Conceptos bsicos y configuracin del switch CSMA/CD CSMA/CD se utiliza solamente con la comunicacin half-duplex que suele encontrarse

en los hubs. Los switches full-duplex no utilizan CSMA/CD. CSMA/CD Carrier Sense Multiple Access/Collision Detect. Deteccin de portadora: Todos los dispositivos de red que tienen mensajes para enviar deben escuchar antes de transmitir. Acceso mltiple: Si la distancia entre los dispositivos es tal que la latencia de las seales de un dispositivo supone la no deteccin de stas por parte de un segundo dispositivo, ste tambin podra comenzar a transmitirla. Deteccin de colisiones: Cuando se produce una colisin TODO el mundo detecta un aumento en el nivel de seal. Todos los dispositivos que estn transmitiendo en ese momento lo seguirn haciendo para garantizar que todos los dispositivos en la red puedan detectar la colisin. Seal de congestin y postergacin aleatoria. Una vez que finaliza el retardo asignado a un dispositivo, dicho dispositivo regresa al modo "escuchar antes de transmitir". Comunicaciones Ethernet. Las comunicaciones en una red LAN conmutada se producen de tres maneras: o Unicast. o Broadcast. Por ejemplo: consulta de resolucin de direcciones que enva el protocolo de resolucin de direcciones. o Multicast. Se enva una trama a un grupo especfico de dispositivos o clientes. Los clientes de la transmisin multicast deben ser miembros de un grupo multicast lgico. Trama Ethernet: o Prembulo y Delimitador de inicio de trama: se utilizan para la sincronizacin entre los dispositivos emisores y receptores. o Campo Longitud/Tipo: Longitud exacta del campo Datos de la trama y como parte de la Secuencia de verificacin de trama. Si > 1536, codifica el tipo de datos. Si no, codifica la longitud de los datos de la trama. o Campos Datos y Relleno: Informacin encapsulada de una capa superior, que es una PDU de Capa 3 genrica.

o Campo Secuencia de verificacin de trama: CRC, cyclic redundancy check. Identificador Exclusivo de Organizacin El OUI constituye la primera parte de una direccin MAC. Tiene una longitud de 24 bits e identifica al fabricante de la tarjeta NIC. El estndar IEEE regula la asignacin de los nmeros de OUI. Dentro del OUI, existen 2 bits que slo tienen significado cuando se utilizan en la direccin de destino, como se describe a continuacin: Bit multicast o broadcast: Indica a la interfaz receptora que la trama est destinada a un grupo o a todas las estaciones finales del segmento de la LAN. Bit de direcciones administrado de manera local: Si la direccin MAC asignada por el fabricante puede modificarse en forma local, ste es el bit que debe configurarse. Configuracin de Dplex Half Duplex (CSMA/CD). Flujo de datos unidireccional. Alto potencial para las colisiones. Conectividad de hub. Full dplex: Slo punto a punto. Conectado a puerto de switch dedicado. Requiere soporte para full-duplex en ambos extremos. Sin colisiones. Circuito de deteccin de colisiones deshabilitado. Los puertos de switch de la serie Cisco CAtalyst 2960 pueden configurarse de 3 maneras: Auto: permite que los 2 puertos se comuniquen para decidir el modo. Full: establece el modo full-duplex. Half: establece el modo half-duplex. Auto-MDIX: Detecta si el cable es directo o cruzado y se auto reconfigura adaptndose a l. Direccionamiento MAC y Tablas de direcciones MAC de los switches. Cuando un switch recibe una trama de datos entrantes y la direccin MAC de destino no figura en la tabla, ste reenva la trama a todos los puertos excepto al que la recibi en primer lugar. Cuando el nodo de destino responde, el switch registra la direccin MAC de ste en la tabla de direcciones del campo direccin de origen de la trama. La tabla de direcciones MAC fue previamente definida como memoria de contenido direccionable (CAM, Content Addressable Memory) o tabla CAM. Dominios de colisiones: Por ejemplo: si un switch de 12 puertos tiene un dispositivo conectado a cada puerto, se crean 12 dominios de colisin.

Dominios de broadcast: Una serie de switches interconectados forma un dominio de broadcast simple. Slo una entidad de Capa 3, como un router o una LAN virtual (VLAN), puede detener un dominio de broadcast de Capa 3. Latencia de red. Depende de al menos tres factores: El tiempo que le toma a la NIC de origen aplicar pulsos de voltaje en el cable y el tiempo que le toma a la NIC de destino interpretar estos pulsos. El retardo de propagacin real por el cable. La latencia aumenta segn los dispositivos de red que se encuentren en la ruta entre dos dispositivos. Congestin de la red: Causas ms comunes: o Tecnologa de redes y computadoras cada vez ms potentes. o Volumen de trfico de la red cada vez mayor. o Aplicaciones con alta demanda de ancho de banda. Segmentacin de las LAN. o Cada router reduce el tamao del dominio de broadcast en la LAN. o Cada switch reduce el tamao del dominio de colisin de la LAN a un nico enlace. Puentes y switches Los puentes se utilizan generalmente para dividir una LAN en un par de segmentos ms pequeos. En cambio los switches se utilizan, por lo general, para dividir una gran LAN en varios segmentos ms pequeos. Routers Los routers pueden utilizarse para crear dominios de broadcast, ya que no reenvan trfico de broadcast predeterminado. Consideraciones del diseo de la LAN. Control de la latencia de la red. Los switches pueden provocar latencia cuando se saturan en una red ocupada. Eliminacin de los cuellos de botella. Los cuellos de botella son lugares donde la alta congestin de la red provoca un bajo rendimiento.

Mtodos de reenvo de paquetes del switch Conmutacin por almacenamiento y envo En este tipo de conmutacin, cuando el switch recibe la trama la almacena en los bferes de datos hasta recibir la trama en su totalidad. Durante el proceso de almacenamiento, el switch analiza la trama para buscar informacin acerca de su destino. Mtodo de corte El switch que utiliza el mtodo de corte enva la trama antes de recibirla en su totalidad. Como mnimo, la direccin de destino de la trama debe leerse antes de que la trama pueda enviarse. Conmutacin por envo rpido: La conmutacin por envo rpido ofrece el ms bajo nivel de latencia. La conmutacin por envo rpido reenva el paquete inmediatamente despus de leer la direccin de destino. Conmutacin libre de fragmentos: En la conmutacin libre de fragmentos, el switch almacena los primeros 64 bytes de la trama antes de reenviarla. Conmutacin simtrica o asimtrica. Asimtrica Es que no todos los puertos del switch trabajan a la misma velocidad porque estn conectados a dispositivos de distintas velocidades. Simtrica Es que todos los puertos trabajan a la misma velocidad aunque los dispositivos con los que se conectan sean capaces de transmitir a distintas velocidades. Bufferes de memoria Memoria basada en puerto. Las tramas se almacenan en colas conectadas a puertos de entrada y de salida especficos. Memoria compartida Deposita todas las tramas en un bfer de memoria comn que comparten todos los puertos del switch.

Conmutacin capa 2 ED y capa 3 RED Los switches capa 3, en vez de utilizar solo la informacin de las direcciones MAC para determinar envos, emplea las direcciones IP y la capa 3, por lo que es capaz de vincular interfaces con direcciones IP. Adems, los switches capa 3 tienen capacidades de enrutar.

Wan Interfaz Card EXEC usuario: Permite que una persona tenga acceso solamente a una cantidad limitada de comandos bsicos de monitoreo. El modo EXEC del usuario es el modo predeterminado al que se ingresa despus de iniciar sesin en un switch de Cisco desde la CLI. El modo EXEC del usuario se identifica con la indicacin >. EXEC privilegiado: Permite que una persona tenga acceso a todos los comandos del dispositivo, como aqullos que se utilizan para la configuracin y administracin, y es posible protegerlo por contrasea para que tengan acceso al dispositivo slo los usuarios autorizados. El modo EXEC privilegiado se identifica con la indicacin #. Alternativas a la CLI basadas en la GUI Asistente de red Cisco El asistente de red Cisco es una aplicacin de la GUI basada en PC para la administracin de redes y optimizada para las LAN pequeas y medianas. Puede configurar y administrar grupos de switches o switches independientes. Aplicacin CiscoView Proporciona una vista fsica del switch que se puede utilizar para establecer parmetros de configuracin y para ver la informacin de funcionamiento y el estado del switch.

Administrador de dispositivos Cisco Cisco es un software basado en Web que se encuentra almacenado en la memoria del switch. Puede utilizar el Administrador de dispositivos y administrar los switches. Administracin de red SNMP (mas frecuente en las grandes empresas). Puede administrar switches desde una estacin de administracin compatible con SNMP, como HP OpenView. El switch es capaz de proporcionar amplia informacin de administracin y ofrece cuatro grupos de Monitoreo remoto (RMON, Remote Monitoring). La administracin de red SNMP es ms frecuente en las redes de grandes empresas. Bfer de historial de comandos La historial de comandos permite llevar a cabo las siguientes tareas: Mostrar los contenidos del bfer de comandos. Establecer el tamao del bfer del historial de comandos. Recordar comandos previamente ingresados y almacenados en el bfer del historial. Cada modo de configuracin cuenta con un bfer exclusivo.

El sistema operativo se ejecuta utilizando el archivo config.text, guardado en el almacenamiento flash del switch. El switch carga el software cargador de arranque de NVRAM. El cargador de arranque puede ser de utilidad en la recuperacin en caso de un colapso del sistema operativo: o Proporciona acceso al switch si el sistema operativo tiene problemas lo suficientemente graves como para quedar inutilizable. o Proporciona acceso a los archivos almacenados en flash antes de que se cargue el sistema operativo. o Utilice la lnea de comandos del cargador de arranque para las operaciones de recuperacin. Aspectos importantes sobre la interfaz de administracin Un switch de capa de acceso se parece mucho a una PC en que se necesita configurar una direccin IP, una mscara de subred y un gateway predeterminado. Para manejar un switch en forma remota mediante TCP/IP, se necesita asignar al switch una direccin IP. Administracin de la tabla de direcciones MAC Los switches utilizan tablas de direcciones MAC para determinar cmo enviar trfico de puerto a puerto. Un administrador de red puede asignar direcciones MAC estticas a determinados puertos de manera especfica. Para crear una asignacin esttica en la tabla de direcciones MAC, ingrese el comando macaddress-table static <direccin MAC> vlan {1-4096, ALL} interface id de la interfaz.

Shows Show running-config. Este comando muestra la configuracin que se est ejecutando en el switch. show interfaces, que muestra la informacin estadstica y el estado de las interfaces de red del switch.

Eliminacin de los archivos de configuracin Para borrar el contenido de la configuracin de inicio, utilice el comando erase nvram: o erase startup-config del modo EXEC privilegiado. La figura muestra un ejemplo de eliminacin de los archivos de configuracin almacenados en NVRAM. Eliminacin de un archivo de configuracin almacenado Para borrar un archivo de la memoria Flash, utilice el comando delete flash:nombre de archivo del modo EXEC privilegiado. Configuracin del acceso a la consola

Proteccin de la consola Para proteger el puerto de consola contra el acceso no autorizado, establezca una contrasea utilizando el comando de modo de configuracin de lnea password <contrasea>. Utilice el comando line console 0 para conmutar del modo de configuracin global al modo de configuracin de lnea para la consola 0. Show running-config para verificar la configuracin. Proteccin de los puertos vty Los puertos vty de un switch Cisco permiten obtener acceso remoto al dispositivo. La contrasea de los puertos vty debe establecerse desde el modo de configuracin de lnea. Login: solicitud de acceso

Utilice el comando line vty 0 4 para cambiar del modo de configuracin global al modo de configuracin de lnea para las lneas vty de 0 a 4. Comando copy running-config startup config para guardar el trabajo realizado. Configuracin de las contraseas para el modo EXEC El comando de configuracin global enable password permite especificar una contrasea para restringir el acceso al modo EXEC privilegiado. Se puede asignar una forma encriptada de la contrasea de enable, llamada contrasea secreta de enable, ingresando el comando enable secret con la contrasea deseada en la solicitud del modo de configuracin global. Configuracin de contraseas encriptadas El comando del IOS de Cisco service password-encryption habilita la encriptacin de la contrasea de servicio. Cuando se ingresa el comando service password-encryption desde el modo de configuracin global, todas las contraseas del sistema se almacenan en formato encriptado. Configurar un ttulo de inicio de sesin Banner login en el modo de configuracin global. Coloque el texto del mensaje entre comillas o utilizando un delimitador diferente a cualquier carcter que aparece en la cadena de MOTD. (configura el ttulo de inicio de sesin)

Configurar un ttulo de MOTD

El mensaje MOTD se muestra en todos los terminales conectados en el inicio de sesin El comando banner motd en el modo de configuracin global. Coloque el texto del mensaje entre comillas. (config un ttulo de motd en el inicio de sesin) Telnet y SSH Existen dos opciones para acceder en forma remota a vty en un switch de Cisco. Telnet es el mtodo original que los primeros modelos de switch de Cisco admitan. Telnet es un protocolo popular utilizado para acceder al terminal debido a que la mayora de los sistemas operativos actuales vienen con un cliente Telnet incorporado Mtodo de acceso ms comn No es seguro Enva corrientes de mensaje de texto claras

SSH proporciona el mismo tipo de acceso que Telnet, con el beneficio agregado de seguridad. - Debera ser el mtodo de acceso comn - Es seguro - Enva corrientes de mensajes encriptados Configuracin de Telnet Telnet es el protocolo predeterminado que admite vty en un switch de Cisco. Si necesita volver a habilitar el protocolo de Telnet en un switch 2960 de Cisco, utilice el siguiente comando desde el modo de configuracin de lnea: (config-line)#transport input telnet o (configline)#transport input all. Configuracin de SSH SSH es una caracterstica criptogrfica de seguridad que est sujeta a exportar restricciones. La caracterstica SSH tiene un servidor SSH y un cliente integrado SSH, que son aplicaciones que se ejecutan en el switch. Las claves RSA encriptadas utilizando el comando crypto key generate rsa. Cuando genera claves RSA se le indica que ingrese una longitud de mdulo. Cisco recomienda utilizar un tamao de mdulo de 1024 bits.

Para configurar ambos parmetros utilice el comandoip ssh Muestre el estado de las conexiones del servidor SSH en el switch utilizando el comando show ip ssh o show ssh.

Saturacin de direcciones MAC La saturacin de direcciones MAC es un ataque comn. Los ataques de sobrecarga de la tabla de direcciones MAC son tambin conocidos como ataques de flooding de MAC. Ataque de intermediario: El atacante se hace pasar por DHCP Server y si se encuentra en el mismo sector de red que el cliente, se har con el control de la situacin y le llegar la configuracin de DHCP, DNS, etc. antes que la del DHCP Server real. Si encima el atacante hace de Gateway, pasar por l todo el trfico del cliente engaado. Ataque de inanicin: El atacante solicita direcciones IP y arrenda todos las IPs DHCP del servidor por lo que los otros clientes no logran obtener ninguna direccin. Solucin: El snooping DHCP es una funcin que determina cules son los puertos de switch que pueden responder a solicitudes de DHCP 1. Lo habilitamos con ip dhcp snooping. 2. Lo habilitamos para las VLAN especficas con dhcp snooping vlan number [numero] 3. Definimos los puertos confiables mediante: ip dhcp snooping trust. 4. (Opcional) Limitamos la tasa a la que un atacante puede enviar solicitudes de DHCP de manera continua a travs de puertos no confiables mediante ip dhcp snooping limit rate velocidad. Ataques en CDP El protocolo de descubrimiento de Cisco es un protocolo propiedad de Cisco que puede configurarse en todos los dispositivos de Cisco. CDP descubre otros dispositivos de Cisco conectados directamente, lo que permite que configuren sus conexiones en forma automtica, simplificando la configuracin y la conectividad. Los mensajes de CDP no estn encriptados. CDP contiene informacin sobre el dispositivo, como la direccin IP, la versin del software, la plataforma, las capacidades y la VLAN nativa. Ataques de Telnet Un atacante puede utilizar el protocolo de Telnet para acceder de manera remota a un switch de red de Cisco. Tipos de ataque de telnet: Ataque de contrasea de fuerza bruta y Ataque Dos

Ataque de contrasea de fuerza bruta La primer fase de un ataque de contrasea de fuerza bruta comienza con el uso de contraseas comunes por parte del atacante y de un programa diseado para intentar establecer una sesin de Telnet mediante todas las palabras del diccionario. - Cambia contraseas con frecuencia - Utilice contraseas fuertes - Limite la cantidad de usuarios que puedan comunicarse con las lneas vty Ataque de DoS En un ataque de DoS, el atacante explota un desperfecto del software del servidor de Telnet que se ejecuta en el switch que torna al servicio de Telnet no disponible. Este tipo de ataque es en la mayora de los casos una molestia, ya que evita que el administrador lleve a cabo las funciones de administracin del switch. - Actualice la versin ms reciente del software iso de cisco.

Seguridad del puerto

Tipos de direcciones MAC seguras Existen varias maneras de configurar la seguridad de puerto. Direcciones MAC seguras estticas: Las direcciones MAC se configuran manualmente mediante el comando de configuracin de interfaz switchport port-security mac-address direccin MAC. Direcciones MAC seguras dinmicas: Las direcciones MAC se aprenden de manera dinmica y se almacenan slo en la tabla de direcciones. Direcciones MAC seguras sin modificacin: Se puede configurar un puerto para que aprenda de manera dinmica las direcciones MAC y luego guardarlas en la configuracin en ejecucin.

Modos de violacin de seguridad proteccin: los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad mxima de direcciones permitidas. restriccin: los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad mxima de direcciones permitida. desactivacin: En este modo, una violacin de seguridad de puerto produce que la interfaz se deshabilite por error de manera inmediata y se apaga el LED del puerto.

Verificar los parmetros de seguridad de puerto Utilice el comando show port-security [interface id de la interfaz] para mostrar los parmetros de seguridad de puerto para el switch o la interfaz especificada. El resultado muestra lo siguiente: Cantidad mxima de direcciones MAC seguras para cada interfaz Cantidad de direcciones MAC seguras en la interfaz Cantidad de violaciones de seguridad que se han producido Modo de violacin

. Una forma alternativa de desactivar varios puertos es mediante el comando interface range. Si un puerto debe ser activado, se puede ingresar el comando no shutdown en forma manual para esa interfaz.