3.- Crear las VLANs 10 (ING), 20 (MKT), 30 (VOICE) ,40 (SERVIDORES), 200 (ADM) en todos los SW Ceacion de vlans en todos los switch -DLS1# vlan 10 -DLS1#vlan name ING -DLS1#vlan 20 -DLS1# vlan name MKT -DLS1#vlan 30 -DLS1# vlan name VOICE -DLS1#vlan 40 -DLS1#vlan name SERVIDORES -DLS1#VLAN 200 -DLS1#vlan name ADM
4.- Considerar la VLAN 100 como nativa e Indicarla a los trunks.
-DLS1# interface range fastethernet 0/2-7- DLS1#switchport trunk native vlan 100 DLS2# interface range fastethernet 0/2-7 DLS2#switchport trunk native vlan 100 ALS1# interface range fastethernet 0/2-7 ALS1#switchport trunk native vlan 100 ALS2# interface range fastethernet 0/2-7 ALS2#switchport trunk native vlan 100 5.- Configurar la seguridad respectiva en los puertos trunk para que solo permita las VLANs configuradas DLS1# interface range fastethernet 0/2-7 DLS1#switchport trunk allowed vlan 10,20,30,40,100 DLS2# interface range fastethernet 0/2-7 DLS2#switchport trunk allowed vlan 10,20,30,40,100 ALS1# interface range fastethernet 0/2-7 ALS1#switchport trunk allowed vlan 10,20,30,40,100 ALS2# interface range fastethernet 0/2-7 ALS2#switchport trunk allowed vlan 10,20,30,40,100 6.- Configurar PVST en todos los switch y permitir que el ROOT Bridge primario para las VLANs 10,20 y 30 sea el DLS1 y para las VLANs 40,200,100 sea el DLS2 (El ROOT Bridge secundario debe ser lo inverso). als1#spaning-tree mode pvst als2#spaning-tree mode pvst dls1#spaning-tree mode pvst dls2#spaning-tree mode pvst
7.- Configurar los Port-Channel, para que los grupos 1,4 y 5 trabajen con el protocolo 802.3ad, y los grupos 2, 3 trabajen con el protocolo propietario. dls1#(config)inter range f0/2 - 3 dls1#(config)channel-group 1 mode active dls1#(config)inter range f0/4 - 5 dls1#(config)channel-group 3 mode deserable
dls2#(config)inter range f0/2 - 3 dls2#(config)channel-group 5 mode active dls2#(config)inter range f0/4 - 5 dls2#(config)channel-group 2 mode deserable
als1#(config)inter range f0/2 - 3 als1#(config)channel-group 1 mode active als1#(config)inter range f0/4 - 5 als1#(config)channel-group 2 mode deserable
als2#(config)inter range f0/2 - 3 als2#(config)channel-group 5 mode active als2#(config)inter range f0/4 - 5 als2#(config)channel-group 3 mode deserable
8.- Configurar las SVI para todas las VLANs (salvo la nativa). Asignar cada VLAN a la red 192.150.X.0/24, donde X = #VLAN, en el DLS1 habilite la Primera IP y en el DLS2 habilite la segunda IP DLS1(config)# ip routing DLS1(config)# interface vlan 10 DLS1(config-if)# ip address 192.150.10.1 255.255.255.0 DLS1(config-if)# no shutdown DLS1(config-if)# end DLS1(config)# interface vlan 20 DLS1(config-if)# ip address 192.150.20.1 255.255.255.0 DLS1(config-if)# no shutdown DLS1(config-if)# end DLS1(config)# ip routing DLS1(config)# interface vlan 30 DLS1(config-if)# ip address 192.150.30.1 255.255.255.0 DLS1(config-if)# no shutdown DLS1(config-if)# end DLS1(config)# ip routing DLS1(config)# interface vlan 40 DLS1(config-if)# ip address 192.150.40.1 255.255.255.0 DLS1(config-if)# no shutdown DLS1(config-if)# end
DLS1(config)# ip routing DLS1(config)# interface vlan 200 DLS1(config-if)# ip address 192.150.200.1 255.255.255.0 DLS1(config-if)# no shutdown DLS1(config-if)# end
DLS2(config)# ip routing DLS2(config)# interface vlan 10 DLS2(config-if)# ip address 192.150.10.2 255.255.255.0 DLS2(config-if)# no shutdown DLS2(config-if)# end DLS2(config)# interface vlan 20 DLS2(config-if)# ip address 192.150.20.2 255.255.255.0 DLS2(config-if)# no shutdown DLS2(config-if)# end DLS2(config)# ip routing DLS2(config)# interface vlan 30 DLS2(config-if)# ip address 192.150.30.2 255.255.255.0 DLS2(config-if)# no shutdown DLS2(config-if)# end DLS2(config)# ip routing DLS2(config)# interface vlan 40 DLS2(config-if)# ip address 192.150.40.2 255.255.255.0 DLS2(config-if)# no shutdown DLS2(config-if)# end
DLS2(config)# ip routing DLS2(config)# interface vlan 200 DLS2(config-if)# ip address 192.150.200.2 255.255.255.0 DLS2(config-if)# no shutdown DLS2(config-if)# end 9.- Configurar el puerto Fa0/8 de ambos SW DLSs para conectar al router ISP (Los puertos deben ser de capa 3, la IP est dada en la topologa) dls1#(config)inter f0/8 dls1#(config)no switchport dls1#(config)ip address 200.1.1.2 255.255.255.0 dls1#(config)no sh
dls2#(config)inter f0/8 dls2#(config)no switchport dls2#(config)ip address 200.1.2.2 255.255.255.0 dls2#(config)no sh
10.- Configurar DLS1 y DLS2 para utilizar HSRP, para la configuracin de HSRP respete los siguientes parmetros: o DSL1 Activo con prioridad 180 (grupo 1) para Vlan 10 y 20 (192.150.X.3/24) o DLS2 standby con prioridad 99 (grupo 1) para Vlan 10 y 20 (192.150.X.3/24) o DSL2 Activo con prioridad 180 (grupo 2) para Vlan 30 y 40 (192.150.X.4/24) o DLS1 standby con prioridad 99 (grupo 2) para Vlan 30 y 40 (192.150.X.4/24)
DLS1(config)#interface fa vlan 10 DLS1(config)#standby 1 ip 192.150.10.3 DLS1(config)#standby 1 priority 180
DLS1(config)#interface fa vlan 20 DLS1(config)#standby 1 ip 192.150.20.3 DLS1(config)#standby 1 priority 180
DLS1(config)#interface fa vlan 30 DLS1(config)#standby 2 ip 192.150.30.4 DLS1(config)#standby 2 priority 99
DLS1(config)#interface fa vlan 40 DLS1(config)#standby 2 ip 192.150.40.4 DLS1(config)#standby 2 priority 99
DLS2(config)#interface fa vlan 10 DLS2(config)#standby 1 ip 192.150.10.3 DLS2(config)#standby 1 priority 99
DLS2(config)#interface fa vlan 20 DLS2(config)#standby 1 ip 192.150.20.3 DLS2(config)#standby 1 priority 99
DLS2(config)#interface fa vlan 30 DLS2(config)#standby 2 ip 192.150.30.4 DLS2(config)#standby 2 priority 180
DLS2(config)#interface fa vlan 40 DLS2(config)#standby 2 ip 192.150.40.4 DLS2(config)#standby 2 priority 180
11.- Habilitar un tracking de 85 en las SVI de los DLS1 y DLS2 para recalcular HSRP en caso de que se baje el enlace entre los DLS y el Router ISP interface Vlan10 standby 1 track fasethernet 0/8 85 interface Vlan20 standby 1 track fasethernet 0/8 85 interface Vlan30 standby 2 track FastEthernet0/8 85 interface Vlan40 standby 2 track FastEthernet0/8 85
12.- Agregar autenticacin a los grupos HSRP usando la password duoc. Modificar los tiempos de hello y holdtime a 10 seg. y 30 seg. respectivamente. interface vlan 10 stanby 1 authentication duoc stanby 1 timers 10 30 exit interface vlan 20 stanby 1 authentication duoc stanby timers 10 30 exit interface vlan 30 stanby 1 authentication duoc stanby 1 timers 10 30 exit interface vlan 40 stanby 1 authentication duoc stanby 1 timers 10 30 exit
13.- Habilitar EIGRP
dls1 ip routing
14.- Agregar Fa0/8 9 a la Vlan 10, Fa0/10 11 a la Vlan 20, Fa0/12 13 a la Vlan 30, Fa0/15 a la Vlan 40 en los SW ALS1 y ALS2.
15.- Conectar un PC en el puerto f0/9 del ALS1 y otro en el puerto f0/13 del ALS2. Configurarlos y probar conectividad entre ellos, y hacia la interfaz loopback.
16.- Deshabilitar STP en los puertos de Acceso spaning-tree portfast en los puertos que estan conectados los pcs
17.- Habilitar port security en los puertos 8 y 9 del ALS1 permitiendo solo 2 MAC de forma dinmica, en caso de violacin de seguridad deshabilitar el puerto. interface fasethernet 0/8 Switch(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC] Switch(config-if)# switchport port-security maximum 2 Switch(config-if)# switchport port-security shutdown
18.- Configurar una RACL que bloquee el trfico entre la vlan 30 y las otras vlan. DLS1(config)# access-list 100 deny ip 192.150.30.0 0.0.0.255 192.150.10.0 0.0.0.255 DLS1(config)# access-list 100 deny ip 192.150.30.0 0.0.0.255 192.150.20.0 0.0.0.255 DLS1(config)# access-list 100 deny ip 192.150.30.0 0.0.0.255 192.150.40.0 0.0.0.255 DLS1(config)# access-list 100 deny ip 192.150.30.0 0.0.0.255 192.150.200.0 0.0.0.255 DLS1(config)# access-list 100 permit ip any any DLS1(config)# interface vlan 30 DLS1(config)# ip access-group 100 in 19.- Aplicar filtros de tal forma que los equipos de la VLAN 10 con las IP 192.150.10.10 y 192.150.10.11 no se pueden comunicar entre ellos (DLS1), y la IP 192.150.10.12 no se pueda comunicar con ningn otro equipo de la Vlan 10. DLS1(config)# access-list 200 deny ip host 192.150.10.10 0.0.0.255 192.150.10.11 0.0.0.255 DLS1(config)# access-list 200 deny ip host 192.150.10.11 0.0.0.255 192.150.10.10 0.0.0.255 DLS1(config)# ip access-list extended host-temp DLS1(config)# permit ip host 192.150.10.12 192.150.10.0 0.0.0.255 DLS1(config)#vlan access-map block-host 10 DLS1(configaccessmap)#matchipaddresshosttemp DLS1(configaccessmap)#actiondrop DLS1(configaccessmap)#vlanaccessmapblockhost20 DLS1(configaccessmap)#actionforward DLS1(configaccessmap)#exit DLS1(config)# access-list 200 permit ip any any DLS1(config)# interface vlan 10 DLS1(config)# ip access-group 200 in
20.- Configurar el puerto Fa0/17 del SW ALS1 la conexin segura de un server DHCP. ALS1(config)# ip dhcp snooping ALS1(config)# interface range fastethernet 0/17 ALS1(config-if-range)# ip dhcp snooping trust
21.- Habilitar seguridad para STP de tal forma que cuando los puertos de acceso detecten una BPDU la interface quede en un estado de error-disable.
ALS2(config)# spanning-tree portfast bpduguard default es para modo global todos los portfast
spanning-tree portfast bpduguard enable ( en la interfaz)
22.- En DLS2, habilitar la inspeccin de paquetes ARP para la vlan 40 con el objetivo de permitir solo la direccin MAC 000A.000A.000A para la IP 192.150.40.50, considerar que DHCP Snooping no est activado. Conectar un PC al DLS2 y probar la configuracin anterior.