99 para evitar conflictos.
Cisco inventó las VLANs, las llamó ISL. Más tarde se estandarizó al 802.1Q. Cisco sigue usando los dos.
DTP (dynamic trunking protocol), ahorra la configuración manual de las bocas de trunk, es de Cisco, tiene varios modos (automático, deseado, troncal y acceso).
Configuración de VLANs: Bocas que conectan PCs en modo acceso, bocas que conectan servidores en modo trunk. No debe haber ningun switch conectado a la VLAN por defecto. Asociar IPs a VLANs.
Una buena práctica sería poner todas las bocas del switch a la VLAN parking, donde no tenemos ningún servicio activo, de manera que nos obliguemos a configurar cada boca que vayamos a usar y evitemos que una boca que no tengamos controlada pueda ser usada para un fin inapropiado. No debemos usar como VLAN parking la VLAN 1, que es por defecto la de gestión.
Problemas que puede haber con las VLANs con enlaces troncales: falta de concordancia de la boca nativa (mismatch), falta de concordancia del modo de enlace troncal (por ejemplo, que los dos estén en modo auto), VLANs permitidas (por ejemplo, que pongamos en “allowed” una VLAN que no existe), VLAN y subredes IP (error al configurar IP).
Práctica con Packet Tracer en la página 3.5.2.
-Para el switch 1
Enable
Configure terminal
Hostname s1
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.11 255.255.255.0
No shut
-Para el switch 2
Enable
Configure terminal
Hostname s2
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.12 255.255.255.0
No shut
-Para el switch 3
Enable
Configure terminal
Hostname s3
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.13 255.255.255.0
No shut
-Para los switches 2 y 3
Int range f0/1-5
Sw mode access
Sw acc vlan 56
Int range f0/6-10
Sw mode access
Sw acc vlan 30
Int range f0/11-17
Sw mode access
Sw acc vlan 10
Int range f0/18-24
Sw mode access
Sw acc vlan 20
-Para los tres switches
Int range f0/1-2
Sw mode trunk
Sw trunk native vlan 56
Falta poner IPs a los PCs y comprobar que todo funciona.
lunes, 26 de marzo de 2012
CLASE REDES 2 LUNES 26-3-2012
Lunes 26 de Marzo de 2012
Clase de Redes II
En clases anteriores estuvimos viendo:
- Interfaz
- Comandos
- Como trabajar con copias de seguridad.
- Configuración
- Manejo de estructura de archivos
- Como poner alguna IP, etc...
Todo esto estaba en el apartado 2.4.
Ahora en el capitulo 2.5.1 , 2 , y 3 tenemos las prácticas para hacer por vuestra cuenta.
Seguimos pues con el capítulo 2.4 con el tema de seguridad:
Vamos viendo comandos.
enable password cisco, asi tenemos un primer nivel de contraseñas.
service password encryption, para poder hacer un show root
El profesor procede a abrir el programa CAIN, una vez abierto CAIN, despues de hacer el show root
corta una contraseña (del alagoritmo tipo 7) y la pega en CAIN. El algoritmo tipo 7 está comprometido, por eso CISCO, lo quitó y puso
enable secret CISCO, !no utilizar nunco enable password! , siempre !secret!.
Entonces ponemos dos niveles de contraseña: el enable secret (leer capitulo 2.4.1.4).
Todo esto es lo que tiene que ver con el proceso de ponerle algo de seguridad a la entrada.
En el capitulo 2.4.1.5, vemos que en el proceso de inicio de un switch hay que mantener pulsado un botoncito que podemos ver en el esquema. Si se entra en el modo rom mon, por ejemplo, he perdido la contraseña, tengo el dedo pulsado en el boton, y en unos segundos en lugar de aparecer el proceso normal, vemos rom mon 1. Cada modelo tendra una pulsación de tecla, otros dos pulsaciones. El procedimiento para switches,si hemos perdido la contraseña, por ejemplo, modelo 2960, vemos en la pagina web ese modelo y tenemos una herramienta para poder recuperar la contraseña.
Nos dan instrucciones, en inglés, de los pasos que tenemos que seguir. Pulsar el boton de modo y soltarlo cuando este parpadeando un led que pone SYST. En cada modelo de Switch hay que hacer una paso concreto. Pues bien, cuando el led parpadea nos sale un proceso de arranque, mas o menos extraño, y entonces habrá que teclear tres comandos
flash init
load helper
boot
De esta forma se monta el sistema de archivos que hay en la flash. y a continuación aparecerá la palabra:
switch:
Podemos poner
switch: dir flash:
Así podemos ver cualquier incidencia que puede haber ocurrido en la flash.
También podemos ver el fichero de configuración, y ahí, quizás podemos ver la contraseña que habíamos perdido. Si no es así, pues podremos configurar una nueva.
En estos momentos si reiniciamos el switch va a arrancar como si fuera de primera mano.
switch: boot , arranca el sistema normal.
Estamos accediendo al switch desde la BIOS, entonces quizas debemos leer bien el manual y utilizar toda una serie de comandos para poder arrancar correctamente nuestro switch.
Existe otra posibilidad que es cargar el switch por TFTP.
Con #boot system flash: para arrancar desde flash
boot system rom, para arrancar desde la rom
boot system tftp, para ir al servidor de FTP y descargar el archivo correpondiente.
Resumiendo
-quitamos la luz al dispositivo
-pulsamos boton
-se suelta el dedo
-entramos en el modo de boot, la configuración es la tipica de los dispositivos de CISCO.
-empezamos a ver en la pantalla la BIOS
flash init
load helper
boot
El fichero clave para recuperación de contraseñas es
Nos pregunta si queremos entrar en el asistente NO
Volvemos a renombrar el fichero old con el nombre que debe de tener
Ahora cargamos en fichero de la flash a runnig cofig. Hacemos un show run y comprobamos si se ven las contraseñas. Conviene no tener activos los Telnet.
Una vez hemos arrancado como no hay configuración cargada nos pregunta si queremos asistente. Quermos cambiar el runing config, hacemos un copy start run, asi todo se carga, incluidas las contraseñas, pero no nos hacen falta ahora , porque y estamos dentro.
Hay que volver a grabar con copy run start, para la próxima vez que arranquemos.
Esto no es algo que se vaya a pedir en el examen, pero hay que saber que toda esta información existe, por si alguna vez tenemos que utilizarla.
Ahora hablamos de los banner a los mensajes, banners a los procesos de arranque. Hay que poner un mensaje, y siempre tiene que ser amenazador (..!ha entrado en el departamento legal de defensa!, ....por ejemplo).
Esta el banner login y el banner mod. Este es el mensaje del dia, el que cambia día a dia. El banner login es el mensaje de bienvenida.
ASCII ART TEXT, buscamos en google o en bing. Buscamos alguno que permita escribir texto para hacer un ejemplo practico de mensajes
!Atención ..........
Una vez escrito el banner, guardaremos con copy run start.
A continucación hablamos de TELNET y SSH. Hasta ahora habíamos entrado por Telnet, ahora vamos a ver SSH. Con SSH se pueden buscar router que no que nos pueden pedir usuario y contreña. Esto no va a ocurrir con los ruters de las empresas que tienen personal con buena formación, como Google, por ejemplo, pero si es posible que si nos direccionamos a una pagina WEB de otro país remoto como la India, etc, podemos encontrar routers exentos de seguridad.
#trannsport input ssh, con esta instrucción , a partir de ahora no se podrá entrar por Telnet, sino por ssh.
Ahora deberíamos pensar que es posible empezar a hacer cosas por ssh. Pero no es así, necesitamos la contraseña pública, pero tambíén la contraseña privada. (estamos viendo el apartado 2.4.3.3).
El switch tiene guardada la clave privada. La clave pública es la que se puede ver.
Se puede probar en casa este comando ssh
ssh 10.0.0.10
Pasaremos a ataques de seguridad.
FIN DE CLASE
Clase de Redes II
En clases anteriores estuvimos viendo:
- Interfaz
- Comandos
- Como trabajar con copias de seguridad.
- Configuración
- Manejo de estructura de archivos
- Como poner alguna IP, etc...
Todo esto estaba en el apartado 2.4.
Ahora en el capitulo 2.5.1 , 2 , y 3 tenemos las prácticas para hacer por vuestra cuenta.
Seguimos pues con el capítulo 2.4 con el tema de seguridad:
Vamos viendo comandos.
enable password cisco, asi tenemos un primer nivel de contraseñas.
service password encryption, para poder hacer un show root
El profesor procede a abrir el programa CAIN, una vez abierto CAIN, despues de hacer el show root
corta una contraseña (del alagoritmo tipo 7) y la pega en CAIN. El algoritmo tipo 7 está comprometido, por eso CISCO, lo quitó y puso
enable secret CISCO, !no utilizar nunco enable password! , siempre !secret!.
Entonces ponemos dos niveles de contraseña: el enable secret (leer capitulo 2.4.1.4).
Todo esto es lo que tiene que ver con el proceso de ponerle algo de seguridad a la entrada.
En el capitulo 2.4.1.5, vemos que en el proceso de inicio de un switch hay que mantener pulsado un botoncito que podemos ver en el esquema. Si se entra en el modo rom mon, por ejemplo, he perdido la contraseña, tengo el dedo pulsado en el boton, y en unos segundos en lugar de aparecer el proceso normal, vemos rom mon 1. Cada modelo tendra una pulsación de tecla, otros dos pulsaciones. El procedimiento para switches,si hemos perdido la contraseña, por ejemplo, modelo 2960, vemos en la pagina web ese modelo y tenemos una herramienta para poder recuperar la contraseña.
Nos dan instrucciones, en inglés, de los pasos que tenemos que seguir. Pulsar el boton de modo y soltarlo cuando este parpadeando un led que pone SYST. En cada modelo de Switch hay que hacer una paso concreto. Pues bien, cuando el led parpadea nos sale un proceso de arranque, mas o menos extraño, y entonces habrá que teclear tres comandos
flash init
load helper
boot
De esta forma se monta el sistema de archivos que hay en la flash. y a continuación aparecerá la palabra:
switch:
Podemos poner
switch: dir flash:
Así podemos ver cualquier incidencia que puede haber ocurrido en la flash.
También podemos ver el fichero de configuración, y ahí, quizás podemos ver la contraseña que habíamos perdido. Si no es así, pues podremos configurar una nueva.
En estos momentos si reiniciamos el switch va a arrancar como si fuera de primera mano.
switch: boot , arranca el sistema normal.
Estamos accediendo al switch desde la BIOS, entonces quizas debemos leer bien el manual y utilizar toda una serie de comandos para poder arrancar correctamente nuestro switch.
Existe otra posibilidad que es cargar el switch por TFTP.
Con #boot system flash: para arrancar desde flash
boot system rom, para arrancar desde la rom
boot system tftp, para ir al servidor de FTP y descargar el archivo correpondiente.
Resumiendo
-quitamos la luz al dispositivo
-pulsamos boton
-se suelta el dedo
-entramos en el modo de boot, la configuración es la tipica de los dispositivos de CISCO.
-empezamos a ver en la pantalla la BIOS
flash init
load helper
boot
El fichero clave para recuperación de contraseñas es
Nos pregunta si queremos entrar en el asistente NO
Volvemos a renombrar el fichero old con el nombre que debe de tener
Ahora cargamos en fichero de la flash a runnig cofig. Hacemos un show run y comprobamos si se ven las contraseñas. Conviene no tener activos los Telnet.
Una vez hemos arrancado como no hay configuración cargada nos pregunta si queremos asistente. Quermos cambiar el runing config, hacemos un copy start run, asi todo se carga, incluidas las contraseñas, pero no nos hacen falta ahora , porque y estamos dentro.
Hay que volver a grabar con copy run start, para la próxima vez que arranquemos.
Esto no es algo que se vaya a pedir en el examen, pero hay que saber que toda esta información existe, por si alguna vez tenemos que utilizarla.
Ahora hablamos de los banner a los mensajes, banners a los procesos de arranque. Hay que poner un mensaje, y siempre tiene que ser amenazador (..!ha entrado en el departamento legal de defensa!, ....por ejemplo).
Esta el banner login y el banner mod. Este es el mensaje del dia, el que cambia día a dia. El banner login es el mensaje de bienvenida.
ASCII ART TEXT, buscamos en google o en bing. Buscamos alguno que permita escribir texto para hacer un ejemplo practico de mensajes
!Atención ..........
Una vez escrito el banner, guardaremos con copy run start.
A continucación hablamos de TELNET y SSH. Hasta ahora habíamos entrado por Telnet, ahora vamos a ver SSH. Con SSH se pueden buscar router que no que nos pueden pedir usuario y contreña. Esto no va a ocurrir con los ruters de las empresas que tienen personal con buena formación, como Google, por ejemplo, pero si es posible que si nos direccionamos a una pagina WEB de otro país remoto como la India, etc, podemos encontrar routers exentos de seguridad.
#trannsport input ssh, con esta instrucción , a partir de ahora no se podrá entrar por Telnet, sino por ssh.
Ahora deberíamos pensar que es posible empezar a hacer cosas por ssh. Pero no es así, necesitamos la contraseña pública, pero tambíén la contraseña privada. (estamos viendo el apartado 2.4.3.3).
El switch tiene guardada la clave privada. La clave pública es la que se puede ver.
Se puede probar en casa este comando ssh
ssh 10.0.0.10
Pasaremos a ataques de seguridad.
FIN DE CLASE
Clase 21/03/2012
Tema 2.3.6
Para evitar que todos los integrantes de una red tengan el mismo usuario/contraseña se crea un usuario y una contraseña para cada persona, pero esto tiene un problema ya que habría que crear este usuario en cada aparato que tenga funciones de red y esto es muy engorroso.
La idea es estandarizar las autentificaciones fuera de cada componente de red, es decir crear un servidor de autentificación de manera que cuando se necesite validad a un usuario un switch lo remita a este servidor para validarse.
Cisco dispone de dos sistemas TACACS y AAA este ultimo más moderno, esto especifica quien puedo acceder (autentificación) al sistema, con que privilegios(autorización) y además de ver que hace o hizo cuando estaba conectado(registro, log).
Para no tener que especificar lso privilegios de cada usuario se crean unos contenedores de usuarios con unos privilegios determinados, de manera que solo hace falta encasillas a un usuario en un grupo.
2.3.6.4
Mediante packet tracer creamos un switch al que le conectamos 4 pcs
Hacemos un ping a un destino (en modo simulación) como el switch no conoce la mac destino lo envía por todas las bocas sin ser un breadcast.
La maquina que conteste será el destinatario y el switch almacenara la Mac asociada a este PC y ya no volverla a enviar la trama por todas las bocas, tan solo entre los dos pcs que interviene en el proceso.
Proceso cambio switch -à HUB
Inundación de la tabla de asociaciones mac, para que el switch tenga que mandar toda la trama como un broadcast sin serlo.
Es posible que un switch convierta su tabla asociativa en estática introduciendo de forma manual la mac que corresponde a cada boca.
2.3.71
En este punto vemos una serie de comandos que pueden ser interesantes: show versión, show history, show int donde podemos ver diversa información del switch, una serie de estadísticas del nivel de enlace de cada bica del switch.
2.3.8
En este punto vemos como copiar la configuración guardada a la startup config:
copy flash:config.bak1 startup-config
Diferencias entre FTP y TFTP
tcp udp(no garantiza que llegue todo, sin corrección de errores, no garantiza que llegue ordenado)
tftp es factible en redes locales , es mucho mas rápido y no tenemos problemas de corrección de errores y problemas de orden ya que lo primero que sal es lo primero que llega
para montar un servidor de tftp tan solo hace falta un programa(gratuito, cisco tmb tiene el suyo) (http://www.solarwinds.com)
2.4.1
Hemos configurado el switch con una password para poder entrar al switch de forma remota sin un cable de consola mediante un terminal.
Comando:
Line con 0 *entra a configurar
Password: pass cambia la pass
*para conectarse mediante terminal
telnet 10.0.10.10
pass: cisco
Hemos visto que hay diferentes privilegios para entrar a un switch, cada forma tiene una contraseña diferente, con una solo podemos ver ciertas estadísticas y con la otra tendremos acceso a al configuración del mismo.
jueves, 15 de marzo de 2012
CLASE: 14 DE MARZO DE 2012
- Se comienza la clase realizando un repaso de cómo entrar y salir a los distintos modos de los switches (modo usuario “>”, modo privilegiado “#”)
- Se realiza una pequeña comparación entre los switches de Cisco y los 3COM, para ello utilizamos un 5500 de 3COM y un 2950 de Cisco. La página de 3COM utilizada es:
Uso | 3COM – 5500 | Cisco – 2950 |
Modo privilegiado | System view | Enable |
Salir del modo | Quit | Exit |
Irse al modo de usuario genérico, estemos en el modo que estemos | Return | Contro+Z |
Mostrar | Display | Show |
Recargar el sistema | Reboot | Reload |
| Deshacer un comando | Undo | No |
Y así muchos comandos que son idénticos o similares. Con esto quiero mostrar que los estándares con los que vamos a trabajar, son lo mismo en todos los fabricantes y con los comandos que los despliegan Cisco también marca referencia por lo que con un periodo breve de adaptación se puede estar trabajando sobre 3Com/HP/Huawei.
- La clase de hoy, básicamente ha sido probar los ejemplos de comandos para los switches de Cisco que encontramos en el curso de Cisco que estamos siguiendo. Así pues, hemos instalado el Packet Tracer, programa que podemos descargar de la página de Cisco.
- La clase de hoy, básicamente ha sido probar los ejemplos de comandos para los switches de Cisco que encontramos en el curso de Cisco que estamos siguiendo. Así pues, hemos instalado el Packet Tracer, programa que podemos descargar de la página de Cisco.
Puntos del temario de Cisco que hemos ido viendo:
2.3.1 - NAVEGACION POR LOS MODOS DE LA INTERFAZ DE LINEA DE COMANDOS
- Modo usuario “>”, Modo privilegiado “#”
- Para activar el modo privilegiado escribir enable, para salir del modo exit.
- Además de la configuración por comandos, existe la posibilidad de realizar una configuración basada en unas herramientas gráficas, enumeraremos cuales son y algunas de las características más relevantes de estas:
o Asistente de red Cisco:
§ Administras redes LAN pequeñas y medianas.
§ Permite configurar/administrar switches independientes o grupos de switches.
§ Se requiere una cuenta de Cisco (CCO)
o Cisco View
§ Permite añadir dispositivos que no son de Cisco, para ello se utiliza el Protocolo de Administración de Red Simple (SNMP)
o Administrador de dispositivos Cisco
§ Permite la configuración mediante Web
o Administración de red SNMP
§ Administrar switches desde una estación de administración compatible con SNMP
§ Dos tipos de acceso: Consulta de sólo lectura; Consulta de lectura/escritura
- Vemos el concepto de Mib
o Son consultas que se pueden hacer a los dispositivos de la red, y la que estos contestan con un número. Estas consultas se basan en una cadena numérica ordenada jerárquicamente.
o Cada fabricante puede tener sus propias consultas específicas
2.3.2 CÓMO UTILIZAR EL SEVICIO DE AYUDA
- ? à Me dice los posibles comandos que existen con las secuencia escrita:
o Ej:
§ Cl?
§ Clear Clock
- Si únicamente hay un comando, se puede completar utilizando el tabulador, al igual que en Linux, aunque sí sólo hay uno no hace falta escribirlo entero, basta con la abreviatura,
o Ej: show, podríamos poner sh
- Si el comando ejecutado es incorrecto, nos indica con un circunflejo (^) la parte errónea del comando.
2.3.3 ACCESO AL HISTORIAL DE COMANDO
- Show history
o Muestra los últimos comandos escritos en el modo en el que nos encontremos.
- Por defecto son 10 comandos los que se guardan, pero puede mofificarse:
o Ej: terminal history size 50
o Ahora la lista es de 50 comandos
- NOTA: para desactivar un comando se utiliza no, delante del comando. En el caso de los 3COM es undo.
2.3.4 SECUENCIA DE ARRANQUE DEL SWITCH
- Para recargar el switch se utiliza el comando reload
- Cuando el switch se enciende se carga un programa que se encuentra almacenado en la NVRAM
- Cuando carga
o Inicialización de la CPU
o Realiza el autodiagnostico
o Inicializa en el sistema de archivos
o Carga la imagen del sistema operativo
- Para entrar en el modo de recuperación se tiene que hacer lo siguiente:
o Se quita el cable de alimentación; se pulsa el botón mode, y volvemos a conectar el cable de alimentación
o Entonces el switch entra en lo que se conoce como modo rommon
o Esto lo usaremos si tenemos algún problema con el sistema operativo, necesitamos recuperar contraseñas, …
o OJO. Se necesita acceso físico al dispositivo para entrar en modo rommon.
- Foro donde explica un poco el rommon
2.3.5 PREPARACIÓN PARA LA CONFIGURACION DEL SWITCH
- Para configurar un switch lo más habitual es utilizar uno ordenador, portátil por ejemplo, con un puerto de consola.
- Un cable de consola es un “modem nulo”
2.3.6 CONFIGURACION BÁSICA DE SWITCH
- NOTA – PARA EL EXAMEN: Se puede llevar una hoja manuscrita, por las dos caras. No puede estar hecha a ordenador, tiene que ser a mano. El examen práctico tiene tiempo, por ello es muy importante practicar los comandos.
- Realizamos el ejemplo de los comandos que se índica en el curso:
EJEMPLO
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan 99
Switch(config-if)#ip address 172.17.99.11 255.255.255.0
Switch(config-if)#
Switch#
- En 3COM el comando es igual, pero se puede poner la máscara con la barra, es decir /24
- Las VLAN se transmiten entre switches (en próximos capítulos se verá más en detalle las VLAN)
o Cada VLAN tiene su propio control de tráfico
o Todas las bocas de un switch, con los valores de fabrica, pertenecen a la misma VLAN
o Cuando se asignan número a las distintas VLAN, se suelen dejar huecos por si en un futuro se expande. Por ejemplo, si creamos la VLAN de alumnos como 10, la siguiente VLAN la crearemos en la 20, por si en un futuro necesitamos crear una VLAN wifi para alumnos, tener el valor 11 para poder asignárselo, es simplemente por tener las VLAN organizadas.
o Todos los switches pertenecen a una VLAN de administración, y evidentemente esa VLAN es distinta del resto, de forma que los equipos no puedan entrar a configurar los switches si no están en dicha VLAN.
Sigamos ahora, con el ejemplo, hemos mostrado algunos de los comandos ejecutados:
- Creamos la vlan y le damos nombre
Switch(config)#vlan 99
%LINK-5-CHANGED: Interface Vlan99, changed state to up
Switch(config-vlan)#name Admin
Switch(config-vlan)#
- Nos muestras las vlan, sus nombre y las bocas asociadas
Switch(config-vlan)#do sh vlan
- Para evitar tirar una dirección IPSwitch(config)#int vlan 99
Switch(config-if)#ip address 172.17.99.11 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#no shutdown
- Vamos a hacer a una boca particular a una vlan particular
Switch(config-if)#interface fastethernet 0/18
Switch(config-if)#switchport mode access
Switch(config-if)#switchport acces vlan 99
- Running-config à me da información sobre la configuración, esta configuración es de lo que hay en la memoria RAM. Observamos como me da información sobre la interfaz 18
Switch#sh running-config
…
interface FastEthernet0/17
!
interface FastEthernet0/18
switchport access vlan 99
switchport mode access
!
interface FastEthernet0/19
…
- Podemos guardar los cambios
Switch#
Switch#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Switch#
o Normalmente en los switch siempre es dúplex
o Velocidad
Switch(config-if)#speed ?
10 Force 10 Mbps operation
100 Force 100 Mbps operation
auto Enable AUTO speed configuration
o Duplex
Switch(config-if)#Duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
- MAC – Addres – Table
Switch#show mac-address-table
2.3.7 VERIFICACIÓN DE LA CONFIGURACIÓN DEL SWITCH
- Cuando estamos trabajando con el cable de consola se puede obviar el usuario y contraseña
- Establecer contraseña
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#line vty 0
Switch(config-line)#password cisco
Switch(config-line)#login
- A las interfaces se les puede dar nombre.
Suscribirse a:
Entradas (Atom)