Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

ACTIVIDAD DE APRENDIZAJE
Ingeniera en Conectividad y Redes
Carrera/s
Sigla Curso
Modalidad
Versin PDA

CAS6501
Presencial
2015

2 switches (Cisco 2960 con Cisco IOS Release

15.0(2)SE6 C2960-LANBASEK9-M o equivalente)

2 switches (Cisco 3560 con Cisco IOS Release

15.0(2)SE6 C3560-IPSERVICESK9-M o equivalente)

4 PCs con Windows OS

Cables Ethernet y de consola

Material de apoyo (insumos y

equipamiento) para la actividad

NOMBRE DE LA ACTIVIDAD
Seguridad de Vlans

Seguridad de VLANs
Topologa

Escenario
En este laboratorio, se configurar la red para proteger las VLANs usando ACLs enrutadas,
ACLs de VLAN y VLANs privadas. Primero, se asegurarn los nuevos servidores (Host C)
usando VLANs privadas. Los proveedores de servicios usan VLANs privadas para separar el
trfico de diferentes clientes mientras usan la misma VLAN para todo el trfico de servidores.
Las VLANs privadas permiten aislar el trfico entre dispositivos, aunque existan en la misma

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

VLAN.
Luego se asegurar la VLAN de empleados de la VLAN de estudiantes usando RACL, la cual
previene que el trfico de la VLAN de estudiantes alcance la VLAN de empleados. Esto permite
que el trfico de estudiantes utilice la red y los servicios de internet mientras se mantiene
alejada de los recursos de la red de empleados.
Finalmente, se configurarn VACL que permitir a un host en la red de empleados usar los
servicios de acceso pero lo mantiene aislado del resto de las mquinas de los empleados. Esta
mquina es usada para los empleados temporales.

Preparacin de la Red
Cargar y verificar las configuraciones del laboratorio anterior.
a. Verificar que las configuraciones del laboratorio anterior estn cargadas en los dispositivos
usando el comando show vtp status. La salida debera indicar que el dominio VTP es
SWPOD, y las VLANs 100 y 200 deben ser representadas en la cantidad de VLANs
existentes. La salida del switchs ALS1 es mostrada como ejemplo.
ALS1# show vtp status
VTP Version capable
: 1 to 3
VTP version running
: 2
VTP Domain Name
: SWPOD
VTP Pruning Mode
: Disabled
VTP Traps Generation
: Disabled
Device ID
: 0017.95d1.8b80
Configuration last modified by 172.16.1.3 at 3-1-93 01:39:36
Feature VLAN:
-------------VTP Operating Mode
Maximum VLANs supported locally
Number of existing VLANs
Configuration Revision
MD5 digest

:
:
:
:
:

Client
255
7
3
0xAE 0xEB 0x3A 0xEB 0x28 0x23 0x1D 0x85
0x7E 0x8C 0x70 0x56 0x03 0x70 0x29 0xB2

b. Issue the show vlan command on DLS1. The student and staff VLANs should be listed in
the output of this command.
DLS1# show vlan brief
VLAN Name
Status
Ports
---- ------------------------------- --------- ----------------------------1
default
active
Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17,
Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24
Gi0/1, Gi0/2
99
Management
100 staff
active
200 student
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

c.

Ejecutar el comand show interfaces trunk en cada switch. Si los troncales fueron
configurados adecuadamente, las interfaces Fast Ethernet 0/70/12 deben estar en modo
troncal.
DLS1# show interfaces trunk
Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11
Fa0/12

Mode
on
on
on
on
on
on

Encapsulation
802.1q
802.1q
802.1q
802.1q
802.1q
802.1q

Status
trunking
trunking
trunking
trunking
trunking
trunking

Native vlan
666
666
666
666
666
666

Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11
Fa0/12

Vlans allowed on trunk

1-4094
1-4094
1-4094
1-4094
1-4094
1-4094

Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11

Vlans allowed and active in management domain

1,99,100,200
1,99,100,200
1,99,100,200
1,99,100,200
1,99,100,200

Port
Fa0/12

Vlans allowed and active in management domain

1,99,100,200

Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11
Fa0/12

Vlans in spanning tree forwarding state and not pruned

1,100,200
1,100,200
1,100,200
1,100,200
1,100,200
1,100,200

d. Ejecutar el comando show standby brief en el DLS2.

DLS2# show standby brief
P indicates configured
|
Interface
Grp Pri P
IP
Vl99
1
100 P
172.16.99.1
Vl100
1
100 P
172.16.100.1
Vl200
1
150 P
172.16.200.1

to preempt.
State

Active

Standby

Standby 172.16.99.3

local

Standby 172.16.100.3

local

Active

172.16.200.3

Configurar las VLANs Privadas.

local

Virtual

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

Las VLANs privadas, son una opcin cuando se tienen mltiples dispositivos en el mismo
dominio de broadcast, pero se necesita prevenir que se comuniquen entre ellos. Un buen
ejemplo es un conjunto de servidores donde cada servidor no necesita recibir el trfico de
broadcast de otros servidores.
En este sentido, las VLANs privadas permiten subdividir los dominios de broadcast en la capa
2. Se puede asociar una VLAN primaria con mltiples VLANs secundarias, mientras usan el
mismo espacio de direccionamiento IP para todos los dispositivos. En este esquema, las
VLANs secundarias pueden comunicarse con la VLAN primaria. Las VLANs secundarias estn
restringidas para comunicarse entre s.
Las VLANs secundarias estn definidas de dos tipos: COMMUNITY (Comunidad) o ISOLATED
(Aislada). Una VLAN secundaria community permite que los host dentro de la VLAN se puedan
comunicar con otros dentro de la misma VLAN y la VLAN primaria. Las allows the hosts within
the VLAN to communicate with one another and the primary VLAN. Una VLAN secundaria
isolated no permite que los host se comuniquen con otros dentro de la misma VLAN, solo se
pueden comunicar con la VLAN primaria.
Una VLAN primaria puede tener mltiples VLAN secundarias community asociadas, pero solo
una VLAN secundaria isolated.

e. El primer paso es configurar los switchs para una VLAN primaria. De acuerdo a la
topologa, la VLAN 150 ser usada para el nuevo conjunto de servidores. En el servidor
VTP DLS1, agregar la VLAN 150, denominarla server-farm y salir del modo de
configuracin de VLAN. Adems configurar el DLS como el switch raz para las VLAN 150,
151 y 152.
DLS1(config)# vlan 150
DLS1(config-vlan)# name server-farm
DLS1(config-vlan)# exit
DLS1(config)# spanning-tree vlan 150-152 root primary
Una vez que se haga esta configuracin, verificar que se encuentra presente en la base de
datos del DLS2
b. Configurar la interface VLAN 150 en el DLS1 y DLS2:
DLS1(config)# interface vlan 150
DLS1(config-if)# ip address 172.16.150.1 255.255.255.0
DLS2(config)# interface vlan 150
DLS2(config-if)# ip add 172.16.150.2 255.255.255.0
c.

Configurar ambos switchs en modo transparente para VTP usando el comando de

configuracin global vtp mode transparent. Esto es necesario para usar PVLANs en
VTPv2.
DLS1(config)# vtp mode transparent
Setting device to VTP TRANSPARENT mode.
DLS2(config)# vtp mode transparent
Setting device to VTP TRANSPARENT mode.
d. Configurar el DLS1 y DLS2 para contener las nuevas PVLANs. La PVLAN 151 Secundaria
es una VLAN isolated para la Fast Ethernet 0/6, mientras que la PVLAN 152 secundaria es
usada como PVLAN community para los puertos Fast Ethernet 0/180/20. Configurar estas

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

nuevas PVLANs en el modo de configuracin global. Se deben asociar estas VLANs

secundarias con la VLAN primaria 150.
DLS1(config)# vlan
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config)# vlan
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config)# vlan
DLS1(config-vlan)#
DLS1(config-vlan)#

151
private-vlan
exit
152
private-vlan
exit
150
private-vlan
private-vlan

DLS2(config)# vlan
DLS2(config-vlan)#
DLS2(config-vlan)#
DLS2(config)# vlan
DLS2(config-vlan)#
DLS2(config-vlan)#
DLS2(config)# vlan
DLS2(config-vlan)#
DLS2(config-vlan)#

151
private-vlan
exit
152
private-vlan
exit
150
private-vlan
private-vlan

isolated
community
primary
association 151,152
isolated
community
primary
association 151,152

e. El comando de configuracin de interface private-vlan mapping permite que el trfico

PVLANsea conmutado en Capa 3. Normalmente se incluyen todas las VLANs secundarias
para permitir que HSRP trabaje, pero en este ejemplo se dejar la VLAN 151 fuera del
DLS2 para poder demostrar la aislacin de la VLAN 151. Configurar estos comandos para
la interface VLAN 150 en el DLS1 y DLS2.
DLS1(config)# interface vlan 150
DLS1(config-if)# private-vlan mapping 151-152
DLS1(config-if)# end
DLS2(config)# interface vlan 150
DLS2(config-if)# private-vlan mapping 152
DLS2(config-if)# end

f.

Verificar la creacin de las PVLANs secundarias y sus VLANs primarias asociadas usando
el comando show vlan private-vlan. Notar que no existen puertos asociados con estas
VLANs, esto es esperable.

DLS1#show vlan private-vlan

Primary
------150
150

Secondary
--------151
152

Type
Ports
----------------- -----------------------------------------isolated
community

DLS2# show vlan private-vlan

Primary
------150
150

Secondary
--------151
152

Type
Ports
----------------- ----------------------------------------isolated
community

g. En DLS1, configurar la interface FastEthernet 0/6 para quedar en modo de host privatevlan y asociarla con la VLAN 150
DLS1(config)# interface fastethernet 0/6
DLS1(config-if)# switchport mode private-vlan host

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

DLS1(config-if)# switchport private-vlan host-association 150 152

DLS1(config-if)# exit
h. Usar el comando show vlan private-vlan y notar que los puertos configurados estn
asociados con dichas VLANs.
DLS1#show vlan private-vlan
Primary
------150
150

Secondary
--------151
152

Type
Ports
----------------- -----------------------------------------isolated
community
Fa0/6

i.

En DLS2, configurar los puertos FastEthernet que estn asociados con el grupo de
servidores. El puerto Fa0/6 es usado para la PVLAN secundaria isolated 151, y los puertos
Fa0/8 al Fa0/20 son usados en la PVLAN secundaria community 152. El comando
switchport mode private-vlan host fija el modo de la interface y el comando
switchport private-vlan host-association primary-vlan-id secondary-vlan-id asigna la
VLAN correcta a la interface. Los siguientes comandos configuran las PVLANs en el DLS2.
DLS2(config)# interface fastethernet 0/6
DLS2(config-if)# switchport mode private-vlan host
DLS2(config-if)# switchport private-vlan host-association 150 151
DLS2(config-if)# exit
DLS2(config)# interface range fa0/18 - 20
DLS2(config-if-range)# switchport mode private-vlan host
DLS2(config-if-range)# switchport private-vlan host-association 150
152

j.

Usar el comando show vlan private-vlan y notar que los puertos configurados estn
asociados a la VLAN correcta.

DLS2# show vlan private-vlan

Primary
------150
150

Secondary
--------151
152

Type
----------------isolated
community

Ports
----------------------------------------Fa0/6
Fa0/18, Fa0/19, Fa0/20

k.

Configurar el Host C en la interface Fa0/6 del DLS1 con una direccin IP dentro de la
VLAN 150 (por ejemplo 172.16.150.50/24). Usar la IP 172.16.150.1 como el gateway.

l.

Configurar el Host D en la interface Fa0/6 del DLS2 con una direccin IP dentro de la
VLAN 150 (por ejemplo 172.16.150.150/24). Usar la IP 172.16.150.1 como el Gateway.

m. Desde el Host C, hacer un ping a las siguientes direcciones (deberan funcionar):

172.16.150.1 (DLS1), 172.16.150.2 (DLS2), 172.16.99.101 (ALS1).
n. Desde el Host C, hacer un ping al Host D (172.16.150.150). No debera funcionar.
o. Desde el Host D, hacer un ping a las siguientes direcciones (deberan funcionar):
172.16.150.1 (DLS1), 172.16.99.101 (ALS1).
p. Desde el Host D, hacer un ping a la IP 172.16.150.2 (DLS2). No debera funcionar.

Configurar RACLs entre las VLANs.

Configurar la Lista de Control de Acceso de Router (RACLs) para separar las VLANs de
empleados de la de estudiantes. La VLAN de empleados (100) puede acceder a la VLAN de

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

estudiantes (200), pero la de estudiantes no tiene acceso a la de empleados, por motivos de

seguridad.
a

Para denegar la subred de estudiantes, usar una Lista de Acceso IP Extendida en el DLS1
y DLS2, y asignar esta lista de acceso a la interface de VLAN apropiada usando el
comando ip access-group acl-num {in | out}.
DLS1(config)# access-list 100 permit tcp 172.16.200.0 0.0.0.255
172.16.100.0 0.0.0.255 established
DLS1(config)# access-list 100 permit icmp 172.16.200.0 0.0.0.255
172.16.100.0 0.0.0.255 echo-reply
DLS1(config)# access-list 100 deny ip 172.16.200.0 0.0.0.255
172.16.100.0 0.0.0.255
DLS1(config)# access-list 100 permit ip any any
DLS1(config)# interface vlan 200
DLS1(config-if)# ip access-group 100 in
DLS2(config)# access-list 100 permit
172.16.100.0 0.0.0.255 established
DLS2(config)# access-list 100 permit
172.16.100.0 0.0.0.255 echo-reply
DLS(config)# access-list 100 deny ip
172.16.100.0 0.0.0.255
DLS2(config)# access-list 100 permit
DLS2(config)# interface vlan 100
DLS2(config-if)# ip access-group 100
DLS2(config)# interface vlan 200
DLS2(config-if)# ip access-group 100

tcp 172.16.200.0 0.0.0.255

icmp 172.16.200.0 0.0.0.255
172.16.200.0 0.0.0.255
ip any any
in
in

q. Verificar la configuracin usando los comandos show ip access-list y show ip interface

vlan vlan-id.
DLS1# show access-lists
Extended IP access list 100
10 permit tcp 172.16.200.0 0.0.0.255 172.16.100.0 0.0.0.255 established
20 permit icmp 172.16.200.0 0.0.0.255 172.16.100.0 0.0.0.255 echo-reply
30 deny ip 172.16.200.0 0.0.0.255 172.16.100.0 0.0.0.255
40 permit ip any any
DLS1# show ip interface vlan 100
Vlan100 is up, line protocol is up
Internet address is 172.16.100.3/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.2
Outgoing access list is not set
Inbound access list is 100
<output omitted>

r.

Luego que la lista de acceso ha sido aplicada verificar la configuracin de una de las
siguientes formas. La opcin que usa host reales es la preferida.
Opcin 1: Conectar el PC-A al puerto Fa0/6 del ALS1 en la VLAN 100 de empleados y
asignarle la IP 172.16.100.15/24 con una puerta de enlace por defecto 172.16.100.1.
Conectar el PC-B al puerto Fa0/6 del ALS2 de la VLAN 200 de estudiantes y asignarle la IP
172.16.200.15/24 con la puerta por defecto 172.16.200.1. Hacer ping al host de empleados

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

desde el host de estudiantes. El ping debera fallar. Hacer ping al host de estudiantes
desde el host de empleados. Este ping debera resultar.

Opcin 2: En ALS1 configurar un host simulado en la VLAN 100 yu uno en la VLAN 200
creando las interfaces VLAN 100 y VLAN 20 en el switch. Configurar a la interface VLAN
100 una IP de la VLAN 100 y a la interface VLAN 200 una IP de la VLAN 200. Por ejemplo
para el ALS1.
ALS1(config)# int vlan 100
ALS1(config-if)# ip address 172.16.100.100 255.255.255.0
ALS1(config)# int vlan 200
ALS1(config-if)# ip address 172.16.200.200 255.255.255.0
Hacer ping a la interface del Gateway para la VLAN de empleados (172.16.100.1) con una
IP de origen de la VLAN de empleados (172.16.100.100) y luego hacer ping con IP de
origen de la VLAN de estudiantes.
ALS1# ping 172.16.100.1 source vl100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.100.100
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/205/1007
ms
ALS1# ping 172.16.100.1 source vl200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.200.200
.U.U.
Success rate is 0 percent (0/5)

Configurar VACLs.
Configurar la red para que los host de la red de empleados temporal no tengan acceso al resto
de la red de empleados, pero pueda seguir usando el Gateway por defecto pudiendo conectar
a Internet y al ISP. Eo se puede lograr usando VLAN ACL (VACL).
Debido a que los PCs de los empleados temporales estn localizados en la Fa0/3 del DLS1, el
VACL debe estar ubicado en el DLS1.
a

Cambiar la configuracin del puerto Fa0/6 del DLS1 para que la interface est asociada a
la VLAN 100:

DLS1(config)#interface f0/6
DLS1(config-if)#switchport mode access
DLS1(config-if)#switchport access vlan 100
DLS1(config-if)#no switchport private-vlan host-association 150 152
DLS1(config-if)#exit

s.

Cambiar la configuracin del Host C para que use la direccin IP 172.16.100.150/24 con un
Gateway por defecto 172.16.100.1

Escuela de Informtica y Telecomunicaciones

PDA
Actividad de Aprendizaje

t.

Configurar la lista de acceso en el DLS1 llamada temp-host usando el comando ip accesslist extended name. Esta lista de acceso define el trfico entre los host y el resto de la red.
Luego define el trfico usando el comando permit ip host ip-address subnet wildcardmask. Notar que se debe ser explcito acerca del trfico a elegir, esto no es el trfico
filtrado por una ACL, sino el trfico elegido por una ACL

DLS1(config)# ip access-list extended temp-host

DLS1(config-ext-nacl)# permit ip host 172.16.100.150 172.16.100.0 0.0.0.255
DLS1(config-ext-nacl)# permit icmp host 172.16.100.150 172.16.100.0 0.0.0.255

u. La VACL se define usando un mapa de acceso VLAN. Un mapa de acceso se evala como
secuencia numerada. Para configurar un mapa de acceso, usar el comando vlan accessmap map-name seq#. La siguiente configuracin define un mapa de acceso llamado blocktemp, el cual usa la sentencia match para seleccionar el trfico definido en la lista de
acceso y lo deniega. Tambin se puede agregar una lnea en el mapa de acceso que
permita el resto del trfico.
DLS1(config)# vlan access-map block-temp 10
DLS1(config-access-map)# match ip address temp-host
DLS1(config-access-map)# action drop
DLS1(config-access-map)# vlan access-map block-temp 20
DLS1(config-access-map)# action forward
DLS1(config-access-map)# exit
v.

Definir a cual VLAN se debe aplicar el mapa de acceso usando el comando vlan filter
map-name vlan-list vlan-ID.
DLS1(config)# vlan filter block-temp vlan-list 100
w. Verificar la configuracin de la VACL usando el comado show vlan access-map en DLS1.
DLS1# show vlan access-map
Vlan access-map "block-temp"
Match clauses:
ip address: temp-host
Action:
drop
Vlan access-map "block-temp"
Match clauses:
Action:
forward

x.

10

20

Desde el Host C, hacer un ping al Host A en el ALS1 (172.16.100.101). El ping debera

funcionar.