11.6.1 Packet Tracer – Switch Security Configuration (Español)

Tabla de VLAN

Switch	Número de VLAN	Nombre de la VLAN	Membresía Portuaria	Red
SW-1	10	Administrador	F0/1, F0/2	192.168.10.0/24
	20	Ventas	F0/10	192.168.20.0/24
	99	Administración	F0/24	192.168.99.0/24
	100	Nativo	G0/1, G0/2	No
	999	BlackHole	Todos sin usar	No
SW-2	10	Administrador	F0/1, F0/22	192.168.10.0/24
	20	Ventas	F0/10	192.168.20.0/24
	99	Administración	F0/24	192.168.99.0/24
	100	Nativo	Ninguna	Ninguna
	999	BlackHole	Todos sin usar	Ninguna

Objetivos

Parte 1: Crear un troncal seguro
Parte 2: Puertos de switch seguros no utilizados
Parte 3: Implementar seguridad en los puertos
Parte 4: Habilitar la inspección DHCP
Parte 5: Configurar Rapid PVST PortFast y BPDU Guard

Aspectos básicos

Está mejorando la seguridad en dos switches de acceso en una red configurada por separado. Implementará la gama de medidas de seguridad cubiertas en este módulo de acuerdo con los requisitos a continuación. Tenga en cuenta que el router se ha configurado en esta red, por lo que la conectividad entre hosts en diferentes VLAN debería funcionar cuando se complete.

Paso 1: Crear un troncal seguro.

a. Conecte los puertos G0/2 de los dos switches de capa de acceso.

b. Configure los puertos G0/1 y G0/2 como troncales estáticas en ambos switches.

SW-1#enable
SW-1#configure terminal  
SW-1(config)#interface range g0/1-2
SW-1(config-if-range)#switchport mode trunk

SW-2#enable
SW-2#configure terminal 
SW-2(config)#interface range g0/1-2 
SW-2(config-if-range)#switchport mode trunk

c. Deshabilite la negociación DTP en ambos lados del enlace.

SW-1(config-if-range)#switchport nonegotiate
SW-1(config-if-range)#exit 
SW-1(config)#

SW-2(config-if-range)#switchport nonegotiate
SW-2(config-if-range)#exit
SW-2(config)#

d. Cree VLAN 100 y asígnele el nombre Native en ambos switchess.

SW-1(config)#vlan 100
SW-1(config-vlan)#name Native
SW-1(config-vlan)#exit

SW-2(config)#vlan 100
SW-2(config-vlan)#name Native
SW-1(config-vlan)#exit

e. Configure todos los puertos troncales en ambos switches para usar la VLAN 100 como la VLAN nativa.

SW-1(config)#
SW-1(config)#interface range gigabitEthernet 0/1-2
SW-1(config-if-range)#switchport trunk native vlan 100
SW-1(config-if-range)#exit 
SW-1(config)#

Paso 2: Proteja los puertos de switch no utilizados.

a. Apague todos los puertos de switch no utilizados en SW-1.

SW-1(config)#
SW-1(config)#interface range fastEthernet 0/3-9, fastEthernet 0/11-23
SW-1(config-if-range)#shutdown 
%LINK-5-CHANGED: Interface FastEthernet0/3, changed state to administratively down
.
.
.
SW-1(config-if-range)#exit

Todos los puertos no utilizado han sido apagado, solo el f0/3 para no alargar mucho la lista.

b. En SW-1, cree una VLAN 999 y asígnele el nombre BlackHole. El nombre configurado debe coincidir exactamente con el requisito.

SW-1(config)#vlan 999
SW-1(config-vlan)#name BlackHole
SW-1(config-vlan)#exit

c. Mueva todos los puertos de switch no utilizados a la VLAN BlackHole.

SW-1(config)#interface range fastEthernet 0/3-9, fastEthernet 0/11-23
SW-1(config-if-range)#switchport mode access
SW-1(config-if-range)#switchport access vlan 999
SW-1(config-if-range)#exit 
SW-1(config)#

Paso 3: Implemente la seguridad del puerto.

a. Active la seguridad del puerto en todos los puertos de acceso activos en el switch SW-1.

SW-1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/10, fastEthernet 0/24
SW-1(config-if-range)#switchport port-security

b. Configure los puertos activos para permitir que se aprenda un máximo de 4 direcciones MAC en los puertos.

SW-1(config-if-range)#switchport port-security maximum 4
SW-1(config-if-range)#exit

c. Para los puertos F0/1 en SW-1, configure estáticamente la dirección MAC de la PC utilizando la seguridad del puerto.

SW-1(config)#interface fastEthernet 0/1
SW-1(config-if)#switchport port-security mac-address 0010.11E8.3CBB
SW-1(config-if)#exit

d. Configure cada puerto de acceso activo para que agregue automáticamente las direcciones MAC aprendidas en el puerto a la configuración en ejecución.

SW-1(config-if)#interface range fastEthernet 0/1-2, fastEthernet 0/10, fastEthernet 0/24
SW-1(config-if-range)#switchport port-security mac-address sticky 
SW-1(config-if-range)#

e. Configure el modo de violación de seguridad del puerto para descartar paquetes de direcciones MAC que excedan el máximo, generar una entrada de Syslog, pero no deshabilitar los puertos.

SW-1(config-if-range)#switchport port-security violation restrict 
SW-1(config-if-range)#exit

Paso 4: Configurar DHCP Snooping.

a. Configure los puertos troncales en SW-1 como puertos confiables.

SW-1(config)#interface range gigabitEthernet 0/1-2
SW-1(config-if-range)#ip dhcp snooping trust 
SW-1(config-if-range)#exit

b. Limite los puertos no confiables en SW-1 a cinco paquetes DHCP por segundo.

SW-1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/10, fastEthernet 0/24
SW-1(config-if-range)#ip dhcp snooping limit rate 5
SW-1(config-if-range)#

c. En SW-2, habilite la inspección DHCP globalmente y para las VLAN 10, 20 y 99.

SW-2>enable
SW-2#configure terminal 
SW-2(config)#ip dhcp snooping vlan 10,20,99
SW-2(config)#

Nota: La configuración de indagación DHCP puede no puntuar correctamente en Packet Tracer.

Paso 5: Configure PortFast y BPDU Guard.

a. Habilite PortFast en todos los puertos de acceso que están en uso en SW-1.

SW-1#configure terminal 
SW-1(config)#interface range fastEthernet 0/1-2, fastEthernet 0/10, fastEthernet 0/24
SW-1(config-if-range)#spanning-tree portfast 
SW-1(config-if-range)#

Te aparecera un mensaje de advertencia en cada interfas pero no te preocupes.

b. Habilite BPDU Guard en todos los puertos de acceso que están en uso en SW-1.

SW-1(config-if-range)#spanning-tree bpduguard enable 
SW-1(config-if-range)#exit

c. Configure SW-2 para que todos los puertos de acceso usen PortFast de manera predeterminada.

SW-2(config)#spanning-tree portfast default 
SW-2(config)#

Fin del documento

Ticker

11.6.1 Packet Tracer – Switch Security Configuration (Español)

Tabla de VLAN

Objetivos

Aspectos básicos

Paso 1: Crear un troncal seguro.

Paso 2: Proteja los puertos de switch no utilizados.

Paso 3: Implemente la seguridad del puerto.

Paso 4: Configurar DHCP Snooping.

Paso 5: Configure PortFast y BPDU Guard.

APOYA MI TRABAJO

Entradas Populares

ITN Version 7.00 ITN Practice PT Skills Assessment PTSA (Español)

Pinkmart v4.0.1 – AJAX theme for WooCommerce

Como cambiar la contraseña del WIFI de cualquier router

NFT: Qué son los NFT y cómo funcionan

Wordfence Security Premium v7.10.4

Entrada destacada

Como reusar los driver de mi Laptop, República Digital

Entradas Populares

ITN Version 7.00 ITN Practice PT Skills Assessment PTSA (Español)

1.3.6 Packet Tracer – Configure SSH (Español)

NFT: Qué son los NFT y cómo funcionan

1.4.7 Packet Tracer – Configure Router Interfaces (Español)

Cómo cambiar el idioma por defecto de Windows 10 paso a paso

Todas las categoría

Entradas Random

ENTRADAS POR ETIQUETAS

Menu Footer Widget

Ticker

11.6.1 Packet Tracer – Switch Security Configuration (Español)

Tabla de VLAN

Objetivos

Aspectos básicos

Paso 1: Crear un troncal seguro.

Paso 2: Proteja los puertos de switch no utilizados.

Paso 3: Implemente la seguridad del puerto.

Paso 4: Configurar DHCP Snooping.

Paso 5: Configure PortFast y BPDU Guard.

APOYA MI TRABAJO

Redes Sociales

Entradas Populares

Entrada destacada

Entradas Populares

Todas las categoría

Entradas Random

ENTRADAS POR ETIQUETAS

Menu Footer Widget