Por el puerto serie nos conectamos a la consola
console>enable console#delete startup-config console#reload
console>enable console#configure console(config)# ip address <dirección ip> <máscara> console(config)# ip default-gateway <ip gateway> console(config)# ip name-server <ip servidor dns1> console(config)# ip name-server <ip servidor dns2>
console(config)# sntp server <ip servidor tiempo> console(config)# sntp unicast client enable console(config)# sntp unicast client poll console(config)# clock source sntp
(config)#username <usuario> password ******** level 15
console(config#no username xxxx
console(config)#aaa authentication login default line console(config)#aaa authentication enable default line console(config)#line console console(config-line)#login authentication default console(config-line)#enable authentication default console(config-line)#password *******
console(config)#aaa authentication login default line console(config)#aaa authentication enable default line console(config)#line telnet console(config-line)#login authentication default console(config-line)#enable authentication default console(config-line)#password *******
console(config)#ip http authentication local
console(config)#ip https authentication local
console(config)#crypto certificate 1 generate console(crpto-generate)# key generate exit console(config)# crypto key generate dsa console(config)# crypto key generate rsa exit
Una vez generado el certificado podemos habilitar el acceso seguro por ssh y por https
console(config)# ip ssh server console(config)# ip ssh pubkey-auth console(config)# ip https server
Por defecto el servicio SSH está deshabilitado y sólo podemos acceder por Telnet y por web. Para habilitar el servicio SSH tenemos que ejecutar los siguientes comandos desde una conexión por Telnet o desde consola
console> enable console> configure console(config)> crypto key generate rsa The SSH service is generating a private RSA key. This may take a few minutes, depending on the key size. .............. console(config)>crypto key generate dsa DSA key generation started, this may take a few minutes........... console(config)> ip ssh server
console(config)#ip telnet server disable
Una vez creadas la claves rsa y dsa habilitamos el servidor https
console(config)#ip https server
después ya podemos deshabilitar el servidor http sin autentificar
console(config)#no ip http server
console(config)#username admin password <contraseña>
.
console>copy running-config startup-config
console(config)# show running-config console(config)# show startup-config
Los enlaces tipo lag o lacp conectan varios puertos como si fueran uno sólo. Se usan para aumentar el ancho de banda y para tener redundancia de enlaces.
Básicamente es lo mismo LAG que LACP, pero es preferible usar lacp ya que estos enlaces negocian entre si para evitar que se produzcan loops y responden más rápido y mejor ante la caida de uno de los enlaces del agregado.
console>enable console>config console(config)#interface range ethernet 1/g45-1/g48 console(config)#channel-group <número> mode on
console>enable console>config console(config)#interface range ethernet 1/g45-1/g48 console(config)#channel-group <número> mode auto
El número del channel-group puede ser cualquiera entre 1 y el máximo depende del modelo
DHCP snooping es una funcionalidad de seguridad disponible en los switches.
Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.
Portfast sólo debe ser configurado en los puertos donde se conectan las PCs, Servidores con una sola tarjeta de red, teléfonos IP o routers. No se debe de configurar un puerto que este conectado un Switch, un bridge o un Hub.
Portfast está desactivado por defecto en los puertos del switch. Para habilitarlo debemos estar en la configuracion de puerto y realizarlo de la siguiente manera.
switch # configure switch(config)# vlan database switch(config-vlan)# vlan 101-102, 210 switch(config-vlan)# exit
switch> enable switch # show vlan
switch(config)# interface Ethernet 1/g1 switch(config)# switchport access vlan 101 switch(config-if-1/g1)# gvrp enable switch(config-if-1/g1)# exit
“GVRP enable” sets the port to dynamically register and de-register VLAN membership information with the MAC networking switches attached to the same segment:
En modo Trunk todo el tráfico es trasmitido con su etiqueta de vlan en las vlans seleccionadas. Todo el tráfico debe ser tageado en dichas vlans o es descartado. El modo General es más flexible ya que un puerto en dicho modo puede trasmitir paquetes tagged o untagged en las vlans seleccionadas. El tráfico entrante también puede estar tagged o untagged. El PVID establece la vlan de donde vienen los paquetes untagged.
console>enable console>config console(config)#interface range ethernet 1/g45-1/g48 console(config)#switchport mode truk console(config)#switchport trunk allowed vlan add 2,3,117
enable configure interface range ethernet 1/g1-1/g48 switchport mode general switchport general pvid 1 no switchport general acceptable-frame-type tagged-only
int range ethernet 1/g1-1/g44 switchport access vlan id_vlan exit
Los switch 62xx no soportan vlan nativas en el modo truck. Para solucionarlo hay que usar el modo general de la siguiente manera
interface ethernet 1/e48 switchport mode general switchport general pvid 2000 no switchport general acceptable-frame-type tagged-only switchport general allowed vlan add 2000 switchport general allowed vlan add 193,209,225,241 tagged switchport general allowed vlan remove 1 exit
Para redireccionar las peticiones al servidor de DHCP desde una vlan necesitamos definir por cada vlan a reeenviar la dirección del servidor dhcp ocn ip-helper Ejemplo para redireccionarlo a dos servidores DHCP :
console#config console(config)#ip helper-address ipservidordhcp1 dhcp console(config)#ip helper-address ipservidordhcp2 dhcp
Además también hace falta definir un ‘dhcp l2relay’ en todos los interfaces asignaos a esa vlan que necesiten dhcp
Ejemplo
dhcp l2relay dhcp l2relay vlan 10-40 interface vlan 20 routing ip address 192.168.20.1 255.255.255.0 ip helper-address 192.168.1.10 exit ! interface ethernet 1/g5 switchport mode access switchport access vlan 20 dhcp l2relay exit ! interface ethernet 1/g6 switchport mode access switchport access vlan 20 dhcp l2relay exit
DHCP snooping es una funcionalidad de seguridad disponible en los switches.
Su principal cometido es prevenir que un servidor dhcp no autorizado entre en nuestra red.
Portfast sólo debe ser configurado en los puertos donde se conectan las PCs, Servidores con una sola tarjeta de red, teléfonos IP o routers. No se debe de configurar un puerto que este conectado un Switch, un bridge o un Hub.
Portfast está desactivado por defecto en los puertos del switch. Para habilitarlo debemos estar en la configuracion de puerto y realizarlo de la siguiente manera.
Haibilitar IGMP snooping
ip igmp snooping