Configurar Switch / Roteador

1. Criar um Usuário Local

Isso permite que você tenha um usuário local com uma senha para autenticação. O usuário criado será utilizado para acessar o switch remotamente via SSH ou nas linhas de console/VTY.

Switch# configure terminal
Switch(config)# username admin privilege 15 secret SenhaForte

• admin: Nome do usuário.
• privilege 15: Concede privilégios administrativos completos ao usuário (nível 15).
• secret SenhaForte: Define a senha do usuário e a criptografa automaticamente. Substitua "SenhaForte" por uma senha segura de sua escolha.

--------------------------------------------

2. Configurar Login Local nas Linhas VTY

Para autenticar acessos remotos (SSH) usando o usuário local, aplique o login local nas linhas VTY.

Switch(config)# line vty 0 15
Switch(config-line)# login local
Switch(config-line)# exit

• O comando login local força o uso do banco de dados local de usuários (aquele criado com username admin secret) para autenticação nas linhas VTY.

--------------------------------------------

3. Configurar Login Local no Console (Opcional)

Se desejar exigir login local também ao acessar diretamente via console, configure assim:

Switch(config)# line console 0
Switch(config-line)# login local
Switch(config-line)# exit

Isso força o uso de login local quando alguém se conecta ao switch pela porta de console.

--------------------------------------------

4. Habilitar o Acesso SSH

Caso ainda não tenha configurado o SSH, siga estes passos para garantir que o switch aceite conexões SSH:

Switch(config)# ip domain-name corporativo.local
Switch(config)# crypto key generate rsa
Switch(config)# crypto key generate rsa modulus 1024
Switch(config)# ip ssh version 2 

Esses comandos configuram um nome de domínio, geram as chaves RSA para SSH, e habilitam a versão 2 do SSH no switch. 

--------------------------------------------

1. Definir o nome do Switch

Switch> enable
Switch# configure terminal
Switch(config)# hostname SW-Corporativo

Esse comando define o nome do switch como SW-Corporativo, substitua por um nome de sua escolha.

--------------------------------------------

2. Configurar o Banner

O banner pode ser usado para alertar os usuários antes do acesso.

Switch(config)# banner motd # Acesso não autorizado é proibido! #

Esse comando define uma mensagem de aviso para os usuários que tentarem acessar o switch.

--------------------------------------------

3. Configurar um IP na Interface de Gerenciamento (VLAN 1 ou uma VLAN gerencial)

A interface VLAN 1 é a interface padrão de gerenciamento. Recomenda-se criar uma VLAN específica, como a VLAN 99, para gestão de rede.

Switch(config)# interface vlan 99
Switch(config-if)# ip address 192.168.1.2 255.255.255.0
Switch(config-if)# no shutdown

Isso configura um endereço IP para a interface de gerenciamento na VLAN 99.

Nota: Não esqueça de configurar um gateway, caso o gerenciamento remoto seja feito a partir de outra rede:

Switch(config)# ip default-gateway 192.168.1.1

--------------------------------------------

4. Configurar Acesso às Linhas VTY (Acesso Remoto)

Por padrão, o switch possui 16 linhas VTY. Aqui vamos configurar para permitir somente acesso via SSH e bloquear Telnet.

Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh
Switch(config-line)# login local
Switch(config-line)# exit

--------------------------------------------

5. Configurar Senha de Acesso via SSH

Para usar SSH, o switch precisa de um nome de domínio e a criação de pares de chaves.

Switch(config)# ip domain-name corporativo.local
Switch(config)# crypto key generate rsa
The name for the keys will be: SW-Corporativo.corporativo.local
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024

Depois, crie um usuário para autenticação SSH.

Switch(config)# username admin privilege 15 secret SenhaForte

Isso cria um usuário chamado admin com privilégios totais e senha criptografada.

--------------------------------------------

6. Bloquear Acesso Telnet

Para garantir que somente SSH seja utilizado, bloqueamos o acesso via Telnet.

Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh

Isso assegura que apenas o SSH esteja habilitado.

--------------------------------------------

7. Alterar a VLAN Nativa para 99 (ou outra para boas práticas)

Por padrão, a VLAN 1 é usada como a VLAN nativa, mas é uma boa prática alterá-la para uma VLAN gerencial, como a VLAN 99.

Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport trunk native vlan 99

Esse comando altera a VLAN nativa da interface gig0/1 para a VLAN 99. Certifique-se de fazer o mesmo para outras interfaces em tronco.

--------------------------------------------

8. Salvar as Configurações

Após realizar as configurações, salve-as para garantir que o switch mantenha as configurações após um reinício.

Switch# write memory 

--------------------------------------------

Resumo de Boas Práticas:

1. Nome: Definir um nome para o switch para fácil identificação.
2. Banner: Usar uma mensagem de banner para alertar os usuários não autorizados.
3. IP e Gateway: Configurar o IP para gerenciamento remoto e o gateway, se necessário.
4. SSH: Configurar o acesso remoto apenas via SSH, desabilitando Telnet por questões de segurança.
5. VLAN Nativa: Alterar a VLAN nativa para evitar ataques de VLAN hopping.

Com essas configurações, você terá um switch Cisco 2960 pronto para operação, com práticas recomendadas de segurança e gerenciamento.