Está en la página 1de 6

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa

Prctica de laboratorio 3.1.4: Aplicacin de la seguridad bsica del switch

Designacin del dispositivo PC 1 PC 2 PC 3 Switch1

Direccin IP 192.168.1.3 192.168.1.4 192.168.1.5 192.168.1.2

Mscara de subred 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

Gateway predeterminado 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1

Contrasea secreta de enable

Contrasea de consola y de vty

class

cisco

Objetivos
Configurar contraseas para garantizar que el acceso a la CLI sea seguro. Configurar un switch para eliminar el estado de servidor http por razones de seguridad. Configurar la seguridad de puerto. Deshabilitar los puertos que no se utilicen. Probar la configuracin de seguridad mediante la conexin de los hosts no especificados a los puertos seguros.

Informacin bsica / Preparacin


Establezca una red similar a la del diagrama de topologa. Se necesitan los siguientes recursos: Un switch Cisco 2960 o un switch similar Dos PC basadas en Windows, al menos una con un programa de emulacin de terminal
Pgina 1 de 6

Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa


Al menos un cable conector de consola RJ45 a DB9 Dos cables Ethernet de conexin directa (de la PC1 y la PC2 al switch) Acceso al indicador de comando en las PC Acceso a la configuracin TCP/IP de red para las PC

NOTA: Asegrese de que se hayan borrado las configuraciones de inicio del switch. Las instrucciones para borrar tanto los switches como los routers se proporcionan en el Manual del laboratorio, que se encuentra en la seccin Tools del sitio Web Academy Connection.

Paso 1: Conectar la PC1 al switch.


a. Conecte la PC1 al puerto Fa0/1 del switch Fast Ethernet. Configure la PC1 para utilizar la direccin IP, la mscara y el gateway tal como se muestra en la tabla. b. Establezca una sesin de emulacin de terminal de la PC1 al switch.

Paso 2: Conectar la PC2 al switch.


a. Conecte la PC2 al puerto Fa0/4 del switch Fast Ethernet. b. Configure la PC2 para utilizar la direccin IP, la mscara y el gateway tal como se muestra en la tabla.

Paso 3: Configurar la PC3 pero no conectarla.


Se necesita un tercer host para esta prctica de laboratorio. a. Configure la PC3 mediante la direccin IP 192.168.1.5. La mscara de subred es 255.255.255.0 y el gateway predeterminado es 192.168.1.1. b. No conecte an esta PC al switch. Se utilizar para probar la seguridad.

Paso 4: Realizar una configuracin inicial en el switch.


a. Configure el nombre de host del switch como Switch1. Switch>enable Switch#config terminal Switch(config)#hostname Switch1 b. Establezca la contrasea del modo EXEC privilegiado en cisco. Switch1(config)#enable password cisco c. Establezca la contrasea secreta del modo EXEC privilegiado en class. Switch1(config)#enable secret class d. Configure la contrasea de la consola y de la terminal virtual para usar una contrasea y solicitarla al iniciar sesin. Switch1(config)#line console 0 Switch1(config-line)#password cisco Switch1(config-line)#login Switch1(config-line)#line vty 0 15 Switch1(config-line)#password cisco Switch1(config-line)#login Switch1(config-line)#end e. Salga de la sesin de la consola e inicie sesin nuevamente. Qu contrasea se solicit para ingresar al modo EXEC privilegiado? ____________________ Por qu? ______________________________________________________________________

Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 2 de 6

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa


Paso 5: Configurar la interfaz de administracin del switch en la VLAN 1.
a. Ingrese el modo de configuracin de interfaz para la VLAN 1. Switch1(config)#interface vlan 1 b. Establezca la direccin IP, la mscara de subred y el gateway predeterminado para la interfaz de administracin. Switch1(config-if)#ip address 192.168.1.2 255.255.255.0 Switch1(config-if)#no shutdown Switch1(config-if)#exit Switch1(config)#ip default-gateway 192.168.1.1 Switch1(config)#end Por qu la interfaz de la VLAN 1 requiere una direccin IP en esta red de rea local (LAN, Local Area Network)? ________________________________________________________________________________ Cul es el propsito del gateway predeterminado? ________________________________________________________________________________

Paso 6: Verificar las configuraciones de administracin de las LAN.


a. Verifique que la direccin IP de la interfaz de administracin del switch de la VLAN 1 y la direccin IP de la PC1 y la PC2 estn en la misma red local. Utilice el comando show running-config para verificar la configuracin de la direccin IP del switch. b. Verifique la configuracin de la interfaz de la VLAN 1. Switch1#show interface vlan 1 Cul es el ancho de banda en esta interfaz?___________________________________________ Cules son los estados de la VLAN? El estado de la VLAN 1 es __________ y el del protocolo de lnea es __________.

Paso 7: Deshabilitar el switch para que no sea un servidor http.


Desactive la funcin del switch que se utiliza como un servidor http. Switch1(config)#no ip http server

Paso 8: Verificar la conectividad.


a. Para verificar que los hosts y el switch estn configurados correctamente, haga ping a la direccin IP del switch desde los hosts. Ha logrado hacer ping? ___________________________ Si el ping no tiene xito, verifique nuevamente las conexiones y las configuraciones. Verifique que todos los cables sean correctos y que las conexiones estn en su lugar. Verifique las configuraciones del host y los switches. b. Guarde la configuracin.

Paso 9: Anotar las direcciones MAC del host.


Determine y anote las direcciones de capa 2 de las tarjetas de interfaz de red de la PC. En el indicador de comando de cada PC, ingrese ipconfig /all. PC1 __________________________________________________ PC2 __________________________________________________ PC3 __________________________________________________
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 3 de 6

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa


Paso 10: Determinar las direcciones MAC que el switch ha aprendido.
Determine cules son las direcciones MAC que el switch ha aprendido por medio del comando show mac-address-table en el indicador del modo EXEC privilegiado. Switch1#show mac-address-table Cuntas direcciones dinmicas hay? _____________ Cuntas direcciones MAC hay en total? ____________ Las direcciones MAC concuerdan con las direcciones MAC del host? __________

Paso 11: Ver las opciones de show mac-address-table.


Vea las opciones que tiene disponible el comando show mac-address-table. Switch1(config)#show mac-address-table ? Qu opciones hay disponibles? ____________________________________________________ _______________________________________________________________________________

Paso 12: Configurar una direccin MAC esttica.


Configure una direccin MAC esttica en la interfaz FastEthernet 0/4. Utilice la direccin que se anot para la PC2 en el Paso 9. La direccin MAC 00e0.2917.1884 se usa en la sentencia de este ejemplo solamente. Switch1(config)#mac-address-table static 00e0.2917.1884 vlan 1 interface fastethernet 0/4

Paso 13: Verificar los resultados.


a. Verifique las entradas de la tabla de direcciones MAC. Switch1#show mac-address-table Cuntas direcciones MAC dinmicas hay en total ahora? __________ Cuntas direcciones MAC estticas hay en total ahora? _____________ b. Elimine la entrada esttica de la tabla de direcciones MAC. Switch1(config)#no mac-address-table static 00e0.2917.1884 vlan 1

interface fastethernet 0/4 Paso 14: Enumerar las opciones de seguridad de puerto.
a. Determine cules son las opciones para configurar la seguridad de puerto en la interfaz FastEthernet 0/4. Switch1(config)#interface fastethernet 0/4 Switch1(config-if)#switchport port-security ? Cules son algunas de las opciones disponibles? ________________________________________ b. Para permitir que el puerto del switch FastEthernet 0/4 acepte slo un dispositivo, configure la seguridad de puerto. Switch1(config-if)#switchport mode access Switch1(config-if)#switchport port-security Switch1(config-if)#switchport port-security mac-address sticky

Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 4 de 6

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa


c. Salga del modo de configuracin y verifique la configuracin de la seguridad de puerto. Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------Fa0/4 1 0 0 Shutdown ---------------------------------------------------------------------------

Si un host que no sea la PC2 intenta conectarse a Fa0/4, que sucede? ____________________________________________________________________________

Paso 15: Limitar la cantidad de hosts por puerto.


a. En la interfaz FastEthernet 0/4, establezca en 1 el conteo mximo de MAC de seguridad de puerto. Switch1(config-if)#switchport port-security maximum 1. b. Desconecte la PC conectada a FastEthernet 0/4. Conecte la PC3 a FastEthernet 0/4. La PC3 ha recibido la direccin IP 192.168.1.5 y todava no se ha conectado al switch. Es posible que sea necesario hacer ping a la direccin 192.168.1.2 del switch para generar trfico. Anote cualquier observacin. _____________________________________________________ _____________________________________________________________________________

Paso 16: Configurar el puerto para que se desconecte si se produce una violacin de seguridad.
a. En caso de que se produzca una violacin de seguridad, la interfaz debe desconectarse. Para que se desconecte la seguridad de puerto, ingrese el siguiente comando: Switch1(config-if)#switchport port-security violation shutdown Qu otras opciones de accin hay disponibles para la seguridad de puerto? _______________ _____________________________________________________________________________ b. Si es necesario, haga ping a la direccin del switch 192.168.1.2 desde la PC3 192.168.1.5. Ahora, esta PC est conectada a la interfaz FastEthernet 0/4. Esto garantiza que haya trfico desde la PC hacia el switch. c. Anote cualquier observacin. _____________________________________________________________________________ _____________________________________________________________________________ d. Verifique la configuracin de la seguridad de puerto. Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------Fa0/4 1 1 0 Shutdown ---------------------------------------------------------------------------

Paso 17: Mostrar la informacin de configuracin del puerto 0/4.


Para ver la informacin de configuracin del puerto FastEthernet 0/4 solamente, escriba show interface fastethernet 0/4 en el indicador del modo EXEC privilegiado. Switch1#show interface fastethernet 0/4 Cul es el estado de esta interfaz? El estado de FastEthernet0/4 es __________ y el del protocolo de lnea es __________.
Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 5 de 6

CCNA Discovery Introduccin al enrutamiento y la conmutacin en la empresa


Paso 18: Reactivar el puerto.
a. Si se produce una violacin de seguridad y el puerto se desconecta, use los comandos shutdown / no shutdown para volver a conectarlo. b. Intente volver a conectar este puerto algunas veces conmutando el puerto de host 0/4 original y el nuevo puerto de host. Vuelva a conectar el host original, ingrese el comando no shutdown en la interfaz y haga ping mediante el indicador de comando. El ping deber repetirse varias veces; otra posibilidad es usar el comando ping 192.168.1.2 -n 200. Este comando establece la cantidad de paquetes de ping en 200 en lugar de 4. Luego, cambie los hosts e intente de nuevo.

Paso 19: Deshabilitar los puertos que no se utilicen.


Deshabilite los puertos que no se utilizan en el switch. Switch1(config)#interface range Fa0/5 - 24 Switch1(config-if-range)#shutdown Switch1(config)#interface range gigabitethernet0/1 - 2 Switch1(config-if-range)#shutdown

Paso 20: Reflexin


a. Por qu se activara la seguridad de puerto en un switch? __________________________________ _______________________________________________________________________________ b. Por qu deben deshabilitarse los puertos no utilizados en un switch? _______________________ _______________________________________________________________________________

Todo el contenido es Copyright 19922007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es informacin pblica de Cisco.

Pgina 6 de 6