Todo sobre firewall en Cisco
http://zeldor.biz/2010/09/ccna-exploration-4-module-5/
miércoles, 17 de noviembre de 2010
Todo sobre DHCP Cisco
Una página muy buena sobre DHCP en Packet Tracer
http://zeldor.biz/tag/cisco-academy/
http://zeldor.biz/tag/cisco-academy/
DHCP Relay
DHCP Relay es un protocolo usado por si tienes otro servidor de DHCP en la red. Esta sirve para que todas las peticiones que le lleguen a tu router sean reenviadas hacia el otro equipo.
Esto es muy útil si quieres que el servidor de DHCP te de mas funcionalidad, por ejemplo puedes tener una maquina en linux que tenga el servidor de DHCP corriendo y que cada vez que asigna una IP lo registre en una base de datos. En ese caso no querrias que tu router fuera el servidor de DHCP, podrias desactivarlo, pero claro si quieres que las maquinas conectadas a la red del router adsl puedan coger la ip de tu servidor en linux que se encuentra en una subred distinta, la unica solución seria activar el relay apuntando a esta máquina.
Esto es muy útil si quieres que el servidor de DHCP te de mas funcionalidad, por ejemplo puedes tener una maquina en linux que tenga el servidor de DHCP corriendo y que cada vez que asigna una IP lo registre en una base de datos. En ese caso no querrias que tu router fuera el servidor de DHCP, podrias desactivarlo, pero claro si quieres que las maquinas conectadas a la red del router adsl puedan coger la ip de tu servidor en linux que se encuentra en una subred distinta, la unica solución seria activar el relay apuntando a esta máquina.
Seguridad de puerto en switches Cisco
Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo que resumiré a continuación.
Dirección MAC segura estática
* Se configura manualmente.
* Se agrega a la tabla de direcciones MAC.
* Se guarda en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
Dirección MAC segura dinámica
* Se aprende del tráfico que atraviesa la interfaz.
* Se la guarda en la tabla de direcciones MAC.
* Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
Dirección MAC segura sticky
* Se la puede configurar de forma manual o dinámica.
* Se la guarda en la tabla de direcciones MAC.
* Se almacena en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia.
Dos aspectos importantes a tener en cuenta:
* Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
* Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
Acciones a tomar si se produce una violación
Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
* Se alcanzó la cantidad máxima de direcciones MAC permitidas.
* Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una violación son, entonces:
* Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
* Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
Configuración
Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico.
* Habilitar port-security.
SwA(config-if)# switchport port-security
* Indicar que sólo se permite una MAC por interfaz.
SwA(config-if)# switchport port-security maximum 1
* Configurar el modo restrict para cuando ocurra una violación del puerto.
SwA(config-if)# switchport port-security violation restrict
* Configurar el aprendizaje de direcciones MAC sticky.
SwA(config-if)# switchport port-security mac-address sticky
* O bien especificar una MAC de forma estática.
SwA(config-if)# switchport port-security mac-address 5400.0000.0001
* Chequear el estado de port-security.
SwA# show port-security
Dirección MAC segura estática
* Se configura manualmente.
* Se agrega a la tabla de direcciones MAC.
* Se guarda en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address DIRECCION-MAC
Dirección MAC segura dinámica
* Se aprende del tráfico que atraviesa la interfaz.
* Se la guarda en la tabla de direcciones MAC.
* Se pierde cuando se reinicia el equipo.
SwA(config-if)# switchport port-security
Dirección MAC segura sticky
* Se la puede configurar de forma manual o dinámica.
* Se la guarda en la tabla de direcciones MAC.
* Se almacena en la running-config.
* Se puede hacer permanente guardando la configuración.
SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]
La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia.
Dos aspectos importantes a tener en cuenta:
* Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
* Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.
Acciones a tomar si se produce una violación
Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:
* Se alcanzó la cantidad máxima de direcciones MAC permitidas.
* Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.
Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una violación son, entonces:
* Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
* Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
* Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.
Configuración
Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico.
* Habilitar port-security.
SwA(config-if)# switchport port-security
* Indicar que sólo se permite una MAC por interfaz.
SwA(config-if)# switchport port-security maximum 1
* Configurar el modo restrict para cuando ocurra una violación del puerto.
SwA(config-if)# switchport port-security violation restrict
* Configurar el aprendizaje de direcciones MAC sticky.
SwA(config-if)# switchport port-security mac-address sticky
* O bien especificar una MAC de forma estática.
SwA(config-if)# switchport port-security mac-address 5400.0000.0001
* Chequear el estado de port-security.
SwA# show port-security
martes, 16 de noviembre de 2010
EtherChannel
Toma castaña!
http://infodocs.net/articulo/networking/etherchannel-entre-switches-cisco
Fíjate en el dibujo: se quieren unir los fastEthernet 0,1 y 2, por lo que se puede definir el rango: interface range FastEthernet 0/0 - 2 (del 0 al 2). Supongo que se puede hacer lo mismo para apagarlos (con el shutdown).
Después los ponemos en modo trunk (recuerda que era para decirle que se conecta con otro switch) y los metemos dentro de la misma vlan (en este caso la 10).
Por último le decimos que ese grupo (el 1) están en modo ON (que son Etherchannel):
(config-if-range)# channel-group 1 mode on
y hemos terminado, hacemos lo mismo en el otro switch y a volar!
http://infodocs.net/articulo/networking/etherchannel-entre-switches-cisco
Fíjate en el dibujo: se quieren unir los fastEthernet 0,1 y 2, por lo que se puede definir el rango: interface range FastEthernet 0/0 - 2 (del 0 al 2). Supongo que se puede hacer lo mismo para apagarlos (con el shutdown).
Después los ponemos en modo trunk (recuerda que era para decirle que se conecta con otro switch) y los metemos dentro de la misma vlan (en este caso la 10).
Por último le decimos que ese grupo (el 1) están en modo ON (que son Etherchannel):
(config-if-range)# channel-group 1 mode on
y hemos terminado, hacemos lo mismo en el otro switch y a volar!
VPN con Cisco
Mirad esta dirección
http://sw-libre.blogspot.com/2010/04/cisco-ios-easy-vpn-server-remote-access.html
http://sw-libre.blogspot.com/2010/04/cisco-ios-easy-vpn-server-remote-access.html
Ver las traducciones nat:
>show ip nat translations
Configurar puertos:
ip nat inside source static (TCPorUDP) (YourCompsIP) (PortToForward) interface BVI1 (PortToForward)
#
# To dejar pasar al puerto 3389 TCP al nodo 172.16.2.60
#
(config>)>ip nat inside source static tcp 172.16.2.60 3389 interface BVI1 3389
>show ip nat translations
Configurar puertos:
ip nat inside source static (TCPorUDP) (YourCompsIP) (PortToForward) interface BVI1 (PortToForward)
#
# To dejar pasar al puerto 3389 TCP al nodo 172.16.2.60
#
(config>)>ip nat inside source static tcp 172.16.2.60 3389 interface BVI1 3389
Configurar las Contraseñas
Los comandos enable password y enable secret se utilizan para restringir el acceso al modo EXEC privilegiado. El comando enable password se utiliza sólo si no se ha configurado previamente enable secret. Se recomienda habilitar siempre enable secret, ya que a diferencia de enable password, la contraseña estará siempre cifrada en el archivo de configración.
SWITCH>enable
SWITCH#configure terminal
SWITCH(config)#enable password cisco
SWITCH(config)#enable secret cisco
Fijaros en el ejemplo que la contraseña cisco se pone en la enable secret y la enable password, abajo se ve como la contraseña secret aparece cifrada y la de enable password no.
Ejemplo de startup-config:
enable secret 5 $3$zxxM2$trTOiN4QDDccs8DFzsSof/
enable password cisco
SWITCH>enable
SWITCH#configure terminal
SWITCH(config)#enable password cisco
SWITCH(config)#enable secret cisco
Fijaros en el ejemplo que la contraseña cisco se pone en la enable secret y la enable password, abajo se ve como la contraseña secret aparece cifrada y la de enable password no.
Ejemplo de startup-config:
enable secret 5 $3$zxxM2$trTOiN4QDDccs8DFzsSof/
enable password cisco
Configurar la dirección ip y el gateway de un switch
switch> enable
switch# configure terminal
switch(config)# ip address 192.168.1.2 255.255.255.0
switch(config)# ip default-gateway 192.168.1.1
switch# configure terminal
switch(config)# ip address 192.168.1.2 255.255.255.0
switch(config)# ip default-gateway 192.168.1.1
Cómo direccionar puertos en router Cisco
Para redireccionar puertos en un router cisco, hay que tener cierta información, el puerto que necesitamos abrir, la ip fija del servidor que queremos abrir a internet, y el puerto que queremos abrir hacía internet.
El comando sería:
ip nat inside source static [tcp/udp] [ip servidor local] [puerto local] interface [Interfaz wan] [puerto exterior]
Un ejemplo para abrir un servidor web:
Router(config)# ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/1 80
El puerto 80 del host que tenga la ip 192.168.1.1 será accesible desde fuera de la red local, con lo cual la gente de Internet podrá acceder a nuestra pagina web.
El comando sería:
ip nat inside source static [tcp/udp] [ip servidor local] [puerto local] interface [Interfaz wan] [puerto exterior]
Un ejemplo para abrir un servidor web:
Router(config)# ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/1 80
El puerto 80 del host que tenga la ip 192.168.1.1 será accesible desde fuera de la red local, con lo cual la gente de Internet podrá acceder a nuestra pagina web.
Suscribirse a:
Entradas (Atom)