Todo sobre firewall en Cisco
http://zeldor.biz/2010/09/ccna-exploration-4-module-5/
miércoles, 17 de noviembre de 2010
Todo sobre DHCP Cisco
Una página muy buena sobre DHCP en Packet Tracer
http://zeldor.biz/tag/cisco-academy/
http://zeldor.biz/tag/cisco-academy/
DHCP Relay
DHCP Relay es un protocolo usado por si tienes otro servidor de DHCP en la red. Esta sirve para que todas las peticiones que le lleguen a tu router sean reenviadas hacia el otro equipo.
Esto es muy útil si quieres que el servidor de DHCP te de mas funcionalidad, por ejemplo puedes tener una maquina en linux que tenga el servidor de DHCP corriendo y que cada vez que asigna una IP lo registre en una base de datos. En ese caso no querrias que tu router fuera el servidor de DHCP, podrias desactivarlo, pero claro si quieres que las maquinas conectadas a la red del router adsl puedan coger la ip de tu servidor en linux que se encuentra en una subred distinta, la unica solución seria activar el relay apuntando a esta máquina.
Esto es muy útil si quieres que el servidor de DHCP te de mas funcionalidad, por ejemplo puedes tener una maquina en linux que tenga el servidor de DHCP corriendo y que cada vez que asigna una IP lo registre en una base de datos. En ese caso no querrias que tu router fuera el servidor de DHCP, podrias desactivarlo, pero claro si quieres que las maquinas conectadas a la red del router adsl puedan coger la ip de tu servidor en linux que se encuentra en una subred distinta, la unica solución seria activar el relay apuntando a esta máquina.
Seguridad de puerto en switches Cisco
Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo que resumiré a continuación.
Dirección MAC segura estática
* Se configura manualmente.
* Se agrega a la tabla de direcciones MAC.
* Se guarda en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
Dirección MAC segura dinámica
* Se aprende del tráfico que atraviesa la interfaz.
* Se la guarda en la tabla de direcciones MAC.
* Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
Dirección MAC segura sticky
* Se la puede configurar de forma manual o dinámica.
* Se la guarda en la tabla de direcciones MAC.
* Se almacena en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia.
Dos aspectos importantes a tener en cuenta:
* Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
* Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
Acciones a tomar si se produce una violación
Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
* Se alcanzó la cantidad máxima de direcciones MAC permitidas.
* Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una violación son, entonces:
* Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
* Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
Configuración
Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico.
* Habilitar port-security.
SwA(config-if)# switchport port-security
* Indicar que sólo se permite una MAC por interfaz.
SwA(config-if)# switchport port-security maximum 1
* Configurar el modo restrict para cuando ocurra una violación del puerto.
SwA(config-if)# switchport port-security violation restrict
* Configurar el aprendizaje de direcciones MAC sticky.
SwA(config-if)# switchport port-security mac-address sticky
* O bien especificar una MAC de forma estática.
SwA(config-if)# switchport port-security mac-address 5400.0000.0001
* Chequear el estado de port-security.
SwA# show port-security
Dirección MAC segura estática
* Se configura manualmente.
* Se agrega a la tabla de direcciones MAC.
* Se guarda en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
Dirección MAC segura dinámica
* Se aprende del tráfico que atraviesa la interfaz.
* Se la guarda en la tabla de direcciones MAC.
* Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
Dirección MAC segura sticky
* Se la puede configurar de forma manual o dinámica.
* Se la guarda en la tabla de direcciones MAC.
* Se almacena en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia.
Dos aspectos importantes a tener en cuenta:
* Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
* Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
Acciones a tomar si se produce una violación
Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
* Se alcanzó la cantidad máxima de direcciones MAC permitidas.
* Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una violación son, entonces:
* Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
* Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
Configuración
Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico.
* Habilitar port-security.
SwA(config-if)# switchport port-security
* Indicar que sólo se permite una MAC por interfaz.
SwA(config-if)# switchport port-security maximum 1
* Configurar el modo restrict para cuando ocurra una violación del puerto.
SwA(config-if)# switchport port-security violation restrict
* Configurar el aprendizaje de direcciones MAC sticky.
SwA(config-if)# switchport port-security mac-address sticky
* O bien especificar una MAC de forma estática.
SwA(config-if)# switchport port-security mac-address 5400.0000.0001
* Chequear el estado de port-security.
SwA# show port-security
martes, 16 de noviembre de 2010
EtherChannel
Toma castaña!
http://infodocs.net/articulo/networking/etherchannel-entre-switches-cisco
Fíjate en el dibujo: se quieren unir los fastEthernet 0,1 y 2, por lo que se puede definir el rango: interface range FastEthernet 0/0 - 2 (del 0 al 2). Supongo que se puede hacer lo mismo para apagarlos (con el shutdown).
Después los ponemos en modo trunk (recuerda que era para decirle que se conecta con otro switch) y los metemos dentro de la misma vlan (en este caso la 10).
Por último le decimos que ese grupo (el 1) están en modo ON (que son Etherchannel):
(config-if-range)# channel-group 1 mode on
y hemos terminado, hacemos lo mismo en el otro switch y a volar!
http://infodocs.net/articulo/networking/etherchannel-entre-switches-cisco
Fíjate en el dibujo: se quieren unir los fastEthernet 0,1 y 2, por lo que se puede definir el rango: interface range FastEthernet 0/0 - 2 (del 0 al 2). Supongo que se puede hacer lo mismo para apagarlos (con el shutdown).
Después los ponemos en modo trunk (recuerda que era para decirle que se conecta con otro switch) y los metemos dentro de la misma vlan (en este caso la 10).
Por último le decimos que ese grupo (el 1) están en modo ON (que son Etherchannel):
(config-if-range)# channel-group 1 mode on
y hemos terminado, hacemos lo mismo en el otro switch y a volar!
VPN con Cisco
Mirad esta dirección
http://sw-libre.blogspot.com/2010/04/cisco-ios-easy-vpn-server-remote-access.html
http://sw-libre.blogspot.com/2010/04/cisco-ios-easy-vpn-server-remote-access.html
Ver las traducciones nat:
>show ip nat translations
Configurar puertos:
ip nat inside source static (TCPorUDP) (YourCompsIP) (PortToForward) interface BVI1 (PortToForward)
#
# To dejar pasar al puerto 3389 TCP al nodo 172.16.2.60
#
(config>)>ip nat inside source static tcp 172.16.2.60 3389 interface BVI1 3389
>show ip nat translations
Configurar puertos:
ip nat inside source static (TCPorUDP) (YourCompsIP) (PortToForward) interface BVI1 (PortToForward)
#
# To dejar pasar al puerto 3389 TCP al nodo 172.16.2.60
#
(config>)>ip nat inside source static tcp 172.16.2.60 3389 interface BVI1 3389
Suscribirse a:
Entradas (Atom)