Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • 6.5.1.2 Layer 2 Security - Instructor

    Încărcat de

    AncelMedina
    118 vizualizări15 pagini
    bueno

    Titlu original

    6.5.1.2 Layer 2 Security_Instructor

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    bueno

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    118 vizualizări15 pagini

    6.5.1.2 Layer 2 Security - Instructor

    Încărcat de

    AncelMedina
    bueno

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 15

    PACKET TRACER - LAYER 2 SECURITY

    UNAD

    PACKET TRACER - LAYER 2 SECURITY

    SANDRA PATRICIA RIOS RIVERA


    COD. 1055273047

    TUTOR: GERARDO GRANADOS ACUA

    GRUPO: 203092_13

    UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD


    INGENIERIA DE SISTEMAS
    DUITAMA
    2017

    Packet Tracer - Layer 2 Security


    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Topologa

    Objetivos

    Asigne el conmutador central como puente raz.


    Proteger los parmetros de rbol de expansin para evitar
    ataques de manipulacin de STP.
    Habilitar el control de tormentas para prevenir tormentas de
    radiodifusin.
    Habilitar la seguridad del puerto para evitar ataques de
    desbordamiento de tabla de direcciones MAC.

    Antecedentes / Escenario
    Ha habido una serie de ataques a la red recientemente. Por esta razn,
    el administrador de red Le asign la tarea de configurar la seguridad de
    Nivel 2.
    Para obtener un rendimiento y seguridad ptimos, el administrador
    desea asegurarse de que el puente raz sea el 3560 Interruptor central.
    Para evitar los ataques de manipulacin de rbol de expansin, el
    administrador desea asegurarse de que Los parmetros STP sean
    seguros. Adems, el administrador de red desea permitir que el control
    de tormentas, Prevenir tormentas de difusin. Por ltimo, para evitar los
    ataques de desbordamiento de la tabla de direcciones MAC, la red el
    Administrador ha decidido configurar la seguridad del puerto para limitar
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    el nmero de direcciones MAC que se pueden aprender por puerto de


    conmutador. Si el nmero de direcciones MAC excede el lmite
    establecido, el administrador desea que el puerto ser apagado.

    Todos los dispositivos de conmutacin se han preconfigurado con lo


    siguiente:
    Habilitar contrasea: ciscoenpa55
    Contrasea de la consola: ciscoconpa55
    Contrasea de la lnea VTY: ciscovtypa55
    Parte 1: Configure Root Bridge
    Paso 1: Determine el puente raz actual.
    Desde Central, emita el comando show spanning-tree para determinar el
    puente raz actual y para ver el Puerto en uso y su estado.
    Cul es el puente raz actual?
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    La raz actual es SW-1


    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Con base en el puente de raz actual, cul es el rbol de expansin


    resultante? (Dibuja la topologa del rbol de expansin.)

    Paso 2: Asigne Central como el puente raz principal.


    Utilizando el comando primario de raz vlan 1 de spanning-tree, asigne
    Central como el puente raz.
    Central(config)# spanning-tree vlan 1 root primary
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Paso 3: Asigne SW-1 como un puente raz secundario.


    Asigne SW-1 como el puente de raz secundario utilizando el comando
    secundario raz vlan 1 del rbol de expansin.
    SW-1(config)# spanning-tree vlan 1 root secondary

    Paso 4: Verificar la configuracin del spanning-tree.


    Emita el comando show spanning-tree para verificar que Central es el
    puente raz.
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Cul es el puente raz actual? Central


    Parte 2: Proteger contra los ataques de STP
    Asegurar los parmetros STP para evitar ataques de manipulacin STP
    Paso 1: Habilitar PortFast en todos los puertos de acceso.
    PortFast est configurado en puertos de acceso que se conectan a una
    nica estacin de trabajo o servidor para permitirles activarse ms
    rpidamente. En los puertos de acceso conectados de SW-A y SW-B,
    utilice el rbol de expansin
    SW-A(config)# interface range fastethernet 0/1 - 4
    SW-A(config-if-range)# spanning-tree portfast

    SW-B(config)# interface range fastethernet 0/1 - 4


    SW-B(config-if-range)# spanning-tree portfast
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Paso 2: habilite la proteccin BPDU en todos los puertos de acceso.


    El protector BPDU es una funcin que puede ayudar a prevenir los
    conmutadores deshonestos y la suplantacin de identidad en los puertos
    de acceso. Habilitar BPDU guardia en los puertos de acceso SW-A y SW-
    B.
    SW-A(config)# interface range fastethernet 0/1 - 4
    SW-A(config-if-range)# spanning-tree bpduguard enable

    SW-B(config)# interface range fastethernet 0/1 - 4


    SW-B(config-if-range)# spanning-tree bpduguard enable
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Nota: El protector BPDU de rbol extensible puede habilitarse en cada puerto


    individual usando el rbol de expansin Bpduguard habilita el comando en el
    modo de configuracin de la interfaz o el almacn de rbol de expansin
    bpduguard Comando predeterminado en el modo de configuracin global. Para
    fines de calificacin en esta actividad, utilice el Spanning-tree bpduguard
    habilitar el comando.

    Paso 3: Habilitar el protector de raz.


    El protector de raz se puede habilitar en todos los puertos de un switch que no
    sean puertos raz. Es mejor implementar en puertos que Conctese a otros
    conmutadores no root. Utilice el comando show spanning-tree para determinar
    la ubicacin de la Root en cada switch.
    En SW-1, active el protector de raz en los puertos Fa0 / 23 y Fa0 / 24. En SW-2,
    active el protector de raz en los puertos Fa0 / 23 y Fa0 / 24.
    SW-1(config)# interface range fa0/23 - 24
    SW-1(config-if-range)# spanning-tree guard root
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    SW-2(config)# interface range fa0/23 - 24


    SW-2(config-if-range)# spanning-tree guard root

    Parte 3: Habilitar el control de tormentas


    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Paso 1: Habilite el control de tormentas para transmisiones.


    a. Habilite el control de tormentas para transmisiones en todos los puertos
    conectando interruptores (puertos troncales).
    b. Habilitar el control de tormentas en las interfaces que conectan Central, SW-
    1 y SW-2. Establecer un 50 por ciento de aumento. Usando el comando storm-
    control broadcast.
    SW-1(config)# interface range gi1/1 , fa0/1 , fa0/23 - 24
    SW-1(config-if)# storm-control broadcast level 50

    SW-2(config)# interface range gi1/1 , fa0/1 , fa0/23 - 24


    SW-2(config-if)# storm-control broadcast level 50

    Central(config-if)# interface range gi0/1 , gi0/2 , fa0/1


    Central(config-if)# storm-control broadcast level 50

    Tep 2: Verificar la configuracin del control de tormenta.


    Compruebe su configuracin con los comandos show storm-control broadcast y
    show run.
    Parte 4: Configurar la seguridad del puerto e inhabilitar los puertos no
    utilizados
    Paso 1: Configure la seguridad bsica del puerto en todos los puertos
    conectados a los dispositivos host.
    Este procedimiento se debe realizar en todos los puertos de acceso en SW-A y
    SW-B. Establezca el nmero mximo de aprendi la direccin MAC a 2, permite
    que la direccin MAC se aprenda dinmicamente y defina la infraccin como
    apagar.
    Nota: Un puerto de conmutacin debe configurarse como un puerto de acceso
    para habilitar la seguridad del puerto.
    SW-A(config)# interface range fa0/1 - 22
    SW-A(config-if-range)# switchport mode access
    SW-A(config-if-range)# switchport port-security
    SW-A(config-if-range)# switchport port-security maximum 2
    SW-A(config-if-range)# switchport port-security violation shutdown
    SW-A(config-if-range)# switchport port-security mac-address sticky
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    SW-B(config)# interface range fa0/1 - 22


    SW-B(config-if-range)# switchport mode access
    SW-B(config-if-range)# switchport port-security
    SW-B(config-if-range)# switchport port-security maximum 2
    SW-B(config-if-range)# switchport port-security violation shutdown
    SW-B(config-if-range)# switchport port-security mac-address sticky

    Por qu no desea habilitar la seguridad de puertos en puertos conectados a


    otros switches o enrutadores?
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Los puertos conectados a otros switches tienen una multitud de direcciones


    mac aprendidas para ese puerto limitando as el nmero de direcciones mac
    que puede aprender este. Esto puede significar un impacto en la funcionalidad
    de la red.
    Paso 2: Verificar la seguridad del puerto.
    En SW-A, emita el comando show port-security interface fa0 / 1 para verificar
    que la seguridad del puerto ha sido Configurado.

    Paso 3: Deshabilitar puertos no utilizados.


    Deshabilite todos los puertos que no se utilizan actualmente.
    SW-A(config)# interface range fa0/5 - 22
    SW-A(config-if-range)# shutdown
    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    SW-B(config)# interface range fa0/5 - 22


    SW-B(config-if-range)# shutdown

    Paso 4: Comprobar los resultados.


    PACKET TRACER - LAYER 2 SECURITY
    UNAD

    Su porcentaje de finalizacin debe ser del 100%. Haga clic en Comprobar


    resultados para ver la retroalimentacin y la verificacin de qu se han
    completado los componentes requeridos.

    S-ar putea să vă placă și