Ir al contenido

Entradas etiquetadas como ‘configuraciones’

23
ene

Ruteo entre VLANs: con switch L3

Hasta ahora hemos tratado en un primer post las formas de realizar ruteo entre VLANs y luego vimos el caso de router on-a-stick. En esta oportunidad analizaremos el ruteo entre VLANs utilizando un switch de capa 3, ejemplificando la configuración con equipos Cisco. Nos valdremos de la siguiente topología:

routing-swl3-ex

Las tareas a realizar son las siguientes:

  • En el Sw2960:
    • Configurar el puerto que lo conecta al switch de capa 3 como trunk.
    • Enviar las VLANs deseadas por el trunk.
  • En el Sw3560:
    • Configurar las direcciones IP en cada VLAN.
    • Configurar el puerto que lo conecta al switch de capa 2 como trunk.
    • Enviar las VLANs deseadas por el trunk.

A continuación se pueden ver los comandos para configurar ambos equipos:

Sw2960(config)#interface fastEthernet 0/1
Sw2960(config-if)#switchport mode trunk
Sw2960(config-if)#switchport trunk allowed vlan 2,3,4,5

Sw3560(config)#interface vlan 2
Sw3560(config-if)#ip address 192.168.2.1 255.255.255.0
Sw3560(config-if)#exit
Sw3560(config)#interface vlan 3
Sw3560(config-if)#ip address 192.168.3.1 255.255.255.0
Sw3560(config-if)#exit
Sw3560(config)#interface vlan 4
Sw3560(config-if)#ip address 192.168.4.1 255.255.255.0
Sw3560(config-if)#exit
Sw3560(config)#interface vlan 5
Sw3560(config-if)#ip address 192.168.5.1 255.255.255.0
Sw3560(config-if)#exit
Sw3560(config)#interface fastEthernet 0/1
Sw3560(config-if)#switchport mode trunk
Sw3560(config-if)#switchport trunk allowed vlan 2,3,4,5
20
ene

Ruteo entre VLANs: router-on-a-stick

En un post anterior hemos visto las formas de realizar ruteo entre VLANs. En esta oportunidad analizaremos uno de ellos, el de router on-a-stick. La idea es ver cómo se configura en equipos Cisco. Utilizaremos para ello la topología del siguiente diagrama:

routing-on-a-stick-ex

Las tareas a realizar son las siguientes:

  • En el switch:
    • Configurar el puerto que lo conecta al router como trunk.
    • Enviar las VLANs deseadas por el trunk.
  • En el router:
    • Levantar la interfaz que se conecta al switch.
    • Configurar tantas subinterfaces como VLANs se deseen rutear (una por VLAN). El identificador de cada subinterfaz puede ser cualquiera, pero se recomienda que coincida con el ID de la VLAN para que sirva de autodocumentación.

A continuación se pueden ver los comandos para configurar ambos equipos:

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 2,3,4,5
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.3
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.3.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.4
Router(config-subif)#encapsulation dot1Q 4
Router(config-subif)#ip address 192.168.4.1 255.255.255.0
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.5
Router(config-subif)#encapsulation dot1Q 5
Router(config-subif)#ip address 192.168.5.1 255.255.255.0
Router(config-subif)#exit

3
ene

Configer.net: archivos de configuración en la web

Un sitio de muy reciente aparición denominado Configer.net pretende recopilar grandes cantidades de archivos de configuración de todo tipo de software de manera que sirva de referencia para cualquiera que pueda necesitarlo. Sabemos que es muy común compartir archivos de configuración dependiendo de cómo queremos que se comporte un software, del hardware que tengamos y muchas cosas más. Por tal motivo, el proyecto suena interesante. Será bueno ver si tiene éxito la idea.

26
nov

Seguridad de puerto en switches Cisco

Con el objetivo de incrementar la seguridad en una red LAN es posible implementar seguridad de puertos en los switches de capa de acceso, de manera de permitir que a cada puerto se conecte sólo la estación autorizada. Para ello, Cisco provee port security, un mecanismo bastante potente y sencillo que resumiré a continuación.

Dirección MAC segura estática
  • Se configura manualmente.
  • Se agrega a la tabla de direcciones MAC.
  • Se guarda en la running-config.
  • Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address DIRECCION-MAC

Dirección MAC segura dinámica
  • Se aprende del tráfico que atraviesa la interfaz.
  • Se la guarda en la tabla de direcciones MAC.
  • Se pierde cuando se reinicia el equipo.

SwA(config-if)# switchport port-security

Dirección MAC segura sticky
  • Se la puede configurar de forma manual o dinámica.
  • Se la guarda en la tabla de direcciones MAC.
  • Se almacena en la running-config.
  • Se puede hacer permanente guardando la configuración.

SwA(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

La principal ventaja de las direcciones sticky en contraposición con las dinámicas es que éstas últimas se agregan a la running-config. Así nos evitamos escribir un montón de direcciones MAC de manera estática pero aún podemos guardarlas en el archivo de configuración de manera que se mantengan inclusive si el switch se reinicia.

Dos aspectos importantes a tener en cuenta:

  • Si se habilitan las direcciones MAC sticky y ya había direcciones aprendidas de forma dinámica, éstas pasan a la running-config y todas las nuevas que se aprendan también se agregan allí.
  • Si se deshabilitan las direcciones MAC sticky todas las que hubiera pasan a ser dinámicas y se borran de la running-config. Además, todas las que se aprendan también serán dinámicas.

Acciones a tomar si se produce una violación

Es importante tener en cuenta que por violación se entiende uno de los siguientes dos casos:

  • Se alcanzó la cantidad máxima de direcciones MAC permitidas.
  • Una dirección MAC que se aprendió en un puerto se aprende por otro puerto diferente.

Los modos en los que se puede establecer un puerto para decidir qué acción tomar en el caso de una violación son, entonces:

  • Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
  • Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
  • Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
  • Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Configuración

Para configurar port-security es importante saber que la interfaz debe estar en modo access o en modo trunk. Port-security no puede habilitarse en una interfaz que esté en modo dinámico.

  • Habilitar port-security.

SwA(config-if)# switchport port-security

  • Indicar que sólo se permite una MAC por interfaz.

SwA(config-if)# switchport port-security maximum 1

  • Configurar el modo restrict para cuando ocurra una violación del puerto.

SwA(config-if)# switchport port-security violation restrict

  • Configurar el aprendizaje de direcciones MAC sticky.

SwA(config-if)# switchport port-security mac-address sticky

  • O bien especificar una MAC de forma estática.

SwA(config-if)# switchport port-security mac-address 5400.0000.0001

  • Chequear el estado de port-security.

SwA# show port-security

26
oct

Configurar un Etherchannel en Cisco

Un Etherchannel es un tipo especial de interfaz que agrupa varios puertos físicos en un único puerto lógico. De esta manera es posible armar uplinks con mayor capacidad que la provista por los puertos individuales. Por ejemplo, en la siguiente topología:

etherchannel-topology

Podría aprovecharse allí la redundancia para en lugar de tener dos enlaces a 1 gigabit (de los cuáles sólo uno funcionará si utilizamos STP) tengamos un único enlace lógico a 2 gigabits. En este punto es preciso saber que un etherchannel puede configurarse de modo estático o de modo dinámico. El segundo caso nos provee además redundancia, ya que si uno de los enlaces se cae el etherchannel continúa funcionando con un ancho de banda menor. Para configurarlo de esta manera:

SWA(config)#interface range gigabitEthernet 0/1 -gigabitEthernet 0/2
SWA(config-if-range)#channel-group 1 mode desirable
SWA(config-if-range)#end

SWB(config)#interface range gigabitEthernet 0/1 -gigabitEthernet 0/2
SWB(config-if-range)#channel-group 1 mode desirable
SWB(config-if-range)#end

SWA#show etherchannel

Channel-group listing:
----------------------
Group: 1
----------
Group state = L2
Ports: 2 Maxports = 8
Port-channels: 1 Max Portchannels = 1
Protocol: PAGP

SWA#show etherchannel 1 summary
Flags: D - down P - in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator
u - unsuitable for bundling
w - waiting to be aggregated
d - default port

Number of channel-groups in use: 1
Number of aggregators: 1

Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------
1 Po1(SD) PAgP Gi0/1(D) Gi0/2(D)

« Entradas antiguas
Nuevas entradas »