Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PDA
Actividad de Aprendizaje
ACTIVIDAD DE APRENDIZAJE
Ingeniera en Conectividad y Redes
Carrera/s
Sigla Curso
Modalidad
Versin PDA
CAS6501
Presencial
2015
NOMBRE DE LA ACTIVIDAD
Seguridad de Vlans
Seguridad de VLANs
Topologa
Escenario
En este laboratorio, se configurar la red para proteger las VLANs usando ACLs enrutadas,
ACLs de VLAN y VLANs privadas. Primero, se asegurarn los nuevos servidores (Host C)
usando VLANs privadas. Los proveedores de servicios usan VLANs privadas para separar el
trfico de diferentes clientes mientras usan la misma VLAN para todo el trfico de servidores.
Las VLANs privadas permiten aislar el trfico entre dispositivos, aunque existan en la misma
VLAN.
Luego se asegurar la VLAN de empleados de la VLAN de estudiantes usando RACL, la cual
previene que el trfico de la VLAN de estudiantes alcance la VLAN de empleados. Esto permite
que el trfico de estudiantes utilice la red y los servicios de internet mientras se mantiene
alejada de los recursos de la red de empleados.
Finalmente, se configurarn VACL que permitir a un host en la red de empleados usar los
servicios de acceso pero lo mantiene aislado del resto de las mquinas de los empleados. Esta
mquina es usada para los empleados temporales.
Preparacin de la Red
Cargar y verificar las configuraciones del laboratorio anterior.
a. Verificar que las configuraciones del laboratorio anterior estn cargadas en los dispositivos
usando el comando show vtp status. La salida debera indicar que el dominio VTP es
SWPOD, y las VLANs 100 y 200 deben ser representadas en la cantidad de VLANs
existentes. La salida del switchs ALS1 es mostrada como ejemplo.
ALS1# show vtp status
VTP Version capable
: 1 to 3
VTP version running
: 2
VTP Domain Name
: SWPOD
VTP Pruning Mode
: Disabled
VTP Traps Generation
: Disabled
Device ID
: 0017.95d1.8b80
Configuration last modified by 172.16.1.3 at 3-1-93 01:39:36
Feature VLAN:
-------------VTP Operating Mode
Maximum VLANs supported locally
Number of existing VLANs
Configuration Revision
MD5 digest
:
:
:
:
:
Client
255
7
3
0xAE 0xEB 0x3A 0xEB 0x28 0x23 0x1D 0x85
0x7E 0x8C 0x70 0x56 0x03 0x70 0x29 0xB2
b. Issue the show vlan command on DLS1. The student and staff VLANs should be listed in
the output of this command.
DLS1# show vlan brief
VLAN Name
Status
Ports
---- ------------------------------- --------- ----------------------------1
default
active
Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17,
Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24
Gi0/1, Gi0/2
99
Management
100 staff
active
200 student
active
1002 fddi-default
act/unsup
1003 token-ring-default
act/unsup
1004 fddinet-default
act/unsup
1005 trnet-default
act/unsup
c.
Ejecutar el comand show interfaces trunk en cada switch. Si los troncales fueron
configurados adecuadamente, las interfaces Fast Ethernet 0/70/12 deben estar en modo
troncal.
DLS1# show interfaces trunk
Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11
Fa0/12
Mode
on
on
on
on
on
on
Encapsulation
802.1q
802.1q
802.1q
802.1q
802.1q
802.1q
Status
trunking
trunking
trunking
trunking
trunking
trunking
Native vlan
666
666
666
666
666
666
Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11
Fa0/12
Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11
Port
Fa0/12
Port
Fa0/7
Fa0/8
Fa0/9
Fa0/10
Fa0/11
Fa0/12
to preempt.
State
Active
Standby
Standby 172.16.99.3
local
Standby 172.16.100.3
local
Active
172.16.200.3
local
Virtual
Las VLANs privadas, son una opcin cuando se tienen mltiples dispositivos en el mismo
dominio de broadcast, pero se necesita prevenir que se comuniquen entre ellos. Un buen
ejemplo es un conjunto de servidores donde cada servidor no necesita recibir el trfico de
broadcast de otros servidores.
En este sentido, las VLANs privadas permiten subdividir los dominios de broadcast en la capa
2. Se puede asociar una VLAN primaria con mltiples VLANs secundarias, mientras usan el
mismo espacio de direccionamiento IP para todos los dispositivos. En este esquema, las
VLANs secundarias pueden comunicarse con la VLAN primaria. Las VLANs secundarias estn
restringidas para comunicarse entre s.
Las VLANs secundarias estn definidas de dos tipos: COMMUNITY (Comunidad) o ISOLATED
(Aislada). Una VLAN secundaria community permite que los host dentro de la VLAN se puedan
comunicar con otros dentro de la misma VLAN y la VLAN primaria. Las allows the hosts within
the VLAN to communicate with one another and the primary VLAN. Una VLAN secundaria
isolated no permite que los host se comuniquen con otros dentro de la misma VLAN, solo se
pueden comunicar con la VLAN primaria.
Una VLAN primaria puede tener mltiples VLAN secundarias community asociadas, pero solo
una VLAN secundaria isolated.
e. El primer paso es configurar los switchs para una VLAN primaria. De acuerdo a la
topologa, la VLAN 150 ser usada para el nuevo conjunto de servidores. En el servidor
VTP DLS1, agregar la VLAN 150, denominarla server-farm y salir del modo de
configuracin de VLAN. Adems configurar el DLS como el switch raz para las VLAN 150,
151 y 152.
DLS1(config)# vlan 150
DLS1(config-vlan)# name server-farm
DLS1(config-vlan)# exit
DLS1(config)# spanning-tree vlan 150-152 root primary
Una vez que se haga esta configuracin, verificar que se encuentra presente en la base de
datos del DLS2
b. Configurar la interface VLAN 150 en el DLS1 y DLS2:
DLS1(config)# interface vlan 150
DLS1(config-if)# ip address 172.16.150.1 255.255.255.0
DLS2(config)# interface vlan 150
DLS2(config-if)# ip add 172.16.150.2 255.255.255.0
c.
151
private-vlan
exit
152
private-vlan
exit
150
private-vlan
private-vlan
DLS2(config)# vlan
DLS2(config-vlan)#
DLS2(config-vlan)#
DLS2(config)# vlan
DLS2(config-vlan)#
DLS2(config-vlan)#
DLS2(config)# vlan
DLS2(config-vlan)#
DLS2(config-vlan)#
151
private-vlan
exit
152
private-vlan
exit
150
private-vlan
private-vlan
isolated
community
primary
association 151,152
isolated
community
primary
association 151,152
f.
Verificar la creacin de las PVLANs secundarias y sus VLANs primarias asociadas usando
el comando show vlan private-vlan. Notar que no existen puertos asociados con estas
VLANs, esto es esperable.
Secondary
--------151
152
Type
Ports
----------------- -----------------------------------------isolated
community
Secondary
--------151
152
Type
Ports
----------------- ----------------------------------------isolated
community
g. En DLS1, configurar la interface FastEthernet 0/6 para quedar en modo de host privatevlan y asociarla con la VLAN 150
DLS1(config)# interface fastethernet 0/6
DLS1(config-if)# switchport mode private-vlan host
Secondary
--------151
152
Type
Ports
----------------- -----------------------------------------isolated
community
Fa0/6
i.
En DLS2, configurar los puertos FastEthernet que estn asociados con el grupo de
servidores. El puerto Fa0/6 es usado para la PVLAN secundaria isolated 151, y los puertos
Fa0/8 al Fa0/20 son usados en la PVLAN secundaria community 152. El comando
switchport mode private-vlan host fija el modo de la interface y el comando
switchport private-vlan host-association primary-vlan-id secondary-vlan-id asigna la
VLAN correcta a la interface. Los siguientes comandos configuran las PVLANs en el DLS2.
DLS2(config)# interface fastethernet 0/6
DLS2(config-if)# switchport mode private-vlan host
DLS2(config-if)# switchport private-vlan host-association 150 151
DLS2(config-if)# exit
DLS2(config)# interface range fa0/18 - 20
DLS2(config-if-range)# switchport mode private-vlan host
DLS2(config-if-range)# switchport private-vlan host-association 150
152
j.
Usar el comando show vlan private-vlan y notar que los puertos configurados estn
asociados a la VLAN correcta.
Secondary
--------151
152
Type
----------------isolated
community
Ports
----------------------------------------Fa0/6
Fa0/18, Fa0/19, Fa0/20
k.
Configurar el Host C en la interface Fa0/6 del DLS1 con una direccin IP dentro de la
VLAN 150 (por ejemplo 172.16.150.50/24). Usar la IP 172.16.150.1 como el gateway.
l.
Configurar el Host D en la interface Fa0/6 del DLS2 con una direccin IP dentro de la
VLAN 150 (por ejemplo 172.16.150.150/24). Usar la IP 172.16.150.1 como el Gateway.
Para denegar la subred de estudiantes, usar una Lista de Acceso IP Extendida en el DLS1
y DLS2, y asignar esta lista de acceso a la interface de VLAN apropiada usando el
comando ip access-group acl-num {in | out}.
DLS1(config)# access-list 100 permit tcp 172.16.200.0 0.0.0.255
172.16.100.0 0.0.0.255 established
DLS1(config)# access-list 100 permit icmp 172.16.200.0 0.0.0.255
172.16.100.0 0.0.0.255 echo-reply
DLS1(config)# access-list 100 deny ip 172.16.200.0 0.0.0.255
172.16.100.0 0.0.0.255
DLS1(config)# access-list 100 permit ip any any
DLS1(config)# interface vlan 200
DLS1(config-if)# ip access-group 100 in
DLS2(config)# access-list 100 permit
172.16.100.0 0.0.0.255 established
DLS2(config)# access-list 100 permit
172.16.100.0 0.0.0.255 echo-reply
DLS(config)# access-list 100 deny ip
172.16.100.0 0.0.0.255
DLS2(config)# access-list 100 permit
DLS2(config)# interface vlan 100
DLS2(config-if)# ip access-group 100
DLS2(config)# interface vlan 200
DLS2(config-if)# ip access-group 100
r.
Luego que la lista de acceso ha sido aplicada verificar la configuracin de una de las
siguientes formas. La opcin que usa host reales es la preferida.
Opcin 1: Conectar el PC-A al puerto Fa0/6 del ALS1 en la VLAN 100 de empleados y
asignarle la IP 172.16.100.15/24 con una puerta de enlace por defecto 172.16.100.1.
Conectar el PC-B al puerto Fa0/6 del ALS2 de la VLAN 200 de estudiantes y asignarle la IP
172.16.200.15/24 con la puerta por defecto 172.16.200.1. Hacer ping al host de empleados
desde el host de estudiantes. El ping debera fallar. Hacer ping al host de estudiantes
desde el host de empleados. Este ping debera resultar.
Opcin 2: En ALS1 configurar un host simulado en la VLAN 100 yu uno en la VLAN 200
creando las interfaces VLAN 100 y VLAN 20 en el switch. Configurar a la interface VLAN
100 una IP de la VLAN 100 y a la interface VLAN 200 una IP de la VLAN 200. Por ejemplo
para el ALS1.
ALS1(config)# int vlan 100
ALS1(config-if)# ip address 172.16.100.100 255.255.255.0
ALS1(config)# int vlan 200
ALS1(config-if)# ip address 172.16.200.200 255.255.255.0
Hacer ping a la interface del Gateway para la VLAN de empleados (172.16.100.1) con una
IP de origen de la VLAN de empleados (172.16.100.100) y luego hacer ping con IP de
origen de la VLAN de estudiantes.
ALS1# ping 172.16.100.1 source vl100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.100.100
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/205/1007
ms
ALS1# ping 172.16.100.1 source vl200
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.100.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.200.200
.U.U.
Success rate is 0 percent (0/5)
Configurar VACLs.
Configurar la red para que los host de la red de empleados temporal no tengan acceso al resto
de la red de empleados, pero pueda seguir usando el Gateway por defecto pudiendo conectar
a Internet y al ISP. Eo se puede lograr usando VLAN ACL (VACL).
Debido a que los PCs de los empleados temporales estn localizados en la Fa0/3 del DLS1, el
VACL debe estar ubicado en el DLS1.
a
Cambiar la configuracin del puerto Fa0/6 del DLS1 para que la interface est asociada a
la VLAN 100:
DLS1(config)#interface f0/6
DLS1(config-if)#switchport mode access
DLS1(config-if)#switchport access vlan 100
DLS1(config-if)#no switchport private-vlan host-association 150 152
DLS1(config-if)#exit
s.
Cambiar la configuracin del Host C para que use la direccin IP 172.16.100.150/24 con un
Gateway por defecto 172.16.100.1
t.
Configurar la lista de acceso en el DLS1 llamada temp-host usando el comando ip accesslist extended name. Esta lista de acceso define el trfico entre los host y el resto de la red.
Luego define el trfico usando el comando permit ip host ip-address subnet wildcardmask. Notar que se debe ser explcito acerca del trfico a elegir, esto no es el trfico
filtrado por una ACL, sino el trfico elegido por una ACL
u. La VACL se define usando un mapa de acceso VLAN. Un mapa de acceso se evala como
secuencia numerada. Para configurar un mapa de acceso, usar el comando vlan accessmap map-name seq#. La siguiente configuracin define un mapa de acceso llamado blocktemp, el cual usa la sentencia match para seleccionar el trfico definido en la lista de
acceso y lo deniega. Tambin se puede agregar una lnea en el mapa de acceso que
permita el resto del trfico.
DLS1(config)# vlan access-map block-temp 10
DLS1(config-access-map)# match ip address temp-host
DLS1(config-access-map)# action drop
DLS1(config-access-map)# vlan access-map block-temp 20
DLS1(config-access-map)# action forward
DLS1(config-access-map)# exit
v.
Definir a cual VLAN se debe aplicar el mapa de acceso usando el comando vlan filter
map-name vlan-list vlan-ID.
DLS1(config)# vlan filter block-temp vlan-list 100
w. Verificar la configuracin de la VACL usando el comado show vlan access-map en DLS1.
DLS1# show vlan access-map
Vlan access-map "block-temp"
Match clauses:
ip address: temp-host
Action:
drop
Vlan access-map "block-temp"
Match clauses:
Action:
forward
x.
10
20