Packet Tracer - Capa 2 Seguridad ( Versión instructor)

Nota para el instructor: Rojo color de la fuente o destacados grises indican texto que aparece en la copia única instructor.

topología

objetivos
• Asignar el interruptor central como el puente raíz.

• parámetros de árbol de expansión lugar seguro para prevenir ataques de manipulación STP.

• Habilitar el control de tormentas para evitar las tormentas de broadcast.

• Habilitar la seguridad del puerto para prevenir ataques de direcciones MAC tabla de desbordamiento.

Antecedentes / Escenario

Ha habido una serie de ataques en la red recientemente. Por esta razón, el administrador de red le ha asignado la tarea de configurar la
seguridad de capa 2.

Para obtener un rendimiento óptimo y la seguridad, el administrador desea asegurarse de que el puente raíz es el conmutador central 3560. Para evitar los
ataques de manipulación de árbol de expansión, el administrador quiere asegurarse de que los parámetros STP son seguras. Además, el administrador de red
desea habilitar el control de tormentas para evitar las tormentas de broadcast. Por último, para prevenir contra la tabla de direcciones MAC ataques de
desbordamiento, el administrador de red ha decidido configurar la seguridad de puerto para limitar el número de direcciones MAC que pueden ser aprendidas
por cada puerto del conmutador. Si el número de direcciones MAC supera el límite establecido, el administrador como el puerto para ser apagado.

Todos los dispositivos de conmutación han sido preconfiguradas con lo siguiente:

o Habilitar contraseña: ciscoenpa55

© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 1 de 6
Packet Tracer - Capa 2 Seguridad

o contraseña de la consola: ciscoconpa55

o VTY contraseña de línea: ciscovtypa55

Parte 1: Configurar el puente raíz

Paso 1: Determinar el puente raíz actual.

Desde Central, emitir el mostrar árbol de expansión comando para determinar el puente raíz actual y para ver los puertos en uso y su estado.

Qué interruptor es el puente raíz actual?

_______________________________________________________________________________________

raíz actual está SW-1

Con base en el puente raíz actual, ¿cuál es el árbol de expansión resultante? (Dibujar la topología del árbol de expansión).

Paso 2: Asignar central como el puente raíz primaria.

Utilizando la VLAN Spanning-árbol primario 1 de la raíz comando, asigne Central como el puente raíz.

Central (config) # VLAN Spanning-árbol primario 1 de la raíz

Paso 3: Asignar SW-1 como un puente raíz secundaria.

Asignar SW-1 como puente raíz secundaria utilizando la VLAN árbol de expansión 1 de raíces secundarias mando.

SW-1 (config) # VLAN árbol de expansión 1 de raíces secundarias

Paso 4: Verificar la configuración spanning-árbol.

emitir el mostrar árbol de expansión comando para verificar que Central es el puente raíz.

Qué interruptor es el puente raíz actual?

_______________________________________________________________________________________

raíz actual es central

Sobre la base de la nueva raíz-puente, lo que es el árbol de expansión resultante? (Dibujar la topología del árbol de expansión).

Parte 2: Proteger los ataques contra STP

Asegurar los parámetros STP para prevenir los ataques de manipulación STP.

Paso 1: Habilitar PortFast en todos los puertos de acceso.

PortFast se configura en los puertos de acceso que se conectan a una sola estación de trabajo o servidor para que puedan activarse con mayor
rapidez. En los puertos de acceso conectados del SW-A y SW-B, utilizar el portfast árbol de expansión mando.

SW-A (config) # gama interfaz FastEthernet 0/1 - 4

SW-A (config-if-range) # portfast árbol de expansión

SW-B (config) # gama interfaz FastEthernet 0/1 - 4

SW-B (config-if-range) # portfast árbol de expansión

© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 2 de 6
Packet Tracer - Capa 2 Seguridad

Paso 2: Habilitar guardia BPDU en todos los puertos de acceso.

BPDU Guard es una característica que puede ayudar a prevenir los interruptores sin escrúpulos y la suplantación de identidad en los puertos de acceso. Habilitar guardia BPDU en SW-A
y SW-B puertos de acceso.

SW-A (config) # gama interfaz FastEthernet 0/1 - 4

SW-A (config-if-range) # spanning-tree bpduguard permiten

SW-B (config) # gama interfaz FastEthernet 0/1 - 4

SW-B (config-if-range) # spanning-tree bpduguard permiten

Nota: guardia BPDU Spanning Tree se puede habilitar en cada puerto mediante el spanning-tree bpduguard permiten comando en el modo de
configuración de interfaz o el spanning-tree por defecto portfast bpduguard comando en el modo de configuración global. Para efectos de
calificación en esta actividad, por favor utilice la
spanning-tree bpduguard permiten mando.

Paso 3: Habilitar la protección de raíz.

protección de raíz se puede habilitar en todos los puertos en un switch que no son puertos de raíz. Lo mejor es desplegado en los puertos que se conectan a otros
interruptores no root. Utilizar el mostrar árbol de expansión comando para determinar la ubicación del puerto raíz en cada interruptor.

En SW-1, permitir protección de raíz en los puertos Fa0 / 23 y Fa0 / 24. En SW-2, permitir protección de raíz en los puertos Fa0 / 23 y Fa0 / 24.

SW-1 (config) # gama interfaz fa0 / 23 - 24

SW-1 (config-si-gama) # raíz guardia de spanning-tree

SW-2 (config) # gama interfaz fa0 / 23 - 24

SW-2 (config-si-gama) # raíz guardia de spanning-tree

Parte 3: Habilitar control de tormentas

Paso 1: Habilitar el control de tormentas para las emisiones.

a. Habilitar el control de tormentas para las emisiones en todos los puertos de conexión (interruptores puertos troncales).

segundo. Habilitar el control de tormentas en las interfaces de conexión Central, SW-1, y SW-2. Establecer una 50 ciento levantamiento
nivel de supresión usando el broadcast control de tormentas mando.

SW-1 (config) # gama interfaz gi1 / 1, fa0 / 1, fa0 / 23 - 24

SW-1 (config-if) # nivel de emisión-control de tormentas 50

SW-2 (config) # gama interfaz gi1 / 1, fa0 / 1, fa0 / 23 - 24

SW-2 (config-if) # nivel de emisión-control de tormentas 50

Central (config-if) # gama interfaz gi0 / 1, gi0 / 2, fa0 / 1

Central (config-if) # nivel de emisión-control de tormentas 50

Paso 2: Verificar la configuración de control de ráfagas.

Verificar su configuración con el Transmitir muestra de control de tormenta y el show run comandos.

© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 3 de 6
Packet Tracer - Capa 2 Seguridad

Parte 4: Configurar puerto de seguridad y desactivan los puertos no utilizados

Paso 1: Configurar la seguridad de puerto básico en todos los puertos conectados a la sede de dispositivos.

Este procedimiento debe realizarse en todos los puertos de acceso en SW-A y SW-B. Establecer el número máximo de direcciones MAC aprendido a 2, permitir que
la dirección MAC que se debe aprender de forma dinámica, y establecer la violación de
apagar.

Nota: Un puerto del switch debe configurarse como un puerto de acceso para activar la seguridad del puerto.

SW-A (config) # gama interfaz fa0 / 1 - 22

SW-A (config-if-range) # switchport mode access
SW-A (config-if-range) # switchport puerto de seguridad
SW-A (config-if-range) # máxima switchport puerto de seguridad 2
SW-A (config-if-range) # switchport puerto de seguridad violación de apagado
SW-A (config-if-range) # switchport puerto de seguridad mac-address pegajosa

SW-B (config) # gama interfaz fa0 / 1 - 22

SW-B (config-if-range) # switchport mode access
SW-B (config-if-range) # switchport puerto de seguridad
SW-B (config-if-range) # máxima switchport puerto de seguridad 2
SW-B (config-if-range) # switchport puerto de seguridad violación de apagado
SW-B (config-if-range) # switchport puerto de seguridad mac-address pegajosa

¿Por qué no quiere activar la seguridad portuaria en los puertos conectados a otros switches o routers?

_______________________________________________________________________________________

_______________________________________________________________________________________

_______________________________________________________________________________________

_______________________________________________________________________________________

_______________________________________________________________________________________

Los puertos están conectados a otros dispositivos de conmutación y routers pueden, y deben, tener una multitud de direcciones MAC aprendidas para que solo
puerto. Limitar el número de direcciones MAC que se pueden aprender en estos puertos puede afectar significativamente la funcionalidad de red.

Paso 2: Verificar la seguridad del puerto.

En SW-A, emitir el Mostrar la interfaz de puerto de seguridad fa0 / 1 comando para verificar que la seguridad del puerto se ha configurado.

Paso 3: Deshabilitar puertos no utilizados.

Desactivar todos los puertos que están actualmente sin uso.

SW-A (config) # gama interfaz fa0 / 5 - 22

SW-A (config-if-range) # apagar

SW-B (config) # gama interfaz fa0 / 5 - 22

SW-B (config-if-range) # apagar

© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 4 de 6
Packet Tracer - Capa 2 Seguridad

Paso 4: Verificar los resultados.

Su porcentaje de finalización debe ser del 100%. Hacer clic Verificar los resultados para ver información y verificación de los cuales se han cumplido los
componentes requeridos.

!!! Guión para Centroamérica

conf t
spanning-tree vlan 1 raíz gama interfaz principal gi0 / 1, gi0 / 2,
el nivel de emisión fa0 / 1-Control de tormentas 50 finales

!!! Guión para SW-1

conf t
VLAN spanning-tree 1 raíz gama interfaz secundaria fa0 / 23
- 24 de la raíz guardia del árbol de expansión

gama interfaz gi1 / 1, fa0 / 1, fa0 / 23 - 24 de control de tormenta de

difusión nivel 50 final

!!! Guión para SW-2

conf t
gama interfaz Fa0 / 23 - 24 de la raíz guardia
del árbol de expansión
gama interfaz gi1 / 1, fa0 / 1, fa0 / 23 - 24 de control de tormenta de
difusión nivel 50 final

!!! Guión para SW-A

conf t
gama interfaz FastEthernet 0/1 - 4 portfast árbol de expansión
que abarca árbol bpduguard permitir gama interfaz Fa0 / 1 -
22 de switchport acceso del modo del switchport puerto de
seguridad

máximo switchport puerto de seguridad 2 switchport violación puerto de

seguridad de apagado switchport puerto de seguridad mac-address gama
interfaz pegajosa fa0 / 5 - 22 Final de apagado

!!! Guión para SW-B

conf t
gama interfaz FastEthernet 0/1 - 4 portfast árbol de expansión

© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 5 de 6
Packet Tracer - Capa 2 Seguridad

spanning-tree bpduguard permitir gama interfaz fa0

1 / - 22 switchport acceso del modo del switchport
puerto de seguridad

máximo switchport puerto de seguridad 2 switchport violación puerto de

seguridad de apagado switchport puerto de seguridad mac-address gama
interfaz pegajosa fa0 / 5 - 22 Final de apagado

© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 6 de 6