Vous êtes sur la page 1sur 6

Switch#show clock Switch#clock set 09:15:00 16 january 2012 (HORA, DA, MES Y AO)

switch#show mac-address-table Switch(config)#interface fastethernet 0/1 (la interface 0/1 es la primera) Switch(config)#interface range f0/1-5 (as configuramos a la vez varios puertos, en este caso del f0/1 al f0/5)

Switch(config-if)#duplex ? auto Enable AUTO duplex configuration full Force full duplex operation half Force half-duplex operation Para configurar el puerto en manual, automtico, full o half. Switch(config-if)#speed ? 10 Force 10 Mbps operation 100 Force 100 Mbps operation auto Enable AUTO speed configuration Para configurar velocidad del puerto.

Switch(config)#interface vlan1 (puerto virtual que agrupa todos los puertos) Switch(config-if)#ip address 192.168.1.10 255.255.255.0 (damos una ip para poder conectarnos por telnet, la ip real, en rango y no repetida) Switch(config-if)#no shutdown (activamos la int virtual para poder conectarnos) RECORDAR: SI NO PONEMOS PASSWORD A LINE VTY POR SEGURIDAD NO PERMITE CONEXIN TELNET

Para entrar en switch y cambiar contraseas cuando no las sabemos: 1 - Entramos en la ROMMON presionando el botn MODE (en la parte frontal del switch) mientras arranca durante unos 15 segundos (el LED de SYST parpadea en naranja) 2 - switch:flash_init

3 - switch:dir flash (config.text - en este archivo estn las claves) 4 - switch:rename flash:config.text flash:nuevonombre.text (as renombramos el fichero para que no lo lea durante el arranque) 5 - switch:boot (para reiniciar) 6 - Al reiniciar NO entramos en el modo setup 7 - switch>enable 8 - switch#rename flash:nuevonombre.text flash:config.text (volvemos a poner nombre predeterminado) 9 - switch#copy flash:config.text system:running-config (para copiar del start al run) 10 - AHORA CAMBIAMOS CONTRASEA Y GUARDAMOS CONFIGURACIN.

Para activar SSH: S1#ip domain-name midominio.com (asignamos nombre de dominio para poder cifrar en base a ese nombre, puede ser falso) S1#crypto key generate rsa (genera certificado con sus 2 claves. A partir de aqu ya podramos conectarnos por SSH... NO) S1#ip ssh version 2 (activar ssh nivel 2) S1(config)#line vty 0 15 S1(config-line)#transport input SSH (de esta forma slo te puedes conectar por SSH, no por telnet) S1(config-line)#transport input all (para conectarse de cualquier forma, vamos, para anular el comando anterior) S1(config)#username nombreusuario password contrasea (para poder usar ssh hay que crear usuario con contrasea) S1(config-line)#login local (al conectarte por ssh te pide la contrasea de usuario en lugar de la de telnet) La IOS tiene que tener nomenclatura K-9 para poder hacer cifrado, sino, no se puede. Hay que poner clave en vty (y el login) y el enable secret para que funcione. En ocasiones el switch necesita una puerta de enlace: S1(config)#ip defalut-gateway x.x.x.x

Activar DHCP snooping:

Paso 1. Habilitar el snooping de DHCP mediante el comando de configuracin global ip dhcp snooping. Paso 2. Habilitar el snooping de DHCP para VLAN especficas mediante el comando ip dhcp snooping vlan number [nmero]. Paso 3. Definir los puertos como confiables o no confiables a nivel de interfaz identificando los puertos confiables mediante el comando ip dhcp snooping trust. Paso 4. (Opcional) Limitar la tasa a la que un atacante puede enviar solicitudes de DHCP bogus (peticiones de ip falsas) de manera continua a travs de puertos no confiables al servidor de DHCP mediante el comando ip dhcp snooping limit rate (rate). DHCP "starvation" = agotas rango de ips disponibles en DHCP.

Switch#show port-security interface f0/1 (ver seguridad del puerto) Switch(config-if)#switchport mode access (definir el puerto de acceso y no troncal, hay que hacerlo antes de activar la seguridad) Switch(config-if)#switchport port-security (activar seguridad del puerto) Switch(config-if)#switchport port-security mac-address sticky (en la interfaz en cuestin se aprende la MAC de forma dinmica pero no la olvida) Se guarda en la running-config, con un write lo haremos permanente. Switch(config-if)#switchport port-security violation ? (para ver y activar los 3 tipos de acciones a tomar si hay violacin de seguridad) protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode Switch(config-if)#switchport port-security maximum ? (nmero mximo de MAC que se aprende el switch por puerto) <1-132> Maximum addresses Cuando se deshabilita un puerto por security violation hay que, manualmente, apagar y volver a activar el puerto para que vuelva a funcionar.

VLAN: S1#show vlan S1(config)#interface vlan X (as entras en una VLAN para configurar ip) S1(config-if)#switchport mode access (puerto de acceso)

S1(config-if)#switchport access vlan20 (asociamos la interfaz en la que estemos con la VLAN que pongamos (la 20 en este caso)) - VoIP: S1(config-if)#mls qos trust cos (le dice al switch que se fe de la prioridad que da el telfono a su trfico) S1(config-if)#switchport voice vlan 150 S1(config-if)#switchport mode access S1(config-if)#switchport access vlan 20 Con esto diferenciamos entre la VoIP y los datos. Switch(config)#vlan 10 (as de fcil se genera una VLAN) Switch(config-vlan)#name PROFESORES (poner nombre a la VLAN) Switch(config)#vlan 20 Switch(config-vlan)#name ESTUDIANTES Switch(config)#interface range fastethernet0/1-5 Switch(config-if-range)#switchport access vlan 10 (aado los puertos del 1 al 5 a la VLAN 10) Switch(config)#interface range fastethernet0/6-10 Switch(config-if-range)#switchport access vlan 20 (asocio puertos del 6 al 10 a la VLAN 20) Switch(config)#interface fastethernet0/24 Switch(config-if)#switchport access vlan 99 % Access VLAN does not exist. Creating vlan 99 (cuando asocias una vlan que no existe la crea, eso s, con nombre predeterminado) Switch#show interfaces trunk (para ver si hay interfaces configuradas para conexin troncal) Switch(config-if)#switchport mode trunk (activar el puerto para conexion troncal - Al activar conexin troncal solo hace falta hacerlo en uno de los switch)

Para configurar los puertos: Switch(config-if)#switchport access Set trunking mode dynamic Set trunking mode mode trunk Set trunking mode mode ? to ACCESS unconditionally to dynamically negotiate access or trunk to TRUNK unconditionally

Switch(config-if)#switchport mode dynamic ? auto Set trunking mode dynamic negotiation parameter to AUTO desirable Set trunking mode dynamic negotiation parameter to DESIRABLE

Switch(config)#interface g1/1 (se configura en la interface troncal, en todos los switches) Switch(config-if)#switchport native vlan 99 (le dices que la nativa es la vlan 99) Switch(config-if)#switchport trunk allowed vlan 10,99 (por defecto el trunk permite el paso de todas las vlan, pero al especificar cuales permites se excluyen las que no se pongan, en este caso, la vlan 20 queda fuera) Switch(config-if)#switchport trunk allowed vlan ? WORD VLAN IDs of the allowed VLANs when this port is in trunking mode add add VLANs to the current list all all VLANs except all VLANs except the following (al usar este entran todas las vlan menos las que definas) none no VLANs remove remove VLANs from the current list

Vtp: Switch#show vtp status Switch(config)#vtp domain CISCO (activamos vtp al crear el dominio, en este caso, de nombre CISCO) Switch(config)#vtp switch) client Set server Set transparent Set mode ? (Elegimos modo vtp del

the device to client mode. the device to server mode. the device to transparent mode.

Switch(config)#vtp version X (ponemos n de version) Switch(config)#vtp password 1234 (activamos contrasea para intercambio de actualizaciones) Switch#show vtp password (vemos la contrasea configurada) Switch(config)#vtp pruning (activar depuracin vtp)

STP: S1#show spanning-tree S1(config-if)#spanning-tree cost x

Switch(config)#spanning-tree vlan 1 priority ? (cambiar prioridad del switch, valores de 4096 en 4096) Switch(config)#spanning-tree vlan 1 root primary (el switch se configura con la prioridad 2 escalones ms baja de las existentes, vamos, que siempre ser el switch raz) Switch(config)#spanning-tree vlan 1 root secondary (para que haga de sustituto del switch raz) Switch(config-if)#spanning-tree port-priority xxx (asignamos prioridad al puerto para desempates al buscar puerto raz) S1(config-if)#spanning-tree portfast (dentro de la interfaz, la hacemos "pasiva", as no pierde tiempo al conectar algo) S1(config)#spanning-tree vlan x root primary diameter X (as configuramos el dimetro de la red) PVST: Como STP, lo nico es en el comando "Switch(config)#spanning-tree vlan 1 priority ?" se pone la vlan que se quiera configurar. RSTP: S1(config)#spanning-tree mode rapid-pvst (activar RSTP)

ENRUTAMIENTO INTER VLAN: Router(config)#interface f0/0.10 (entrar en subinterfaz 10 de la int f0/0) Router(config-subif)#encapsulation dot1Q 10 (hacemos la subinterfaz en cuestin troncal, y la asociamos a la vlan, en este caso, la 10) Router(config-subif)#encapsulation dot1Q 99 native (lo de arriba y encima dicindo que es nativa). La ip de la subinterfaces se configuran como la de las interfaces.