You are on page 1of 5

Seguridad de puerto en switch cisco

 Restringir la o las direcciones MAC que se pueden conectar a través de un puerto del Switch.  Restringir el número de direcciones MAC que se pueden conectar (simultáneamente) a un puerto del Switch. (Por default: 1 - Máximo: 132).  Configurar el tiempo en que determinada MAC permanece registrada (en Minutos).  Definir la acción a tomar cuando una violación es detectada.

Como configurarlo: Switch>enable Switch#configure terminal Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security mac-address"aquí la mac"  este comando solo permite la mac que se registre en el comando

Switch(config-if)#switchport port-security mac-address sticky  este comando permite que el primer equipo que se conecta se asegura el puerto."osea no tiene que registrarse" Switch(config-if)#switchport port-security maximum "3"  Si hay un switch o un hub, conectado a un puerto del switch que quieres asegurar, puedes configurar un máximo de direcciones MAC asociadas a ese puerto, por ejemplo si queremos configurar un máximo de 3 direcciones MAC ese es el comando. ACCIONES EN CASO DE VIOLACIÓN: Switch(config-if)#switchport port-security violation protect  Protección: Rechaza los paquetes hasta que el causante de la violación es subsanado, el usuario no advierte que se ha producido una violación de seguridad. Switch(config-if)#switchport port-security violation restrict

 Restricción: Rechaza los paquetes hasta que el causante de la violación es subsanado, el usuario advierte que se ha producido una violación de seguridad. De manera específica se envía un mensaje SNMP, se registra un mensaje de syslog y se aumenta el contador de violaciones. Switch(config-if)#switchport port-security violation shutdown

se registra un mensaje de syslog y se incrementa el contador de violaciones.. También envía un mensaje SNMP."en pocas palabras el puerto se apaga" ejemplo: Switch>enable Switch#configure terminal Switch(config-if)#interface fastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security maximum 3 Switch(config-if)#switchport port-security violation shutdown Switch(config-if)#do wr Building configuration. Cuando esto sucede es necesario volver a habilitar el puerto manualmente mediante el comando "no shutdown". Desactivación (default): La interfaz se deshabilita de manera inmediata por error y se apaga el led del puerto. [OK] Switch(config-if)#exit ..

. Por defecto todos los puertos pertenecen a la Vlan1 hasta que el administrador cambie esta configuración. Configuración de VLAN en un switch 2950 Switch#vlan database Switch(vlan)#vlan [numero de vlan] name [nombre de vlan] Switch(vlan)#exit Switch(config)#interface fastethernet 0/numero de puerto Switch(config-if)#switchport access vlan [numero de vlan] Ejemplo de la creación de una Vlan 3 Ventas y su correspondiente asociación al Puerto 0/12: Switch#vlan database Switch(vlan)#vlan 3 name Ventas VLAN 3 added: Name: Ventas Switch(vlan)#exit Switch(config)#interface fastethernet 0/12 Switch(config-if)#switchport access vlan 3 Eliminación de Vlan: Switch#vlan database Switch(vlan)#no vlan 3 Switches de las series 2900 y 2950 es necesario eliminar el archivo de información de la base de datos de la VLAN que esta almacenado en la memoria flash. Configuración dinámica: El IOS de los switches Catalyst soportan la configuración dinámica a través de un servidor de pertenecía de Vlan (VMPS).CONFIGURACION VLAN Configuración estática: Es la realizada por un administrador asignado manualmente los puertos a las respectivas Vlans. El servidor VMPS puede ser un switch de gama alta que ejecute un sistema operativo basado en set (CatOS). Tenga especial cuidado de eliminar el archivo VLAN.dat y no otro.

Sw_1900(config)#interface Fastethernet 0/26 Sw_1900(config-if)#trunk on Sw_1900(config-if)#exit Sw_1900(config)#exit Sw_1900#show trunk A DISL state:on. Estos puertos son llamados A y B respectivamente. Solo admite encapsulación ISL.1q. el 26 y el 27. Trunking: on. en el caso de ser un switch 2900 se debe especificar la encapsulación deseada: Switch(config)#interface fastethernet 0/24 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk encapsulation [Dot1q|ISL] Configuración de VLAN en un switch 1900 Ejemplo de la creación de una Vlan 6 Administración y su correspondiente asociación al Puerto 0/10: Sw_1900(config)#vlan 6 name administración Sw_1900(config)#interface ethernet 0/10 Sw_1900(config-if)#vlan-membership static 6 Habilitación de un Puerto troncal en un switch 1900: Los switches 1900 solo poseen dos puertos FastEthernet. aparece el siguiente mensaje: %Error deleting flash:vlan.dat (No such file or directory) Habilitación de un puerto troncal: Switch(config)#interface fastethernet 0/24 Switch(config-if)#switchport mode trunk Los switches 2950 solo poseen encapsulación 802.dat]?[Enter] Delete flash:vlan.dat Delete filename [vlan.dat? [confirm][Intro] Si no hay ningún archivo VLAN. Encapsulation type: ISL .El comando para eliminar dicho archivo: Switch#delete flash:vlan.