Академический Документы
Профессиональный Документы
Культура Документы
Topologa
Tabla de direccionamiento
Dispositivo
Interfaz
Direccin IP
Mscara de
subred
Gateway
predeterminado
S1
VLAN 99
172.17.99.11
255.255.255.0
172.17.99.1
S2
VLAN 99
172.17.99.12
255.255.255.0
172.17.99.1
PC-A
NIC
172.17.99.3
255.255.255.0
172.17.99.1
PC-B
NIC
172.17.10.3
255.255.255.0
172.17.10.1
PC-C
NIC
172.17.99.4
255.255.255.0
172.17.99.1
Asignaciones de VLAN
VLAN
Nombre
10
Datos
99
Management&Native
999
BlackHole
Objetivos
Parte 1: armar la red y configurar los parmetros bsicos de los dispositivos
Parte 2: implementar seguridad de VLAN en los switches
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 1 de 8
Informacin bsica/situacin
La prctica recomendada indica que se deben configurar algunos parmetros bsicos de seguridad para los
puertos de enlace troncal y de acceso en los switches. Esto sirve como proteccin contra los ataques de
VLAN y la posible deteccin del trfico de la red dentro de esta.
En esta prctica de laboratorio, configurar los dispositivos de red en la topologa con algunos parmetros
bsicos, verificar la conectividad y, a continuacin, aplicar medidas de seguridad ms estrictas en los
switches. Utilizar varios comandos show para analizar la forma en que se comportan los switches Cisco.
Luego, aplicar medidas de seguridad.
Nota: los switches que se utilizan en esta prctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco
versin 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco.
Segn el modelo y la versin de IOS de Cisco, los comandos disponibles y los resultados que se obtienen
pueden diferir de los que se muestran en las prcticas de laboratorio.
Nota: asegrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no est
seguro, consulte con el instructor.
Recursos necesarios
2 switches (Cisco 2960 con IOS de Cisco versin 15.0(2), imagen lanbasek9 o similar)
3 computadoras (Windows 7, Vista o XP con un programa de emulacin de terminal, como Tera Term)
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
d. Asigne cisco como la contrasea de VTY y la contrasea de consola, y habilite el inicio de sesin para
las lneas de vty y de consola.
e. Configure el inicio de sesin sincrnico para las lneas de vty y de consola.
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 2 de 8
Emita el comando show vlan brief para verificar las asignaciones de VLAN y de puertos.
A qu VLAN pertenecera un puerto sin asignar, como F0/8 en el S2?
Todos los puertos se asignan a la VLAN 1 de manera predeterminada.
____________________________________________________________________________________
____________________________________________________________________________________
b. Desde el S1, haga ping a la direccin de administracin del S2. Tuvieron xito los pings? Por qu?
No, los pings fallaron. Las direcciones de administracin en el S1 y el S2 estn en la misma VLAN, pero
____________________________________________________________________________________
la interfaz F0/1 en ambos switches no se configur como puerto de enlace troncal. El puerto F0/1 todava
____________________________________________________________________________________
pertenece a la VLAN 1 y no a la VLAN 99.
c.
En el smbolo del sistema de la PC-B, haga ping a las direcciones de administracin del S1 y el S2, y a la
direccin IP de la PC-A y la PC-C. Los pings se realizaron correctamente? Por qu?
Todos los pings de la PC-B al S1, el S2, la PC-A y la PC-C fallaron. La PC-B est en la VLAN 10, y el S1,
____________________________________________________________________________________
el S2, la PC-A y la PC-C estn en la VLAN 99. No hay ningn dispositivo de capa 3 para enrutar entre las
____________________________________________________________________________________
redes
d. En el smbolo del sistema de la PC-C, haga ping a las direcciones de administracin del S1 y el S2.
Tuvo xito? Por qu?
Parcialmente. La PC-C est en la misma VLAN que el S1 y el S2. La PC-C puede hacer ping a la
____________________________________________________________________________________
direccin de administracin del S2, pero todava no puede hacer ping al S1 porque an no se estableci
____________________________________________________________________________________
un enlace troncal entre el S1 y el S2.
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 3 de 8
Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface trunk en los dos
switches.
S1# show interface trunk
Port
Fa0/1
Mode
on
Encapsulation
802.1q
Status
trunking
Native vlan
1
Port
Fa0/1
Port
Fa0/1
Port
Fa0/1
Paso 2. cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2.
Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal de la VLAN 1 a
otra VLAN.
a. Cul es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2?
La VLAN 1 es la VLAN nativa para ambos switches.
____________________________________________________________________________________
Espere unos segundos. Debera comenzar a recibir mensajes de error en la sesin de consola del S1.
Qu significa el mensaje %CDP-4-NATIVE_VLAN_MISMATCH:?
Este es un mensaje de Cisco Discovery Protocol (CDP) que indica que las VLAN nativas del S1 y el S2
______________________________________________________________________________
no coinciden. El S2 todava tiene configurada la VLAN 1 como VLAN nativa. El S1 tiene configurada la
VLAN 99 como nativa.
d. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2.
S2(config)# interface f0/1
S2(config-if)# switchport trunk native vlan 99
e. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuacin, se muestra el
resultado del S1.
S1# show interface trunk
Port
Fa0/1
Mode
on
Encapsulation
802.1q
Status
trunking
Native vlan
99
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 4 de 8
Port
Fa0/1
Port
Fa0/1
Paso 3. verificar que el trfico se pueda transmitir correctamente a travs del enlace troncal.
a. En el smbolo del sistema de la PC-A, haga ping a la direccin de administracin del S1. Tuvieron xito
los pings? Por qu?
S, los pings se realizaron correctamente. La PC-A est en la misma VLAN que la direccin de
____________________________________________________________________________________
administracin del switch
____________________________________________________________________________________
b. En la sesin de consola del S1, haga ping a la direccin de administracin del S2. Tuvieron xito los
pings? Por qu?
S, los pings se realizaron correctamente. Los enlaces troncales se establecieron correctamente, y
c.
En el smbolo del sistema de la PC-B, haga ping a las direcciones de administracin del S1 y el S2, y a la
direccin IP de la PC-A y la PC-C. Los pings se realizaron correctamente? Por qu?
Todos los pings de la PC-B al S1, el S2, la PC-A y la PC-C fallaron. La PC-B est en la VLAN 10, y el S1,
el S2, la PC-A y la PC-C estn en la VLAN 99. No hay ningn dispositivo de capa 3 para enrutar entre las
____________________________________________________________________________________
redes.
d. En el smbolo del sistema de la PC-C, haga ping a las direcciones de administracin del S1 y el S2, y a la
direccin IP de la PC-A. Tuvo xito? Por qu?
Todos los pings de la PC-B al S1, el S2, la PC-A y la PC-C fallaron. La PC-B est en la VLAN 10, y el S1,
____________________________________________________________________________________
el S2, la PC-A y la PC-C estn en la VLAN 99. No hay ningn dispositivo de capa 3 para enrutar entre las
redes.
Cisco utiliza un protocolo exclusivo conocido como protocolo de enlace troncal dinmico (DTP) en los
switches. Algunos puertos negocian el enlace troncal de manera automtica. Se recomienda desactivar la
negociacin. Puede ver este comportamiento predeterminado mediante la emisin del siguiente comando:
S1# show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 5 de 8
Verifique que la negociacin est desactivada mediante la emisin del comando show interface f0/1
switchport en el S1 y el S2.
S1# show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
<Output Omitted>
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 6 de 8
De manera predeterminada, se permite transportar todas las VLAN en los puertos de enlace troncal. Por
motivos de seguridad, se recomienda permitir que solo se transmitan las VLAN deseadas y especficas a
travs de los enlaces troncales en la red.
f.
Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y 99.
S1(config)# interface f0/1
S1(config-if)# switchport trunk allowed vlan 10,99
g. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y 99.
h. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo EXEC privilegiado
en el S1 y el S2
S1# show interface trunk
Port
Fa0/1
Mode
on
Encapsulation
802.1q
Status
trunking
Native vlan
99
Port
Fa0/1
Port
Fa0/1
Port
Fa0/1
Cul es el resultado?
Solo se permiten las VLAN 10 y 99 en el enlace troncal entre el S1 y el S2.
____________________________________________________________________________________
Reflexin
Qu problemas de seguridad, si los hubiera, tiene la configuracin predeterminada de un switch Cisco?
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 7 de 8
automtica de enlaces troncales, de modo que, si se conecta un switch malicioso, los enlaces troncales se
_______________________________________________________________________________________
pueden activar sin que usted lo sepa. Otra respuesta posible es que las contraseas de consola y de VTY se
_______________________________________________________________________________________
muestran como texto no cifrado de manera predeterminada. Adems, el servidor HTTP est habilitado de
manera predeterminada.
2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco.
Pgina 8 de 8