Principio de enrutamiento (MOD2 - CISCO)

Tarea -3.3.2.2 Implementing VLAN security

Elaborado por

José Daniel Paiba

Cód.: 1.024.545.826

Grupo

2150507_10

Tutor

José Ignacio Cardona

Universidad Nacional Abierta y a Distancia – UNAD

Escuela de Ciencias Básicas, Tecnología e Ingeniería – ECBTI

2020

1
 Introducción

Este documento contiene el desarrollo interactivo mediante el programa cisco packet tracer de la

configuración de terminales switches y equipos de mesa para la implementación de seguridad de

VLAN.

2
 Actividades

Práctica de laboratorio: implementación de seguridad de VLAN

Topología

Tabla de direccionamiento

Gateway
Dispositivo Interfaz Dirección IP Máscara de subred predeterminado
S1 VLAN 99 172.17.99.11 255.255.255.0 172.17.99.1
S2 VLAN 99 172.17.99.12 255.255.255.0 172.17.99.1
PC-A NIC 172.17.99.3 255.255.255.0 172.17.99.1
PC-B NIC 172.17.10.3 255.255.255.0 172.17.10.1
PC-C NIC 172.17.99.4 255.255.255.0 172.17.99.1
Asignaciones de VLAN

VLAN Nombre
10 Datos
99 Management&Native
999 BlackHole

3
Objetivos

Parte 1: armar la red y configurar los parámetros básicos de los dispositivos

Parte 2: implementar seguridad de VLAN en los switches

Información básica/situación

La práctica recomendada indica que se deben configurar algunos parámetros básicos de

seguridad para los puertos de enlace troncal y de acceso en los switches. Esto sirve como

protección contra los ataques de VLAN y la posible detección del tráfico de la red dentro de esta.

En esta práctica de laboratorio, configurará los dispositivos de red en la topología con algunos

parámetros básicos, verificará la conectividad y, a continuación, aplicará medidas de seguridad

más estrictas en los switches. Utilizará varios comandos show para analizar la forma en que se

comportan los switches Cisco. Luego, aplicará medidas de seguridad.

Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con

IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras

versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos

disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las

prácticas de laboratorio.

Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si

no está seguro, consulte con el instructor.

4
Recursos necesarios

 2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)

 3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal,

como Tera Term)

 Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos

de consola

 Cables Ethernet, como se muestra en la topología

PARTE 1: armar la red y configurar los parámetros básicos de los dispositivos

En la parte 1, configurará los parámetros básicos en los switches y las computadoras. Consulte la

tabla de direccionamiento para obtener información sobre nombres de dispositivos y direcciones.

Paso 1. Realizar el cableado de red tal como se muestra en la topología.

5
Paso 2. Inicializar y volver a cargar los switches.

Paso 3. Configurar las direcciones IP en la PC-A, la PC-B y la PC-C.

6
Consulte la tabla de direccionamiento para obtener la información de direcciones de las

computadoras.

Paso 4. Configurar los parámetros básicos para cada switch.

a. Desactive la búsqueda del DNS.

b. Configure los nombres de los dispositivos como se muestra en la topología.

c. Asigne class como la contraseña del modo EXEC privilegiado.

d. Asigne cisco como la contraseña de VTY y la contraseña de consola, y habilite el inicio

de sesión para las líneas de vty y de consola.

e. Configure el inicio de sesión sincrónico para las líneas de vty y de consola.

Paso 5. Configurar las VLAN en cada switch.

a. Cree las VLAN y asígneles nombres según la tabla de asignaciones de VLAN.

Configure la dirección IP que se indica para la VLAN 99 en la tabla de direccionamiento en

ambos switches.

7
Configure F0/6 en el S1 como puerto de acceso y asígnelo a la VLAN 99.

8
Configure F0/11 en el S2 como puerto de acceso y asígnelo a la VLAN 10.

9
Configure F0/18 en el S2 como puerto de acceso y asígnelo a la VLAN 99.

10
Emita el comando show vlan brief para verificar las asignaciones de VLAN y de puertos.

¿A qué VLAN pertenecería un puerto sin asignar, como F0/8 en el S2?

11
RTA// todos los puertos por defecto están asignados a la Vlan 1

Paso 6. Configurar la seguridad básica del switch.

a. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no

autorizado.

f.Encripte todas las contraseñas.

g. Desactive todos los puertos físicos sin utilizar.

h. Deshabilite el servicio web básico en ejecución.

S1(config)# no ip http server

S2(config)# no ip http server

i. Copie la configuración en ejecución en la configuración de inicio.

12
Paso 7. Verificar la conectividad entre la información de VLAN y los dispositivos.

a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1.

¿Tuvieron éxito los pings? ¿Por qué?

13
 PC-A se encuentra en la misma dirección de origen del switch S1

j. Desde el S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los

pings? ¿Por qué?

14
 El ping no es satisfactorio, la dirección administrativa en s1 y s2 están en el mismo

VLAN pero la interface F0/1 en ambos switches no están configurados como puerto

troncal el puerto aun pertenece a la VLAN 1 y no a la VLAN 99

k. En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del

S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron

correctamente? ¿Por qué?

15
 RTA// no re realizan ping en los demás dispositivos debido a que se encuentra en una

VLAN diferente. VLAN 99.

l. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del

S1 y el S2. ¿Tuvo éxito? ¿Por qué?

16
 Realiza ping con la s2 pero no con la S1 debido a que el enlace troncal no ha sido

establecido entre S1 y S2

Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.

PARTE 2: implementar seguridad de VLAN en los switches

Paso 1. configurar puertos de enlace troncal en el S1 y el S2.

17
 a. Configure el puerto F0/1 en el S1 como puerto de enlace troncal.

S1(config)# interface f0/1

S1(config-if)# switchport mode trunk

b. Configure el puerto F0/1 en el S2 como puerto de enlace troncal.

S2(config)# interface f0/1

S2(config-if)# switchport mode trunk

m. Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface

trunk en los dos switches.

S1# show interface trunk

Port Mode Encapsulation Status Native vlan

Fa0/1 on 802.1q trunking 1

Port Vlans allowed on trunk

Fa0/1 1-4094

Port Vlans allowed and active in management domain

Fa0/1 1,10,99,999

Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 1,10,99,999

Paso 2. Cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2.

Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal de la

VLAN 1 a otra VLAN.

a. ¿Cuál es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2?

En ambos switches la VLAN es la nativa 1

18
n. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99

Management&Native.

S1# config t
S1(config)# interface f0/1
S1(config-if)# switchport trunk native vlan 99

o. Espere unos segundos. Debería comenzar a recibir mensajes de error en la sesión de

consola del S1. ¿Qué significa el mensaje %CDP-4-NATIVE_VLAN_MISMATCH:?

Este es un mensaje indicando que el s1 y s2 tienen sus VLANS que no coinciden.

p. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2.

S2(config)# interface f0/1

S2(config-if)# switchport trunk native vlan 99

19
 q. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuación, se

muestra el resultado del S1.

S1# show interface trunk

Port Mode Encapsulation Status Native vlan

Fa0/1 on 802.1q trunking 99

Port Vlans allowed on trunk

Fa0/1 1-4094

Port Vlans allowed and active in management domain

Fa0/1 1,10,99,999

Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 10,999
Paso3. Verificar que el tráfico se pueda transmitir correctamente a través del enlace

troncal.

a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1.

¿Tuvieron éxito los pings? ¿Por qué?

20
r.En la sesión de consola del S1, haga ping a la dirección de administración del S2.

¿Tuvieron éxito los pings? ¿Por qué?

21
 s. En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del

S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron

correctamente? ¿Por qué?

NO realiza ping debido que la pcb- está en la VLAN 1 mientras que las demás pc y switch

se encuentran en la VLAN 99

t. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del

S1 y el S2, y a la dirección IP de la PC-A. ¿Tuvo éxito? ¿Por qué?

Paso 4. Impedir el uso de DTP en el S1 y el S2.

Cisco utiliza un protocolo exclusivo conocido como “protocolo de enlace troncal dinámico”

(DTP) en los switches. Algunos puertos negocian el enlace troncal de manera automática. Se

22
recomienda desactivar la negociación. Puede ver este comportamiento predeterminado mediante

la emisión del siguiente comando:

S1# show interface f0/1 switchport

23
 Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>

a. Desactive la negociación en el S1.

S1(config)# interface f0/1

S1(config-if)# switchport nonegotiate
u. Desactive la negociación en el S2.

S2(config)# interface f0/1

S2(config-if)# switchport nonegotiate
v. Verifique que la negociación esté desactivada mediante la emisión del comando show

S1# show interface f0/1 switchport

Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
<Output Omitted>
Paso 5. Implementar medidas de seguridad en los puertos de acceso del S1 y el S2.

Aunque desactivó los puertos sin utilizar en los switches, si se conecta un dispositivo a uno de

esos puertos y la interfaz está habilitada, se podría producir un enlace troncal. Además, todos los

puertos están en la VLAN 1 de manera predeterminada. Se recomienda colocar todos los puertos

sin utilizar en una VLAN de “agujero negro”. En este paso, deshabilitará los enlaces troncales en

todos los puertos sin utilizar. También asignará los puertos sin utilizar a la VLAN 999. A los

fines de esta práctica de laboratorio, solo se configurarán los puertos 2 a 5 en ambos switches.

24
a. Emita el comando show interface f0/2 switchport en el S1. Observe el modo

administrativo y el estado para la negociación de enlaces troncales.

S1# show interface f0/2 switchport

Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>
w. Deshabilite los enlaces troncales en los puertos de acceso del S1.

S1(config)# interface range f0/2 – 5

S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999
x. Deshabilite los enlaces troncales en los puertos de acceso del S2.

y. Verifique que el puerto F0/2 esté establecido en modo de acceso en el S1.

S1# show interface f0/2 switchport

Name: Fa0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
Access Mode VLAN: 999 (BlackHole)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
<Output Omitted>
z. Verifique que las asignaciones de puertos de VLAN en ambos switches sean las

correctas. A continuación, se muestra el S1 como ejemplo.

S1# show vlan brief

VLAN Name Status Ports

---- ------------------------------ --------- ------------------------------
1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22

25
 Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 Data active
99 Management&Native active Fa0/6
999 BlackHole active Fa0/2, Fa0/3, Fa0/4, Fa0/5
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Restrict VLANs allowed on trunk ports.

De manera predeterminada, se permite transportar todas las VLAN en los puertos de enlace

troncal. Por motivos de seguridad, se recomienda permitir que solo se transmitan las VLAN

deseadas y específicas a través de los enlaces troncales en la red.

aa. Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y

99.

S1(config)# interface f0/1

S1(config-if)# switchport trunk allowed vlan 10,99
bb. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y

99.

cc. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo

EXEC privilegiado en el S1 y el S2

S1# show interface trunk

Port Mode Encapsulation Status Native vlan

Fa0/1 on 802.1q trunking 99

Port Vlans allowed on trunk

Fa0/1 10,99

Port Vlans allowed and active in management domain

Fa0/1 10,99

Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 10,99

26
¿Cuál es el resultado?

Reflexión

¿Qué problemas de seguridad, si los hubiera, tiene la configuración predeterminada de un switch

Cisco?

Puede que no se encuentre dentro de la misma red vlan el switch a la vlan predeterminada el

hecho es que todos los puertos deben estar asignados a la misma vlan por defecto, también se

debe verificar que las troncales se encuentren de manera correcta.

27
 Conclusiones

 Se realizó la programación y el direccionamiento de cada uno se los switches a su vlan.

 Se programaron las password y las direcciones ep de cada elemento

 Se logró identificar y resolver los problemas planteados durante la guía

 Se interactuó de manera dinámica con el programa cisco packet tracer

28
29