Práctica de laboratorio 3.1.4: Aplicación de la seguridad básica del

Anuncio
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa
Práctica de laboratorio 3.1.4: Aplicación de la seguridad básica del
switch
Designación
del
dispositivo
Dirección IP
Máscara de
subred
Gateway
predeterminado
PC 1
192.168.1.3
255.255.255.0
192.168.1.1
PC 2
192.168.1.4
255.255.255.0
192.168.1.1
PC 3
Switch1
192.168.1.5
192.168.1.2
255.255.255.0
255.255.255.0
192.168.1.1
192.168.1.1
Contraseña
secreta de
enable
Contraseña
de consola
y de vty
class
cisco
Objetivos
•
Configurar contraseñas para garantizar que el acceso a la CLI sea seguro.
•
Configurar un switch para eliminar el estado de servidor http por razones de seguridad.
•
Configurar la seguridad de puerto.
•
Deshabilitar los puertos que no se utilicen.
•
Probar la configuración de seguridad mediante la conexión de los hosts no especificados a los
puertos seguros.
Información básica / Preparación
Establezca una red similar a la del diagrama de topología.
Se necesitan los siguientes recursos:
•
Un switch Cisco 2960 o un switch similar
•
Dos PC basadas en Windows, al menos una con un programa de emulación de terminal
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 1 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa
•
Al menos un cable conector de consola RJ45 a DB9
•
Dos cables Ethernet de conexión directa (de la PC1 y la PC2 al switch)
•
Acceso al indicador de comando en las PC
•
Acceso a la configuración TCP/IP de red para las PC
NOTA: Asegúrese de que se hayan borrado las configuraciones de inicio del switch. Las instrucciones para
borrar tanto los switches como los routers se proporcionan en el Manual del laboratorio, que se encuentra en
la sección Tools del sitio Web Academy Connection.
Paso 1: Conectar la PC1 al switch.
a. Conecte la PC1 al puerto Fa0/1 del switch Fast Ethernet. Configure la PC1 para utilizar la dirección
IP, la máscara y el gateway tal como se muestra en la tabla.
b. Establezca una sesión de emulación de terminal de la PC1 al switch.
Paso 2: Conectar la PC2 al switch.
a. Conecte la PC2 al puerto Fa0/4 del switch Fast Ethernet.
b. Configure la PC2 para utilizar la dirección IP, la máscara y el gateway tal como se muestra en la tabla.
Paso 3: Configurar la PC3 pero no conectarla.
Se necesita un tercer host para esta práctica de laboratorio.
a. Configure la PC3 mediante la dirección IP 192.168.1.5. La máscara de subred es 255.255.255.0 y el
gateway predeterminado es 192.168.1.1.
b. No conecte aún esta PC al switch. Se utilizará para probar la seguridad.
Paso 4: Realizar una configuración inicial en el switch.
a. Configure el nombre de host del switch como Switch1.
Switch>enable
Switch#config terminal
Switch(config)#hostname Switch1
b. Establezca la contraseña del modo EXEC privilegiado en cisco.
Switch1(config)#enable password cisco
c.
Establezca la contraseña secreta del modo EXEC privilegiado en class.
Switch1(config)#enable secret class
d. Configure la contraseña de la consola y de la terminal virtual para usar una contraseña y solicitarla al
iniciar sesión.
Switch1(config)#line console 0
Switch1(config-line)#password cisco
Switch1(config-line)#login
Switch1(config-line)#line vty 0 15
Switch1(config-line)#password cisco
Switch1(config-line)#login
Switch1(config-line)#end
e. Salga de la sesión de la consola e inicie sesión nuevamente.
¿Qué contraseña se solicitó para ingresar al modo EXEC privilegiado? ____________________
¿Por qué? ______________________________________________________________________
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 2 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa
Paso 5: Configurar la interfaz de administración del switch en la VLAN 1.
a. Ingrese el modo de configuración de interfaz para la VLAN 1.
Switch1(config)#interface vlan 1
b. Establezca la dirección IP, la máscara de subred y el gateway predeterminado para la interfaz de
administración.
Switch1(config-if)#ip address 192.168.1.2 255.255.255.0
Switch1(config-if)#no shutdown
Switch1(config-if)#exit
Switch1(config)#ip default-gateway 192.168.1.1
Switch1(config)#end
¿Por qué la interfaz de la VLAN 1 requiere una dirección IP en esta red de área local (LAN, Local
Area Network)?
________________________________________________________________________________
¿Cuál es el propósito del gateway predeterminado?
________________________________________________________________________________
Paso 6: Verificar las configuraciones de administración de las LAN.
a. Verifique que la dirección IP de la interfaz de administración del switch de la VLAN 1 y la dirección IP
de la PC1 y la PC2 estén en la misma red local. Utilice el comando show running-config para
verificar la configuración de la dirección IP del switch.
b. Verifique la configuración de la interfaz de la VLAN 1.
Switch1#show interface vlan 1
¿Cuál es el ancho de banda en esta interfaz?___________________________________________
¿Cuáles son los estados de la VLAN?
El estado de la VLAN 1 es __________ y el del protocolo de línea es __________.
Paso 7: Deshabilitar el switch para que no sea un servidor http.
Desactive la función del switch que se utiliza como un servidor http.
Switch1(config)#no ip http server
Paso 8: Verificar la conectividad.
a. Para verificar que los hosts y el switch estén configurados correctamente, haga ping a la dirección IP
del switch desde los hosts.
¿Ha logrado hacer ping? ___________________________
Si el ping no tiene éxito, verifique nuevamente las conexiones y las configuraciones. Verifique que
todos los cables sean correctos y que las conexiones estén en su lugar. Verifique las configuraciones
del host y los switches.
b. Guarde la configuración.
Paso 9: Anotar las direcciones MAC del host.
Determine y anote las direcciones de capa 2 de las tarjetas de interfaz de red de la PC. En el indicador
de comando de cada PC, ingrese ipconfig /all.
PC1 __________________________________________________
PC2 __________________________________________________
PC3 __________________________________________________
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 3 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa
Paso 10: Determinar las direcciones MAC que el switch ha aprendido.
Determine cuáles son las direcciones MAC que el switch ha aprendido por medio del comando show
mac-address-table en el indicador del modo EXEC privilegiado.
Switch1#show mac-address-table
¿Cuántas direcciones dinámicas hay? _____________
¿Cuántas direcciones MAC hay en total? ____________
¿Las direcciones MAC concuerdan con las direcciones MAC del host? __________
Paso 11: Ver las opciones de show mac-address-table.
Vea las opciones que tiene disponible el comando show mac-address-table.
Switch1(config)#show mac-address-table ?
¿Qué opciones hay disponibles? ____________________________________________________
_______________________________________________________________________________
Paso 12: Configurar una dirección MAC estática.
Configure una dirección MAC estática en la interfaz FastEthernet 0/4. Utilice la dirección que se anotó
para la PC2 en el Paso 9. La dirección MAC 00e0.2917.1884 se usa en la sentencia de este ejemplo
solamente.
Switch1(config)#mac-address-table static 00e0.2917.1884 vlan 1
interface fastethernet 0/4
Paso 13: Verificar los resultados.
a. Verifique las entradas de la tabla de direcciones MAC.
Switch1#show mac-address-table
¿Cuántas direcciones MAC dinámicas hay en total ahora? __________
¿Cuántas direcciones MAC estáticas hay en total ahora? _____________
b. Elimine la entrada estática de la tabla de direcciones MAC.
Switch1(config)#no mac-address-table static 00e0.2917.1884 vlan 1
interface fastethernet 0/4
Paso 14: Enumerar las opciones de seguridad de puerto.
a. Determine cuáles son las opciones para configurar la seguridad de puerto en la interfaz FastEthernet 0/4.
Switch1(config)#interface fastethernet 0/4
Switch1(config-if)#switchport port-security ?
¿Cuáles son algunas de las opciones disponibles? ________________________________________
b. Para permitir que el puerto del switch FastEthernet 0/4 acepte sólo un dispositivo, configure la
seguridad de puerto.
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport port-security
Switch1(config-if)#switchport port-security mac-address sticky
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 4 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa
c.
Salga del modo de configuración y verifique la configuración de la seguridad de puerto.
Switch1#show port-security
Secure Port
MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count)
(Count)
(Count)
--------------------------------------------------------------------------Fa0/4
1
0
0
Shutdown
---------------------------------------------------------------------------
Si un host que no sea la PC2 intenta conectarse a Fa0/4, ¿que sucede?
____________________________________________________________________________
Paso 15: Limitar la cantidad de hosts por puerto.
a. En la interfaz FastEthernet 0/4, establezca en 1 el conteo máximo de MAC de seguridad de puerto.
Switch1(config-if)#switchport port-security maximum 1.
b. Desconecte la PC conectada a FastEthernet 0/4. Conecte la PC3 a FastEthernet 0/4. La PC3 ha
recibido la dirección IP 192.168.1.5 y todavía no se ha conectado al switch. Es posible que sea
necesario hacer ping a la dirección 192.168.1.2 del switch para generar tráfico.
Anote cualquier observación. _____________________________________________________
_____________________________________________________________________________
Paso 16: Configurar el puerto para que se desconecte si se produce una violación de seguridad.
a. En caso de que se produzca una violación de seguridad, la interfaz debe desconectarse. Para que se
desconecte la seguridad de puerto, ingrese el siguiente comando:
Switch1(config-if)#switchport port-security violation shutdown
¿Qué otras opciones de acción hay disponibles para la seguridad de puerto? _______________
_____________________________________________________________________________
b. Si es necesario, haga ping a la dirección del switch 192.168.1.2 desde la PC3 192.168.1.5. Ahora,
esta PC está conectada a la interfaz FastEthernet 0/4. Esto garantiza que haya tráfico desde la PC
hacia el switch.
c.
Anote cualquier observación.
_____________________________________________________________________________
_____________________________________________________________________________
d. Verifique la configuración de la seguridad de puerto.
Switch1#show port-security
Secure Port
MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count)
(Count)
(Count)
--------------------------------------------------------------------------Fa0/4
1
1
0
Shutdown
---------------------------------------------------------------------------
Paso 17: Mostrar la información de configuración del puerto 0/4.
Para ver la información de configuración del puerto FastEthernet 0/4 solamente, escriba show
interface fastethernet 0/4 en el indicador del modo EXEC privilegiado.
Switch1#show interface fastethernet 0/4
¿Cuál es el estado de esta interfaz?
El estado de FastEthernet0/4 es __________ y el del protocolo de línea es __________.
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 5 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa
Paso 18: Reactivar el puerto.
a. Si se produce una violación de seguridad y el puerto se desconecta, use los comandos shutdown / no
shutdown para volver a conectarlo.
b. Intente volver a conectar este puerto algunas veces conmutando el puerto de host 0/4 original y el
nuevo puerto de host. Vuelva a conectar el host original, ingrese el comando no shutdown en la
interfaz y haga ping mediante el indicador de comando.
El ping deberá repetirse varias veces; otra posibilidad es usar el comando ping 192.168.1.2 -n
200. Este comando establece la cantidad de paquetes de ping en 200 en lugar de 4. Luego, cambie
los hosts e intente de nuevo.
Paso 19: Deshabilitar los puertos que no se utilicen.
Deshabilite los puertos que no se utilizan en el switch.
Switch1(config)#interface range Fa0/5 - 24
Switch1(config-if-range)#shutdown
Switch1(config)#interface range gigabitethernet0/1 - 2
Switch1(config-if-range)#shutdown
Paso 20: Reflexión
a. ¿Por qué se activaría la seguridad de puerto en un switch? __________________________________
_______________________________________________________________________________
b. ¿Por qué deben deshabilitarse los puertos no utilizados en un switch? _______________________
_______________________________________________________________________________
Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.
Página 6 de 6
Descargar