Академический Документы
Профессиональный Документы
Культура Документы
Nota para el instructor: Rojo color de la fuente o destacados grises indican texto que aparece en la copia única instructor.
topología
objetivos
• Asignar el interruptor central como el puente raíz.
• parámetros de árbol de expansión lugar seguro para prevenir ataques de manipulación STP.
• Habilitar la seguridad del puerto para prevenir ataques de direcciones MAC tabla de desbordamiento.
Antecedentes / Escenario
Ha habido una serie de ataques en la red recientemente. Por esta razón, el administrador de red le ha asignado la tarea de configurar la
seguridad de capa 2.
Para obtener un rendimiento óptimo y la seguridad, el administrador desea asegurarse de que el puente raíz es el conmutador central 3560. Para evitar los
ataques de manipulación de árbol de expansión, el administrador quiere asegurarse de que los parámetros STP son seguras. Además, el administrador de red
desea habilitar el control de tormentas para evitar las tormentas de broadcast. Por último, para prevenir contra la tabla de direcciones MAC ataques de
desbordamiento, el administrador de red ha decidido configurar la seguridad de puerto para limitar el número de direcciones MAC que pueden ser aprendidas
por cada puerto del conmutador. Si el número de direcciones MAC supera el límite establecido, el administrador como el puerto para ser apagado.
© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 1 de 6
Packet Tracer - Capa 2 Seguridad
Desde Central, emitir el mostrar árbol de expansión comando para determinar el puente raíz actual y para ver los puertos en uso y su estado.
_______________________________________________________________________________________
Con base en el puente raíz actual, ¿cuál es el árbol de expansión resultante? (Dibujar la topología del árbol de expansión).
Utilizando la VLAN Spanning-árbol primario 1 de la raíz comando, asigne Central como el puente raíz.
Asignar SW-1 como puente raíz secundaria utilizando la VLAN árbol de expansión 1 de raíces secundarias mando.
emitir el mostrar árbol de expansión comando para verificar que Central es el puente raíz.
_______________________________________________________________________________________
Sobre la base de la nueva raíz-puente, lo que es el árbol de expansión resultante? (Dibujar la topología del árbol de expansión).
Asegurar los parámetros STP para prevenir los ataques de manipulación STP.
PortFast se configura en los puertos de acceso que se conectan a una sola estación de trabajo o servidor para que puedan activarse con mayor
rapidez. En los puertos de acceso conectados del SW-A y SW-B, utilizar el portfast árbol de expansión mando.
© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 2 de 6
Packet Tracer - Capa 2 Seguridad
BPDU Guard es una característica que puede ayudar a prevenir los interruptores sin escrúpulos y la suplantación de identidad en los puertos de acceso. Habilitar guardia BPDU en SW-A
y SW-B puertos de acceso.
Nota: guardia BPDU Spanning Tree se puede habilitar en cada puerto mediante el spanning-tree bpduguard permiten comando en el modo de
configuración de interfaz o el spanning-tree por defecto portfast bpduguard comando en el modo de configuración global. Para efectos de
calificación en esta actividad, por favor utilice la
spanning-tree bpduguard permiten mando.
protección de raíz se puede habilitar en todos los puertos en un switch que no son puertos de raíz. Lo mejor es desplegado en los puertos que se conectan a otros
interruptores no root. Utilizar el mostrar árbol de expansión comando para determinar la ubicación del puerto raíz en cada interruptor.
En SW-1, permitir protección de raíz en los puertos Fa0 / 23 y Fa0 / 24. En SW-2, permitir protección de raíz en los puertos Fa0 / 23 y Fa0 / 24.
a. Habilitar el control de tormentas para las emisiones en todos los puertos de conexión (interruptores puertos troncales).
segundo. Habilitar el control de tormentas en las interfaces de conexión Central, SW-1, y SW-2. Establecer una 50 ciento levantamiento
nivel de supresión usando el broadcast control de tormentas mando.
Verificar su configuración con el Transmitir muestra de control de tormenta y el show run comandos.
© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 3 de 6
Packet Tracer - Capa 2 Seguridad
Paso 1: Configurar la seguridad de puerto básico en todos los puertos conectados a la sede de dispositivos.
Este procedimiento debe realizarse en todos los puertos de acceso en SW-A y SW-B. Establecer el número máximo de direcciones MAC aprendido a 2, permitir que
la dirección MAC que se debe aprender de forma dinámica, y establecer la violación de
apagar.
Nota: Un puerto del switch debe configurarse como un puerto de acceso para activar la seguridad del puerto.
¿Por qué no quiere activar la seguridad portuaria en los puertos conectados a otros switches o routers?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Los puertos están conectados a otros dispositivos de conmutación y routers pueden, y deben, tener una multitud de direcciones MAC aprendidas para que solo
puerto. Limitar el número de direcciones MAC que se pueden aprender en estos puertos puede afectar significativamente la funcionalidad de red.
En SW-A, emitir el Mostrar la interfaz de puerto de seguridad fa0 / 1 comando para verificar que la seguridad del puerto se ha configurado.
© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 4 de 6
Packet Tracer - Capa 2 Seguridad
Su porcentaje de finalización debe ser del 100%. Hacer clic Verificar los resultados para ver información y verificación de los cuales se han cumplido los
componentes requeridos.
conf t
spanning-tree vlan 1 raíz gama interfaz principal gi0 / 1, gi0 / 2,
el nivel de emisión fa0 / 1-Control de tormentas 50 finales
conf t
VLAN spanning-tree 1 raíz gama interfaz secundaria fa0 / 23
- 24 de la raíz guardia del árbol de expansión
conf t
gama interfaz Fa0 / 23 - 24 de la raíz guardia
del árbol de expansión
gama interfaz gi1 / 1, fa0 / 1, fa0 / 23 - 24 de control de tormenta de
difusión nivel 50 final
conf t
gama interfaz FastEthernet 0/1 - 4 portfast árbol de expansión
que abarca árbol bpduguard permitir gama interfaz Fa0 / 1 -
22 de switchport acceso del modo del switchport puerto de
seguridad
conf t
gama interfaz FastEthernet 0/1 - 4 portfast árbol de expansión
© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 5 de 6
Packet Tracer - Capa 2 Seguridad
© 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 6 de 6