CISCO: Configuración básica Switch

CISCO: Configuración básica Switch
  • Nos conectamos por medio del cable de consola, ingresamos al modo de configuración global
switch>enable
switch#configure terminal
switch(config)#
  • Cambiamos el nombre del switch y el dominio
switch(config)#hostname <NOMBRE DEL EQUIPO>
UGIT_2(config)#ip domain-name siua.ac.cr
  • Poner contraseña al modo Exec Privilegiado
UGIT_2(config)#enable secret <AA3>
  • Crear usuario y contraseña
UGIT_2(config)#username ugit privilege 15 secret <AdA0>
  • Poner contraseña al console line 0
UGIT_2(config)#console line 0
UGIT_2(config-line)#login local
  • Encryptar contraseñas
UGIT_2(config)#service password-encryption
  • Deshabilitar el acceso http y https
UGIT_2(config)#no ip http server
UGIT_2(config)#no ip http secure-server
  •  Desactivar la traducción de nombres de dominio
UGIT_2(config)#no ip domain-lookup
  • Poner IP a la Vlan Nativa y ****cambiar el numero de Vlan administrativa****
UGIT_2(config)#interface vlan 250
UGIT_2(config-if)#description INTERFAZ DE CONTROL <## ACTIVO ##>
UGIT_2(config-if)#IP ADDress <10.20.250.XX> 255.255.255.0
UGIT_2(config-if)#NO SHUTdown
  • Configurar el gateway
UGIT_2(config)#ip default-gateway 10.20.250.1
  • Se configura el VTP
UGIT_2(config)#Vtp domain UGIT
UGIT_2(config)#Vtp Password <AA3>
UGIT_2(config)#Vtp mode <Server,client,transparent>
  • Guardar la configuración
UGIT_2#copy running-config startup-config

Configuración de acceso SSH

  •  Se generan las claves de encryptacion, ha este punto ya deben estar configurados el nombre del host y el dominio
UGIT_2(config)#crypto key generate rsa

Se define la longitud en 2048

  • Se define el time-out, numero de intentos de login y version ssh la 2 es más segura
UGIT_2(config)#ip ssh version 2
UGIT_2(config)#ip ssh authentication-retries 2
UGIT_2(config)#ip ssh time-out 120
UGIT_2(config)#ip ssh port 6573 rotary 1 --> algunos catalyst 2960 no permiten cambiar el puerto ssh
UGIT_2(config)#ip ssh source-interface Vlan250
  • Lista de acceso para bloquear el ssh en el puerto 22 (Solo para equipos que permiten cambiar el puerto ssh)
UGIT_2(config)#ip access-list extended DENY_SSH_PORT_22
UGIT_2(config-ext-nacl)#deny tcp any any eq 22
UGIT_2(config-ext-nacl)#deny udp any any eq 22
UGIT_2(config-ext-nacl)#permit tcp any any
UGIT_2(config-ext-nacl)#permit udp any any
  • Configuración de las lineas VTY
UGIT_2(config)#line vty 0 15
UGIT_2(config-line)#transport input ssh 
UGIT_2(config-line)#login local 
UGIT_2(config-line)#access-class DENY_SSH_PORT_22 in --> Solo equipos que permiten cambiar el puerto ssh
UGIT_2(config-line)#rotary 1                         --> Solo equipos que permiten cambiar el puerto ssh
  • Se aplica la lista de acceso en la interfaz de control —> Solo equipos que permiten cambiar el puerto ssh
UGIT_2(config)#interface vlan250
UGIT_2(config-if)#ip access-group DENY_SSH_PORT_22 in
  • Guardar la configuración
UGIT_2#copy running-config startup-config

Ayudas:
who muestra las lineas con conexiones activas
show ip ssh muestra la configuración de ssh

Configuración de SNMPv3

  • Se habilitará SNMP V3, authPriv (Autenticacion SHA y Encryptacion AES 128-bit)
UGIT_2(config)#snmp-server engineID local <F24012018F> (F-DD/MM/AAAA-F) ---> debe ser almenos 10 números HEXADECIMALES 
UGIT_2(config)#snmp-server group SIUA v3 priv
UGIT_2(config)#snmp-server user ugit SIUA v3 auth sha <CA2> priv aes 128 <AdA0>
  • Guardar la configuración
UGIT_2#copy running-config startup-config