Configuracin bsica de un Switch

Cisco en el Packet Tracert

Antes de entrar en materia recordemos de forma muy
breve que es y para qu sirve un switch. Pues bien, un
switch es un dispositivo de red que crea dominios de
colisin (cada puerto de un switch es un

dominio de

colisin) lo cual nos ofrece micro segmentacin de la LAN

lo que se traduce en ancho de banda independiente en
cada puerto o dominio de colisin. Un switch trabaja en la
capa 2 del modelo de referencia OSI, hacindolo ms
rpido que un dispositivo de capa tres (un router por
ejemplo) que no analiza

el encabezado de capa 3,

solamente crea y administra una tabla basada en

direcciones MAC con la que lleva a cabo el filtrado de los
frames.
OJO. Como tal un switch puede realizar estas funciones
con su configuracin por default, sin embargo para
obtener provecho de funciones ms avanzadas (como
son seguridad bsica o administracin remota, solo por
mencionar algunas) es que realizamos las configuraciones
pertinentes estos dispositivos.

Objetivos

Unas vez que completemos esta actividad sers capaz

de:
Configurar un nombre para identificar a el switch
Configuracion de una direccin IP
Configurar un Gaeway por defecto
Configurar parmetros bsicos de seguridad en el
switch como son:

Restringir el acceso a modo privilegiado

Restringir el acceso mediante sesin de consola

Restringir el acceso mediante las sesiones

telnet

Configura un mensaje del dia

Encriptar las contraseas que permanezcan en

texto plano en la configuracin

Topologa

En la topologa vemos en marcado en rojo al swith que

vamos configurar es cual est conectado por el lado
derecho a un Host (Consola) desde el cual ingresaremos
al switch mediante lnea de comando estableciendo una
sesin de consola, del lado izquierdo del switch est
conectado un router el cual funciona como default
Gateway quien nos dar salida a internet, la nube
nicamente representa la red de internet, y finalmente
PC1 y PC2 representan unos host remotos desde los
cuales realizaremos las pruebas pertinentes
Puedes descargar esta practica en packet tracert del
siguiente link:
Practicas PTK

Actividad 1 Conexin via

consola
Da click en el host Consola, dirgete a la pestaa Desktop
y click en Terminal, se abrir una ventana que simula un
sofwer emulador de terminal y verifica que los parmetros
estn configurados dela siguiente manera
9600 bits por segundo
8 bist de datos
Sin paridad
1 bit de parada

 Sin control de flujo

Finalmente le damos clic en OK

Inmediatamente ingresaras a la CLI del switch estando en

el modo Exec usuario

Actividad 2
Configuracin del
nombre de host
Es importante configurar a nuestro switch con un nombre
nico en la red que identifique a nuestro dispositivo. esto
lo hacemos desde el modo de configuracin global con el
comando hostname [ nombre del dispositivo] , en
este caso el nombre que corresponde a nuestro switch es
SW_X
Switch>enable

Switch#configureterminal

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Switch(config)#hostnameSW_X
SW_X(config)#

Ntese que en el promt la palabra switch cambiara por el

nombre de host que configuramos

Actividad 3
Configuracin de la
direccin IP
Con la finalidad de administrar nuestro switch de forma
remota debemos de configurar un direccin IP esto lo
hacemos de la siguiente manera:
Desde el modo de configuracin

global ingresamos a

modo de configuracin de interface para la VLAN 1. La

VLAN 1 es una VLAN que viene por default en el switch y
que no podemos borrar es conocida tambien como la
VLAN de adminitracion ( se comporta de forma similar a
una interface Ethernet de un router para aquellos que ya
han configurado un router)
SW_X(config)#interfacevlan1

SW_X(configif)#

Una vez en el modo de configuracion de interface VLAN

1 , configuramos la direccin IP con el comando ip
address [ direccin IP] [ macara de subred], en este
caso la direccin Ip es 10.1.1.2 y su mscara de subred es
255.255.255.0, y finalmente activamos la interface con el
comando no shutdown.
(configif)#ipaddress10.1.1.2255.255.255.0
SW_X(configif)#noshutdown
SW_X(configif)#
LINK5CHANGED:InterfaceVlan1,changedstatetoup
LINEPROTO5UPDOWN:LineprotocolonInterfaceVlan1,changedstateto
up
SW_X(configif)#
SW_X(configif)#exit
SW_X(config)#

Actividad 4
configuracin del
default Gateway
En el caso de que el switch necesite enviar informacin a
una red diferente

a la de administracin (fuera de

nuestra red) por ejemplo a los host remotos, se debe de

configurar

un

default

gatway.

Desde

el

modo

de

configuracin

global

con

el

comando ip

default-

gateway [direccin del defaul Gateway].

SW_X(config)#ipdefaultgateway10.1.1.1

SW_X(config)#

La direccin del default gatway es la direccin de la

interface a la cual estemos conectados con el equipo
que nos dar salida a internet o bien de nuestra red local

Actividad 5 Pruebas de
conectividad

Desde PC1 nos dirigimos a la pestaa desktop y despus

damos clic en el icono de comand prompt para abrir una
lnea de comandos
Enviamos un ping a la direccin de administracin del
switch :
PC>ping10.1.1.2
Pinging10.1.1.2with32bytesofdata:
Replyfrom10.1.1.2:bytes=32time=48msTTL=253
Replyfrom10.1.1.2:bytes=32time=57msTTL=253
Replyfrom10.1.1.2:bytes=32time=93msTTL=253
Replyfrom10.1.1.2:bytes=32time=50msTTL=253
Pingstatisticsfor10.1.1.2:
Packets:Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilliseconds:
Minimum=48ms,Maximum=93ms,Average=62ms
PC>

El ping debe de ser exitoso (la primera vez puede que se

pierdan algunos paquetes), de lo contrario por favor
verifica las configuraciones que sean las correctas.
Ahora trataremos de abrir una sesin por telenet desde
PC1

PC>telnet10.1.1.2
Trying10.1.1.2...Open
[Connectionto10.1.1.2closedbyforeignhost]
PC>

Como vemos no se logra establecer una conexin con el

switch a pesar de que el ping es exitoso y de que ya
hemos configurado la direccin IP de administracin. Esto
es porque para establecer una sesin remota debemos de
configura primero las lneas virtuales (VTY) en nuestro
switch

Actividad 6
Configuracin de las
lneas virtuales (VTY) y
de consola
Regresamos a la sesin de consola del switch SW_X, y
desde el modo de configuracin global ingresamos al
modo de configuracin de lneas virtuales.
SW_X(config)#linevty015
SW_X(configline)#

Donde 0 15 es el nmero de conexiones virtuales

disponibles en este caso son 16 que van desde la 0 a la

15. El siguiente punto es restringir el acceso mediante

una contrasea, desde este mismo modo de configuracion
de lneas virtuales configuramos la contrasea con el
comando password [contrasea], para fines prcticos
la contrasea ser ticrt
SW_X(configline)#passwordticrt
SW_X(configline)#

Posteriormente ingresamos el comando login para forzar

al router a

solicitar la contrasea

al momento de

ingresar mediante una sesin remota

En este punto podemos repetir la prueba de telnet desde
la PC1 y veremos que ya podemos tener acceso al switch
de forma remota, asi mismo nos solicitara la contrasea
de acceso
PC>telnet10.1.1.2
Trying10.1.1.2...Open
[Connectionto10.1.1.2closedbyforeignhost]
PC>telnet10.1.1.2
Trying10.1.1.2...Open
UserAccessVerification
Password:

Ahora del mismo modo restringimos el acceso a una

sesin por consola mediante una contrasea. Desde el
modo de configuracin

global pasamos a modo de

configuracin de consola con el comando line console 0 ,

y configuramos la contrasea con el comandopassword
[contrasea], ( muy similar a la las lneas vty)
SW_X(config)#lineconsole0
SW_X(configline)#passwordticrt
SW_X(configline)#login
SW_X(configline)#exit
SW_X(config)#

Es muy importante no olvidar escribir el comando login,

ya que de no ingresarse el switch no solicitara la
contrasea al ingresar por consola y el acceso no estar
restringido.

Actividad 7 Restringir el
acceso al modo EXEC
privilegiado
Como ya hemos visto, desde el modo EXEC privilegiado
podemos administrar el archivo de configuracin y pasar
a todos los niveles superiores de configuracin, es por eso
que ms que una buena prctica ms bien es necesario
restringir el acceso a este modo para evitar que usuarios

no

autorizados

modifiquen

la

configuracin

del

dispositivo.
Existen dos formas de configurar una contrasea para
accesar a modo EXEC privilegiado
Primera
Estando en el modos de configuracin global escribimos
el comando enable password [contrasea], para fines
prcticos en esta prctica la contrasea ser redes_1
SW_X(config)#enablepasswordredes_1

Segunda
Estando en el modo de configuracin gloabal escribimos
el comando enable secret [contrasea], en este caso
la contrasea ser redes_2
SW_X(config)#enablesecretredes_2

Para ver la diferencia de estos dos comandos regresamos

al modo EXEC privilegiado y escribimos el comando show
running-config para ver la configuracin en ejecucin
( lo que ya hemos configurado)
SW_X#shrunningconfig
Buildingconfiguration...
Currentconfiguration:1199bytes
!

version12.2
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepasswordencryption
!
hostnameSW_X
!

enable secret 5 $1$mERr$Kmc.Mg/Vz44ikYIkoyMUv.

enable password redes_1
!
!
spanningtreemodepvst
!
interfaceFastEthernet0/1
!
interfaceFastEthernet0/2
!
interfaceFastEthernet0/3
!
interfaceFastEthernet0/4
!
interfaceFastEthernet0/5
!
interfaceFastEthernet0/6
!
interfaceFastEthernet0/7
!
interfaceFastEthernet0/8
!
interfaceFastEthernet0/9
!
interfaceFastEthernet0/10
!
interfaceFastEthernet0/11
!
interfaceFastEthernet0/12
!
interfaceFastEthernet0/13
!
interfaceFastEthernet0/14
!
interfaceFastEthernet0/15

!
interfaceFastEthernet0/16
!
interfaceFastEthernet0/17
!
interfaceFastEthernet0/18
!
interfaceFastEthernet0/19
!
interfaceFastEthernet0/20
!
interfaceFastEthernet0/21
!
interfaceFastEthernet0/22
!
interfaceFastEthernet0/23
!
interfaceFastEthernet0/24
!
interfaceGigabitEthernet1/1
!
interfaceGigabitEthernet1/2
!
interfaceVlan1
ipaddress10.1.1.2255.255.255.0
!
ipdefaultgateway10.1.1.1
!
!
linecon0
passwordticrt
login
!
linevty04
passwordticrt
login
linevty515
passwordticrt
login
!
!
end

Ademas de ver en esta salida los parmetros que ya

configuramos vemos las contraseas enable password y
enable secret, podemos ver que solo la contrasea enable
secret esta encriptada con un nivel 5, mientras que la
contrasea de enable password a si como las contraseas
de las lneas virtuales y de consola aparecen en texto

plano, es decir a sin encriptar, por lo que es necesario

encriptar estas contrasea tambin esto lo logramos de la
siguiente manera.
Desde el modo de configuracion global ingresamos el
comandoservice password-encryption el cual encripta
las contrasea que aparecen en texto plano
SW_X(config)#servicepasswordencryption

Para

ver

la

diferencia

nuevamente

ingresamos

el

commando show running-config desde el modo de EXEC

privilegiado
TIP : para no estas brincando de modo en modo para
ingresar

comando

show

pueden

hacerlo

desde

configuracin global escribiendo do delante del comando

show, vale la pena sealar que ingresando el comando
de esta menara no se puede autocompletar con la tecla
tab
SW_X(config)#do show running-config
Building configuration
Current configuration : 1234 bytes
!
version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec
service password-encryption
!
hostname SW_X
!
enable secret 5 $1$mERr$Kmc.Mg/Vz44ikYIkoyMUv.
enable password 7 0833494A0C0A3A46
!
!
spanning-tree mode pvst
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!

interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10

!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!

interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface GigabitEthernet1/1

!
interface GigabitEthernet1/2
!
interface Vlan1
ip address 10.1.1.2 255.255.255.0
!
ip default-gateway 10.1.1.1
!
!
line con 0
password 7 0835454D1B0D
login
!
line vty 0 4
password 7 0835454D1B0D
login

line vty 5 15
password 7 0835454D1B0D
login
!
!
end
Como

vemos

las

contraseas

que

anteriormente

aparecan en texto plano ahora estn encriptados con un

nivel 7, OJO el nivel 7 de encriptado es reversible, de
hecho hay varias aplicaciones para telfonos inteligentes
que hacen esto y

tambin en su extensin .exe sin

embargo el nivel 5 no se puede revertir (al menos no tan

fcil que yo sepa)

Actividad 8
Configuracin del
mensaje del da
El mensaje del da (banner moth) es un mensaje con el
que podemos dar aviso o una advertencia el cual se podr
ver al momento de ingresar al equipo mediante lnea de
comando, este mensaje se configura de la siguiente
manera:

1. Desde el modo de configuracin globan se ingresa el

comandobanenner motd [ carcter] , el carcter
es cualquier carcter hay que tener cuidado de no
usar este carcter en el cuerpo del mensaje ya que
este mismo carcter indica el fin del mensaje
Ejemplo:
SW_X(config)#bannermotd*

1. Despus

de

ingresar

el

comando

SW_X(config)#banner motd * puedes escribir el

mensaje libremente
Ejemplo:
SW_X(config)#bannermotd*
EnterTEXTmessage.Endwiththecharacter'*'.
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&&&&&&
SSSSSSSSSSWWWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSWWWWWWWWXXXX
XXXX
SSSSWWWWWWWWWWWW
XXXXXX
SSSSSSSSSSWWWWWWWWWWWWWWWW
XXXXXX

SSSSSSSSSSWWWWWWWWWWWWWWWW
XXXXXX
SSSSWWWWWWWWWWWWWWWW
XXXXXX
SSSSSSSSWWWWWWWWXXXX
XXXX
SSSSSSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX

________________
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%%%%%%
!ADVERTENCIA!
PROHIBIDOELACCESONOAUTORIZADO
#########################################################################
######
*
SW_X(config)#

Ntese

que

el

mensaje

del

da

empieza

con *

(asterisco) y se marca el final del mensaje igualmente

con un *
NOTA IMPORTANTE: el mensaje del dia nunca debe de
contener algn mensaje de bienvenida o alentando a
ingresar al equipo, ya que en caso de un acceso no
autorizado puede repercutir en alguna situacin no

deseada,

por

el

contrario

debe

de

advertirse

la

penalizacin sobre el acceso no autorizado, de hecho este

punto puede venir como pregunta en el examen de
certificacin CCNA

Actividad
finales

Pruebas

Desde la PC 2 abrir una lnea de comando y tratar de

ingresar va telnet al equipo :
PC>telnet10.1.1.2
Trying10.1.1.2...Open
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&&&&&&

SSSSSSSSSSWWWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSWWWWWWWWXXXX
XXXX
SSSSWWWWWWWWWWWW
XXXXXX
SSSSSSSSSSWWWWWWWWWWWWWWWW
XXXXXX
SSSSSSSSSSWWWWWWWWWWWWWWWW
XXXXXX

SSSSWWWWWWWWWWWWWWWW
XXXXXX
SSSSSSSSWWWWWWWWXXXX
XXXX
SSSSSSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX

________________

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%%%%%%
!ADVERTENCIA!
PROHIBIDOELACCESONOAUTORIZADO
#########################################################################
######

User Access Verification

Password:

Ahora podemos ver el mensaje del dia, notamos tambien

que nos pide una contrasea para

continuar con la

conexin via telnet

Ingresamos la contrasea que configuramos en las VTY y
accesamos a modo EXEC usuario, ahora tratamos de
accesar a modo de EXEC privilegiado
SW_X>

SW_X>enable
Password:

Vemos que tambien nos pide la con trasea, para

continuar ingresamos la contrasea redes_2 ( enable
secret)
SW_X>enable
Password:
SW_X#

Ahora podemos verificar la configuracin en ejecucin con

el comando show running-config
SW_X#showrunningconfig
Buildingconfiguration...
Currentconfiguration:2381bytes
!
version12.2
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepasswordencryption
!
hostnameSW_X
!

enablesecret5$1$mERr$Kmc.Mg/Vz44ikYIkoyMUv.
enablepasswordredes_1
!
!
spanningtreemodepvst
!
interfaceFastEthernet0/1
!
interfaceFastEthernet0/2
!
interfaceFastEthernet0/3
!
interfaceFastEthernet0/4
!
interfaceFastEthernet0/5
!
interfaceFastEthernet0/6
!
interfaceFastEthernet0/7
!
interfaceFastEthernet0/8

!
interfaceFastEthernet0/9
!
interfaceFastEthernet0/10
!
interfaceFastEthernet0/11
!
interfaceFastEthernet0/12
!
interfaceFastEthernet0/13
!
interfaceFastEthernet0/14
!
interfaceFastEthernet0/15
!
interfaceFastEthernet0/16
!
interfaceFastEthernet0/17
!
interfaceFastEthernet0/18
!

interfaceFastEthernet0/19
!
interfaceFastEthernet0/20
!
interfaceFastEthernet0/21
!
interfaceFastEthernet0/22
!
interfaceFastEthernet0/23
!
interfaceFastEthernet0/24
!
interfaceGigabitEthernet1/1
!
interfaceGigabitEthernet1/2
!
interfaceVlan1
ipaddress10.1.1.2255.255.255.0
!
ipdefaultgateway10.1.1.1
!

bannermotd^C
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&&&&&&

SSSSSSSSSSWWWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSWWWWWWWWXXXX
XXXX
SSSSWWWWWWWWWWWW
XXXXXX
SSSSSSSSSSWWWWWWWWWWWWWWWW
XXXXXX
SSSSSSSSSSWWWWWWWWWWWWWWWW
XXXXXX
SSSSWWWWWWWWWWWWWWWW
XXXXXX
SSSSSSSSWWWWWWWWXXXX
XXXX
SSSSSSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX
SSSSSSSSSSWWWWWWWWWWWWXXXX
XXXX

________________
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%%%%%%
!ADVERTENCIA!

PROHIBIDOELACCESONOAUTORIZADO
#########################################################################
######
^C
!
linecon0
!
linevty04
passwordticrt
login
linevty515
passwordticrt
login
!
!
end

Verifica que toda tu configuracin este correcta y

finalmente guarda la configuracin con el comando copy
running-config startup-config, tambien te pedir que
confirmes la operacin, se confirma con la tecla enter
SW_X#copyrunningconfigstartupconfig
Destinationfilename[startupconfig]?

Buildingconfiguration...
[OK]
SW_X#