SDM (Switching Database Manager)
switch(config)#sdm prefer {access | extended-match | routing | vlan}
switch# show sdm prefer
Detección de Errores en los puertos
switch(config)# errdisable detect cause [all | name]switch(config)# errdisable recovery cause [all | name]
switch(config)# errdisable recovery interval seconds
Dynamic Trunking Protocol (DTP)
Para que funcione tenemos que tener los dos switches con el mismo VTP domain o que no haya ningún VTP domain definido.
switchport mode:
- trunk: Pon el puerto en trunking permanente, DTP todavía envia paquetes.
- dynamic desirable (default): Activo
- dynamic auto: Pasivo
Para desactivarlo totalmente haremos lo siguiente:
switchport mode:
- trunk: Pon el puerto en trunking permanente, DTP todavía envia paquetes.
- dynamic desirable (default): Activo
- dynamic auto: Pasivo
Para desactivarlo totalmente haremos lo siguiente:
switch(config-if)# switchport mode trunk
switch(config-if)# switchport nonegotiate
Voice QoS
switch(config)# mls qos
switch(config)# interface type mod/num
switch(config-if)# mls qos trust {cos | ip-precedence | dscp}
switch(config-if)# mls qos device cisco-phone
Sobreescribe o no el tag cos proveniente del puerto PC:
switch(config-if)# switchport priority extended {cos value | trust}
Switch Uplink port:
switch(config-if)# mls qos trus cos
Auto-QoS:
- Habilita QoS
- Mapping CoS-to-DSCP para los paquetes QoS marcados.
- Tuning colas de entrada y salida.
- Strict priority queues para el tráfico de voz saliente.
- Establece la interface como QoS trust boundary.
switch(config)# interface type mod/num
switch(config-if)# mls qos trust {cos | ip-precedence | dscp}
switch(config-if)# mls qos device cisco-phone
switch(config)# interface type mod/num
switch(config-if)# auto qos voip {cisco-phone | cisco-softphone | trust}
Nota: El teléfono es detectado por CPD
switch(config-if)# auto qos voip {cisco-phone | cisco-softphone | trust}
Port Security
switch(config)# interface fastethernet 0/1switch(config-if)# switchport access vlan VLAN
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security maximum max-addr
Para configurar entradas MACs de forma estática:
switch(config-if)# switchport port-security mac-address mac-addr
switch(config-if)# switchport port-security violation {shutdown | restrict | protect}
- Shutdown: Pone el puerto en estado Errdisable.
- Restrict: El puerto esta Up y denega todo el tráfico de la @MAC que viola la seguridad. Además envia traps y syslogs.
- Protect:
El puerto esta Up y denega todo el tráfico de la @MAC que viola la seguridad.
Port-Based Authentication (802.1X)
switch(config)# aaa new-model
switch(config)# radius-server host ip-addres [key string]
switch(config)# aaa authentication dot1x default group radius
switch(config)# dot1x system-auth-control
switch(config)# interface type mod/num
switch(config-if)# dot1x port-control {force-authorize | force-unauthorize | auto}
- force-authorize: No es necesaria la autenticación.
- force-unauthorize: El puerto siempre denega el acceso.
- auto: El puerto usa 802.1X para decidir el estado authorize o unauthorize.
EVITAR SPOOFING ATTACKS
Port-Based Authentication (802.1X)
switch(config)# aaa new-model
switch(config)# radius-server host ip-addres [key string]
switch(config)# aaa authentication dot1x default group radius
switch(config)# dot1x system-auth-control
switch(config)# interface type mod/num
switch(config-if)# dot1x port-control {force-authorize | force-unauthorize | auto}
switch(config)# radius-server host ip-addres [key string]
switch(config)# aaa authentication dot1x default group radius
switch(config)# dot1x system-auth-control
switch(config)# interface type mod/num
switch(config-if)# dot1x port-control {force-authorize | force-unauthorize | auto}
- force-authorize: No es necesaria la autenticación.
- force-unauthorize: El puerto siempre denega el acceso.
- auto: El puerto usa 802.1X para decidir el estado authorize o unauthorize.
EVITAR SPOOFING ATTACKS
DHCP Snooping
switch(config)# ip dhcp snoopingswitch(config)# ip dhcp snooping vlan vlan-id
Por defecto todas las interfaces estan en "untrusted", así que asignamos "trust" en la interface que tengamos conectado el servidor DHCP
switch(config)# interface type mod/num
switch(config-if)# ip dhcp snoooping trust
En las interfaces "untrusted" podemos limitar el número de paquetes DHCP request que aceptaremos en dicho puerto
switch(config)# interface type mod/num
switch(config-if)# ip dhcp snoooping limit rate rate
Habilitamos la opción-82. Está habilitada por defecto
switch(config)# ip dhcp snooping information option
IP Source Guard
Básicamente comprueva que todos los paquetes que llegan en un puerto:- Su @IP de origen se encuentra en la database DHCP snooping o que han sido introducidos de forma manual.
- Su @MAC de origen se encuentra en la database DHCP snooping y es idéntica a la aprendida por el puerto del switch.
Para los host que no utilizan DHCP, los introducimos de forma manual:
switch(config)# ip source binding mac-address vlan vlan-id ip-address interface type mod/num
Lo habilitamos en las interfaces:
Por defecto solo analiza la @IP de origen, pero con el comando port-security también analizará li @MAC de origen.
switch(config)# interface type mod/num
switch(config-if)# ip verify source [port-security]
Dynamic ARP Inspection (DAI)
Corresponde al ataque ARP poisoning o ARP spoofing.El switch inspecciona todos los paquetes ARP que llegan en un puerto untrusted, cuándo un ARP reply llega en un puerto "untrusted" el switch comprueba que la @MAC y la @IP del paquete pertenecen en la database DCHP Snooping o han sido introducidos de froma estática.
Habilitamos DAI:
switch(config)# ip arp inspection vlan vlan-range
Por defecto todos los puertos son considerados untrusted y inspeccionados.
switch(config)# interface type mod/num
switch(config-if)# ip arp inspection trust
Si tenemos hosts con direcciones IPs estáticas, hemos de definir un access-list MAC-IPs que seran permitidas:
switch(config)# arp access-list acl-name
switch(config-acl)# permit ip host sender-ip mac host sender-mac [log]
...
Aplicamos el ACL. El siguiente comando indica que primer ha de comprobar el ACL y en caso de no encontrar nada comprueba el DHCP binding database.
switch(config)# arp inspection filter staticARP-acl vlan vlan-range [static]
Para más validaciones podemos comprovar que el paquete ARP reply provenga realmente del propio interface:
- src-mac: @MAC origen Ethernet Header == sender@ MAC en ARP reply
- dst-mac: @MAC destino Ethernet Header == @MAC destino en ARP reply
- ip: @IP emisor todas peticiones ARP == @ IP destino en todos los ARP replies
switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}
SEGURIDAD EN VLANS
VLAN Access Lists
switch(config)# vlan access-map map-name [seq-number]switch(config-map)# match ip address {acl-number | acl-name}
switch(config-map)# match ipx address {acl-number | acl-name}
switch(config-map)# match mac address acl-name
switch(config-map)# action {drop | forward [capture] | redirect type mod/num }
switch(config)# valn filter map-name vlan-list vlan-list
Private VLANs
Escenarios a solventar:1. La VLAN de servidors ha de ser capaz de comunicarse con el gateway, pero cada servidor no tiene porque escuchar el tráfico broadcast que genera el otro.
2. Cada servidor tiener que estar aislado el uno con el otro pero todos ellos han de ser capaces de comunicarse con el gateway para alcanzar los clientes en otra VLAN.
3. Service Provider: Cada cliente necesita ser capaz de comunicarse con el gateway, pero no han de poder interactuar con los otros clientes.
En Private VLAN tenemos dos VLANs: primary y secondary.
Hosts que estan en una VLAN secundaria pueden comunicarse con la VLAN primaria, pero nunca con otra VLAN secundaria.
Tipos VLANs secundarias:
- Isolated: Un host asociado NO se puede comunicar con otro de la misma VLAN, pero puede alcanzar la VLAN primaria
- Community: Un host asociado se puede comunicar con otro host de la misma VLAN y con la VLAN primaria.
Port mode:
- Promiscuous (VLAN Primary): Se puede comunicar con cualquiera conectado en la VLAN primaria o secundaria.
- Host (VLAN Secundary): El host se puede puede ser isolated o community.
Configurar VLAN secundaria (hosts):
switch(config)# vlan vlan-id
switch(config-vlan)# private-vlan {isolated | community}
Configurar VLAN primaria (router):
switch(config)# vlan vlan-id
switch(config-vlan)# private-vlan primary
switch(config-vlan)# private-vlan association [add | remove] secondary-vlan-list
Asociamos los puertos con las vlans:
Puerto Host (server):
switch(config-if)# switchport mode private-vlan host
switch(config-if)# switchport private-vlan host-association primary-vlan-id secondary-vlan-id
Puerto promiscuous (router):
switch(config-if)# switchport mode private-vlan promiscuous
switch(config-if)# switchport private-vlan mapping primary-vlan-id [add | remove] secondary-vlan-list
Si la vlan primaria es SVI:
switch(config)# vlan vlan-id
switch(config-vlan)# private-vlan primary
switch(config-vlan)# private-vlan association secondary-vlan-list
switch(config)# interface vlan vlan-id
switch(config-if)# private-vlan mapping sencondary-vlan-list
Nota: No hemos de configurar la VLAN estática
No hay comentarios:
Publicar un comentario