Page 133 - Untitled
P. 133

CAPÍTULO 2: CONFIGURACIÓN DE SWITCHS CISCO

                          Fa0/3  (administratively  down/down),  el  cable  está  conectado  en  ambos
                            extremos,  pero  no  se  establece  el  enlace  debido  a  que  la  interfaz ha sido
                            deshabilitada  administrativamente  con  el  comando  shutdown.  Para
                            solucionarlo basta con ejecutar un no shutdown en ella.
                          El resto de interfaces no están cableadas en el Switch, por eso su estado es
                            “down/down”.


                       Otro comando útil para realizar esta misma tarea es show interfaces status, sin
                    embargo, su resultado tan solo muestra  el estado final del enlace  (not-connected,
                    connected  o  disabled)  omitiendo  los  detalles  de  línea  y  protocolo.  A  la  hora  de
                    resolver  incidencias  se  recomienda  el  uso  de  show  ip  interfaces  brief,  ya  que
                    proporciona información más detallada.

                    ASEGURAR LAS INTERFACES


                       A nivel de red, la seguridad puede y debe implementarse desde la capa 1 hasta la
                    7, siendo el switch el dispositivo ideal para llevar a cabo esta tarea en capa 2. Estos
                    permiten controlar a qué dispositivos se concederá, o no, acceso a la LAN, basándose
                    para ello en la dirección MAC.


                       El método llevado a cabo consiste en definir una lista de MACs permitidas, la cual
                    será  consultada  por  el  switch  cada  vez  que  un  dispositivo  conecte  a  través  de  la
                    interfaz, permitiendo su acceso o ejecutando alguna medida de seguridad sobre ella.
                    Por defecto,  una MAC  no permitida generará  la acción  de deshabilitar  la interfaz,
                    opción que puede ser modificada manualmente.


                       La lista puede crearse en relación con tres métodos:

                       De  manera  dinámica,  donde  se  establece  un  número  máximo  de  conexiones
                    permitidas. En este caso la interfaz aprende automáticamente las direcciones MAC
                    de los dispositivos en el mismo orden en que conectan a través de ella. Cuando se
                    supere el máximo configurado se genera una violación de seguridad.


                       De manera estática, donde se definen manualmente las direcciones  que  deben
                    ser permitidas en la interfaz. Cualquier conexión de algún dispositivo cuya MAC que
                    no pertenezca a la lista generará una violación de seguridad.


                       Por último, se puede optar por una combinación de ambos métodos. En este caso
                    se  deben  configurar  algunas  direcciones  estáticas,  mientras  que  el  resto  serán
                    aprendidas automáticamente. Por ejemplo, una interfaz con un máximo de 4 MACs

                    permitidas donde tan solo se asigna una manualmente.


                                                                                                          115
   128   129   130   131   132   133   134   135   136   137   138