Scribd
Cargar
119 vistas27 páginas

Libro Comandos

El documento describe la configuración de routers, switches y servicios de red como DHCP para una red empresarial. Se asignan direcciones IP a interfaces, se configuran VLAN, puertos trunk, portchannel, DHCP, HSRP y STP.

Cargado por

Eyeri Barahona
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
119 vistas27 páginas

Libro Comandos

El documento describe la configuración de routers, switches y servicios de red como DHCP para una red empresarial. Se asignan direcciones IP a interfaces, se configuran VLAN, puertos trunk, portchannel, DHCP, HSRP y STP.

Cargado por

Eyeri Barahona
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

NOMBRES DE LOS DISPOSITIVOS

1. Cambiar los nombres de todos los dispositivos según se indica en el Packet Tracer, respetar el
uso de mayúsculas (se recomienda iniciar de izquierda a derecha)

CONFIGURACIÓN DE LOS ROUTER


INTERFACES WAN (SERIALES)
EDI-CENTRAL(config-if)#ip add [Link] [Link]

SUCURSAL1(config)#int g1/0/2
SUCURSAL1(config-if)#no switchport
SUCURSAL1(config-if)#ip add [Link] [Link]
SUCURSAL1(config-if)#no sh

EDI-CENTRAL(config-if)#int g0/0/0
EDI-CENTRAL(config-if)#ip add [Link] [Link]

SUCURSAL2(config-if)#int g0/0/1
SUCURSAL2(config-if)#ip add [Link] [Link]

PRINCIPAL(config)#int g1/0/24
PRINCIPAL(config-if)#no switchport
PRINCIPAL(config-if)#ip add [Link] [Link]
PRINCIPAL(config-if)#no sh

PRINCIPAL(config-if)#int g1/0/23
PRINCIPAL(config-if)#no switchport
PRINCIPAL(config-if)#ip add [Link] [Link]
PRINCIPAL(config-if)#no sh

BACKUP(config)#int g0/0/1
BACKUP(config-if)#ip add [Link] [Link]
BACKUP(config-if)#no sh

INTERFACES LAN Y VLAN


UTILICE EN TODOS LOS CASOS LA PRIMER DIRECCION UTILIZABLE
CONFIGURAR LAS SUB-INTERFACES EN EL O LOS ROUTER QUE CORRESPONDA

SUCURSAL1(config)#INT G1/0/1
SUCURSAL1(config-if)#NO SWitchport
SUCURSAL1(config-if)#IP ADD [Link] [Link]
SUCURSAL1(config-if)#NO SH

PRINCIPAL(config)#IP ROUTING

PRINCIPAL(config)#int g1/0/1
PRINCIPAL(config-if)#no switchport
PRINCIPAL(config-if)#ip add [Link] [Link]
PRINCIPAL(config-if)#no sh

EDI-CENTRAL(config)#int g0/0/1.4
EDI-CENTRAL(config-subif)#encapsulation dot1Q 4
EDI-CENTRAL(config-subif)#ip add [Link] [Link]
EDI-CENTRAL(config-subif)#IPV6 ADD [Link]/64

EDI-CENTRAL(config)#int g0/0/1.5
EDI-CENTRAL(config-subif)#encapsulation dot1Q 5
EDI-CENTRAL(config-subif)#ip add [Link] [Link]
EDI-CENTRAL(config-subif)#IPV6 ADD [Link]/64

EDI-CENTRAL(config)#int g0/0/1.6
EDI-CENTRAL(config-subif)#encapsulation dot1Q 6
EDI-CENTRAL(config-subif)#ip add [Link] [Link]
EDI-CENTRAL(config-subif)#IPV6 ADD [Link]/64

EDI-CENTRAL(config)#int g0/0/1.255
EDI-CENTRAL(config-subif)#encapsulation dot1Q 255 native
EDI-CENTRAL(config-subif)#ip add [Link] [Link]
EDI-CENTRAL(config-subif)#IPV6 ADD [Link]/64

EDI-CENTRAL(config)#INT G0/0/1
EDI-CENTRAL(config-if)#NO SH

DHCP V4
CONFIGURAR UN POOL PARA CADA UNA DE LAS REDES LAN Y VLAN
EXCLUIR LAS PRIMERAS 5 IP DE TODA RED Y LAS DE LOS SERVIDORES SI LOS HUBIERE
EL DOMINIO PARA LAS REDES ES [Link]

Pool SUCURSAL1
Pool CONTA
Pool RRHH
Pool REGIS
Pool PRINCIPAL

EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link] [Link]

EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link] [Link]

EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link] [Link]


Nota;
EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link] [Link]
EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link] [Link]

EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link] [Link]

EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link]

EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link]


EDI-CENTRAL(config)#IP DHCP EXcluded-address [Link]

EDI-CENTRAL(config)#IP DHCP POOL SUCURSAL1

EDI-CENTRAL(dhcp-config)#network [Link] [Link]


Nota
EDI-CENTRAL(dhcp-config)#default-router [Link]

EDI-CENTRAL(dhcp-config)#dns-server [Link]

EDI-CENTRAL(config)#IP DHCP POOL CONTA

EDI-CENTRAL(dhcp-config)#NETwork [Link] [Link]

EDI-CENTRAL(dhcp-config)#default-router [Link]

EDI-CENTRAL(dhcp-config)#dns-server [Link]

EDI-CENTRAL(dhcp-config)#domain-name [Link]

EDI-CENTRAL(config)#IP DHCP POOL RRHH

EDI-CENTRAL(dhcp-config)#NETwork [Link] [Link]

EDI-CENTRAL(dhcp-config)#default-router [Link]

EDI-CENTRAL(dhcp-config)#dns-server [Link]

EDI-CENTRAL(dhcp-config)#domain-name [Link]

EDI-CENTRAL(config)#IP DHCP POOL REGIS

EDI-CENTRAL(dhcp-config)#NETwork [Link] [Link]

EDI-CENTRAL(dhcp-config)#default-router [Link]

EDI-CENTRAL(dhcp-config)#dns-server [Link]

EDI-CENTRAL(dhcp-config)#domain-name [Link]

EDI-CENTRAL(config)#IP DHCP POOL PRINCIPAL


EDI-CENTRAL(dhcp-config)#NETwork [Link] [Link]

EDI-CENTRAL(dhcp-config)#default-router [Link]

EDI-CENTRAL(dhcp-config)#dns-server [Link]

EDI-CENTRAL(dhcp-config)#domain-name [Link]

HSRP ( standby #1) EN LOS ROUTER BACKUP Y SUCURSAL 2


CONFIGURE EL HSRP EN LOS ROUTER (SUCURSAL2 Y BACKUP), DONDE EL ROUTER
SURCUSAL2 ES EL PRINCIPAL, PRIORIDAD 150
UTILIZAR EN EL ROUTER SUCURSAL2 LA SEGUNDA IP UTILIZABLE
UTILIZAR EN EL ROUTER BACKUP LA TERCER IP UTILIZABLE

SUCURSAL2(config)#int g0/0/0
SUCURSAL2(config-if)#ip add [Link] [Link]
SUCURSAL2(config-if)#no sh

SUCURSAL2(config-if)#standby 1 IP [Link]
SUCURSAL2(config-if)#standby 1 priority 150
SUCURSAL2(config-if)#standby 1 preempt

BACKUP(config)#INT G0/0/0
BACKUP(config-if)#IP ADD [Link] [Link]

BACKUP(config-if)#standby 1 ip [Link]

CONFIGURACIÓN DE LOS SWITCHES CAPA 2

CONFIGURAR EN LOS SW1 Y SW2,


RAPID STP , PARA QUE LOS ENLACES ENTRE LOS SWITCH LEVANTEN
INMEDIATAMENTE.
CONFIGURAR EN LOS PUERTOS DONDE ESTAN LA PC´s PORTFAST CON SEGURIDAD

SW-2(config)#INT RANGE F0/1-23


SW-2(config-if-range)#SPAnning-tree PORTfast

SW-1(config)#int range f0/1-23


SW-1(config-if-range)#spanning-tree portfast
CONFIGUARAR EN CEN-1, CEN-2 Y CEN-3
CREAR LAS VLAN , SEGURIDAD DE PUERTOS Y STP´
CONFIGURAR LOS PUERTOS QUE CORRESPONDAN EN MODO TRONCAL Y ANUNCIAR LA
VLAN NATIVA.
VLAN 4 CONTA [Link] /24 [Link]/64 P 5-10
VLAN 5 RRHH [Link] /24 [Link]/64 P 11-15
VLAN 6 REGIS [Link] /24 [Link]/64 P 16-24
VLAN 255 ADMIN [Link]/28 [Link]/64

CEN-1(config)#VLAN 4
CEN-1(config-vlan)#NAME CONTA

CEN-1(config-vlan)#VLAN 5
CEN-1(config-vlan)#NAME RRHH
CEN-1(config-vlan)#VLAN 6
CEN-1(config-vlan)#NAME REGIS

CEN-1(config-vlan)#VLAN 255
CEN-1(config-vlan)#NAME ADMIN

CEN-1(config-vlan)#int g0/1
CEN-1(config-if)#sw mode trunk
CEN-1(config-if)#switchport trunk native vlan 255

CEN-1(config-if)#INT RANGE F0/1-4


CEN-1(config-if-range)#SW MODE TRUNK
CEN-1(config-if-range)#SW TRUNK NATIVE VLAN 255

CEN-1(config)#INTER RANGE F0/5-10


CEN-1(config-if-range)#SWitchport MODE ACCess
CEN-1(config-if-range)#SWitchport ACC VLAN 4

CEN-1(config-if-range)#INT RANGE F0/11-15


CEN-1(config-if-range)#SW MODE ACC
CEN-1(config-if-range)#SW ACC VLAN 5
Nota;

CEN-1(config-if-range)#INT RANGE F0/16-24


CEN-1(config-if-range)#SW MODE ACC
CEN-1(config-if-range)#SW ACC VLAN 6

CEN-3(config)#INTER RANGE F0/1-2


CEN-3(config-if-range)#SWitchport MODE TRUNK
CEN-3(config-if-range)#SWItchport TRUNK NATIVE VLAN 255
CEN-3(config)#VLAN 4
CEN-3(config-vlan)#NAME CONTA
CEN-3(config-vlan)#
CEN-3(config-vlan)#VLAN 5
CEN-3(config-vlan)#NAME RRHH
CEN-3(config-vlan)#
CEN-3(config-vlan)#VLAN 6
CEN-3(config-vlan)#NAME REGIS
CEN-3(config-vlan)#
CEN-3(config-vlan)#VLAN 255
CEN-3(config-vlan)#NAME ADMIN

CEN-3(config)#INT RANGE F0/5-10


CEN-3(config-if-range)#SW MODE ACC
CEN-3(config-if-range)#SW ACC VLAN 4
CEN-3(config-if-range)#
CEN-3(config-if-range)#INT RANGE F0/11-15
CEN-3(config-if-range)#SW MODE ACC
CEN-3(config-if-range)#SW ACC VLAN 5

CEN-2(config)#INT RANGE F0/3-4


CEN-2(config-if-range)#SW MODE TRUNK

CEN-2(config-if-range)#switchport trunk native vlan 255

CEN-2(config)#VLAN 4
CEN-2(config-vlan)#NAME CONTA

CEN-2(config-vlan)#VLAN 5
CEN-2(config-vlan)#NAME RRHH
CEN-2(config-vlan)#
CEN-2(config-vlan)#VLAN 6
CEN-2(config-vlan)#NAME REGIS

CEN-2(config-vlan)#VLAN 255
CEN-2(config-vlan)#NAME ADMIN

Seguridad

CEN-1(config)#INT RANGE F0/5-24


CEN-1(config-if-range)#SWitchport PORT-security
CEN-1(config-if-range)#SWitchport PORT-SEcurity MAX 5
CEN-1(config-if-range)#SWitchport PORT-security VIOlation PROTECT
CEN-1(config-if-range)#SWitchport PORt-security MAC Sticky
CEN-3(config)#int range f0/5-24
CEN-3(config-if-range)#SW MODE ACC
CEN-3(config-if-range)#SW PORT-security
CEN-3(config-if-range)#SWitchport SE
CEN-3(config-if-range)#SWitchport PORT-security MAX 5
CEN-3(config-if-range)#SW PORT-security VIOLation PROtect
CEN-3(config-if-range)#SW PORT-security MAC-address Sticky

CEN-2(config)#int range f0/5-24


CEN-2(config-if-range)#switchport mode acc
CEN-2(config-if-range)#switchport port-security
CEN-2(config-if-range)#switchport port-security maximum 5
CEN-2(config-if-range)#switchport port-security violation protect
CEN-2(config-if-range)#switchport port-security mac-address sticky

CEN-1(config)#INT RANGE F0/1-2


CEN-1(config-if-range)#CHANNEL-GROUP 5 MODE DESIRABLE

CEN-1(config-if-range)#INT PORT-CHANNEL 5

CEN-3(config)#INT RANGE F0/1-2


CEN-3(config-if-range)#CHANN
CEN-3(config-if-range)#CHANNEL-GR
CEN-3(config-if-range)#CHANNEL-GRoup 5 MODE AUTO
CEN-3(config-if-range)#EXIT
CEN-3(config)#INTerface PORt-channel 5

CEN-1(config)#INT RANGE F0/3-4


CEN-1(config-if-range)#CHANNEL-GRoup 2 MODE ACtive
CEN-1(config-if-range)#EXIT
CEN-1(config)#INTerface PORt-channel 2

CEN-2(config)#int range f0/3-4


CEN-2(config-if-range)#channel-g
CEN-2(config-if-range)#channel-group 2 mode pa
CEN-2(config-if-range)#channel-group 2 mode passive
CEN-2(config-if-range)#

CEN-2(config)#int range f0/3-4


CEN-2(config-if-range)#channel-group 2 mode passive
CONFIGUAR ETHERCHANNEL SEGÚN SE INDICA EN EL PACKET TRACER.

CONFIGURAR QUE EL CEN-1 SEA EL PUENTE RAIZ DE LA VLAN 6 UTILIZANDO LA


PRIORIDAD MAS BAJA
CONFIGURAR QUE EL CEN-2 SEA EL PUENTE RAIZ DE LA VLAN 4 UTILIZANDO LA
PRIORIDAD MAS BAJA
CONFIGURAR QUE EL CEN-3 SEA EL PUENTE RAIZ DE LA VLAN 5 UTILIZANDO LA
PRIORIDAD MAS BAJ

CEN-1(config)#spanning-tree VLAN 6 PRiority 0

CEN-3(config)#SPANNing-tree VLAN 5 PRIority 0

CEN-2(config)#spanning-tree VLAN 4 PRiority 0

CONFIGURACIÓN DE ROUTER INALÁMBRICO

CONFIGURAR CON:
RED [Link]/24

SSID:CCAA
PASSWORD ACCESO INALAMBRICO:53CU3511 EN EL MODO MAS SEGURO

PASSORD ACCESO ADMINISTRATIVO: 55HADMIN


CONFIGURACIÓN DE LAS PC

UTILIZAR EN TODOS LOS CASOS DIRECCIONAMIENTO POR DHCPv4 Y AUTO-CONFIG EN


IPv6

1. Pegar compus a cada VLAN (Respetar la asignación de puertos)


2. Activar DHCP

CONFIGURACIÓN DE LAS PORTÁTILES

CONECTAR LA PORTÁTIL AL ROUTER ILAMBRICO


CONFIGURACIÓN DE LOS SERVIDORES

SERVIDOR HTTP: CONFIGURAR LA ULTIMA IP UTILIZABLE


EN EL CASO DE ESTE SERVIDOR. SOLO SE LE DEBE DE CONFIGURAR EL
DIRECCIONAMIENTO IP CORRESPONDIENTE. NO SE DEBE CONFIGURAR LA PÁGINA
WEB

Nota.
SERVIDOR DNS: CONFIGURAR CON LA ULTIMA IP UTILIZABLE , CONFIGURAR EN ESTE
SERVIDOR LA PAGINA WEB: [Link]
SERVIDOR TFTP: CONFIGURAR CON LA PENULTIMA IP UTILIZABLE

Nota

HSRP ( standby #1) EN LOS ROUTER BACKUP Y SUCURSAL 2


CONFIGURE EL HSRP EN LOS ROUTER (SUCURSAL2 Y BACKUP), DONDE EL ROUTER
SURCUSAL2 ES EL PRINCIPAL, PRIORIDAD 150
UTILIZAR EN EL ROUTER SUCURSAL2 LA SEGUNDA IP UTILIZABLE
UTILIZAR EN EL ROUTER BACKUP LA TERCER IP UTILIZABLE

ENRUTAMIENTO ESTÁTICO
SI BIEN ES CIERTO PARA EL ENRUTAMIENTO ESTÁTICO SE PUEDE UTILIZAR LA
INTERFAZ DE SALIDA O LA IP DEL SIGUIENTE SALTO, PARA ESTE EXAMEN USAREMOS
EN TODOS LOS CASOS LA DIRECCIÓN DEL SIGUIENTE SALTO

SUCURSAL2(config)#ip route [Link] [Link] [Link]

SUCURSAL2(config)#ip route [Link] [Link] [Link]


SUCURSAL2(config)#ip route [Link] [Link] [Link]

SUCURSAL2(config)#ip route [Link] [Link] [Link]


SUCURSAL2(config)#ip route [Link] [Link] [Link]
SUCURSAL2(config)#ip route [Link] [Link] [Link]

BACKUP(config)#ip route [Link] [Link] [Link]


BACKUP(config)#ip route [Link] [Link] [Link]

BACKUP(config)#ip route [Link] [Link] [Link]


BACKUP(config)#ip route [Link] [Link] [Link]
BACKUP(config)#ip route [Link] [Link] [Link]
BACKUP(config)#ip route [Link] [Link] [Link]
BACKUP(config)#ip route [Link] [Link] [Link]

CONFIGURACIÓN DE LOS SWITCHES CAPA 3

CONFIGURAR LOS PUERTOS DEL SWITCH CAPA 3 SEGÚN CORREPONDA.


ENRUTAMIENTO ESTÁTICO

SI BIEN ES CIERTO PARA EL ENRUTAMIENTO ESTÁTICO SE PUEDE UTILIZAR LA


INTERFAZ DE SALIDA O LA IP DEL SIGUIENTE SALTO, PARA ESTE EXAMEN USAREMOS
EN TODOS LOS CASOS LA DIRECCIÓN DEL SIGUIENTE SALTO
SUCURSAL1(config)#ip route [Link] [Link] [Link]
SUCURSAL1(config)#ip route [Link] [Link] [Link]
SUCURSAL1(config)#ip route [Link] [Link] [Link]

SUCURSAL1(config)#ip route [Link] [Link] [Link]


SUCURSAL1(config)#ip route [Link] [Link] [Link]

SUCURSAL1(config)#ip route [Link] [Link] [Link]


SUCURSAL1(config)#ip route [Link] [Link] [Link]

SUCURSAL1(config)#ip route [Link] [Link] [Link]

PRINCIPAL(config)#ip route [Link] [Link] [Link]


PRINCIPAL(config)#ip route [Link] [Link] [Link]

PRINCIPAL(config)#ip route [Link] [Link] [Link]

PRINCIPAL(config)#ip route [Link] [Link] [Link]


PRINCIPAL(config)#ip route [Link] [Link] [Link]

PRINCIPAL(config)#ip route [Link] [Link] [Link]


PRINCIPAL(config)#ip route [Link] [Link] [Link]
PLAN REMEDIAL PARTE 1: CONFIGURACIÓN BÁSICA VLAN Y SEGURIDAD

CONFIGURAR ROUTER ASIGNAR PUERTO A LAS VLAN

INTERFACES INTERFACE RANGE F0/1-10


SW MODE ACCESS
INT G0/0/1 SW ACCESS VLAN 10
IP ADD [Link] [Link]
NO SH INTERFACE RANGE F0/15-24
SW MODE ACCESS
INT G0/0/0.10 SW ACCESS VLAN 20
ENCAPSULATION DOT1Q 10
IP ADD [Link] [Link] INTERFACE RANGE F0/11-14
SW MODE ACCESS
INT G0/0/0.20 SW ACCESS VLAN 888
ENCAPSULATION DOT1Q 20
IP ADD [Link] [Link] ASIGNAR PUERTOS TRONCALES
INTERFACE RANGE G0/1-2
INT G0/0/0.100 SW MODE TRUNK
ENCAPSULATION DOT1Q 100 NATIVE SW TRUNK NATIVE VLAN 100
IP ADD [Link] [Link]
CONFIGURACIÓN SW2
INT G0/0/0
NO SH CREAR LAS VLAN

ENABLE
CONFIGURACIÓN SW1 CONFI TE

CREAR LAS VLAN VLAN 10


NAME VENTAS
ENABLE
CONFI TE VLAN 20
NAME COMPRAS
VLAN 10
NAME VENTAS VLAN 888
NAME BLACK-HOLE
VLAN 20
NAME COMPRAS VLAN 100
ADMIN
VLAN 888
NAME BLACK-HOLE EXIT

VLAN 100 ASIGNAR PUERTOS TRONCALES


ADMIN INTERFACE RANGE G0/1-2
SW MODE TRUNK
EXIT SW TRUNK NATIVE VLAN 100

ASIGNAR PUERTO A LAS VLAN


PLAN REMEDIAL PARTE 1: CONFIGURACIÓN BÁSICA VLAN Y SEGURIDAD

INTERFACE RANGE F0/1-10 Se repite proceso para crear el POOL de la VLAN 20


SW MODE ACCESS
SW ACCESS VLAN 10

INTERFACE RANGE F0/15-24


SW MODE ACCESS
SW ACCESS VLAN 20

INTERFACE RANGE F0/11-14


SW MODE ACCESS
SW ACCESS VLAN 888

CONFIGURACIÓN SERVIDOR DHCP

CONFIGURAR IP (ÚLTIMA UTILIZABLE) Revisa si las computadoras obtienen DHCP


[Link] Respuesta: SI( ) NO( )
[Link]
[Link] Recuerda que debes de configurar el ayudante para
poder obtener DHCP
INGRESAR A LA PESTAÑA DE SERVICES
1. Seleccionar la opción de DHCP INGRESAR AL ROUTER
2. Encender el servicio de DHCP (On)
3. Agregar un nombre a pool: VLAN 10 INT G0/0/0.10
4. Agregar Gateway: [Link] IP HELPER-ADDRESS [Link] (es la dirección
5. Agregar DNS: [Link] que ofrece el servicio de DHCP, en este caso es el
6. Iniciar con la IP: [Link] servidor)
7. Máscara: [Link]
8. Máximo de IP: 255 INT G0/0/0.20
9. Presionar la opción de ADD IP HELPER-ADDRESS [Link]

Vuelve a revisar si las computadoras obtienen


DHCP

CONFIGURACIÓN SEGURIDAD A LOS DISPOSITIVOS

SERVIDOR ATACANTE
1. Conectar el servidor a un puerto de la VLAN
10 del SW1
2. Asignar IP estática de la VLAN 10
IP: [Link]
Mask: [Link]
Gateway: [Link]

3. Probar que el servidor pueda hacer ping con


las PC
HABILITAR SEGURIDAD ARP
PLAN REMEDIAL PARTE 1: CONFIGURACIÓN BÁSICA VLAN Y SEGURIDAD

SW1
Configurar al servidor atacante en DHCP IP ARP INSPECTION VLAN 10,20,100,888
1. Services
2. DHCP INT G0/1
3. ON IP ARP INSPECTION TRUST
4. Pool Name: VLAN10
5. Default Gateway: [Link]
6. DNS Server: [Link] MITIGACIÓN DE UN ATAQUE POR SPANNING-TREE
7. Dirección Inicio: [Link]
8. Máscara: [Link] SW2
9. Máximo: 255
10. Agregar INT RANGE F0/1-10, F0/15-24
SPANNING-TREE PORTFAST

Nota: agregue una PC a cualquier puerto del switch


2 y verifique que se conecte inmediatamente.

INT RANGE F0/1-10, F0/15-24


SPANNING-TREE BPDUGUARD ENABLE (con este
comando permite que solo se acepten a los puertos
indicados solo dispositivos HOST)

Nota: trate de conectar un Switch con el puerto que


utilizo para pegar la PC

Puedes notar que el puerto se apagó, procede a


levantar nuevamente el puerto, recuerda que debes
Revisar que las computadoras que están pegadas a los de ingresar a la interfaz del puerto, bajarlo y volverlo
puertos de la VLAN 10 reciban DHCP del servidor a levantar.
atacante. (Es decir ya no reciben IP del servidor DHCP)
CONFIGURAR SEGURIDAD AL SW2
COMO MITIGAR ESTE TIPO DE ATAQUES
INTER RANGE F0/1-24
INGRESAR SW1 SWITCHPORT PORT-SECURITY
IP DHCP SNOOPING (este comando permite que ningún SWITCHPORT PORT-SECURITY MAXIMUN 2
puerto del sw tiene permitido dar DHCP) SWITCHPORT PORT-SECURITY MAC-ADDRESS STICKY
SWITCHPORT PORT-SECURITY VIOLATION RESTRICT
INT G0/1
IP DHCP SNOOPING TRUST (este comando permite
asignar el puerto confiable que brinde el servicio DHCP)

INT RANGE F0/1-24


IP DHCP SNOOPING LIMIT RATE 6 (permite que los puertos
indicados no permitan más de 6 paquetes por segundo)
EXIT
IP DHCP SNOOPING VLAN 10,20,100,888 (este comando
permite habilitar la seguridad por DHCP)
Práctica EXAMEN 05 SEP
//SW1 - SW2 - SW3 channel-group 4 mode active
vlan 400 exit
name NATIVE int port-channel 4
exit switchport mode trunk
vlan 700 switchport trunk native vlan 400
name MANAGEMENT switchport trunk allowed vlan all
exir description Trunk to SW3
vlan 666 exit
name DROP int range f0/5-6
exit no shut
vlan 75
name VENTAS //SW3
exit int range f0/5-6
vlan 80 description Trunk to SW2
name BODEGA channel-group 4 mode active
exit exit
int port-channel 4
//SW1 switchport mode trunk
int range f0/1-2 switchport trunk native vlan 400
description Trunk to SW2 switchport trunk allowed vlan all
channel-group 6 mode desirable description Trunk to SW2
exit exit
int port-channel 6 int range f0/5-6
switchport mode trunk no shut
switchport trunk native vlan 400
switchport trunk allowed vlan all //SW3
description Trunk to SW2 int range f0/9-10
exit description Trunk to SW1
int range f0/1-2 channel-group 3 mode desirable
no shut exit
int port-channel 3
//SW2 switchport mode trunk
int range f0/1-2 switchport trunk native vlan 400
description Trunk to SW2 switchport trunk allowed vlan all
channel-group 6 mode desirable description Trunk to SW1
exit exit
int port-channel 6 int range f0/9-10
switchport mode trunk no shut
switchport trunk native vlan 400
switchport trunk allowed vlan all //SW1
description Trunk to SW1 int range f0/9-10
exit description Trunk to SW3
int range f0/1-2 channel-group 3 mode desirable
no shut exit
int port-channel 3
//SW2 switchport mode trunk
int range f0/5-6 switchport trunk native vlan 400
description Trunk to SW3 switchport trunk allowed vlan all
Práctica EXAMEN 05 SEP

description Trunk to SW3 int f0/8


exit switchport mode access
int range f0/9-10 switchport access vlan 75
no shut switchport port-security
switchport port-security max 1
//SW3 switchport port-security violation shutdown
spanning-tree vlan 1,400,700,666,75,80 priority switchport port-security mac sticky
4096 spanning-tree portfast
spanning-tree bpduguard enable
//SW2 no shutdown
int f0/7 description VLAN75 Host
switchport mode access
switchport access vlan 80 //SW3
switchport port-security int vlan 700
switchport port-security max 1 ip add [Link] [Link]
switchport port-security violation shutdown description MGNTVLAN
switchport port-security mac sticky exit
spanning-tree portfast ip default-gateway [Link]
spanning-tree bpduguard enable
no shutdown //SW2
description VLAN80 Host int vlan 700
ip add [Link] [Link]
//SW1 description MGNTVLAN
int f0/8 exit
switchport mode access ip default-gateway [Link]
switchport access vlan 80
switchport port-security //SW1
switchport port-security max 1 int vlan 700
switchport port-security violation shutdown ip add [Link] [Link]
switchport port-security mac sticky description MGNTVLAN
spanning-tree portfast exit
spanning-tree bpduguard enable ip default-gateway [Link]
no shutdown
description VLAN80 Host //SW3
int g0/1
int f0/6 switchport mode trunk
switchport mode access switchport trunk allowed vlan all
switchport access vlan 75 switchport trunk native vlan 400
switchport port-security des Trunk to RT1-DHCP
switchport port-security max 1 no shut
switchport port-security violation shutdown
switchport port-security mac sticky //RT-DHCP
spanning-tree portfast int g0/0/0.400
spanning-tree bpduguard enable encapsulation dot1q 400 native
no shutdown description Navite VLAN
description VLAN75 Host exit
int g0/0/0.80
//SW3 encapsulation dot1q 80
Práctica EXAMEN 05 SEP

description VLAN80 Gateway //RT1-DCHP


ip add [Link] [Link] int g0/0/1
exit ip add [Link] [Link]
int g0/0/0.75 des Link to L3SW1
encapsulation dot1q 75 no shut
description VLAN75 Gateway exit
ip add [Link] [Link]
exit //L3SW1
int g0/0/0.700 int g1/0/1
encapsulation dot1q 700 no switchport
description VLAN700 Gateway ip add [Link] [Link]
ip add [Link] [Link] des Link to RT1-DHCP
exit no shut
int g0/0/0 exit
description Trunk to SW3
no shut //RT1-DCHP
exit int g0/0/2
ip add [Link] [Link]
//RT1-DHCP des Link to L3RT-1
ip dhcp excluded-address [Link] no shut
ip dhcp excluded-address [Link] exit
ip dhcp excluded-address [Link]
ip dhcp excluded-address [Link] //L3RT-1
ip dhcp excluded-address [Link] int g0/0/2
ip dhcp excluded-address [Link] ip add [Link] [Link]
[Link] des Link to RT1-DHCP
no shut
ip dhcp pool VLAN75 exit
network [Link] [Link]
default-router [Link] //SW4
dns-server [Link] vlan 50
exit name CONTA
exit
ip dhcp pool VLAN80 vlan 60
network [Link] [Link] name GERENCIA
default-router [Link] exit
dns-server [Link] vlan 710
name MANAGEMENT
//RT1-DHCP exit
Agregar un SPF GLC-LH-SMD al puerto G0/0/2 vlan 666
name DROP
//L3RT-1 exit
Agregar un SPF GLC-LH-SMD al puerto G0/0/2 vlan 400
name NATIVE
//Poner fibra entre el RT y el SW exit

//Poner directo en el RT (G0/0/1 y SW G1/0/1) //SW4


int range g0/1-2
Práctica EXAMEN 05 SEP

switchport mode trunk standby 250 priority 250


switchport trunk allowed vlan all standby 250 preempt
switchport trunk native vlan 400 desc VLAN710 Gateway
no shut exit
exit
int g0/1
descr Trunk to L3RT-1 //L3RT-1
exit int g0/0/0.400
int g0/2 encapsulation dot1q 400 native
desc Trunk to L3SW-1 description Navite VLAN
exit exit
int g0/0/0.60
//L3SW-1 encapsulation dot1q 60
int g1/0/2 ip add [Link] [Link]
switchport mode trunk standby 60 ip [Link]
switchport trunk allowed vlan all standby 60 priority 150
switchport trunk native vlan 400 ip helper-address [Link]
desc Trunk to SW4 ip helper-address [Link]
no shut description VLAN60 Gateway
exit exit
int g0/0/0.50
//L3SW-1 activar enrutamiento encapsulation dot1q 50
ip routing ip add [Link] [Link]
standby 50 ip [Link]
//L3SW-1 int standby 50 priority 150
int vlan 60 ip helper-address [Link]
ip add [Link] [Link] ip helper-address [Link]
standby 60 ip [Link] description VLAN50 Gateway
standby 60 priority 250 exit
standby 60 preempt int g0/0/0.710
ip helper-address [Link] encapsulation dot1q 710
ip helper-address [Link] ip add [Link] [Link]
desc VLAN60 Gateway standby 250 ip [Link]
exit standby 250 priority 150
description VLAN710 Gateway
int vlan 50 exit
ip add [Link] [Link] int g0/0/0
standby 50 ip [Link] des Trunk to SW4
standby 50 priority 250 no shutdown
standby 50 preempt
ip helper-address [Link] //L3SW-1
ip helper-address [Link] vlan 50
desc VLAN50 Gateway name CONTA
exit exit
vlan 60
int vlan 710 name GERENCIA
ip add [Link] [Link] exit
standby 250 ip [Link] vlan 710
Práctica EXAMEN 05 SEP

name MANAGEMENT network [Link] [Link]


exit default-router [Link]
vlan 666 dns-server [Link]
name DROP exit
exit
vlan 400 //L3SW-1 con enrutamiento estático
name NATIVE //ip route <ID RED REMOTA><SM REMOTA><SALTO IP
exit {vecino}>
//(sólo se usa en Entornos Broadcast [BMA], Ethernet)
//SW4 //
int f0/1 //ip route <ID RED REMOTA><SM REMOTA><Interfaz
switchport mode access de Salida Local>
switchport access vlan 60 //(sólo se usa en Entornos NO Broadcast [NBMA],
switchport port-security Serial)
switchport port-security max 1 //
switchport port-security violation shutdown //ip route <ID RED REMOTA><SM REMOTA><SALTO IP
switchport port-security mac sticky {vecino}><Interfaz de Salida Local>
spanning-tree portfast //(se puede usar en ambos escenarios pero sólo en
spanning-tree bpduguard enable equipo físico
no shutdown //
description VLAN60 Host //Ruta flotante se declara igual, de acuerdo a los
exit escenarios de arriba
//pero se agrega una distancia administrativa superior
int f0/10 a la original
switchport mode access
switchport access vlan 50 //L3SW-1
switchport port-security ip route [Link] [Link] [Link]
switchport port-security max 1 ip route [Link] [Link] [Link]
switchport port-security violation shutdown ip route [Link] [Link] [Link]
switchport port-security mac sticky ip route [Link] [Link] [Link]
spanning-tree portfast
spanning-tree bpduguard enable //RT1-DHCP
no shutdown ip route [Link] [Link] [Link]
description VLAN50 Host ip route [Link] [Link] [Link] 150
ip route [Link] [Link] [Link]
//RT1-DHCP ip route [Link] [Link] [Link] 150
ip dhcp excluded-address [Link] ip route [Link] [Link] [Link]
[Link] ip route [Link] [Link] [Link] 150
ip dhcp excluded-address [Link]
[Link] //L3RT-1
ip dhcp pool VLAN60 ip route [Link] [Link] [Link]
network [Link] [Link] ip route [Link] [Link] [Link]
default-router [Link] ip route [Link] [Link] [Link]
dns-server [Link] ip route [Link] [Link] [Link]
exit

ip dhcp pool VLAN50


Práctica EXAMEN 05 SEP

También podría gustarte