Inicio > PRACTICAS DE LABORATORIO > Configuración básica de un Switch Cisco en el Packet Tracert

Configuración básica de un Switch Cisco en el Packet Tracert

18 diciembre, 2012 Deja un comentario Go to comments

Antes de entrar en materia recordemos de forma  muy breve que es y para qué sirve un switch. Pues bien, un switch es un dispositivo de red que crea dominios de colisión (cada puerto de un switch es un  dominio de colisión)  lo cual nos ofrece micro segmentación de la LAN lo que se traduce en ancho de banda independiente  en cada puerto o dominio de colisión.  Un switch trabaja en la capa 2 del modelo de referencia OSI, haciéndolo más rápido que un dispositivo de capa tres (un router por ejemplo) que no analiza  el encabezado de capa 3, solamente crea y administra una tabla basada en direcciones MAC con la que lleva a cabo el filtrado de los frames.

OJO. Como tal un switch  puede realizar estas funciones  con su configuración por default, sin embargo para obtener  provecho de funciones más avanzadas (como son seguridad básica o administración remota, solo por mencionar algunas) es que realizamos las configuraciones pertinentes estos dispositivos.

Objetivos


Unas vez que completemos esta actividad  serás capaz  de:

  • Configurar un nombre para identificar a el switch
  • Configuracion de una dirección IP
  • Configurar un Gaeway por defecto
  • Configurar parámetros básicos de seguridad en el switch como son:
    • Restringir el acceso a modo privilegiado
    • Restringir el acceso mediante sesión de consola
    • Restringir el acceso  mediante las sesiones telnet
    • Configura un mensaje del dia
    • Encriptar las contraseñas que permanezcan en texto plano en la configuración

Topología

En la topología vemos en marcado en rojo al swith que vamos  configurar  es cual está conectado  por el lado derecho a un Host (Consola) desde el cual ingresaremos al switch mediante línea de comando estableciendo una sesión de consola, del lado  izquierdo del switch está conectado un router el cual funciona como default Gateway quien nos dará salida a internet, la nube únicamente representa la red de internet, y finalmente PC1 y PC2 representan  unos host remotos desde los cuales realizaremos las pruebas pertinentes

Puedes descargar esta practica en packet tracert del siguiente link:

Practicas  PTK

Actividad 1 Conexión via consola

Da click en el host  Consola, dirígete a la pestaña Desktop y click en Terminal, se abrirá una ventana que simula un sofwer emulador de terminal y verifica que los parámetros estén configurados dela siguiente manera

  • 9600 bits por segundo
  • 8 bist de datos
  • Sin paridad
  • 1 bit de parada
  • Sin control de flujo

Finalmente le damos clic en  OK

Inmediatamente ingresaras a la CLI del switch estando en el modo Exec usuario

Actividad 2 Configuración del  nombre de host

Es importante configurar a nuestro switch con un nombre único en la red que identifique a nuestro dispositivo. esto lo hacemos desde el modo de configuración global con el comando hostname [ nombre del dispositivo] , en este caso el nombre que corresponde a nuestro switch es SW_X

Switch>enable
Switch#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#hostname SW_X
SW_X(config)#

Nótese que en el promt la palabra switch cambiara  por el nombre de host que configuramos

Actividad 3 Configuración de la dirección IP

Con la finalidad  de administrar nuestro switch de forma remota debemos de configurar  un dirección IP esto lo hacemos de la siguiente manera:

Desde el modo de configuración  global ingresamos a modo de  configuración de interface  para la VLAN 1. La VLAN 1 es una VLAN que viene por default en el switch y que no podemos borrar es conocida tambien como la VLAN de adminitracion  ( se comporta de forma similar a una interface Ethernet de un router para aquellos que ya han configurado un router)

SW_X(config)#interface vlan 1
 SW_X(config-if)#

Una vez en el modo de configuracion de interface VLAN 1 , configuramos la dirección IP con el comando  ip address [ dirección IP] [ macara de subred], en este caso la dirección Ip es 10.1.1.2 y su máscara de subred es 255.255.255.0, y finalmente activamos la interface con el comando no shutdown.

(config-if)#ip address 10.1.1.2 255.255.255.0
 SW_X(config-if)#no shutdown
 SW_X(config-if)#
 LINK-5-CHANGED: Interface Vlan1, changed state to up
 LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
 SW_X(config-if)#
 SW_X(config-if)#exit
 SW_X(config)#

Actividad 4 configuración del default Gateway

En el caso de que el switch necesite enviar información  a una red diferente  a la de administración (fuera de nuestra red) por ejemplo a los host remotos, se debe de configurar un default gatway. Desde el modo de configuración global  con el comando ip default-gateway [dirección del defaul Gateway].

 SW_X(config)#ip default-gateway  10.1.1.1

SW_X(config)#

La dirección  del default gatway es la dirección de la interface a la cual estemos conectados con el   equipo que nos dará salida  a internet o bien de nuestra red local

Actividad 5 Pruebas de conectividad

Desde PC1  nos dirigimos a la pestaña desktop y después damos clic en el icono de comand prompt para abrir una línea de comandos

Enviamos un ping  a la dirección de administración del switch :

PC>ping  10.1.1.2
Pinging 10.1.1.2 with 32 bytes of data:
Reply from 10.1.1.2: bytes=32 time=48ms TTL=253
Reply from 10.1.1.2: bytes=32 time=57ms TTL=253
Reply from 10.1.1.2: bytes=32 time=93ms TTL=253
Reply from 10.1.1.2: bytes=32 time=50ms TTL=253
Ping statistics for 10.1.1.2:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 48ms, Maximum = 93ms, Average = 62ms
PC>

El ping debe de ser exitoso (la primera vez puede que se pierdan algunos paquetes), de lo contrario por favor verifica las configuraciones que sean las correctas.

Ahora trataremos de abrir una sesión por telenet desde PC1

PC>telnet  10.1.1.2
Trying 10.1.1.2 ...Open
[Connection to 10.1.1.2 closed by foreign host]
PC>

Como vemos no se logra establecer una conexión  con el switch  a pesar de que el ping es exitoso y de que ya hemos configurado la dirección IP de administración. Esto es porque para establecer una sesión remota debemos de configura primero las líneas virtuales (VTY)  en nuestro switch

Actividad 6 Configuración de las líneas virtuales (VTY) y de consola

Regresamos  a la sesión de consola del switch  SW_X, y desde el modo de configuración global ingresamos al modo de configuración de líneas virtuales.

SW_X(config)#line vty 0 15
SW_X(config-line)#

Donde 0 15 es el número de conexiones virtuales disponibles en este caso son 16 que van desde la 0 a la 15. El siguiente punto es restringir el acceso  mediante una contraseña, desde este mismo modo de configuracion de líneas virtuales  configuramos la contraseña con el comando password [contraseña], para fines prácticos la contraseña será ticrt

SW_X(config-line)#password ticrt
SW_X(config-line)#

Posteriormente ingresamos el comando login para forzar al router a  solicitar la contraseña  al momento de ingresar mediante una sesión remota

En este punto podemos repetir la prueba de telnet desde la PC1 y veremos que ya podemos tener acceso al switch de forma remota, asi mismo nos solicitara la contraseña de acceso

 PC>telnet  10.1.1.2
Trying 10.1.1.2 ...Open
 [Connection to 10.1.1.2 closed by foreign host]
PC>telnet  10.1.1.2
Trying 10.1.1.2 ...Open
User Access Verification
Password:

Ahora del mismo modo restringimos el acceso a una sesión por consola mediante una contraseña. Desde el modo de configuración  global pasamos a modo de configuración de consola con el comando line console 0 ,  y configuramos  la contraseña con el comando password [contraseña],  ( muy similar a la las líneas vty)

SW_X(config)#line console 0
SW_X(config-line)#password ticrt
SW_X(config-line)#login
SW_X(config-line)#exit
SW_X(config)#

Es muy importante no olvidar escribir el comando login, ya que de no ingresarse el switch no solicitara la contraseña al ingresar por consola y el acceso no estar restringido.

Actividad 7 Restringir el acceso al modo EXEC privilegiado

Como ya hemos visto, desde el modo EXEC privilegiado  podemos administrar el archivo de configuración y pasar a todos los niveles superiores de configuración, es por eso que más que una buena práctica más bien es necesario  restringir el acceso a este modo para evitar que  usuarios no autorizados modifiquen la configuración del dispositivo.

Existen dos formas de configurar una contraseña para accesar a modo EXEC privilegiado

Primera

Estando en el modos de configuración global  escribimos  el comando enable password [contraseña], para fines prácticos  en esta práctica la contraseña será redes_1

SW_X(config)#enable password redes_1
Segunda

Estando en el modo de configuración gloabal escribimos el comando   enable secret [contraseña], en este caso la contraseña será redes_2

SW_X(config)#enable secret redes_2

Para ver la diferencia de estos dos comandos regresamos al modo EXEC privilegiado y escribimos el comando show running-config para ver la configuración en ejecución ( lo que ya hemos configurado)

SW_X#sh running-config
Building configuration...
Current configuration : 1199 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SW_X
!
enable secret 5 $1$mERr$Kmc.Mg/Vz44ikYIkoyMUv.
enable password redes_1
!
!
spanning-tree mode pvst
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
 ip address 10.1.1.2 255.255.255.0
!
ip default-gateway 10.1.1.1
!
!
line con 0
 password ticrt
 login
!
line vty 0 4
 password ticrt
 login
line vty 5 15
 password ticrt
 login
!
!
end

Ademas de ver en esta salida  los parámetros que ya configuramos vemos las contraseñas enable password y enable secret, podemos ver que solo la contraseña enable secret esta encriptada con un nivel 5, mientras que la contraseña de enable password a si como las contraseñas de las líneas virtuales y de consola aparecen en texto plano, es decir  a sin encriptar, por lo que es necesario  encriptar estas contraseña también esto lo logramos de la siguiente manera.

Desde el modo de configuracion global ingresamos el comando service password-encryption el cual encripta las contraseña que aparecen en texto plano

SW_X(config)#service password-encryption

Para ver la diferencia  nuevamente ingresamos el commando show running-config desde el modo de EXEC privilegiado

TIP : para no estas brincando de modo en modo para ingresar comando show pueden hacerlo desde configuración global escribiendo do delante del comando show, vale la pena señalar que ingresando el comando  de esta menara no se puede autocompletar con la tecla tab

SW_X(config)#do show running-config

Building configuration…

Current configuration : 1234 bytes

!

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

service password-encryption

!

hostname SW_X

!

enable secret 5 $1$mERr$Kmc.Mg/Vz44ikYIkoyMUv.

enable password 7 0833494A0C0A3A46

!

!

spanning-tree mode pvst

!

interface FastEthernet0/1

!

interface FastEthernet0/2

!

interface FastEthernet0/3

!

interface FastEthernet0/4

!

interface FastEthernet0/5

!

interface FastEthernet0/6

!

interface FastEthernet0/7

!

interface FastEthernet0/8

!

interface FastEthernet0/9

!

interface FastEthernet0/10

!

interface FastEthernet0/11

!

interface FastEthernet0/12

!

interface FastEthernet0/13

!

interface FastEthernet0/14

!

interface FastEthernet0/15

!

interface FastEthernet0/16

!

interface FastEthernet0/17

!

interface FastEthernet0/18

!

interface FastEthernet0/19

!

interface FastEthernet0/20

!

interface FastEthernet0/21

!

interface FastEthernet0/22

!

interface FastEthernet0/23

!

interface FastEthernet0/24

!

interface GigabitEthernet1/1

!

interface GigabitEthernet1/2

!

interface Vlan1

ip address 10.1.1.2 255.255.255.0

!

ip default-gateway 10.1.1.1

!

!

line con 0

password 7 0835454D1B0D

login

!

line vty 0 4

 password 7 0835454D1B0D

login

line vty 5 15

 password 7 0835454D1B0D

login

!

!

end

Como vemos las contraseñas que anteriormente aparecían en texto plano ahora están encriptados con un nivel 7, OJO el nivel 7 de encriptado es reversible, de hecho hay varias aplicaciones para teléfonos inteligentes que hacen esto y  también en su extensión .exe sin embargo el nivel 5 no se puede revertir (al menos no tan fácil que yo sepa)

Actividad 8 Configuración del mensaje del día

El mensaje del día (banner moth) es un mensaje  con el que podemos dar aviso o una advertencia el cual se podrá ver al momento de ingresar al equipo mediante línea de comando, este mensaje se configura de la siguiente manera:

  1. Desde el modo de configuración globan se ingresa el comando banenner motd [ carácter] , el carácter es cualquier  carácter hay que tener cuidado de no usar este carácter en el cuerpo del mensaje ya que este mismo carácter indica el fin del mensaje

Ejemplo:

SW_X(config)#banner motd *
  1. Después de ingresar  el comando SW_X(config)#banner motd * puedes escribir el mensaje  libremente

Ejemplo:

SW_X(config)#banner motd *
Enter TEXT message.  End with the character '*'.
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
    SSSSSSSSSS    WWWW      WWWWWW      WWWW                  XXXX      XXXX
  SSSSSSSSSSSSSS  WWWW      WW  WW      WWWW                    XXXX  XXXX 
  SSSS      SSSS    WW      WW  WW      WW                      XXXX  XXXX 
  SSSS              WW    WWWW  WWWW    WW                        XXXXXX   
  SSSSSSSSSS        WWWW  WWWW  WWWW  WWWW                        XXXXXX   
      SSSSSSSSSS    WWWW  WWWW  WWWW  WWWW                        XXXXXX   
            SSSS    WWWW  WWWW  WWWW  WWWW                        XXXXXX   
  SSSS      SSSS      WW  WW      WW  WW                        XXXX  XXXX 
  SSSSSSSSSSSSSS      WWWWWW      WWWWWW                        XXXX  XXXX 
    SSSSSSSSSS        WWWWWW      WWWWWW                      XXXX      XXXX
                                            ________________               
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
                               !ADVERTENCIA!
                     PROHIBIDO EL ACCESO NO AUTORIZADO
###############################################################################
*
SW_X(config)#

Nótese que el mensaje del día empieza con * (asterisco) y se marca el final del mensaje igualmente con un  *

NOTA IMPORTANTE: el mensaje del dia nunca debe de contener algún mensaje de bienvenida  o alentando a ingresar al equipo, ya que en caso de un acceso no autorizado puede repercutir en alguna situación no deseada, por el contrario debe de advertirse la penalización sobre el acceso no autorizado, de hecho este punto puede venir como pregunta en el examen de certificación CCNA

Actividad 9 Pruebas finales

Desde la PC 2 abrir una línea de comando  y tratar de ingresar vía telnet al equipo :

PC>telnet 10.1.1.2
Trying 10.1.1.2 ...Open
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

    SSSSSSSSSS    WWWW      WWWWWW      WWWW                  XXXX      XXXX
  SSSSSSSSSSSSSS  WWWW      WW  WW      WWWW                    XXXX  XXXX 
  SSSS      SSSS    WW      WW  WW      WW                      XXXX  XXXX 
  SSSS              WW    WWWW  WWWW    WW                        XXXXXX   
  SSSSSSSSSS        WWWW  WWWW  WWWW  WWWW                        XXXXXX   
      SSSSSSSSSS    WWWW  WWWW  WWWW  WWWW                        XXXXXX   
            SSSS    WWWW  WWWW  WWWW  WWWW                        XXXXXX   
  SSSS      SSSS      WW  WW      WW  WW                        XXXX  XXXX 
  SSSSSSSSSSSSSS      WWWWWW      WWWWWW                        XXXX  XXXX 
    SSSSSSSSSS        WWWWWW      WWWWWW                      XXXX      XXXX
                                            ________________               

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
                               !ADVERTENCIA!
                     PROHIBIDO EL ACCESO NO AUTORIZADO
###############################################################################
User Access Verification 
Password:

Ahora podemos ver el mensaje del dia,  notamos tambien que nos pide una contraseña para  continuar con la conexión via telnet

Ingresamos la contraseña que configuramos en las VTY y accesamos a modo EXEC usuario, ahora tratamos de accesar a modo de EXEC privilegiado

SW_X>
SW_X>enable
Password:

Vemos que tambien nos pide la con traseña, para continuar ingresamos la contraseña  redes_2 ( enable secret)

SW_X>enable
Password:
SW_X#

Ahora podemos verificar la configuración en ejecución con el comando show running-config

SW_X#show running-config
Building configuration...
Current configuration : 2381 bytes
!
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SW_X
!
enable secret 5 $1$mERr$Kmc.Mg/Vz44ikYIkoyMUv.
enable password redes_1
!
!
spanning-tree mode pvst
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
 ip address 10.1.1.2 255.255.255.0
!
ip default-gateway 10.1.1.1
!
banner motd ^C
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

    SSSSSSSSSS    WWWW      WWWWWW      WWWW                  XXXX      XXXX
  SSSSSSSSSSSSSS  WWWW      WW  WW      WWWW                    XXXX  XXXX 
  SSSS      SSSS    WW      WW  WW      WW                      XXXX  XXXX 
  SSSS              WW    WWWW  WWWW    WW                        XXXXXX   
  SSSSSSSSSS        WWWW  WWWW  WWWW  WWWW                        XXXXXX   
      SSSSSSSSSS    WWWW  WWWW  WWWW  WWWW                        XXXXXX   
            SSSS    WWWW  WWWW  WWWW  WWWW                        XXXXXX   
  SSSS      SSSS      WW  WW      WW  WW                        XXXX  XXXX 
  SSSSSSSSSSSSSS      WWWWWW      WWWWWW                        XXXX  XXXX 
    SSSSSSSSSS        WWWWWW      WWWWWW                      XXXX      XXXX
                                            ________________               
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
                               !ADVERTENCIA!
                     PROHIBIDO EL ACCESO NO AUTORIZADO
###############################################################################
^C
!
line con 0
!
line vty 0 4
 password ticrt
 login
line vty 5 15
 password ticrt
 login
!
!
end

Verifica que toda tu configuración este correcta y finalmente guarda la configuración con el comando copy  running-config startup-config, tambien te pedirá que confirmes la operación, se confirma con la tecla enter

SW_X#copy  running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
SW_X#

Espero que te haya sido de utilidad esta práctica

Ruben Campos Resendiz

About these ads
  1. josé antonio
    1 abril, 2013 en 6:20 AM | #1

    Muy bueno todo el artículo, muchas gracias.

    Sólo indicar si hay algún comando para guardar la configuración en un archivo .txt

    En pestaña Config, Configuraciones Globales, se puede exportar la configuración inicial o la activa, pero no he encontrado el comando que haga lo mismo.

    saludos
    josé antonio

  1. No trackbacks yet.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: