NF1 - Configuració i administració de commutadors

De wikiserver
La revisió el 00:59, 26 oct 2015 per Asalinas (Discussió | contribucions) (AUTO-MDIX)
(dif) ← Versió més antiga | Versió actual (dif) | Versió més nova → (dif)
Dreceres ràpides: navegació, cerca

Els ponts i commutadors són dispositius de comunicació de dades que funcionen en la capa 2 del model de referència OSI.

Els ponts van estar disponibles comercialment al començament de la dècada dels anys vuitanta. Quan van aparèixer per primera vegada permetien la retransmissió de trames entre xarxes homogènies. Més endavant el funcionament dels ponts entre xarxes diferents va estar estandarditzat. Els ponts fan servir les adreces MAC per reenviar selectivament les trames entre diferents xarxes, dividint els dominis de col·lisió en dues parts.

Avui en dia, la tecnologia de commutació ha substituït els ponts. Els commutadors són una millora dels ponts augmentant-ne la capacitat amb la inclusió de més ports, fins al punt en què era possible tenir un únic host per cada port del commutador.

Els commutadors treballen amb un sistema operatiu propi que permet que els administradors hi treballin de manera còmoda.

Segmentació de la xarxa: Dominis de col·lisió vs Dominis de difusió

Un domini de col·lisió és un segment físic d’una xarxa d’ordinadors on hi ha possibilitats que els paquets xoquin, això és, en el cas en què dos ordinadors transmetin per un mitjà compartit.

Domini colisio.jpg

Cada port d'un switch defineix un domini de col·lisió i es pot connectar a aquest o bé a un host, o bé a un altre dispositiu de connexió de xarxes (com un altre commutador, un concentrador, etc.).

Un segment de xarxa és qualsevol mitjà de xarxa compartit com, per exemple, un cable i un dispositiu, és a dir, un commutador o un concentrador.

Ethernet funciona bé quan hi ha pocs hosts en la xarxa. En aquest cas el trànsit que hi ha en la xarxa és reduït, es produeixen poques col·lisions i la velocitat de funcionament de la xarxa és acceptable.

Però, quan augmenta la quantitat de hosts que volen enviar trames a la xarxa, també augmenta la quantitat de col·lisions i el rendiment de la xarxa comença a baixar, fins al punt de fer-la inoperativa si tenim massa hosts intentant fer enviaments al mateix temps.

Per aquest motiu va sorgir la necessitat de segmentar les xarxes.

Segmentar significa dividir un domini de col·lisió en dues o més parts, de manera que trames enviades en diferents segments no col·lisionin entre elles.

Els motius per segmentar una xarxa amb un pont són els següents:

  • Trànsit. Es pot reduir el trànsit d’una xarxa segmentant-la amb un pont. En cas que molt del trànsit sigui local, aquest no cal que es propagui a tota la xarxa (per exemple: diferents departaments es comunicaran més amb les màquines del mateix departament, aquests paquets no cal que es propaguin per tots els segments).
  • Fiabilitat. Un ordinador avariat que estigui transmetent dades contínuament a la xarxa pot col·lapsar tot el trànsit. Dividint en segments a soles es veuria afectada una part de la xarxa.
  • Connectivitat. Amb un pont es poden connectar xarxes d’estàndards diferents (per exemple: un segment Ethernet amb un altre anell de testimoni o token ring).
  • Nombre d’ordinadors. Algunes xarxes locals tenen un nombre màxim de hosts que poden estar connectats. Segmentant la xarxa, aquesta quantitat màxima de hosts seria per cada segment, i no per tota la xarxa.
  • Mida de la xarxa. Es necessita que la xarxa cobreixi una distància més gran que la mida màxima que permet.
  • Seguretat. En una xarxa de difusió o broadcast, qualsevol ordinador pot accedir a totes les trames que passen per la xarxa. Si es divideix en segments, només aquest ordinador podrà accedir a les trames que s’enviïn pel seu segment.

Un domini de col·lisió broadcast (també anomenat domini de difusió) està constituït per tots els dispositius que estan connectats en una xarxa d’àrea local i que reben difusions de trames de dades enviades d’una màquina a totes les altres (trames broadcast). A grans trets, podem dir que un domini de col·lisió broadcast és un grup de dispositius de la xarxa que envien i reben missatges broadcast entre ells.

Domini-difusio.jpg

Els Commutadors (Switch)

Un commutador de xarxa d’àrea local (LAN switch en anglès) és un dispositiu que funciona de manera semblant a un pont, però té més ports. Això permet segmentar una xarxa, no ja en dues parts, sinó en múltiples (fins al punt de poder tenir un únic host per cada port). La quantitat superior de ports també incrementa l’amplada de banda disponible per als hosts.

Els switches LAN de capa 2 duen a terme els processos de commutació i filtrat basant-se solament en l'adreça MAC de la capa d'enllaç de dades (capa 2) del model OSI. El switch és completament transparent per als protocols de xarxa i les aplicacions d'usuari. Els switches de capa 2 creen una taula d'adreces MAC que utilitzen per prendre decisions de reexpedició. Els switches de capa 2 depenen dels routers per passar dades entre subxarxes IP independents.

Interfície o port? 
A efectes pràctics es fa servir indistintament la paraula port o interfície per referir-se a les diferents interfícies físiques dels dispositius de xarxa.

La tendència cap a un nombre inferior d’usuaris per segment es coneix com a microsegmentació. La microsegmentació permet la creació de segments privats o dedicats, és a dir, un usuari per segment.

Full-duplex
Una comunicació full-duplex és aquella en què la informació es pot enviar en els dos sentits simultàniament. Un exemple de comunicació full-duplex seria la comunicació per mitjà de telèfons.

les targetes de xarxa del host i el port del commutador es poden configurar per funcionar en mode full-duplex. Quan es fa servir cablejat de parell trenat, un parell serveix per enviar el senyal del commutador al host, i l’altre per a la comunicació entre el host i el commutador. Aquests senyals es poden transmetre de manera simultània i es poden produir comunicacions en totes dues direccions al mateix temps (full-duplex). Treballant en mode full-duplex no hi ha col·lisions en el mitjà, ja que les comunicacions van per parells diferents. Desapareixent les col·lisions es diu que desapareix el domini de col·lisió, i l’amplada de banda (teòrica) de la connexió es duplica.

Adreçament MAC i taules MAC dels Switchs

El commutador te una taula d’adreces MAC amb la relació MAC-port per saber per on ha d’enviar les trames. A continuació podeu veure un exemple de la taula MAC d’un commutador.

Mactable.jpg
Commutador_aula#show mac-address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0001.424e.d7ae    DYNAMIC     Fa0/4
   1    000a.4178.63ce    DYNAMIC     Fa0/6
   1    0030.f27d.4bb5    DYNAMIC     Fa0/3
   1    00d0.ba4b.1b8c    DYNAMIC     Fa0/5
   3    0030.f298.31c4    DYNAMIC     Fa0/2

Entre les especificacions d’un commutador hi ha la memòria que té i la quantitat d’adreces MAC que pot emmagatzemar. Si la quantitat de hosts de la xarxa és superior a la quantitat d’adreces MAC que pot emmagatzemar el commutador, les trames dels hosts es retransmetran per inundació, la qual cosa afectarà el rendiment de la xarxa.

En el cas de xarxes Ethernet, l’ús de commutadors aporta una millora addicional al rendiment de la xarxa. Ethernet fa servir CSMA/CD com a protocol d’accés al mitjà. Amb CSMA/CD l’eficiència de la xarxa disminueix a mesura que augmentem el nombre de hosts en el domini de col·lisió. Per això, dividint una xarxa en diferents segments amb un commutador també en millorem el rendiment en tenir una quantitat de hosts inferior.

CSMA/CD
CSMA/CD (accés múltiple amb escolta de portadora i detecció de col·lisió, de l’anglès carrier sense multiple access with collision detection) 
és un mode d’accés al mitjà que es fa servir a Ethernet. Està basat en consultar l’estat del mitjà físic abans de transmetre. 
Mentre està transmetent, es fa una comprovació del mitjà per verificar que no es produeixen col·lisions.

Els commutadors divideixen dominis de col·lisió. Les decisions que prenen estan basades en les adreces MAC de les trames que s’envien per la xarxa. Aquestes adreces corresponen a la capa 2 del model OSI o no afecten l’adreçament lògic de xarxa (capa 3). Així, els commutadors divideixen els dominis de col·lisió, però no tenen efectes sobre els dominis de col·lisió broadcast. Les trames broadcast són retransmeses per tots els ports.

Procés d'adquisició d'adreces MAC dels Switchs

El switch deu primer saber què nodes existeixen en cadascun dels seus ports per poder definir quin serà el port que utilitzarà per transmetre una trama unicast.

El switch determina com manejar les trames de dades entrants mitjançant una taula d'adreces MAC. El switch genera la seva taula d'adreces MAC gravant les adreces MAC dels nodes que es troben connectats en cadascun dels seus ports.

Una vegada que l'adreça MAC d'un node específic en un port determinat queda registrada en la taula d'adreces, el switch ja sap enviar el tràfic destinat a aquest node específic des del port assignat a aquest node per a posteriors transmissions.

Quan un switch rep una trama de dades entrants i l'adreça MAC de destinació no figura en la taula, aquest reenvía la trama a tots els ports excepte al que la va rebre en primer lloc.

Quan el node de destinació respon, el switch registra l'adreça MAC d'aquest en la taula d'adreces del camp adreça d'origen de la trama. A les xarxes que compten amb diversos switches interconnectats, les taules d'adreces MAC registren diverses adreces MAC per als ports que connecten els switches que reflecteixen els nodes de destinació.

Generalment, els ports dels switches que s'utilitzen per interconnectar dos switches compten amb diverses adreces MAC registrades en la taula d'adreces.

CAM
En ocasions, la taula d'adreces MAC es denomina taula de memòria de contingut adreçable (CAM).

A continuació es descriu aquest procés:

  • Pas 1. El switch rep una trama de broadcast de la PC1 en el Port 1.
Switch-p1.jpg
  • Pas 2. El switch ingressa l'adreça MAC d'origen i el port del switch que va rebre la trama en la taula d'adreces.
Switch-p2.jpg
  • Pas 3. Atès que l'adreça de destinació és broadcast, el switch satura tots els ports enviant la trama, excepte el port que la va rebre.
Switch-p3.jpg
  • Pas 4. El dispositiu de destinació respon al broadcast amb una trama de unicast dirigida a la PC1.
Switch-p4.jpg
  • Pas 5. El switch introdueix en la taula d'adreces l'adreça MAC d'origen de la PC2 i el nombre del port de switch que va rebre la trama. En la taula d'adreces MAC poden trobar-se l'adreça de destinació de la trama i el seu port associat.
Switch-p5.jpg
  • Pas 6. Ara el switch pot enviar trames entre els dispositius d'origen i destinació sense saturar el tràfic, ja que compta amb entrades en la taula d'adreces que identifiquen als ports associats.
Switch-p6.jpg


Exercici

Activitad relacionada amb la taula d'adreces MAC d'un commutador:  commutacion

MDIX

Abans, les connexions entre dispositius específics, com les connexions switch a switch, switch a router, switch a host i router a host, requerien l'ús de tipus de cables específics (de connexió creuada o de connexió directa). Ara, en canvi, la majoria dels dispositius de switch admeten el comando de configuració d'interfície mdix auto en la CLI per habilitar la característica automàtica de connexió creuada d'interfície depenent del mitjà (MDIX automàtica o auto-MDIX).

En habilitar la funció acte-MDIX, el switch detecta el tipus de cable que es requereix per a les connexions Ethernet de coure i, conforme a això, configura les interfícies. Per tant, es pot utilitzar un cable de connexió directa o croada per realitzar la connexió amb un port 10/100/1000 de coure situat en el switch, independentment del tipus de dispositiu que estigui en l'altre extrem de la connexió.

Mètodes de reexpedició de trames en switches Cisco

Els commutadors poden commutar les trames entre els diferents ports seguint dues filosofies diferents:

  • emmagatzematge i reenviament (en anglès, store & forward)
  • travessant el commutador (en anglés, cut-through).

Els commutadors bàsicament funcionen com ponts multiport. Abans de retransmetre una trama fan una comprovació d’errors, recalculant el CRC (Cyclic redundancy check, codi de redundància cíclica) i comparant-lo amb el CRC emmagatzemat en la trama. Si en la comprovació d’errors és troben errades la trama es descarta; si els CRC coincideixen, la trama s’analitza per veure l’adreça MAC de destinació i poder-la reenviar pel port corresponent.

Per poder fer aquest procés de comprovació d’errors, el commutador s’ha d’esperar a rebre la trama sencera. Aquesta forma de funcionament dels commutadors es coneix com a emmagatzematge i reenviament.

Si no s’hagués de fer la comprovació d’errors, el temps de commutació es reduiria molt, ja que el commutador podria començar a retransmetre els primers bits de la trama a partir del moment d’haver rebut l’adreça MAC de destinació de la trama (no cal que el commutador esperi a rebre tota la trama sencera abans de començar la seva retransmissió). En aquest cas el commutador copia en el buffer únicament la informació suficient de la trama per poder llegir l’adreça MAC de destinació i així determinar a quin port s’han de reenviar les dades. L’adreça MAC de destinació es troba en els primers 6 bytes de la trama després del preàmbul. Aquest mode de funcionament del commutador es coneix com a funcionament travessant el commutador.

Metode-envio-trames.png
Exercici

Activitad relacionada amb el mètodes de reenviament de trames: trames

Administració de commutadors CISCO

En el cas dels dispositius Cisco, el sistema operatiu que corre sobre l’equipament és el Cisco IOS (internetwork operating system). Aquest sistema operatiu funciona en la majoria de dispositius Cisco (independentment del tipus d’equipament, commutadors, encaminadors, punts d’accés sense fil, etc.).

Per norma general, s’accedeix al sistema operatiu per mitjà d’una interfície de línia d’ordres o CLI (en anglès, command line interface). Depenent del tipus de dispositiu on estigui funcionant el Cisco IOS i la seva versió donarà accés a un tipus d’opcions i funcions o a d’altres.

El IOS està emmagatzemat dins del dispositiu com un fitxer dins de la memòria flaix. Aquesta memòria és no volàtil (el seu contingut no s’esborra cada vegada que s’apaga el dispositiu). Es poden descarregar versions més noves del sistema operatiu simplement descarregant el fitxer amb la nova versió del sistema i carregant aquest fitxer en el dispositiu. Els dispositius de connexió de xarxes (commutadors i encaminadors) no tenen cap pantalla per interactuar i tampoc no tenen una sortida per connectar un monitor, per tant, com hi podem treballar?

Els LEDs del commutador

Els switches Cisco Catalyst tenen diversos indicadors lluminosos LED d'estat. Pot usar els LED del switch per controlar ràpidament l'activitat i el rendiment del switch. Els diferents models i conjunts de característiques dels switches tenen diferents LED, i la ubicació d'aquests en el panell frontal del switch també pot variar.

El botó Mode s'utilitza per alternar entre l'estat del port, la manera dúplex del port, la velocitat del port i l'estat d'alimentació per Ethernet (PoE [si s'admet]) dels LED del port. A continuació, es descriu el propòsit dels indicadors LED i el significat dels colors:

Leds-switch.png


  • LED del sistema: mostra si el sistema rep alimentació i funciona correctament. Si el LED està apagat, significa que el sistema no està encès. Si el LED és de color verd, el sistema funciona normalment. Si el LED és de color ambre, el sistema rep alimentació però no funciona correctament.
  • LED del sistema d'alimentació redundant (RPS): mostra l'estat del RPS. Si el LED està apagat, el RPS està apagat o no es va connectar correctament. Si el LED és de color verd, el RPS està connectat i llest per proporcionar alimentació de respatller. Si el LED parpelleja i és de color verd, el RPS està connectat però no està disponible perquè està proporcionant alimentació a un altre dispositiu. Si el LED és de color ambre, el RPS està en manera de reserva o presenta una falla. Si el LED parpelleja i és de color ambre, la font d'alimentació interna del switch presenta una falla, i el RPS està proporcionant alimentació.
  • LED d'estat del port: quan el LED és de color verd, indica que es va seleccionar la manera d'estat del port. Aquest és la manera predeterminada. En seleccionar-ho, els indicadors LED del port mostren colors amb diferents significats. Si el LED està apagat, no hi ha enllaç, o el port estava administrativament inactiu. Si el LED és de color verd, hi ha un enllaç present. Si el LED parpelleja i és de color verd, hi ha activitat, i el port està enviant o rebent dades. Si el LED alterna entre verd i ambre, hi ha una falla a l'enllaç. Si el LED és de color ambre, el port està bloquejat per assegurar que no hi hagi un bucle en el domini de reexpedició i no reenvía dades (normalment, els ports romanen en aquest estat durant els primers 30 segons posteriors a la seva activació). Si el LED parpelleja i és de color ambre, el port està bloquejat per evitar un possible bucle en el domini de reexpedició.
  • LED de mode dúplex del port: quan el LED és de color verd, indica que es va seleccionar el mode dúplex del port. En seleccionar-ho, els LED del port que estan apagats estan en mode half-duplex. Si el LED del port és de color verd, el port està en mode full-duplex.
  • LED de velocitat del port: indica que es va seleccionar el mode de velocitat del port. En seleccionar-ho, els indicadors LED del port mostren colors amb diferents significats. Si el LED està apagat, el port funciona a 10 Mb/s. Si el LED és de color verd, el port funciona a 100 Mb/s. Si el LED parpelleja i és de color verd, el port funciona a 1000 Mb/s.
  • LED de mode d'alimentació per Ethernet: si s'admet alimentació per Ethernet, hi ha un LED de mode de PoE. Si el LED està apagat, indica que no es va seleccionar el mode d'alimentació per Ethernet, que a cap dels ports se li va negar el subministrament d'alimentació i cap presenta falles. Si el LED parpelleja i és de color ambre, no es va seleccionar el mode d'alimentació per Ethernet, però almenys a un dels ports se li va negar el subministrament d'alimentació o un d'ells presenta una falla d'alimentació per Ethernet. Si el LED és de color verd, indica que es va seleccionar el mode d'alimentació per Ethernet, i els LED del port mostren colors amb diferents significats. Si el LED del port està apagat, l'alimentació per Ethernet està desactivada. Si el LED del port és de color verd, l'alimentació per Ethernet està activada. Si el LED del port alterna entre verd i ambre, es nega l'alimentació per Ethernet, ja que, si se subministra energia al dispositiu alimentat, s'excedeix la capacitat d'alimentació del switch. Si el LED parpelleja i és de color ambre, l'alimentació per Ethernet està desactivada a causa d'una falla. Si el LED és de color ambre, es va inhabilitar l'alimentació per Ethernet per al port.

Seqüència d'arrencada d'un switch

Una vegada que s'encén el switch Cisco, duu a terme la següent seqüència d'arrencada:

  • 1. Primer, el switch carrega un programa d'autodiagnòstic en encendre (POST) emmagatzemat en la memòria ROM. El POST verifica el subsistema de la CPU. Aquest comprova la CPU, la memòria DRAM i la part del dispositiu flash que integra el sistema d'arxius flash.
  • 2. A continuació, el switch carrega el programari del carregador d'arrencada. El carregador d'arrencada és un petit programa emmagatzemat en la memòria ROM que s'executa immediatament després que el POST es completa correctament.
  • 3. El carregador d'arrencada duu a terme la inicialització de la CPU de baix nivell. Inicialitza els registres de la CPU, que controlen on està assignada la memòria física, la quantitat de memòria i la seva velocitat.
  • 4. El carregador d'arrencada inicia el sistema d'arxius flash en la placa del sistema.
  • 5. Finalment, el carregador d'arrencada situa i càrrega en la memòria una imatge del programari del sistema operatiu IOS predeterminat i li cedeix el control del switch al IOS.

El carregador d'arrencada busca la imatge de Cisco IOS en el switch de la següent manera: el switch intenta arrencar automàticament mitjançant la informació de la variable d'entorn BOOT. Si no s'estableix aquesta variable, el switch intenta carregar i executar el primer arxiu executable que pugues mitjançant una cerca recursiva i en profunditat en tot el sistema d'arxius flash. Quan es realitza una cerca en profunditat d'un directori, s'analitza per complet cada subdirectori que es troba abans de continuar la cerca en el directori original. En els switches de la sèrie Catalyst 2960, l'arxiu d'imatge generalment es troba en un directori que té el mateix nom que l'arxiu d'imatge (excepte l'extensió d'arxiu .bin).

Després, el sistema operatiu IOS inicia les interfícies mitjançant els comandos del IOS de Cisco que es troben en l'arxiu de configuració, startup-config, que està emmagatzemat en NVRAM.

En la il·lustració, la variable d'entorn BOOT s'estableix amb la comanda boot system del mode de configuració global. Observa que el IOS se situa en una carpeta diferent i que s'especifica la ruta de la carpeta. Usa la comanda show bootvar (show boot en versions anteriors de IOS) per veure la configuració actual de l'arxiu d'arrencada de IOS.

Switch-ios.jpg


Connexió per consola

Aquest port es comunica a través d’una connexió sèrie de baixa velocitat per connectar el port de consola del dispositiu de xarxa al port sèrie (port COM) de l’ordinador. Per connectar-se a través de la consola caldrà un programa de comunicació pel port sèrie de l’ordinador com minicom en sistemes GNU/Linux o hyperterminal en sistemes MS Windows.

Un cop l’aplicació està en marxa, només cal introduir-hi un nom adequat per guardar el tipus de connexió i configurar el port amb el qual s’ha fet la connexió entre el commutador i la vostra màquina.

  • Pas1: Introduir nom i el port per fer la connexió:
Hyper1.png
Hyper2.png

Un cop seleccionat correctament el port al qual teniu el commutador connectat, cal configurar el programa per tenir una comunicació correcta entre el commutador i la vostra màquina.

Penseu que una configuració incorrecta provocaria que les dues màquines no es pugessin entendre i, per tant, no veuríeu la pantalla de configuració del commutador, sinó només una pantalla en blanc en la qual no podríeu fer res. Si això passés, hauríeu d’aturar la connexió, tornar a configurar el programa adequadament i tornar a provar de fer la connexió.

  • Pas2: Introduir les dades de la connexió:
Hyper3.png

Treball amb el Cisco IOS

Una vegada heu accedit al sistema operatiu hi podeu treballar. El que veureu serà un pantalla semblant a la que es veu a continuació, amb el sistema esperant l’entrada d’ordres.

Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA4, RELEASE SOFTWARE(fc1)
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 18-May-05 22:31 by jharirba

Cisco WS-C2950T-24 (RC32300) processor (revision C0) with 21039K bytes of memory.
Processor board ID FHK0610Z0WC
Running Standard Image
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)

63488K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 0090.210C.4366
Motherboard assembly number: 73-5781-09 
Power supply part number: 34-0965-01
Motherboard serial number: FOC061004SZ
Power supply serial number: DAB0609127D
Model revision number: C0
Motherboard revision number: A0
Model number: WS-C2950T-24
System serial number: FHK0610Z0WC

Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA4, RELEASE SOFTWARE(fc1)
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Wed 18-May-05 22:31 by jharirba

Press RETURN to get started!

El sistema Cisco IOS està dissenyat com un sistema operatiu que té diferents modes de treball, des de cada mode es pot accedir a certes opcions i funcions del sistema operatiu.

Els diferents modes del IOS són:

  • Mode d’usuari: per veure l’estat del commutador.
  • Mode d’execució privilegiat: per configurar i administrar el commutador
  • Mode de configuració global: per configurar i administrar altres opcions del commutador.
  • Mode de configuració d’interfície: per configurar els ports del commutador.

Podeu veure un esquema de com es passa entre els diferents modes d’execució del Cisco IOS:

Esquema-config-ios.png

Mode usuari

És el primer al qual s’accedeix quan s’entra en la CLI del dispositiu Cisco. Aquest mode permet executar una sèrie limitada d’ordres bàsiques. La majoria d’aquestes ordres serveixen per visualitzar configuracions o estats del dispositiu, però no per modificar-les. No es permet canviar la configuració del dispositiu des del mode d’usuari.

Per defecte no cal cap contrasenya per accedir al dispositiu en mode usuari, encara que es pot configurar. Per saber que estem treballant en mode usuari, la CLI ens mostra el prompt amb el símbol >, per exemple:

 Switch> 

Ordres

Des del mode d’execució d’usuari podeu veure l’estat actual del commutador. L’ordre per veure l’estat del commutador és show, i les diferents opcions que té les podeu trobar en l’ajuda contextual de l’IOS introduint el caràcter ? després de l’ordre show:

Switch>show ?
  arp                Arp table
  cdp                CDP information
  clock              Display the system clock
  dtp                DTP information
  etherchannel       EtherChannel information
  flash:             display information about flash: file system
  history            Display the session command history
  interfaces         Interface status and configuration
  ip                 IP information
  mac-address-table  MAC forwarding table
  mls                Show MultiLayer Switching information
  privilege          Show current privilege level
  sessions           Information about Telnet connections
  tcp                Status of TCP connections
  terminal           Display terminal configuration parameters
  users              Display information about terminal lines
  version            System hardware and software status
  vlan               VTP VLAN status
  vtp                VTP information

Aquesta és l’explicació de les ordres més importants:

  • arp: mostra la taula ARP.
  • clock: mostra el rellotge del sistema.
  • flash: mostra el contingut de la memòria flaix.
  • history: mostra l’historial d’ordres del sistema.
  • interfaces: mostra l’estat i la configuració de les interfícies.
  • ip interface: es pot veure la configuració IP i l’estat de les interfícies.
  • version: dóna informació sobre el maquinari del commutador i la versió del sistema operatiu.
  • vlan: mostra la configuració de les xarxes locals virtuals (virtual LAN).
  • mac-address-table: mostra la taula d’adreces MAC del commutador. Per exemple:
Switch>show mac-address-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0060.2f98.0b6a    DYNAMIC     Fa0/1
   1    012a.eff7.ac5d    STATIC      Fa0/2
Switch>

Mode d’execució privilegiat

El mode d’execució privilegiat permet la configuració i administració del dispositiu. Per entrar en el mode privilegiat s’ha de fer servir l’ordre enable. Per saber que estem treballant en mode d’execució privilegiat, la CLI ens mostra el prompt amb el símbol #, per exemple:

Switch# 

Per sortir del mode privilegiat i tornar al mode d’execució d’usuari es fa servir l’ordre exit. Podeu veure aquí el procés d’entrada i sortida del mode d’execució privilegiat des del mode d’execució d’usuari.

Switch>enable
Switch#exit


Switch con0 is now available

Press RETURN to get started.



Switch>

Es pot configurar una contrasenya per accedir al mode d’execució privilegiat. Per entrar en la resta de modes d’execució, s’ha de fer des del mode d’execució privilegiat.

Ordres

Des del mode d’execució privilegiat podeu accedir a les ordres següents:

  • configure terminal. Entra en el mode de configuració global.
  • copy origen destinació. Serveix per copiar un fitxer en un altre. Si mireu les opcions de l’ordre amb el caràcter ?:
    • flash. Per copiar a/des la memòria flaix
    • ftp. Per copiar al/del servei d’FTP del sistema
    • running-config. Per copiar al/del fitxer de configuració en execució
    • startup-config. Per copiar al/del fitxer de configuració d’arrencada
    • tftp. Per copiar al/del servei de trivial FTP del sistema

Exemple:

copy running-config startup-config 

Si voleu podeu tenir diferents fitxers de configuració emmagatzemats en el sistema, només els heu de copiar amb diferents noms en la memòria flaix. Podeu veure un exemple de com es fa en la porció de codi següent:

Switch#copy running-config flash: 
Destination filename [running-config]? conf-commutador_central-sense_vlan.dat
Building configuration...
[OK]
Switch#
  • delete flash. Serveix per esborrar un fitxer de la memòria. Us demanarà el nom del fitxer a esborrar i la confirmació que el voleu esborrar.
  • dir. Mostra una llista dels fitxers en el sistema de fitxers que es troba en la memòria flaix.
  • exit. Surt de la CLI.
  • reload. Reinicia el commutador. Es torna a arrencar el commutador, es carrega de nou el Cisco IOS i es torna a aplicar el fitxer de configuració startup-config.
  • show. Permet veure l’estat i la configuració del commutador. En aquest cas, com que estem en el mode d’execució privilegiat podem visualitzar més coses que des del mode d’execució d’usuari.
    • access-lists. Mostra les llistes de control d’accés del commutador.
    • arp. Mostra la taula ARP del commutador.
    • mac-address-table. Mostra informació sobre el contingut de la taula d’adreces MAC del commutador.
    • port-security. Mostra informació sobre la seguretat dels ports del commutador.
    • running-config. Mostra el contingut del fitxer de configuració en execució del commutador (el fitxer running-config). Aquest és un exemple de fitxer de configuració:
commutador_central#show running-config 
Building configuration...

Current configuration : 1273 bytes
!
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname commutador_central
!
enable secret 5 $1$mERr$/Q/mbs3O9oHsKR7rNG4e81
enable password contrasenya1234
!
!
!
interface FastEthernet0/1
 switchport access vlan 2
 switchport mode access
 duplex full
 speed 100
!
interface FastEthernet0/2
 switchport access vlan 3
 switchport mode access
 duplex half
 speed 100
!
interface FastEthernet0/3
 switchport mode trunk
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface Vlan1
 no ip address
 shutdown
!
!
line con 0
!
line vty 0 4
 login
line vty 5 15
 login
!
!
end
  • spanning-tree. Mostra informació sobre el protocol STP (spanning tree protocol).
  • startup-config. Mostra el contingut del fitxer de configuració d’arrencada del commutador (el fitxer startup-config). L’estructura del fitxer de configuració d’arrencada és semblant a la del fitxer de configuració en execució.
  • vlan. Mostra informació sobre les VLAN (virtual local area network, o xarxa d’àrea local virtual) configurades en el commutador.
  • vtp. Mostra la informació sobre el protocol VTP (VLAN trunking protocol, o protocol d’enllaços troncals VLAN).
  • vlan. Serveix per configurar les xarxes d’àrea local virtuals en el commutador.

Mode de configuració global (configure terminal)

Des del mode de configuració global es pot accedir a les opcions de l’IOS per configurar gran part del commutador. I també es pot accedir a altres modes de configuració com, per exemple, el mode de configuració d’interfície. En aquesta secció de codi es pot veure com s’accedeix al mode de configuració global des del mode d’usuari i com se’n surt.

Switch>
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#exit
Switch#
%SYS-5-CONFIG_I: Configured from console by console

Switch#

Ordres

Per entrar en el mode de configuració global heu d’introduir l’ordre:

Switch#configure terminal 

des del mode d’execució privilegiat. Fixeu-vos que el prompt del CLI canvia a:

Switch(config)# 

Des del mode de configuració global es poden fer canvis sobre el funcionament del commutador. Des del mode de configuració global es pot entrar en altres modes de configuració específics (mode de configuració d’interfície, de línia, etc.). Aquestes són algunes de les ordres més importants del mode de configuració global:

  • access-list. Gestiona les llistes de control d’accés del commutador.
  • banner motd caràcter_sortida. Defineix un missatge motd (message of the day, missatge del dia) de benvinguda del commutador. Aquest missatge es mostra quan entrem per primera vegada en el commutador. Per exemple, en la porció de codi següent podeu veure com es defineix un missatge estàndard d’entrada al dispositiu. Juntament amb l’ordre especifiquem quin caràcter farem servir per indicar que s’acaba el missatge del dia, en aquest cas es fa servir el caràcter $.
commutador_central(config)#banner motd ?
  LINE  c banner-text c, where 'c' is a delimiting character
commutador_central(config)#banner motd $
Enter TEXT message.  End with the character '$'.
Commutador central. No feu modificacions si no esteu autoritzats. 
Demaneu la contrassenya al vostre administrador. 
$

commutador_central(config)#
  • hostname nom_dispositiu. Aquesta ordre serveix per canviar el nom del dispositiu. Aquest és el nom que es mostra en el prompt del CLI. Canviar el nom als dispositius és important, ja que penseu que els dispositius es poden configurar de manera remota amb sessions de Telnet. Un administrador podria ser en un ordinador amb sessions obertes amb diferents commutadors i encaminadors, els quals (si no se’n canvien els noms) tindran tots prompts idèntics. Aquí podeu veure un exemple de canvi de nom i com es modifica la línia del prompt.

Per anular els efectes de l’ordre hostname, es pot escriure l’ordre:

commutador_central(config)#no hostname 
Switch(config)#
  • interface nom_interficie. Serveix per entrar en el mode de configuració de la interfície. Per exemple, per configurar el primer port FastEthernet del commutador escriuríem en la CLI:
Switch(config)#interface FastEthernet 0/1 

Podeu consultar el nom de les diferent interfícies del dispositiu amb:

Switch(config)#show interfaces

Mode de configuració d'interfície

A banda del mode de configuració global, hi ha altres modes de configuració per configurar seccions concretes del commutador. El mode de configuració d’interfície és un d’aquests modes. Aquest mode permet configurar totes les característiques i opcions de cadascuna de les interfícies (ports) del commutador. S’accedeix al mode de configuració d’interfície des del mode de configuració global, especificant quina és la interfície que es vol configurar. Per exemple, per accedir a la configuració del port FastEthernet 0/1:

Switch(config)#interface FastEthernet 0/1
Switch(config-if)#

Fixeu-vos en tots els exemples com el prompt va canviant de manera que ens indica en quin mode de configuració del sistema operatiu ens trobem.

Ordres

Des del mode de configuració d’interfície podeu executar (entre d’altres) les ordres següent:

  • description o descripció: serveix per donar un text identificatiu a la interfície. És semblant a l’ordre hostname, però en aquest cas el nom l’assignem a un port i no al dispositiu sencer. La descripció de la interfície es pot veure en la que es mostra amb show interfaces, per exemple:
commutador_aula(config-if)#description Connexio amb encaminador
commutador_aula(config-if)#exit
commutador_aula(config)#exit
commutador_aula#
%SYS-5-CONFIG_I: Configured from console by console

commutador_aula#show interfaces FastEthernet 0/1
FastEthernet0/1 is down, line protocol is down (disabled)
  Hardware is Lance, address is 0010.115d.ab01 (bia 0010.115d.ab01)
  Description: Connexio amb encaminador
 BW 100000 Kbit, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s
  input flow-control is off, output flow-control is off
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:08, output 00:00:05, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue :0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     956 packets input, 193351 bytes, 0 no buffer
     Received 956 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     0 watchdog, 0 multicast, 0 pause input
     0 input packets with dribble condition detected

Fixeu-vos que la descripció de la interfície es troba en la tercera línia que es mostra amb l’ordre show interfaces.

  • duplex {full | half | auto}: permet configurar la interfície perquè funcioni en mode full-duplex, half-duplex o en mode automàtic.
  • mac-address o adreça MAC: permet indicar manualment l’adreça MAC de la interfície.
  • shutdown: deshabilita la interfície. Es pot tornar a habilitar amb no shutdown.
  • speed: permet configurar la velocitat del port. Algunes interfícies poden treballar a diferents velocitats. Per exemple, la majoria de ports FastEthernet permeten treballar tant a 10 Mbps com a 100 Mbps. També teniu l’opció de configurar la interfície per configurar la velocitat de treball de manera automàtica. En aquest cas, el port del commutador i el del dispositiu que hi està connectat escullen la velocitat de funcionament del port mitjançant un procés que es coneix com a autonegociació. A continuació podeu veure un exemple de les diferents velocitats que es poden especificar per la interfície Gigabit Ethernet.

Configuració de contrasenyes

L’IOS permet tenir diferents contrasenyes per a diferents nivells jeràrquics de seguretat al dispositiu. Les contrasenyes més importants són:

  • Contrasenya de consola. Limita l’accés al dispositiu des de la connexió de consola.
  • Enable password. Limita l’accés al mode d’execució privilegiat.
  • Contrasenya secreta d’enable. També limita l’accés al mode d’execució privilegiat, però en aquest cas la contrasenya està encriptada.
  • Contrasenya VTY. Limita l’accés mitjançant connexions Telnet.

Contrasenya de consola

Per canviar la contrasenya de consola s’han d’introduir les ordres següents des del mode de configuració global:

Switch(config)#line console 0
Switch(config-line)#password Contrasenya
Switch(config-line)# login

Si sortiu de la CLI amb l’ordre exit (potser l’heu d’introduir més d’una vegada) o reinicieu el commutador amb l’ordre reload, veureu que us demanarà la contrasenya quan intenteu accedir a la CLI.

Contrasenyes del mode d'execució privilegiat

Aquestes contrasenyes serveixen per limitar l’accés no autoritzat al mode d’execució privilegiat, per això també se les coneix com a contrasenyes enable. Hi ha dues contrasenyes per restringir l’accés al mode d’execució privilegiat: enable password i enable secret. La diferència entre elles és que enable secret xifra la contrasenya, mentre que enable password no. Per aquest motiu és preferible fer servir enable secret quan sigui possible (en alguns dispositius antics no està disponible enable secret).

Switch(config)#enable password contrasenya 
Switch(config)#enable secret contrasenya

Xifratge de les contrasenyes Podem configurar que les contrasenyes estiguin encriptades en els fitxers de configuració, tant si són contrasenyes secret com password. Per fer-ho hi ha l’ordre service password-encryption del mode de configuració global, que dóna un servei d’encriptació de les contrasenyes no encriptades. Una vegada executades, les contrasenyes es mostren encriptades en els fitxers de configuració.

Restablir la contrasenya

Què passa si l’administrador no recorda la contrasenya d’entrada al dispositiu? Els commutadors disposen d’un mètode per restablir les contrasenyes. A continuació veurem el procés de recuperació per a un commutador de la sèrie 2950. S’han de seguir els passos següents:

  • Connexió física mitjantçant cable consola al dispositiu
  • Connectar-se amb hyperterminal
  • Desconnectar el commutador del corrent elèctric.
  • Connectar el commutador al corrent elèctric de nou. S’ha de prémer el botó Mode, que és en la part esquerra del frontal del commutador, mentre es torna a endollar el commutador al corrent.
  • S’ha de deixar anar el botó Mode cinc segons després que el LED d’estat (STAT) s’apagui. Quan deixem anar el botó Mode el LED SYST parpelleja en taronja.
  • Això mostrarà el prompt
switch:
  • Inicialitzem el sistema d’arxius flaix amb flash_init:
switch: flash_init
Initializing Flash...
flashfs[0]: 143 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 3612672
flashfs[0]: Bytes used: 2729472
flashfs[0]: Bytes available: 883200
flashfs[0]: flashfs fsck took 86 seconds
....done Initializing Flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
Parameter Block Filesystem (pb:) installed, fsid: 4
switch:
  • Carreguem els fitxers d’ajuda amb load_helper.
  • Mirem el contingut de la flaix amb dir flash:.
Switch#dir flash:
Directory of flash:/

    1  -rwx     3058048          <no date>  c2950-i6q4l2-mz.121-22.EA4.bin
    2  -rwx         616          <no date>  vlan.dat
    3  -rwx        5825          <no date>  config.text

64016384 bytes total (60956603 bytes free)
  • Canviem el fitxer de configuració per config.text.old rename flash:config.text flash:config.text.old.
  • Reiniciem el commutador amb l’ordre boot:
switch: boot
Loading "flash:c2950-i6q4l2-mz.121-22.EA4.bin"...###############################
################################################################################
######################################################################
File "flash:c2950-i6q4l2-mz.121-22.EA4.bin" uncompressed and installed, entry po
int: 0x3000
executing...
  • Ens demanarà si volem fer servir el diàleg de configuració, escollim l’opció No.
  • Entrem en el mode d’execució privilegiat i tornem a anomenar el fitxer de configuració amb el seu nom original:
Switch>enable
Switch#rename flash:config.text.old flash:config.text
Destination filename [config.text] 
  • Posem el fitxer de configuració com a configuració en execució amb copy flash:config.text running-config.
Switch#copy flash: running-config 
Source filename []? config.text
Destination filename [running-config]? 

1117 bytes copied in 0.416 secs (2685 bytes/sec)
Switch#
  • Ara ja podem restablir les contrasenyes que vulguem i, després, desar la configuració:
Switch# configure terminal
Switch(config)#enable secret contrasenya_secret
Switch(config)#enable password contrasenya_password
Switch(config)#line vty 0 4
Switch(config-line)#password contrasenya_vty
Switch(config-line)#login
Switch#copy running-config startup-config
  • Finalment reiniciem el commutador amb reload.

AUTO-MDIX (Medium Dependent Interface Crossover)

Fins fa poc, es requerien determinats tipus de cable (croat o directe) per connectar dispositius. Les connexions switch a switch o switch a router requerien l'ús de diferents cables Ethernet. Mitjançant l'ús de la característica automàtica de connexió creuada d'interfície depenent del mitjà (acte-MDIX) en una interfície, s'elimina aquest problema. En habilitar la característica acte-MDIX, la interfície detecta automàticament el tipus de connexió de cable requerit (directe o croat) i configura la connexió conforme a aquesta informació. En connectar-se als switches sense la característica acte-MDIX, s'han d'usar cables directes per connectar-se a dispositius com a servidors, estacions de treball o routers, i cables creuats per connectar-se a altres switches o repetidors.

Amb la característica acte-MDIX habilitada, es pot usar qualsevol tipus de cable per connectar-se a altres dispositius, i la interfície s'ajusta de manera automàtica per proporcionar comunicacions satisfactòries.

Mdix1.png
Mdix2.png

Problemes de la capa d'accés a la xarxa

El resultat de la comanda show interfaces es pot usar per detectar problemes freqüents dels mitjans. Una de les parts més importants d'aquest resultat és la visualització de l'estat del protocol de línia i d'enllaç de dades.

Problemes-interfaces.png

El primer paràmetre (FastEthernet0/1 is up) es refereix a la capa de maquinari i, bàsicament, reflecteix si la interfície rep el senyal de detecció de portadora de l'altre extrem. El segon paràmetre (line protocol is up) es refereix a la capa d'enllaç de dades i reflecteix si es reben els keepalives del protocol de capa d'enllaç de dades.

Exemple del resultat de la comanda show interfaces. En l'exemple, es mostren els comptadors i les estadístiques de la interfície FastEthernet0/1.

Problemes-interfaces2.png

Alguns errors de mitjans no són prou greus per provocar una falla en el circuit, però sí provoquen problemes en el rendiment de la xarxa.

Problemes-interfaces3.png

La majoria dels problemes que afecten a les xarxes commutades es produeix durant la implementació inicial. En teoria, una vegada instal·lades, les xarxes continuen funcionant sense problemes. No obstant això, els cables es danyen, la configuració canvia, i es connecten al switch nous dispositius que requereixen canvis de configuració en est. Es requereix el manteniment i la resolució de problemes d'infraestructura de la xarxa de forma permanent.

Per poder resoldre aquests problemes, si no compta amb una connexió o té una connexió defectuosa entre un switch i un altre dispositiu, segueixi aquest procés general:

Problemes-interfaces4.png

Seguretat bàsica del switch

La seguretat bàsica del switch no evita els atacs malintencionats. La seguretat és un procés en capes que, bàsicament, mai està complet. Com més conscient sigui l'equip de professionals de xarxes d'una organització sobre els atacs de seguretat i els perills que presenten, millor.

Atacs CDP

El protocol de descobriment de Cisco (CDP, Cisco Discovery Protocol) és un protocol propietat de Cisco que pot configurar-se en tots els dispositius de Cisco. CDP detecta altres dispositius de Cisco connectats directament, la qual cosa permet que els dispositius configurin la seva connexió de forma automàtica. En alguns casos, això simplifica la configuració i la connectivitat.

De manera predeterminada, la majoria dels routers i switches Cisco posseeixen CDP habilitat en tots els ports. La informació de CDP s'envia en difusions periòdiques sense xifrar. Aquesta informació s'actualitza localment en la base de dades de CDP de cada dispositiu. A causa que CDP és un protocol de capa 2, els routers no propaguen els missatges CDP.

CDP conté informació sobre el dispositiu, com l'adreça IP, la versió de programari del IOS, la plataforma, les capacitats i la VLAN nativa. Els atacants poden usar aquesta informació per trobar la forma d'atacar la xarxa, generalment mitjançant atacs per denegació de servei (DOS).

Es recomana inhabilitar l'ús de CDP en els dispositius o els ports que no necessiten usar-ho mitjançant el comando no cdp run de la manera de configuració global. CDP es pot inhabilitar per port.

Atac-cdp.png

Deshabilitar ports en desús

Un mètode simple que molts administradors usen per contribuir a la seguretat de la xarxa davant accessos no autoritzats és inhabilitar tots els ports del switch que no s'utilitzen. Per exemple, si un switch Catalyst 2960 té 24 ports i hi ha tres connexions Fast Ethernet en ús, és aconsellable inhabilitar els 21 ports que no s'utilitzen. Navega fins a tots els ports que no s'utilitzen i executa la comanda shutdown de Cisco IOS. Si més endavant s'ha de reactivar un port, aquest es pot habilitar amb el comando no shutdown.

Atac-ports.png

Realitzar canvis de configuració a diversos ports d'un switch és senzill. Si s'ha de configurar un rang de ports, usa la comanda interface range.

Switch(config)# interface range escrigui el mòdul/primer-nombre – últim-nombre

El procés d'habilitació i inhabilitació de ports pot portar molt temps, però millora la seguretat de la xarxa i val la pena l'esforç.

Snooping de DHCP

El snooping DHCP és una funció que determina quins són els ports de switch que poden respondre a sol·licituds de DHCP. Els ports s'identifiquen com confiables o no confiables. Els ports confiables poden rebre tots els missatges de DHCP, inclosos els paquets d'oferta de DHCP i de justificant de recepció de DHCP; els ports no confiables solament poden rebre sol·licituds. Els ports confiables dels hosts s'allotgen en el servidor de DHCP o poden ser un enllaç cap a aquest servidor. Si un dispositiu no autoritzat en un port no confiable intenta enviar un paquet d'oferta de DHCP a la xarxa, el port es desactiva. Aquesta funció pot unir-se amb les opcions de DHCP on la informació del switch, com l'ID de port o la sol·licitud de DHCP poden inserir-se en el paquet de sol·licituds de DHCP.

Els ports no confiables són aquells que no estan configurats explícitament com confiables. Es construeix una taula enllaçada de DHCP per als ports no confiables. Cada entrada conté una adreça MAC client, una adreça IP, un temps d'arrendament, un nombre de VLAN i una ID de port registrats com a clients que realitzen sol·licituds de DHCP. S'utilitza llavors la taula per filtrar el tràfic de DHCP subsegüent. Des de la perspectiva de la detecció de DHCP, els ports d'accés no confiables no han d'enviar missatges de servidor de DHCP.

Atac-dhcp.png

Aquests passos descriuen la forma en què es configura la detecció de DHCP en un switch Catalyst 2960:

  • Pas 1. Habilita la detecció de DHCP mitjançant la comanda ip dhcp snooping de la manera de configuració global.
  • Pas 2. Habilita la detecció de DHCP per VLAN específiques mitjançant la comanda ip dhcp snooping vlan numero.
  • Pas 3. Defineix els ports com confiables en el nivell de la interfície mitjançant la identificació dels ports confiables amb la comanda ip dhcp snooping trust.
  • Pas 4. (Optatiu) Limita la velocitat a la qual un atacant pot enviar sol·licituds de DHCP falses de manera contínua a través de ports no confiables al servidor de DHCP mitjançant la comanda ip dhcp snooping limit rate velocitat.
Atac-dhcp2.png

Seguretat de ports

Una forma de protegir els ports és mitjançant la implementació d'una característica denominada “seguretat de ports”. La seguretat de port limita la quantitat d'adreces MAC vàlides permeses en el port. Es permet l'accés a les adreces MAC dels dispositius legítims, mentre que altres adreces MAC es rebutgen.

Si es configura un port com a segur i s'aconsegueix la quantitat màxima d'adreces MAC, qualsevol intent addicional de connexió de les adreces MAC desconegudes genera una violació de seguretat.

Atac-seg-port.png

Tipus d'adreces MAC segures

Existeixen diverses maneres de configurar la seguretat de port. El tipus d'adreça segura es basa en la configuració i inclou el següent:

  • Adreces MAC segures estàtiques: són adreces MAC que es configuren manualment en un port mitjançant el comando switchport port-security mac-address adreça-mac de la manera de configuració d'interfície. Les adreces MAC configurades d'aquesta forma s'emmagatzemen en la taula d'adreces i s'agreguen a la configuració en execució del switch.
  • Adreces MAC segures dinàmiques: són adreces MAC detectades dinàmicament i s'emmagatzemen solament en la taula d'adreces. Les adreces MAC configurades d'aquesta manera s'eliminen quan el switch es reinicia.
  • Adreces MAC segures persistents: són adreces MAC que poden detectar-se de forma dinàmica o configurar-se de forma manual, i que després s'emmagatzemen en la taula d'adreces i s'agreguen a la configuració en execució.

Adreces MAC segures persistents

Per configurar una interfície a fi de convertir les adreces MAC detectades dinàmicament en adreces MAC segures persistents i agregar-les a la configuració en execució, has d'habilitar l'aprenentatge per persistència. L'aprenentatge per persistència s'habilita en una interfície mitjançant la comanda switchport port-security mac-address sticky del mode de configuració d'interfície.

Quan s'introdueix aquesta comanda, el switch converteix totes les adreces MAC detectades dinàmicament en adreces MAC segures persistents, fins i tot les que es van detectar dinàmicament abans que s'habilités l'aprenentatge per persistència. Totes les adreces MAC segures persistents s'agreguen a la taula d'adreces i a la configuració en execució.

Si es guarden les adreces MAC segures persistents en l'arxiu de configuració d'inici, quan el switch es reinicia o la interfície es desactiva, la interfície no necessita tornar a aprendre les adreces. Si no es guarden les adreces segures persistents, aquestes es perden.

Atac-seg-port2.png

Observa que la característica de seguretat de ports no funciona fins que s'habilita la seguretat de ports en la interfície mitjançant el comando switchport port-security.

Modes de violació de seguretat

Existeix una violació de seguretat quan es produeix qualsevol d'aquestes situacions:

  • Es va agregar la quantitat màxima d'adreces MAC segures a la taula d'adreces per a aquesta interfície, i una estació l'adreça de la qual MAC no figura en la taula d'adreces intenta accedir a la interfície.
  • Una adreça apresa o configurada en una interfície segura pot veure's en una altra interfície segura de la mateixa VLAN.

Es pot configurar una interfície per a un de tres modes de violació, amb l'acció específica que s'ha de realitzar si es produeix una violació. La figura mostra els tipus de tràfics de dades que s'envien quan es configura en el port un de les següents maneres de violació de seguretat.

Atac-viol-seg.png

Per canviar la manera de violació en un port de switch, usi el comando de la manera de configuració d'interfície switchport port-security violation {protect | restrict | shutdown}.

  • Protect (Protegir): quan la quantitat d'adreces MAC segures aconsegueix el límit permès per al port, els paquets amb adreces d'origen desconegudes es descarten fins que s'elimini una quantitat suficient d'adreces MAC segures o s'augmenti la quantitat màxima d'adreces permeses. No hi ha cap notificació que es va produir una violació de seguretat.
  • Restrict (Restringir): quan la quantitat d'adreces MAC segures aconsegueix el límit permès per al port, els paquets amb adreces d'origen desconegudes es descarten fins que s'elimini una quantitat suficient d'adreces MAC segures o s'augmenti la quantitat màxima d'adreces permeses. En aquesta manera, hi ha una notificació que es va produir una violació de seguretat.
  • Shutdown (Desactivar): en aquesta manera de violació (predeterminat), una violació de seguretat de port produeix que la interfície s'inhabiliti immediatament per errors i que s'apagui el LED del port. Augmenta el comptador de violacions. Quan hi ha un port segur en estat inhabilitat per errors, l'hi pot treure d'aquest estat mitjançant la introducció dels comandos shutdown i no shutdown de la manera de configuració d'interfície.
Exercici
Fes l'activitat de cisco per classificar diferents tipus d'atacs:Atacs

Bibliografia/Webgrafia