3 Este sistema es un sistema que nos ofrece seguridad a nivel de *interfaz* para los switches, este sistema de seguridad es ampliamente utilizado en muchos entornos ya que es una forma simple de evitar muchos tipos de ataques que implican obtener acceso a la red.
5 El funcionamiento de este solo permite una lista ~~o una unica~~ de *MAC*, estas direcciones pueden ser configuradas de forma manual o pueden ser aprendidas automaticamente, para un deploy mas rapido en una red de gran tamano. este sistema para aprender las direcciones fisicas es llamado *Sticky _MAC_ addreses.*
7 Las opciones con las que cuenta este comando son:
9 + **Activar la seguridad:** En los switch se encuentra desactivada por defecto la seguridad, con el comando podemos activarla o desactivarla en su modo _no_
10 + **Identificador de MAC:** En esta parte se puede poner una *MAC* fija o ponerlo en modo *Sticky* para que la aprenda.
11 + **Cantidad de MAC:** Se configuran cuantas *MAC* debe aprender el switch en esa interfaz, este numero va desde **1** a **132**.
12 + **Violacion de seguridad:** En esta opcion se le indica al switch que hacer en caso de que haya una violacion de seguridad, es decir, una *MAC* no configurada se conecta, los modos que existen son:
13 + Protect: Solo se permite el trafico que proviene de las *MAC* que han sido permitidas, bloqueandose el resto del trafico y sin ninguna clase de notificacion de la intrusion.
14 + Restrict: Igual que el *protect*, pero en este caso si se hace una notificacion al administrador ~~notificacion SNMP~~
15 + Shutdown: En esta el puerto se apaga por completo cuando hay una intrusión.
19 > para activar el port security:
22 #switchport port-security
25 > para poner un maximo de 3 *MAC*:
28 #switchport port-security maximum 3
31 >para definir el tipo de violacion:
34 #switchport port-security violation {protect|restrict|shutdown}
37 > elegir una *MAC* fija:
40 #switchport port-security mac-address xxxx.xxxx.xxxx
46 #switchport port-security mac-address sticky
49 > habilitar de nuevo un puerto deshabilitado
52 #errdisable recovery cause psecure-violation
56 > limpiar direcciones aprendidas:
59 #clear port-security dynamic
68 Este es el estandar que soporta las *VLANS* en una red ethernet. Este tiene las definiciones de las etiquetas vlan y la forma en que estas deben ser tratadas por el resto de los equipos de red como switches o routers.
70 Cuando los datos pasan por un tramo de la red que es basado en *VLAN* este debe tener una etiqueta, de no ser asi entonces se considera que este trafico va por la **_VLAN_ nativa**.
72 ![Introduccion de tag](https://upload.wikimedia.org/wikipedia/commons/thumb/0/0e/Ethernet_802.1Q_Insert.svg/800px-Ethernet_802.1Q_Insert.svg.png"Insercion de tag")
74 El tag tiene un tamano de 32 bits y se ubica entre el *MAC* fuente y el `ethertype`, las partes que conforman estos 32 bits ~~4 bytes~~ son:
76 + **Tag protocol identifier** ~~TPID~~: Es un valor de 16 bits que se encuentra en el valor `0x8100` para identificar el tag como un tag tipo **Dot1q**, se susa para distinguir el frame de los frames que no han sido tagueados.
77 + **Tag control information** ~~TCI~~: Un campo de 16 bits que contiene los siguientes identificadores e indicadores:
78 + **Priority code point** ~~PCP~~: Este campo de tres bits se refiere al nivel de prioridad del paquete para .1p y se usa para darle prioridad a distintas clases de trafico.
79 + **Drop eligible indicator** ~~DEI~~: un bit que indica si el paquete es elegible para descartar en caso de que exista congestion en la red.
80 + **VLAN identifier** ~~VID~~: El identificador de la VLAN a la que pertenece el paquete esta aca, son 12 bits que nos permiten 4,094 VLANS, al sacar del conteo los valores que estan excluidos de la red como serian:
81 + `0x000` Se usa para indicar que no hay ninguna VLAN marcada.
82 + `0xFFF` Este es solo para uso de implementacion.
83 + `0x001` Este esta designado en muchos vendor como administrativa.
87 Los ISP para poder separar a los clientes uno de otros pudieron utilizar las VLAN, pero como ya vimos esto los limitaria a un total de unos cuatro mil canales separados, esto no es suficiente para todos los clientes, ademas de que por la forma que se usan las VLAN se estarian desperdiciando direcciones IP, por lo que se inventaron las VLAN privadas.
89 Lo que sucede acá es que se tienen puertos que no se pueden comunicar con ningun otro puerto, solo con un puerto `uplink` que lleva normalmente a internet via un router o firewall, etc.
91 Esto prohibe la comunicacion a nivel de Data link, lo que nos ofrece una separacion de clientes, algo perfecto para los ISP, para poder lograr esto lo que se hace es que tenemos dos VLAN, una primaria y una secundaria, la primaria se utiliza para que el puerto promiscuo pueda conectarse a todos los puertos, la VLAN secundaria tiene dos tipos, una que es tipo comunidad, donde todos los conectados a la misma comunidad pueden hablar entre ellos pero no a nadie mas y la modo isolado, lso puertos ahi conectados no hablan con nadie mas, ni con los demas que esten en el mismo VLAN.
93 ![PVLAN](https://www.redeszone.net/app/uploads/2018/03/private-vlan-grafico.jpg"PVLAN")
97 > Hot Standby Router Protocol
99 Es un protocolo propiedad de CISCO que permite el despliegue de routers redundantes tolerantes a fallos en una red.
101 Este protocolo lo que hace es tener un grupo de routers redundantes creados, teniendo a uno de ellos como maestro, los demas que son esclavos intercambian informacion con el maestro mediante unos paquetes de hello, de no contestar el maestro entonces uno de los esclavos toma el puesto de maestro, siendo asi el unico que esta enrutando los paquetes. El protocolo que se usa envia paquetes *HSRP hello* en el multicast `224.0.0.2:1985` en la version uno y la `224.0.0.102:1985` en la version dos.
103 La elecion del maestro depende de un numero de prioridad que es establecido en cada router, el numero por defecto es 100, quien tenga el mayor numero de prioridad es el maestro. para pasar a maestro debe expirarse el tiempo de holdtime, que es equivalente a 3 hellos, esto seria 3 segundos por hello default, lo que significa que el cambio inicia en unos 10 segundos. ademas, si el router pasa a down ~~segun sea configurado~~ envia el mensaje de que su valor de prioridad ha sido decrementado, pudiendo inducir esto un cambio de respaldo a maestro de ser el caso de que este decremento sea suficiente. en la configuracion se debe utilizar una IP virtual como default gateway para los dispositivos conectados a estos routers en lugar de la ip del puerto, de forma que el cambio de router sea transparente a los nodos.
105 La configuracion basica va asi:
110 (config-if)#standby 1 ip 10.0.0.254
111 (config-if)#standby 1 ip priority 110
112 (config-if)#standby 1 preempt
119 > Virtual Router Redundancy Protocol
121 Es un protocolo muy parecido, casi identico, al *HSRP*, de hecho a tenido demandas de parte de CISCO debido a unos problemas de patentes que dice CISCO le robaron.
123 Un router virtual usa una direccion especifica, `00-00-5E-00-01-xx`, En la que el ultimo byte es e, identificador del router virtual, solamente el router maestro usa esta direcion, todos los routers virtuales de este grupo se comunican mediante la direccion `224.0.0.18:112`. El router maestro tiene una prioridad de 255 y los demas entre 1 y 254, de esta forma de haber un cambio planificado el maestro toma el valor de `0` y asi el siguiente tome el valor de router maestro.
125 Si no se recibe un paquete del master por un tiempo mayor a tres tiempos de anuncio entonces el router virtual se pone en estado *inestable* y se inicia el proceso de eleccion. Esto significa que se elige primero por la prioridad y de tener varios la misma entonces por el numero de IP mas alto.
127 Es importante saber que todos estos routers deben estar a un salto entre ellos
129 # ~~seguridad desde stp~~
projects / dotfilesold / .git / blob