2.

2 Reenvi de
tramas mediante
switch

Mtodo de reenvi de
paquetes
Conmutacin por
almacenamiento y envo
Conmutacin por
mtodo de corte
Conmutacin libre de
fragmentos

Conmutacin simtrica y
asimtrica

Bfer de memoria
est integrado al hardware del switch
caractersticas

aumenta la cantidad de memoria disponible

no puede configurarse

Bfer de memoria
basada en puerto

bfer
tipos de
almacenamiento

Bfer de memoria
compartida

las tramas se almacenan

en
colas conectadas a puertos
de
entrada
y de
salida
deposita
todas
las tramas
especficos.
en
un bfer de memoria
comn
que comparten todos los
puertos del switch.

Conmutacin de capa 2 y
capa 3
En lugar de aprender qu direcciones MAC
estn
con cadade
uno
de sus
lleva avinculadas
cabo los procesos
conmutacin
puertos,
switch desolamente
Capa 3 puede
y filtradoelbasndose
en la
tambin
direcciones
IP estn
direccinconocer
MAC de qu
la Capa
de enlace
de
relacionadas
con sus interfaces.
datos
capaces
llevar
a cabo funciones
de
crea
una de
tabla
de direcciones
MAC que
enrutamiento
de Capa 3los envos
utiliza
para determinar

2.3 Configuracin de
la Administracin de
Switches.

EXEC usuario: Permite que una persona

tenga acceso solamente a una cantidad
limitada de comandos bsicos de monitoreo.

EXEC privilegiado: Permite que una persona tenga acceso a

todos los comandos del dispositivo, como aquellos que se
utilizan para la configuracin y administracin, y es posible
protegerlo por contrasea para que tengan acceso al
dispositivo slo los usuarios autorizados.

Alternativas a la CLI basadas en la GUI

Existe una cantidad de alternativas de administracin grfica para administrar un switch de Cisco. El uso
de una GUI ofrece facilidad de administracin y configuracin de switches, y no requiere tener amplio
conocimiento sobre la CLI de Cisco.

Asistente de red CiscoEl asistente de red Cisco

es una aplicacin de la GUI basada en PC para la
administracin de redes y optimizada para las
LAN pequeas y medianas

CiscoView proporciona una vista fsica del switch que se

puede utilizar para establecer parmetros de
configuracin y para ver la informacin de
funcionamiento y el estado del switch.

El administrador de dispositivos Cisco software

basado en Web que se encuentra almacenado
en la memoria del switch. Puede utilizar el
Administrador de dispositivos y administrar los
switches.

Administracin de red SNMP

Se pueden administrar switches desde una estacin de
administracin compatible con SNMP, como HP
OpenView.

La CLI del IOS de Cisco ofrece dos tipos de ayuda:

Ayuda de palabra: Si no recuerda un
comando completo pero s recuerda
los primeros caracteres, ingrese la
secuencia de caracteres seguidos de
un signo de interrogacin (?
Ayuda de sintaxis de comando:
Si no sabe cules son los comandos
disponibles en su contexto actual en la
CLI del IOS de Cisco o si no conoce los
parmetros que se requieren o estn
disponibles para completar un
comando determinado, ingrese el
comando ?.

Mensajes de error de consola

Acceso al historial de comandos.

Al configurar varias interfaces en un switch, se puede
ahorrar tiempo y evitar escribir los comandos
nuevamente mediante el bfer del historial de comandos
del IOS de Cisco

Configurar el bfer de historial de comandos

Secuencia de arranque del switch

Preparacin para la configuracin del switch

Paso 1. Antes de poner en
funcionamiento
el
switch,
verifique que: Todos los cables
de red estn correctamente
conectados. La PC o el
terminal estn conectados al
puerto de consola.

Paso 2. Conecte el cable de energa

elctrica al socket de la fuente de
energa. El switch se pondr en
funcionamiento. Algunos switches
Catalyst, incluida la serie Cisco Catalyst
2960, no cuentan con un botn de
encendido.
Paso 3. Observe que la secuencia de
arranque transcurra de la siguiente
manera:

Proceso de arranque de la consola.

Consideraciones de la interfaz de administracin.

Un switch de capa de acceso se parece mucho a una PC en que se
necesita configurar una direccin IP, una mscara de subred y una
gateway predeterminada.

Configurar interfaz de administracin

Mostrar las interfaces IP:

Use el comando show ip interface brief para verificar el estado y
funcionamiento del puerto. Ensayar el uso del comando switchport
access vlan 99 en las prcticas de laboratorio y de Packet Tracer.
CONFIGURAR UNA INTERFAZ DE WEB

Los switches modernos de Cisco cuentan

con una serie de herramientas de
configuracin basadas en Web que
requieren que el switch se configure
como servidor HTTP.

El comando show es de gran utilidad. El comando show se ejecuta

desde el modo EXEC privilegiado.

show running-config. Este comando muestra la configuracin

que se est ejecutando en el switch.

show interfaces
Otro comando frecuentemente utilizado es show interfaces que
muestra la informacin estadstica y el estado de las interfaces
de red del switc

Administracin Bsica del Switch.

Eliminacin de los archivos de configuracin

Es posible borrar la informacin de la
configuracin de inicio

Puede haber estado trabajando en una compleja tarea de

configuracin y haber guardado varias copias de seguridad de los
archivos en Flash. Para borrar un archivo de la memoria Flash,
utilice el comando delete flash: nombre del archivo del modo EXEC
privilegiado.

Saturacin de direcciones MAC

La saturacin de direcciones MAC es un ataque comn. Recuerde que la tabla de
direcciones MAC del switch contiene las direcciones MAC disponibles de un puerto
fsico determinado de un switch y los parmetros asociados para cada uno.
A medida que las tramas llegan a los puertos del switch, las direcciones MAC de
origen se aprenden y se registran en la tabla de direcciones MAC.
Si existe una entrada para la direccin MAC, el switch enva la trama al puerto
designado con esa direccin MAC en la tabla de direcciones MAC. Si la direccin
MAC no existe, el switch acta como un hub y enva la trama a todos los puertos
del switch.

Ataques de suplantacin de identidad

Snooping DHCP y funciones de seguridad de puerto de los switches Catalyst de

Cisco
El snooping DHCP es una funcin que determina cules son los puertos de switch
que pueden responder a solicitudes de DHCP. Los puertos se identifican como
confiables o no confiables. Los puertos confiables pueden recibir todos los
mensajes de DHCP, los no confiables slo pueden recibir solicitudes. Los puertos
confiables de los hosts se alojan en el servidor de DHCP o pueden ser un enlace

Ataques en CDP
El protocolo de descubrimiento de Cisco (CDP, Cisco Discovery Protocol) es un
protocolo propiedad de Cisco que puede configurarse en todos los dispositivos de
Cisco. CDP contiene informacin sobre el dispositivo, como la direccin IP, la
versin del software, la plataforma, las capacidades y la VLAN nativa.
Ataques de Telnet
Un atacante puede utilizar el protocolo de Telnet para acceder de manera remota
a un switch de red de Cisco. Existen herramientas disponibles que permiten que un
atacante inicie un ataque de decodificacin de contraseas de fuerza bruta contra
las lneas vty del switch.
Ataque de contrasea de fuerza bruta
La primer fase de un ataque de contrasea de fuerza bruta comienza con el uso de
contraseas comunes por parte del atacante y de un programa diseado para intentar
establecer una sesin de Telnet mediante todas las palabras del diccionario. En la
segunda fase del ataque de fuerza bruta, el atacante utiliza un programa que genera
combinaciones de caracteres secuenciales para poder "adivinar" la contrasea.
Ataque de DoS
Este tipo de ataque es en la mayora de los casos una molestia, ya que evita que el
administrador lleve a cabo las funciones de administracin del switch.

Auditora de seguridad de red

Una auditora de seguridad revela el tipo de informacin que un atacante puede
recopilar con un simple monitoreo del trfico de la red. Las herramientas de auditora
de seguridad de red permiten inundar la tabla MAC con direcciones MAC de bogus.
El tiempo es un factor importante para realizar la auditora en forma correcta. Los
diferentes switches admiten distintas cantidades de direcciones MAC en sus tablas
MAC. Puede ser dificultoso determinar la cantidad ideal de direcciones MAC
suplantadas para ser utilizadas en la red.
Pruebas de penetracin de red
Esto permite identificar las debilidades dentro de la configuracin de los dispositivos
de red. Debido a que este tipo de pruebas puede tener efectos adversos en la red, se
llevan a cabo bajo condiciones muy controladas, respetando procedimientos
documentados detallados en una poltica de seguridad de red completa.

Caractersticas de las herramientas de seguridad de red

En realidad, la seguridad de red es un proceso, no un producto. No alcanza con
habilitar el switch con una configuracin segura y dar por terminado el trabajo. Para
afirmar que una red es segura se debe contar con un plan de seguridad de red
completo que defina la forma de verificar de manera peridica si la red puede
enfrentar los ms recientes ataques de red maliciosos.

Tipos de direcciones MAC seguras

Seguridad del puerto
Modos de violacin de seguridad
Un switch que no cuenta con seguridad de puerto permite que un atacante conecte
el sistema a un puerto habilitado en desuso, que recopile informacin o que genere
ataques. Un switch puede configurarse para actuar como un hub, lo que significa que
todos los sistemas conectados al switch pueden ver de manera potencial todo el
trfico de la red que pasa a travs de l y llega a todos los sistemas conectados a l.

Verificar la seguridad de puerto

Despus de haber configurado la seguridad de puerto para el switch, se debe verificar
que se haya configurado de manera correcta. Se deben revisar todas las interfaces
para verificar que se ha establecido la seguridad de puerto de manera correcta.
Tambin se debe verificar si se han configurado las direcciones MAC estticas en
forma
correcta.
Verificar
los parmetros de seguridad de puerto
Utilice el comando show port-security [interface id de la interfaz] para mostrar los
parmetros de seguridad de puerto para el switch o la interfaz especificada.