Você está na página 1de 19

Recomendaciones de configuracin en redes LAN

Versin: 1.0 Publicado en febrero de 2013 Marratx, Mallorca, Espaa

Este manual es obra propia del autor y no est protegido por DRM.

Autor: Andrs Adrover Llins http://configuro.blogspot.com recomendaciones.lan@gmail.com Agradecimientos: A mi mujer, por soportarme cada da a m y a mi trabajo.

Este manual se distribuye de forma gratuita por el autor. Si crees que este manual te ha sido de ayuda puedes hacer una donacin a mi cuenta PayPal. No me har rico pero si veo que hay inters me animar a seguir con otros manuales. Cuenta PayPal: recomendaciones.lan@gmail.com

https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=XW6ZU8GMMT674

Reconocimiento No Comercial Sin Obra Derivada (by-nc-nd) No se permite un uso comercial de la obra original ni la generacin de obras derivadas.

Hewlett-Packard, HP, Procurve y sus derivados son marcas comerciales que pertenecen a sus legtimos propietarios. PayPal, VISA, Maestro, AmericanExpress, etc., sus nombres, marcas comerciales y logos son propiedad de sus legtimos propietarios. 2/19

NDICE Introduccin ......................................................................................................................................... 5 Trabajos previos ................................................................................................................................... 6 Limpiar configuraciones previas de los equipos .............................................................................. 6 Actualizar firmware a la ltima versin ........................................................................................... 6 Configuraciones bsicas ....................................................................................................................... 8 Definir Hostname ............................................................................................................................. 8 Definir contraseas de acceso .......................................................................................................... 8 Definir servidores DNS .................................................................................................................... 8 Definir los servidores horarios ......................................................................................................... 9 Definir zona horaria ..................................................................................................................... 9 Envo de logs a servidor remoto ...................................................................................................... 9 Definir un mensaje de bienvenida .................................................................................................. 10 Configuraciones de seguridad ............................................................................................................ 11 Securizacin de los equipos de red ................................................................................................ 11 Limitar el acceso remoto a los equipos ...................................................................................... 11 Sustituir telnet por ssh ................................................................................................................ 11 Sustituir http por https ................................................................................................................ 11 Limitar acceso SNMP ................................................................................................................ 11 Securizacin de la red .................................................................................................................... 12 Proteccin frente a equipos de red no controlados .................................................................... 12 Control de paquetes BPDU .................................................................................................... 12 Control del nmero de equipos conectados ........................................................................... 13 Evitar servidores DHCP no autorizados .................................................................................... 13 Virus Throttling .......................................................................................................................... 14 Configuraciones L2 ............................................................................................................................ 15 Configuracin bsica de interfaces ................................................................................................ 15 Descripcin ................................................................................................................................ 15 Definir parmetros de velocidad y modo ................................................................................... 15 Agregacin de enlaces ............................................................................................................... 15 Seleccin del protocolo de Spanning Tree ..................................................................................... 16 VLAN............................................................................................................................................. 16 DHCP Relay ............................................................................................................................... 16 Configuraciones L3 ............................................................................................................................ 18 Configurar direccionamiento IP en VLAN .................................................................................... 18 Activar default-gateway ................................................................................................................. 18 Activar enrutamiento IP ................................................................................................................. 18 Rutas estticas ................................................................................................................................ 18 3/19

Apndice A: Password Recovery ....................................................................................................... 19

4/19

Introduccin
sta es la versin 1.0 del manual. En este manual de recomendaciones de configuraciones intentar plasmar unas recomendaciones asociadas con la planificacin, configuracin y despliegue de equipos en una red LAN. Este manual est basado en mi experiencia y no pretende ser ms que una serie de recomendaciones generales que si bien creo que pueden ser tiles en la gran mayora de instalaciones no son la solucin perfecta para todas las situaciones. En ocasiones hay topologas, configuraciones, o simplemente se ha heredado la red con una solucin previa que hace que no sean posibles todas las recomendaciones e incluso puede que alguna sea contraproducente. Es importante adaptar estas recomendaciones a la poltica de la empresa, o en caso de no existir intentar plasmar una poltica genrica en base a las recomendaciones habituales. Si bien este manual trata de polticas y configuraciones generales, normalmente disponibles en la mayora de equipos avanzados de los diferentes fabricantes, todos los ejemplos y comandos de este documento hacen referencia a switches HP Procurve de la serie E. Para conocer los comandos equivalentes para otro fabricante habr que remitirse a la documentacin de dicho fabricante.

Si veis algn error o problema por favor poneros en contacto y lo corregir: recomendaciones.lan@gmail.com.

5/19

Trabajos previos
Antes de realizar cualquier configuracin en los equipos limpiaremos los equipos de cualquier configuracin que pudieran llevar (equipos reutilizados, probados en laboratorio, etc.) de tal forma que evitemos problemas al conectarlos a nuestra red productiva. Peridicamente los fabricantes van publicando nuevo software para mejorar o ampliar el funcionamiento de los equipos por lo que es conveniente que si aadimos un equipo a nuestra red est lo ms actualizado posible. Si bien es recomendable actualizar los nuevos equipos a la ltima versin estable recomendada por el fabricante algunos administradores prefieren unificar la planta de equipos de tal forma que los nuevos switches aadidos a una red lleven la misma versin de firmware que el resto. En caso de no poder conectarnos al equipo por desconocer la contrasea aplicaramos el procedimiento de Password Recovery que se detalla como Anexo de este documento.

Limpiar configuraciones previas de los equipos


En este punto vaciaremos los equipos de toda configuracin que pudieran llevar para prepararlos para recibir nuestra configuracin.

Switch_HP# erase startup-config


Este comando borra la configuracin de arranque del switch y lo reinicia. Una vez reiniciado est tal cual sali de fbrica. ATENCIN: Este comando no tiene vuelta atrs. Una vez ejecutado se pierde toda la configuracin que hubiera en el equipo.

Actualizar firmware a la ltima versin


Los fabricantes publican regularmente nuevas versiones del software que hace funcionar los equipos para aadir nuevas funcionalidades y resolver errores. Es conveniente que nuestra empresa tenga una poltica de actualizacin peridica del firmware de los equipos de red. Esta poltica puede indicar que al aadir un nuevo equipo a nuestra red ste deba estar totalmente actualizado o bien con la misma versin de los equipos ya existentes, por lo que optaremos por actualizar al firmware que recomiende nuestra poltica. Para actualizar un equipo descargamos la versin de firmware adecuada a un servidor tftp desde donde lo subiremos al switch. En los equipos HP disponemos de dos memorias flash diferenciadas. Normalmente los equipos arrancan utilizando la informacin de la memoria principal quedndose la secundaria como backup. Como medida de seguridad al actualizar un switch cargaremos primero el firmware en la flash secundaria y forzaremos un reinicio usando esta memoria. Si todo va bien en el arranque posteriormente copiaremos el firmware a la memoria flash principal para que quede el equipo listo para entrar en produccin.

Switch_HP#copy tftp flash 10.100.100.10 R_11_72.swi secondary The secondary OS Image will be deleted, cntinue [y/n]? y

En este momento se cargar en la memoria secundaria y se comprobar la integridad del firmware. Una vez terminado forzamos el reinicio del equipo usando la flash secundaria.

6/19

Switch_HP#boot system flash secondary Device will be rebooted, do you want to continue [y/n]? y Do you want to save current configuration [y/n]? y
Tras el reinicio del switch podremos comprobar que todo haya ido bien y se haya cargado el firmware correctamente copiamos el firmware a la memoria principal. En caso de cualquier problema simplemente desenchufamos el equipo y simplemente arrancar con el firmware que tena antes (ya que siempre hemos trabajado sobre la memoria flash secundaria).

Switch_HP#copy flash flash primary Switch_HP#boot

7/19

Configuraciones bsicas
En este apartado veremos algunas configuraciones bsicas necesarias para el correcto funcionamiento de los equipos. Considero como configuracin bsica aquella que nos permitir conectarnos al equipo y prepararlo para la integracin en nuestra red.

Definir Hostname
Por experiencia recomiendo que el nombre del equipo sea descriptivo de la ubicacin o del rea al que da servicio. Si estamos en un edificio de varias plantas el nombre debera indicar en qu planta est para facilitar su localizacin en caso de necesidad. Si nuestra red dispone de diferentes ubicaciones fsicas tambin debe quedar aclarado en el nombre. Lo ideal es un nombre tal que slo con ese dato ya conozcamos su ubicacin exacta y qu servicios estaran afectados por un fallo de este equipo. Supongamos que tenemos dos oficinas en sendas ciudades (Madrid y Barcelona, por ejemplo), una de ellas cuenta con dos plantas (pisos 3 y 4 de un edificio de oficinas). La nomenclatura podra ser: CIUDAD-PLANTA-NUMERO_DE_SWITCH-DEPARTAMENTO: BCN-P3-SW02-RRHH o MAD-P0SW03-CONT (CONT = Contabilidad). En caso de tener infraestructura compartida por diferentes empresas podra ser interesante indicar un cdigo de empresa en el nombre del equipo.

Switch_HP(config)#hostname BCN-P4-SW01-DIR

Definir contraseas de acceso


En este punto es importante seguir la poltica de contraseas que hubiera en nuestra empresa (longitud, uso de caracteres especiales, etc.). Inicialmente pondremos contraseas locales, si bien existe la posibilidad de usar servidores Radius externos no entraremos a explicarlos en este manual. En los switches HP hay dos usuarios con sus respectivos privilegios de ejecucin. El usuario operator slo tiene una visibilidad parcial de los equipos mientras que el manager tiene acceso completo al equipo y puede realizar cualquier configuracin. Para cambiar la contrasea local simplemente ejecutaremos el comando password seguido del usuario que queramos modificar, o de all si queremos cambiar ambas contraseas a la vez.

Switch_HP(config)#password operator New password: ***** Repeat new password: ***** Switch_HP(config)#password manager New password: ******* Repeat new password: *******

Definir servidores DNS


Si queremos que nuestros equipos resuelvan los nombres de otros equipos de la corporacin para facilitarnos la resolucin de incidencias es aconsejable configurar la resolucin de nombres. Para esta configuracin indicaremos cules son nuestros servidores de nombres (DNS) y el sufijo predeterminado que deber usarse para la resolucin.

Switch_HPconfig)# ip dns server-address priority 1 10.10.10.14 8/19

Switch_HP(config)# ip dns domain-name EMPRESA.COM


Con esta configuracin cuando nuestro equipo necesite resolver un nombre acudir al servidor 10.10.10.14 y en caso de no ser un nombre completo aadir el dominio por defecto (empresa.com). Ejemplo: Si hacemos ping configuro.blogspot.com el equipo pedir al servidor 10.10.10.14 por la IP correspondiente. Si hacemos ping configuro el equipo solicitar al servidor la direccin IP de configuro.empresa.com.

Definir los servidores horarios


Cuando tenemos varios equipos en nuestra red es interesante que todos ellos tengan sus relojes sincronizados contra el mismo servidor de hora ya que nos permitir conocer el estado de los equipos en el mismo momento en caso de alguna incidencia. Cuando revisemos los logs de los equipos es importante poder compararlos sabiendo que todos los equipos estn sincronizados. Si en nuestra organizacin no hubiera servidores horarios (Network Time Protocol) es posible utilizar servidores pblicos (p.e. http://www.pool.ntp.org/es/). En los switches HP hay que configurar el protocolo SNTP (Simple Network Time Protocol) para posteriormente aplicarlo en el equipo:

Switch_HP(config)#sntp server 10.10.10.10 Switch_HP(config)#sntp server pool.ntp.org Switch_HP(config)#sntp unicast Switch_HP(config)#timesync sntp Definir zona horaria
Es posible que el servidor con el que sincronicemos nuestros equipos est dando la hora en UTC, por lo que si vivimos en una zona donde la hora oficial tiene horarios diferentes en verano e invierno y nos interesa que nuestros equipos indiquen la hora local, hay que indicarles que zona horaria usar. Si nuestra infraestructura utiliza equipos de diferentes fabricante que no tengan las mismas opciones de control horario quizs lo ms recomendable es que todos los equipos trabajen en UTC. Las opciones predefinidas en los equipos HP Procurve son: none alaska continental-us-and-canada middle-europe-and-portugal southern-hemisphere western-europe user-defined

Switch_HP(config)# time daylight-time-rule western-europe

Envo de logs a servidor remoto


Cuando tenemos que revisar los logs de varios equipos o simplemente necesitamos saber qu pasaba en un equipo justo antes de perder la conexin es interesante tener un registro de logs centralizado de

9/19

tal forma que en este servidor remoto tengamos los logs de todos los equipos de red usando el protocolo syslog. Para ello simplemente deberemos indicar al switch donde enviar los logs.

Switch_HP(config)#logging 10.10.10.11

Definir un mensaje de bienvenida


Para evitar accesos no deseados es interesante configurar un mensaje de bienvenida donde se indique que se est accediendo a un equipo privado, cosa prohibida, y que dicho acceso quedar registrado. Igualmente por temas jurdicos es interesante que el texto de bienvenida indique el nombre de la empresa y una forma de contacto (e-mail, telfono, etc.). Este mensaje de bienvenida puede servir para desanimar a usuarios locales inquietos, si bien obviamente no evitar que alguien realmente interesado intente acceder. En los equipos HP Procurve este mensaje aparecer tanto en los accesos por consola (telnet, ssh) como por web (http, https). Para definir nuestro mensaje de bienvenida hay que indicar un carcter comodn de fin de mensaje (carcter que no deber estar incluido en el texto del mensaje).

Switch_HP(config)#banner motd # ******************************************************* ** Esta maquina es privada por lo que ** ** si no esta autorizado cierre su conexion ** ** DEPARTAMENTO DE REDES ** ** EMPRESA - TELEFONO ** ******************************************************* #

10/19

Configuraciones de seguridad
En este apartado veremos algunas configuraciones que permitirn securizar nuestra red tanto desde el punto de vista de los propios equipos de red como algunas configuraciones que protegeran nuestra infraestructura de algunos ataques maliciosos.

Securizacin de los equipos de red


En estos apartados veremos configuraciones para securizar el acceso a los propios equipos de red. Estas configuraciones mnimas deberan ser adoptadas en todos los equipos salvo que haya una razn poderosa.

Limitar el acceso remoto a los equipos


Es importante limitar el acceso a la gestin de nuestros equipos de red de tal forma que slo se acepten conexiones originadas desde uno de los ordenadores del departamento de gestin de redes o los sistemas de monitorizacin, evitando as el acceso a los equipos de red por personal no autorizado. Para los equipos HP se sigue una estrategia simple: se identifican aquellas direcciones IP (o subredes) a las que permitimos el acceso.

Swith_HP(config)#ip authorizad-managers 10.10.10.0 255.255.255.192 Swith_HP(config)#ip authorizad-managers 10.20.10.0 255.255.255.192 Sustituir telnet por ssh
En la configuracin por defecto el acceso por consola a los switches se realiza usando el protocolo telnet. Con dicho acceso remoto a la consola toda la informacin viaja en claro por la red por lo que sera susceptible de ser interceptada, incluyendo las contraseas. Por ello es altamente recomendable sustituir el protocolo telnet por el protocolo ssh que, dando la misma funcionalidad, establece una conexin cifrada entre nuestro ordenador y los equipos. Para ello deberemos crear una clave criptogrfica y aplicarla al protocolo ssh. Una vez habilitado, configurado y probado el nuevo acceso securizado podemos eliminar el acceso en claro va telnet.

Swith_HP(config)#crypto key generate ssh Swith_HP(config)#ip ssh Swith_HP(config)#no telnet-server Sustituir http por https
Los switches modernos permiten su gestin a travs de un pequeo servidor web interno. Igualmente deberamos securizar el acceso a esta web de gestin por lo que se sustituir el acceso en plano por el acceso a la cifrado https. Para activar el acceso cifrado deberemos crear la clave criptogrfica adecuada activar el nuevo servidor https. Una vez comprobemos que todo funciona desactivaremos el servidor en claro.

Switch_HP(config)#crypto key generate cert 1024 Switch_HP(config)#web-management ssl Switch_HP(config)#no web-management plaintext Limitar acceso SNMP
El protocolo SNMP nos permite monitorizar y gestionar nuestros equipos. Este protocolo nos permite

11/19

recibir una gran informacin de los equipos e incluso, si est configurado, podemos realizar gestiones remotas por lo que debemos proteger el acceso a nuestros equipos usando este protocolo. La securizacin de este protocolo se basa en la creacin de diferentes comunidades y la identificacin de aquellos servidores que estn autorizados a realizar peticiones a nuestros equipos. Hay que asegurarse de que los equipos que aqu definamos tambin estn incluidos en la configuracin de ip authorized-managers. El estndar, RFC1157, indica la existencia de una comunidad de slo lectura estndar: public. El primera paso para la securizacin es eliminar esta comunidad y crear nuestra propia. Si slo nos interesa monitorizar los equipos es preferible crear comunidad de slo lectura.

Switch_HP(config)#no snmp-server community public Switch_HP(config)#snmp-server community empresa-sl manager restricted Switch_HP(config)#snmp-server host 10.10.10.5 community empresa-ls Switch_HP(config)#ip authorized-managers 10.10.10.5 255.255.255.255

Securizacin de la red
En esta seccin veremos algunas configuraciones que para proteger nuestra red y evitar algunos tipos de ataques a la infraestructura de la empresa. A diferencia de las configuraciones de seguridad anteriores las siguientes opciones nos permiten dificultar ataques maliciosos contra la estabilidad de la propia red o la informacin que circule por la misma.

Proteccin frente a equipos de red no controlados


Para asegurar la estabilidad de nuestra red es importante detectar cuando alguien conecta a una toma un hub o un switch que no es gestionado por el departamento de redes. Estos problemas son ms comunes de lo que pueda parecer: un problema comn son las salas de reuniones donde por muchas tomas de red que haya siempre hay ms usuarios que tomas. Los switches interaccionan entre s y aprenden de la red mediante el envo y recepcin de trfico BPDU y por lo tanto detectando dicho trfico podremos localizar equipos no gestionados. Para detectar aquellos concentradores no inteligentes que no envan trfico BPDU localizaremos aquellas interfaces de red con demasiados ordenadores conectados.

Control de paquetes BPDU


Los switches se comunican entre s con paquetes del tipo BPDU, por lo que si detectamos trfico de este tipo en una toma de usuario podemos saber que han conectado un switch. El protocolo de Spanning-Tree que conforma una red estable utiliza estos paquetes para enviar la informacin necesaria. Es muy comn que cuando se conecta un nuevo switch a la red se recalcule todo el rbol de topologa por lo que mientras duran estos clculos la red se vuelve inestable. En los switches HP Procurve hay dos opciones para controlar el trfico BPDU que circula por cada una de las interfaces de switch. Obviamente no debemos evitar el trfico BPDU en aquellas interfaces de interconexin con el resto de switches de la red, ya que precisamente son aquellas que nos dan la conectividad entre equipos. Bpdu-filter Con esta opcin indicamos al switch que sobre esa interfaz se debe ignorar todo trfico BPDU que pudiera llegar y adems evitamos transmitir este tipo de trfico que origina nuestro equipo. Con esta opcin evitamos que un switch desconocido tenga constancia de nuestra red. Esta opcin nos permite no dar informacin de nuestra red a ningn equipo nuevo que pudiera conectarse.

12/19

Bpdu-protection Esta opcin indica al equipo que en caso de recibir trfico BPDU en una interfaz en concreto la bloquee. De esta forma podemos aislar un switch no controlado evitando que pueda afectar a la estabilidad de nuestra red. Al bloquearse la toma todos los equipos que cuelguen de ella quedan sin red por lo que hay que vigilar de no aplicarlo en las interfaces de interconexin o nos bloquearamos a nosotros mismos. En los equipos HP Procurve ambas opciones pueden activarse conjuntamente o por separado.

Switch_HP(config)#spanning-tree 10 bpdu-filter Switch_HP(config)#spanning-tree 11 bpdu-protection Switch_HP(config)#spanning-tree 12 bpdu-filter bpdu-protection Control del nmero de equipos conectados
Los concentradores (hubs) no se comunican con otros equipos de la red por lo que no se detectara trfico BPDU en caso de que alguien conectara alguno en nuestra red. La forma de detectarlo es controlar el nmero mximo de equipos que pueden estar conectados simultneamente en una toma en concreto. Para ellos activaremos un sistema de proteccin que bloquee la toma cuando se superen un nmero mximo de direcciones MAC simultneas en una toma. Tenemos que tener en cuenta que en caso de usar telfonos IP hardware cada puesto de trabajo usar dos direcciones MAC: la del telfono y la del ordenador. Tambin hay que tener en cuenta que las mquinas virtuales (VMWARE, VirtualBox, etc.) que tengan acceso a la red usan una direccin MAC extra. En este ejemplo configuramos la interfaz 26 para que aprenda un mximo de 2 direcciones MAC en dicha interfaz y en caso de superar ese nmero bloquee la toma:

Switch_HP(config)# port-security 26 learn-mode limited-continuous address-limit 2 action senddisable Evitar servidores DHCP no autorizados
Para los ataques tipo man-in-the-middle es muy til activar un servidor DHCP que suplante el servicio oficial. Un servidor DHCP malicioso puede hacer que todo el trfico de nuestra red se enve a un equipo donde un sniffer lo capture y analice. Para evitarlo definiremos en los equipos de red cules son los servidores DHCP oficiales y por qu boca del switch podemos recibir los paquetes de presentacin de los mismos. Es importante permitir el trfico de DHCP en todas las interfaces de interconexin entre switches y en aquellas en las que estn conectados los servidores oficiales. Para ello habilitaremos el protocolo dhcp-snooping indicando las direcciones IP de los servidores oficiales. En caso de recibir trfico de configuracin DHCP desde una direccin distinta a las registradas generar una entrada en los logs del equipo. Una vez definidos los servidores DHCP indicaremos al equipo por qu interfaces recibiremos las respuestas a las peticiones DHCP. Es importante asegurarnos que toda toma de interconexin tenga habilitado este servicio ya que no podemos conocer a priori la estructura de spanning-tree en un momento dado.

Switch_HP(config)#dhcp-snooping authorized-server 10.10.11.11 Switch_HP(config)#dhcp-snooping authorized-server 10.10.11.12 Switch_HP(config)#interface Trk15 Switch_HP(config-if)# dhcp-snooping trust 13/19

Virus Throttling
HP Procurve dispone de un sistema de deteccin de posible malware denominado Virus Throttling. Este sistema se basa en el comportamiento infeccioso de malware que pretende su propia propagacin y la infeccin de otros equipos en la red. Para detectar este trfico anmalo un equipo HP que gestione el enrutamiento de la red local detectar si hay algn equipo que solicite enrutamiento un nmero excesivo de veces. Debido al funcionamiento de deteccin que se basa en la deteccin de un enrutamiento excesivo, no se detectara un malware que se quedara en su segmento de red y slo sera visible cuando intentar acceder a equipos en otros segmentos que necesiten enrutamiento. Cuando un equipo detecte que un equipo de la red sobrepasa los umbrales de deteccin ejecutar una de las tres opciones posibles: notificarlo, bloquearlo temporalmente o bloquearlo definitivamente. Esta capacidad no est disponible en todas las series de equipos por lo que en caso de querer usarlo habr que confirmar en los Datashhets si la funcionalidad est accesible.

14/19

Configuraciones L2
En este apartado iremos desarrollando diferentes configuraciones de capa 2 para la conexin entre equipos de nuestra red.

Configuracin bsica de interfaces


Descripcin
En los equipos podemos poner una nombre identificativo a las interfaces de tal forma que nos faciliten la lectura de los ficheros de configuracin y agilizar las resolucin de incidencias. Es aconsejable identificar todas aquellas interfaces de interconexin entre equipos de nuestra red (switches, routers, puntos wifi, etc.) y las que consideremos importantes (servidores, etc.). Al ser esta descripcin esttica no es til identificar los puestos de usuario o impresoras que pueden moverse. La descripcin de las interfaces puede ayudarnos en la resolucin de las incidencias siempre y cuando la informacin se fiable (sera aconsejable una revisin semestral) y limitada. El hecho de identificar todas y cada una de las interfaces slo har que nuestra configuracin engorde y se oculten las interfaces interesantes. Es importante pues usar esta facilidad con moderacin.

Switch_HP(config)#interface 50 Switch_HP(config-if)#name Enlace-CORE Switch_HP(config)#interface 1 Switch_HP(config-if)#name Servidor-DNS

Definir parmetros de velocidad y modo


Es conveniente dejar los parmetros en auto-negociacin, si bien es posible que al conectar algn equipo (routers antiguos, etc.) nos de problemas y debamos forzar la velocidad y modo de la toma en concreto. En caso de problemas de 'duplex mismatch' veremos entradas en los logs del equipo por lo que es un problema fcilmente detectable. La velocidad de una interfaz puede ser de 10, 100 o 1000 Mbps. El modo de funcionamiento slo puede ser half-duplex o full-duplex. Para conocer las opciones aceptadas por el equipo simplemente interrogaremos al comando.

Switch_HP(config)#interface 1 Switch_HP(eth-1)# speed-duplex 10-half 10 Mbps, half duplex. 100-half 100 Mbps, half duplex. 10-full 10 Mbps, full duplex. 100-full 100 Mbps, full duplex. 1000-full 1000 Mbps, full duplex. auto Use Auto Negotiation for speed and duplex mode. auto-10 10 Mbps, use Auto Negotiation for duplex mode. auto-100 100 Mbps, use Auto Negotiation for duplex mode. auto-1000 1000 Mbps, use Auto Negotiation for duplex mode. Switch_HP(eth-1)# Agregacin de enlaces
Los equipos modernos nos permiten configurar varias tomas de red para que trabajen como una sola.

15/19

De esta manera podemos ampliar la capacidad de trfico (se suman las capacidades de las diferentes tomas) o dar redundancia a algn enlace (importante en troncales de bajada, unin entre edificios, etc.). Para ellos deberemos configurar las dos interfaces fsicas exactamente igual (VLAN, speed-duplex, etc.) y posteriormente generar la agregacin de enlaces con el comando trunk donde indicaremos qu interfaces queremos usar y el nombre del nuevo enlace (por convencin TrkX donde X es el nmero identificador). Si bien los identificadores TrkX se usan nicamente en la configuracin local del switch y la nica regla es que no puede haber dos agregaciones con el mismo nombre en un equipo dado, recomiendo que la agregacin en enlaces tenga el mismo nombre en los dos switches de cada extremo. De esta forma la lectura de las configuraciones es ms fcil y se agiliza la resolucin de incidencias.

Switch_HP(config)#trunk A1,B1 Trk1 trunk

Seleccin del protocolo de Spanning Tree


El protocolo Spanning Tree protege a la red de bucles que podran ocasionar problemas (sobre todo en la gestin de trfico broadcast y multicast). Existen varias versiones de este protocolo que los equipos pueden utilizar. Para evitar inconsistencias es conveniente que todos los equipos de nuestra red utilicen la misma versin del protocolo sobretodo si tenemos equipos de diferentes fabricantes. Para seleccionar la versin de protocolo a utilizar en nuestros equipos HP Procurve simplemente elegiremos la opcin que aplique:

Switch_HP(config)# spanning-tree protocol-version stp The IEEE-802.1d standard version of spanning tree rstp The IEEE-802.1w standard version of spanning tree mstp The IEEE-802.1s standard version of spanning tree

VLAN
Se deben definir VLAN segn las necesidades de nuestra red. Puede que nos interese separar la red Wifi y sus puntos de accesos de nuestra red productiva (p.e. la red Wifi de un hotel no debera tener acceso a la red productiva del mismo, slo salida a Internet), puede que hayamos optado por tener un direccionamiento y calidad de servicio especficos para la telefona IP, etc. Adems de las redes productivas es interesante tener una VLAN especfica, con un direccionamiento IP especfico, para la gestin de nuestros equipos de red. El hecho de tener una VLAN de gestin diferenciada de la de usuarios es un punto de seguridad para nuestra red ya que los usuarios normales no tienen visibilidad directa de los equipos. Adems esta VLAN especfica nos permitira la securizacin de accesos va ACL. Los equipos pueden tener un nmero mximo de VLAN por lo que debemos confirmar que el equipo elegido para nuestra red tiene la capacidad adecuada.

Switch_HP(config)#vlan 55 Switch_HP(config-vlan)#name Servidores DHCP Relay


El protocolo DHCP permite la configuracin remota de la configuracin de direccin IP y algunas opciones extras a los equipos de nuestra red. Para ello cuando un equipo necesita conectarse a la red simplemente manda un paquete broadcast a todos los equipos de su red. Si dicho paquete llega a un

16/19

servidor DHCP le responde directamente al equipo con la informacin necesaria para conectarse y empezar a trabajar en la red. La principal limitacin de este procedimiento es que supone una visibilidad directa entre el equipo solicitante y el servidor DHCP. Este requerimiento obligara a disponer de un servidor DHCP en todos y cada uno de los segmentos de nuestra red. Si nuestra red dispone de 5 VLAN necesitaramos tener definidos 5 servidores. Si hablamos de una red con oficinas remotas deberamos, al menos, tener 1 servidor en cada base con la multiplicacin de problemas y trabajos de gestin. Para los administradores de red es preferible tener un nico servidor DHCP por base, o incluso centralizar toda la gestin en un nico servicio para toda la compaa. Para permitir que un equipo dentro de una VLAN determinada, donde no hay servidor DHCP propio, pueda recibir la informacin necesaria simplemente deberemos indicar a qu servidor DHCP hay que redireccionar las peticiones dentro de la configuracin de la VLAN correspondiente. Obviamente el switch deber tener la configuracin de enrutamiento necesaria para poder alcanzar dicho servidor. Si bien esta configuracin puede realizarse en cualquier equipo que tenga la VLAN definida para simplificar la configuracin y facilitar la resolucin de problemas es aconsejable realizar esta configuracin nicamente en los equipos CORE de red de cada base.

Switch_HP(config)#vlan 55 Switch_HP(config-vlan)#ip helper-address 10.11.12.13

17/19

Configuraciones L3
Configurar direccionamiento IP en VLAN
Es importante configurar al menos una direccin IP en cada equipo. Es necesario tener una direccin IP en la VLAN de gestin, que idealmente debera ser de un rango diferente a las de usuario. El CORE de red debera tener una direccin IP en cada VLAN para poder tener visibilidad en todas ellas. Esta visibilidad de todas las redes nos permitir localizar ms fcilmente equipos, impresoras, puntos de acceso wifi, etc. en nuestra red y solventar los problemas ms rpidamente. Ya que el CORE de red tendr una direccin IP en cada segmento de red sera interesante que sea este equipo el que gestione el enrutamiento IP y que adems sea el default-gateway del resto de equipos. De esta forma simplificamos la gestin del enrutamiento en nuestra red.

Switch_HP(config)#vlan 13 Switch_HP(config-vlan)#ip address 13.13.13.1 255.255.255.0

Activar default-gateway
Como se ha visto se necesita al menos una IP en cada equipo para su gestin por lo que deberemos configurar la puerta de enlace para que el equipo pueda ser gestionado desde fuera del propio rango IP. Este enrutamiento puede hacerse aadiendo una ruta esttica en el equipo para llegar a la red de administracin/monitorizacin o simplemente aadiendo una ruta por defecto de tal forma que todo el trfico que no sea de su propio dominio lo enve al equipo especificado.

Switch_HP(config)#ip default-gateway 10.10.1.1

Activar enrutamiento IP
Los switches de gama media y superiores permiten realizar enrutamiento entre los diferentes enrutamientos existentes en la misma red (diferentes VLAN). De esta forma evitamos la necesidad de instalar un router para realizar la interconexin de las diferentes redes de una misma ubicacin (VLAN de servidores, de telefona, impresoras, usuarios, etc.). Para que el enrutamiento funcione correctamente el equipo que se encargue, normalmente el CORE de red, deber tener una direccin IP en cada una de las distintas VLAN existentes. Igualmente para evitar problemas slo un equipo de nuestra red debe tener dicha configuracin activa.

Switch_HP(config)#ip routing

Rutas estticas
Dependiendo de la estructura de la red es posible que no todo el trfico saliente deba hacerlo por la misma puerta de enlace (default-gateway) y haya una serie de subredes que deban seguir otro camino (tneles IPsec, conexiones con otros proveedores, etc.). Si bien los switches no trabajan eficientemente los protocolos de red dinmicos (OSPF, BGP, etc.) tenemos la solucin manual de establecer las rutas estticas necesarias para poder seguir dando el servicio. La propia concepcin de un switch no permite tener un nmero elevado de rutas estticas.

Switch_HP(config)#ip route 20.21.22.0 255.255.255.0 10.10.10.33 18/19

Apndice A: Password Recovery


En caso de no tener acceso a uno de los equipos por haber perdido las contraseas de acceso existe un procedimiento que permite conectarse al equipo sin necesidad de contrasea. Este procedimiento implica el acceso fsico al equipo y provoca el reinicio del mismo por lo que hay que tener en cuenta la prdida de servicio. Se deber acceder fsicamente al equipo y buscar el botn Clear que se encuentra en el frontal de los equipos. Para acceder al equipo bastar con mantener pulsado el botn Clear durante 10 segundos tras los cules el switch se reiniciar. Tras un reinicio aparentemente normal del equipo ya ser posible conectarse al mismo, sea por consola o en remoto, sin necesidad de contrasea. Una vez se acceda al equipo es recomendable configurar la autenticacin del equipo.

19/19