miércoles, 23 de mayo de 2012
Última semana de clase
En el temario, el enrutamiento entre VLANs lo plantea con routers puros, pero en la realidad es más habitual que el dispositivo que enrute entre redes locales sea un switch de nivel 3 (L3SW), así que por lo pronto os indico un enlace de Cisco donde explica como hacerlo puesto que en el temario no lo tenéis.
Otra de las funciones extras he que añadido a la práctica es la configuración de un servidor de NTP para que todos los switches tengan exactamente la misma hora. El problema es que en PT los L2SW no soportan el comando aunque en los reales si, así que solo está configurado en los L3SW.
También he añadido un servidor de logging para que toda la electrónica mande la notificación de sucesos a un servidor común de syslog.
También se ha configurado agregación de enlaces con la red de servidores, balanceo de carga entre con SpanningTree y varios temas interesantes.
No se ha configurado nada de VTP ni de seguridad a nivel de puertos ni a nivel de entrada en los equipos.
He intentado hacer funcionar los teléfonos IP pero no terminan de ir, algunos si tienen extensión y otros no, le he dedicado un tiempo pero como está tan cerca el examen para los presenciales lo subo ya al campus.
Un saludo.
lunes, 14 de mayo de 2012
Clase del 14/05/2012
Vamos a ver tres métodos para hacerlo, aunque el más importante, por ser cercano a la realidad es utilizar un switch de nivel 3. Esta configuración, no se detalla en el temario pero el próximo dia la pondremos en práctica.
Es un capítulo sencillo de comprender y corto de estudiar así que os dejo que lo desarrolléis por vuestra cuenta. Una vez hechas las prácticas, si tenéis dudas, podéis plantearlas en el foro correspondiente del campus virtual.
Ánimo.
Clase del 9/05/2012
lunes, 7 de mayo de 2012
Clase del día 07/05/2012
Al principio de la clase se ha hablado sobre la practica.
Los tres primeros son propiedad de Cisco.
-PVST
-PVST+
-PVST+ rápido
Los dos últimos son Estándares.
-RSTP
-MSTP
Los comandos para configurar el PVST+ son los siguientes:
-S3(config)# spanning-tree vlan 20 root primary
Este comando configura al switch S3 a ser raíz principal para VLAN 20.
-S3(config)# spanning-tree vlan 10 root secondary
Este comando configura al switch S3 a ser raíz secundaria para VLAN 20.
-S1(config)# spanning-tree vlan 10 root primary
Este comando configura al switch S1 a ser raíz principal para VLAN 10.
-S1(config)# spanning-tree vlan 20 root secondary
Este comando configura al switch S1 a ser raíz secundaria para VLAN 20.
-S3(config)#spanning-tree vlan 20 priority 4096
Este comando establece la prioridad para el switch S3 para que sea la menor posible,aumenta la posibilidad que el switch S3 se convierta en raíz principal para VLAN 20.
-S1(config)#spanning-tree vlan 10 priority 4096
Este comando establece la prioridad para el switch S1 para que sea la menor posible,aumenta la posibilidad que el switch S1 se convierta en raíz principal para VLAN 10.
El comando show spanning-tree active
Muestra las interfaces de red spanning-tree solo para las interfaces activas.
RSTP: Las principales ventajas de RSPT es que es un protocolo más rápido que el STP, además integra mejoras de Cisco como las BPDU de que envían propuestas y acuerdos a los switches vecinos,es compatible con 802.1D, no requiere los temporizadores del 802.1D.
Puertos de Extremo:
¿Que es?
Es un puerto que nunca se debería conectar a otro dispositivo como puede ser a otro switch, por que pasa al estado de enviar de forma inmediata de forma automática cuando se encuentra habilitado.
Tipos de enlace:
Los tipos de enlace pueden ser de varios tipos en caso de no ser puerto de extremo:
-Punto a punto.
-Compartido.
En los puertos de extremo:
-Se utiliza el Punto a punto.
Configurar PVST+ rápido
-Ingresar en modo de conflagración global: configure terminal
-Configurar el modo rapid PVST+ spanning-tree: spanning-tree mode rapid-pvst
-Ingresar el modo de conflagración de la interfaz especificar una interfaz para configurar: interface interface-id
-Especificar que el tipo de enlace para este puerto es punto a punto: spanning-tree link-type point-to-point
-Volver al modo EXEC privilegiado: end
-Borrar todos los STP detectados: clear spanning-tree detected-protocols
Además hemos tratado el tema de la depuración VTP y la depuración manual.
Conmutación de Capa 3
La conmutación de Capa 3 implica que el enrutamiento se lleva acabo a la velocidad de una conmutación. un router realiza dos funciones principales:
-Construye una tabla de envíos: Se basa en que el router intercambia información con sus pares, mediante los protocolos de enrutamiento.
-Recibe paquetes y los envía a la interfaz correcta basándose en la dirección de destino.
Al establecer la VLAN según la conmutación de Capa 3 permite una alta velocidad como si contara con un puenteo dentro de la VLAN
Recomendaciones:
-Mantenga STP incluso si no es necesario.
-Mantenga el tráfico fuera de la VLAN administrativa.
-No permita que una única VLAN se expanda por toda la red.
miércoles, 2 de mayo de 2012
Clase 02/05/2012
viernes, 27 de abril de 2012
Clase del 25/04/2012
Os recuerdo el acuerdo al que llegamos sobre poder traer al examen una hoja A4, escrita a mano, con los comandos, solo comandos, que consideréis importantes.
Ánimo.
lunes, 23 de abril de 2012
Clase de 23/04/2012
Es un protocolo propietario de Cisco, para poder aprovechar sus ventajas requiere que toda la electronica de nivel 2 sea de la marca.
Tiene varias ventajas.
Un SW será servidor de VLANs el resto serán clientes, aunque puede haber más de un servidor por domino.
Por tanto evita que haya que crear todas las VLANs en cada SW.
VTP solo se envia por enlaces troncales, el origen del protocolo es propio SW, por tanto se usa la VLAN nativa.
No es un servicio cliente/servidor puro puesto que un SW cliente no necesita del servidor en linea para ver las VLANs existentes, solo se replican en su creación, modificación, o eliminación.
En un domino de VTP, hay un servidor y varios clientes. Puede haber SW en modo transparente que no aprenden las VLANs del servidor, tiene las suyas propias, pero deja pasar el tráfico de VTP entre clientes y servidor.
El VTP pruning optimiza el envio de mensajes de Broadcast y Multicast por los enlaces troncales por donde no hace falta, de tal modo que no llegue tráfico innecesario a un segmento de la LAN donde no hay ninguna boca de acceso asociada a la VLAN donde va dirigido el broadcast.
El servidor crea un nombre de nomino con una longitud máxima de 32 caractéres.
Los mensajes VTP se encapsulan en 802.1q, con la VLAN nativa. Como tenemos 802.1q, tenemos un 802.2 (LLC) con sus correspondientes SAP (Service Access Point).
VTP tiene tres tipos de mensajes.
- Resumen: es un multicast a todos los SW clientes del mismo dominio, indicando el nombre del domino, una mar temporal y un número de revisión para que los SW clientes comprueben si están actualizados.
- Solicitud: Cuando un SW clientes comprueba gracias al número de revisión que su información sobre las VLANs no está actualizada, envía una solicitud al servidor, este responde con un nuevo resumen y justo a continuación, mensajes de subconjunto con los comandos de actualización de la base de datos de VLANs.
- Subconjunto: Se incluye la información detallada sobre cada VLAN: id, nombre, tipo, etc. Con esta información el SW cliente da de baja, alta o modifica las VLANs que conocía.
Realizad la miniprueba del apartado 4.2.5.
Ánimo.
miércoles, 18 de abril de 2012
Clase 18-04-2012
En la clase del lunes comenzamos el capítulo 3. (Hasta finalizar el punto 3.1).
Hoy empezamos en el punto 3.2.1.1.
Temas que se han tratado:
VLANs, protocolos entre switches para gestion de VLANs. Un switch en modo troncal conserva la etiqueta del paquete, por una sola boca se pueden mandar paquetes de distintas VLANs. En modo acceso se necesita una boca para cada VLAN.
Wireshark: comprobamos que se captura tráfico con VLAN y etiqueta, se captura tráfico que solo debería llegar a switches, no a PCs. Este tipo de paquetes deberia enviarse por paquetes troncales, donde hay un switch escuchando, no por paquetes de acceso.
Detalles del campo etiqueta VLAN
Campos como novedad:
Colas de prioridad en switches con protocolo 802.1p (cámara, VoIP, … tienen más prioridad) prioridad a nivel de enlace.
VLAN Nativa y Enlace troncal 802.1Q
La VLAN nativa gestiona el tráfico que tiene que entrar por una boca de trunk pero no tiene etiqueta (puede que este tráfico nazca en el propio switch), la nativa generalmente es la 1, pero conviene cambiarla por la 99 para evitar conflictos.
Cisco inventó las VLANs, las llamó ISL. Más tarde se estandarizó al 802.1Q. Cisco sigue usando los dos.
DTP (dynamic trunking protocol), ahorra la configuración manual de las bocas de trunk, es de Cisco, tiene varios modos (automático, deseado, troncal y acceso).
Configuración de VLANs: Bocas que conectan PCs en modo acceso, bocas que conectan servidores en modo trunk. No debe haber ningun switch conectado a la VLAN por defecto. Asociar IPs a VLANs.
Una buena práctica sería poner todas las bocas del switch a la VLAN parking, donde no tenemos ningún servicio activo, de manera que nos obliguemos a configurar cada boca que vayamos a usar y evitemos que una boca que no tengamos controlada pueda ser usada para un fin inapropiado. No debemos usar como VLAN parking la VLAN 1, que es por defecto la de gestión.
Problemas que puede haber con las VLANs con enlaces troncales: falta de concordancia de la boca nativa (mismatch), falta de concordancia del modo de enlace troncal (por ejemplo, que los dos estén en modo auto), VLANs permitidas (por ejemplo, que pongamos en “allowed” una VLAN que no existe), VLAN y subredes IP (error al configurar IP).
Práctica con Packet Tracer en la página 3.5.2.
-Para el switch 1
Enable
Configure terminal
Hostname s1
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.11 255.255.255.0
No shut
-Para el switch 2
Enable
Configure terminal
Hostname s2
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.12 255.255.255.0
No shut
-Para el switch 3
Enable
Configure terminal
Hostname s3
Vlan 10
Name Faculty/Staff
Vlan 20
Name Students
Vlan 30
Name Guest(Default)
Vlan 56
Name Management&Native
Exit
Int vlan 56
Ip add 192.168.56.13 255.255.255.0
No shut
-Para los switches 2 y 3
Int range f0/1-5
Sw mode access
Sw acc vlan 56
Int range f0/6-10
Sw mode access
Sw acc vlan 30
Int range f0/11-17
Sw mode access
Sw acc vlan 10
Int range f0/18-24
Sw mode access
Sw acc vlan 20
-Para los tres switches
Int range f0/1-2
Sw mode trunk
Sw trunk native vlan 56
Falta poner IPs a los PCs y comprobar que todo funciona.
lunes, 26 de marzo de 2012
CLASE REDES 2 LUNES 26-3-2012
Clase de Redes II
En clases anteriores estuvimos viendo:
- Interfaz
- Comandos
- Como trabajar con copias de seguridad.
- Configuración
- Manejo de estructura de archivos
- Como poner alguna IP, etc...
Todo esto estaba en el apartado 2.4.
Ahora en el capitulo 2.5.1 , 2 , y 3 tenemos las prácticas para hacer por vuestra cuenta.
Seguimos pues con el capítulo 2.4 con el tema de seguridad:
Vamos viendo comandos.
enable password cisco, asi tenemos un primer nivel de contraseñas.
service password encryption, para poder hacer un show root
El profesor procede a abrir el programa CAIN, una vez abierto CAIN, despues de hacer el show root
corta una contraseña (del alagoritmo tipo 7) y la pega en CAIN. El algoritmo tipo 7 está comprometido, por eso CISCO, lo quitó y puso
enable secret CISCO, !no utilizar nunco enable password! , siempre !secret!.
Entonces ponemos dos niveles de contraseña: el enable secret (leer capitulo 2.4.1.4).
Todo esto es lo que tiene que ver con el proceso de ponerle algo de seguridad a la entrada.
En el capitulo 2.4.1.5, vemos que en el proceso de inicio de un switch hay que mantener pulsado un botoncito que podemos ver en el esquema. Si se entra en el modo rom mon, por ejemplo, he perdido la contraseña, tengo el dedo pulsado en el boton, y en unos segundos en lugar de aparecer el proceso normal, vemos rom mon 1. Cada modelo tendra una pulsación de tecla, otros dos pulsaciones. El procedimiento para switches,si hemos perdido la contraseña, por ejemplo, modelo 2960, vemos en la pagina web ese modelo y tenemos una herramienta para poder recuperar la contraseña.
Nos dan instrucciones, en inglés, de los pasos que tenemos que seguir. Pulsar el boton de modo y soltarlo cuando este parpadeando un led que pone SYST. En cada modelo de Switch hay que hacer una paso concreto. Pues bien, cuando el led parpadea nos sale un proceso de arranque, mas o menos extraño, y entonces habrá que teclear tres comandos
flash init
load helper
boot
De esta forma se monta el sistema de archivos que hay en la flash. y a continuación aparecerá la palabra:
switch:
Podemos poner
switch: dir flash:
Así podemos ver cualquier incidencia que puede haber ocurrido en la flash.
También podemos ver el fichero de configuración, y ahí, quizás podemos ver la contraseña que habíamos perdido. Si no es así, pues podremos configurar una nueva.
En estos momentos si reiniciamos el switch va a arrancar como si fuera de primera mano.
switch: boot , arranca el sistema normal.
Estamos accediendo al switch desde la BIOS, entonces quizas debemos leer bien el manual y utilizar toda una serie de comandos para poder arrancar correctamente nuestro switch.
Existe otra posibilidad que es cargar el switch por TFTP.
Con #boot system flash: para arrancar desde flash
boot system rom, para arrancar desde la rom
boot system tftp, para ir al servidor de FTP y descargar el archivo correpondiente.
Resumiendo
-quitamos la luz al dispositivo
-pulsamos boton
-se suelta el dedo
-entramos en el modo de boot, la configuración es la tipica de los dispositivos de CISCO.
-empezamos a ver en la pantalla la BIOS
flash init
load helper
boot
El fichero clave para recuperación de contraseñas es
Nos pregunta si queremos entrar en el asistente NO
Volvemos a renombrar el fichero old con el nombre que debe de tener
Ahora cargamos en fichero de la flash a runnig cofig. Hacemos un show run y comprobamos si se ven las contraseñas. Conviene no tener activos los Telnet.
Una vez hemos arrancado como no hay configuración cargada nos pregunta si queremos asistente. Quermos cambiar el runing config, hacemos un copy start run, asi todo se carga, incluidas las contraseñas, pero no nos hacen falta ahora , porque y estamos dentro.
Hay que volver a grabar con copy run start, para la próxima vez que arranquemos.
Esto no es algo que se vaya a pedir en el examen, pero hay que saber que toda esta información existe, por si alguna vez tenemos que utilizarla.
Ahora hablamos de los banner a los mensajes, banners a los procesos de arranque. Hay que poner un mensaje, y siempre tiene que ser amenazador (..!ha entrado en el departamento legal de defensa!, ....por ejemplo).
Esta el banner login y el banner mod. Este es el mensaje del dia, el que cambia día a dia. El banner login es el mensaje de bienvenida.
ASCII ART TEXT, buscamos en google o en bing. Buscamos alguno que permita escribir texto para hacer un ejemplo practico de mensajes
!Atención ..........
Una vez escrito el banner, guardaremos con copy run start.
A continucación hablamos de TELNET y SSH. Hasta ahora habíamos entrado por Telnet, ahora vamos a ver SSH. Con SSH se pueden buscar router que no que nos pueden pedir usuario y contreña. Esto no va a ocurrir con los ruters de las empresas que tienen personal con buena formación, como Google, por ejemplo, pero si es posible que si nos direccionamos a una pagina WEB de otro país remoto como la India, etc, podemos encontrar routers exentos de seguridad.
#trannsport input ssh, con esta instrucción , a partir de ahora no se podrá entrar por Telnet, sino por ssh.
Ahora deberíamos pensar que es posible empezar a hacer cosas por ssh. Pero no es así, necesitamos la contraseña pública, pero tambíén la contraseña privada. (estamos viendo el apartado 2.4.3.3).
El switch tiene guardada la clave privada. La clave pública es la que se puede ver.
Se puede probar en casa este comando ssh
ssh 10.0.0.10
Pasaremos a ataques de seguridad.
FIN DE CLASE
Clase 21/03/2012
Tema 2.3.6
Para evitar que todos los integrantes de una red tengan el mismo usuario/contraseña se crea un usuario y una contraseña para cada persona, pero esto tiene un problema ya que habría que crear este usuario en cada aparato que tenga funciones de red y esto es muy engorroso.
La idea es estandarizar las autentificaciones fuera de cada componente de red, es decir crear un servidor de autentificación de manera que cuando se necesite validad a un usuario un switch lo remita a este servidor para validarse.
Cisco dispone de dos sistemas TACACS y AAA este ultimo más moderno, esto especifica quien puedo acceder (autentificación) al sistema, con que privilegios(autorización) y además de ver que hace o hizo cuando estaba conectado(registro, log).
Para no tener que especificar lso privilegios de cada usuario se crean unos contenedores de usuarios con unos privilegios determinados, de manera que solo hace falta encasillas a un usuario en un grupo.
2.3.6.4
Mediante packet tracer creamos un switch al que le conectamos 4 pcs
Hacemos un ping a un destino (en modo simulación) como el switch no conoce la mac destino lo envía por todas las bocas sin ser un breadcast.
La maquina que conteste será el destinatario y el switch almacenara la Mac asociada a este PC y ya no volverla a enviar la trama por todas las bocas, tan solo entre los dos pcs que interviene en el proceso.
Proceso cambio switch -à HUB
Inundación de la tabla de asociaciones mac, para que el switch tenga que mandar toda la trama como un broadcast sin serlo.
Es posible que un switch convierta su tabla asociativa en estática introduciendo de forma manual la mac que corresponde a cada boca.
2.3.71
En este punto vemos una serie de comandos que pueden ser interesantes: show versión, show history, show int donde podemos ver diversa información del switch, una serie de estadísticas del nivel de enlace de cada bica del switch.
2.3.8
En este punto vemos como copiar la configuración guardada a la startup config:
copy flash:config.bak1 startup-config
Diferencias entre FTP y TFTP
tcp udp(no garantiza que llegue todo, sin corrección de errores, no garantiza que llegue ordenado)
tftp es factible en redes locales , es mucho mas rápido y no tenemos problemas de corrección de errores y problemas de orden ya que lo primero que sal es lo primero que llega
para montar un servidor de tftp tan solo hace falta un programa(gratuito, cisco tmb tiene el suyo) (http://www.solarwinds.com)
2.4.1
Hemos configurado el switch con una password para poder entrar al switch de forma remota sin un cable de consola mediante un terminal.
Comando:
Line con 0 *entra a configurar
Password: pass cambia la pass
*para conectarse mediante terminal
telnet 10.0.10.10
pass: cisco
Hemos visto que hay diferentes privilegios para entrar a un switch, cada forma tiene una contraseña diferente, con una solo podemos ver ciertas estadísticas y con la otra tendremos acceso a al configuración del mismo.
jueves, 15 de marzo de 2012
Uso | 3COM – 5500 | Cisco – 2950 |
Modo privilegiado | System view | Enable |
Salir del modo | Quit | Exit |
Irse al modo de usuario genérico, estemos en el modo que estemos | Return | Contro+Z |
Mostrar | Display | Show |
Recargar el sistema | Reboot | Reload |
Deshacer un comando | Undo | No |
- La clase de hoy, básicamente ha sido probar los ejemplos de comandos para los switches de Cisco que encontramos en el curso de Cisco que estamos siguiendo. Así pues, hemos instalado el Packet Tracer, programa que podemos descargar de la página de Cisco.