- Nos conectamos por medio del cable de consola, ingresamos al modo de configuración global
switch>enable
switch#configure terminal
switch(config)#
- Cambiamos el nombre del switch y el dominio
switch(config)#hostname <NOMBRE DEL EQUIPO>
UGIT_2(config)#ip domain-name siua.ac.cr
- Poner contraseña al modo Exec Privilegiado
UGIT_2(config)#enable secret <AA3>
- Crear usuario y contraseña
UGIT_2(config)#username ugit privilege 15 secret <AdA0>
- Poner contraseña al console line 0
UGIT_2(config)#console line 0
UGIT_2(config-line)#login local
- Encryptar contraseñas
UGIT_2(config)#service password-encryption
- Deshabilitar el acceso http y https
UGIT_2(config)#no ip http server
UGIT_2(config)#no ip http secure-server
- Desactivar la traducción de nombres de dominio
UGIT_2(config)#no ip domain-lookup
- Poner IP a la Vlan Nativa y ****cambiar el numero de Vlan administrativa****
UGIT_2(config)#interface vlan 250
UGIT_2(config-if)#description INTERFAZ DE CONTROL <## ACTIVO ##>
UGIT_2(config-if)#IP ADDress <10.20.250.XX> 255.255.255.0
UGIT_2(config-if)#NO SHUTdown
- Configurar el gateway
UGIT_2(config)#ip default-gateway 10.20.250.1
- Se configura el VTP
UGIT_2(config)#Vtp domain UGIT
UGIT_2(config)#Vtp Password <AA3>
UGIT_2(config)#Vtp mode <Server,client,transparent>
- Guardar la configuración
UGIT_2#copy running-config startup-config
Configuración de acceso SSH
- Se generan las claves de encryptacion, ha este punto ya deben estar configurados el nombre del host y el dominio
UGIT_2(config)#crypto key generate rsa
Se define la longitud en 2048
- Se define el time-out, numero de intentos de login y version ssh la 2 es más segura
UGIT_2(config)#ip ssh version 2
UGIT_2(config)#ip ssh authentication-retries 2
UGIT_2(config)#ip ssh time-out 120
UGIT_2(config)#ip ssh port 6573 rotary 1 --> algunos catalyst 2960 no permiten cambiar el puerto ssh
UGIT_2(config)#ip ssh source-interface Vlan250
- Lista de acceso para bloquear el ssh en el puerto 22 (Solo para equipos que permiten cambiar el puerto ssh)
UGIT_2(config)#ip access-list extended DENY_SSH_PORT_22
UGIT_2(config-ext-nacl)#deny tcp any any eq 22
UGIT_2(config-ext-nacl)#deny udp any any eq 22
UGIT_2(config-ext-nacl)#permit tcp any any
UGIT_2(config-ext-nacl)#permit udp any any
- Configuración de las lineas VTY
UGIT_2(config)#line vty 0 15
UGIT_2(config-line)#transport input ssh
UGIT_2(config-line)#login local
UGIT_2(config-line)#access-class DENY_SSH_PORT_22 in --> Solo equipos que permiten cambiar el puerto ssh
UGIT_2(config-line)#rotary 1 --> Solo equipos que permiten cambiar el puerto ssh
- Se aplica la lista de acceso en la interfaz de control —> Solo equipos que permiten cambiar el puerto ssh
UGIT_2(config)#interface vlan250
UGIT_2(config-if)#ip access-group DENY_SSH_PORT_22 in
- Guardar la configuración
UGIT_2#copy running-config startup-config
Ayudas:
who muestra las lineas con conexiones activas
show ip ssh muestra la configuración de ssh
Configuración de SNMPv3
- Se habilitará SNMP V3, authPriv (Autenticacion SHA y Encryptacion AES 128-bit)
UGIT_2(config)#snmp-server engineID local <F24012018F> (F-DD/MM/AAAA-F) ---> debe ser almenos 10 números HEXADECIMALES
UGIT_2(config)#snmp-server group SIUA v3 priv
UGIT_2(config)#snmp-server user ugit SIUA v3 auth sha <CA2> priv aes 128 <AdA0>
- Guardar la configuración
UGIT_2#copy running-config startup-config