Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 6.5.1.3 Packet Tracer - Layer 2 VLAN Security - Instructor - En.es

    Cargado por

    Yovany Bermudez Tovar
    61 vistas6 páginas
    task

    Título original

    6.5.1.3 Packet Tracer - Layer 2 VLAN Security_Instructor.en.Es

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    task

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    61 vistas6 páginas

    6.5.1.3 Packet Tracer - Layer 2 VLAN Security - Instructor - En.es

    Cargado por

    Yovany Bermudez Tovar
    task

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Packet Tracer - Capa 2 VLAN Seguridad ( Versión instructor)

    Nota para el instructor: Rojo color de la fuente o destacados grises indican texto que aparece en la copia única instructor.

    topología

    objetivos
    • Conectar un nuevo enlace redundante entre SW-1 y SW-2.

    • Habilitar el enlace troncal y configurar la seguridad en el nuevo enlace troncal entre SW-1 y SW-2.

    • Crear un nuevo VLAN de administración (VLAN 20) y conectar un PC de gestión a esa VLAN.

    • Aplicar una ACL para evitar que usuarios externos tengan acceso a la VLAN de administración.

    Antecedentes / Escenario

    la red de una empresa está configurado actualmente utilizando dos VLAN separadas: 5 VLAN y VLAN 10. Además, todos los puertos troncales están
    configurados con VLAN nativa 15. Un administrador de red desea añadir un enlace redundante entre el interruptor SW-1 y SW-2. El enlace debe haber
    permitido trunking y todos los requisitos de seguridad debe estar en su lugar.

    Además, el administrador de red desea conectar un PC de gestión para cambiar SW-A. El administrador le gustaría permitir que el PC de
    gestión para poder conectarse a todos los interruptores y el router, pero no quiere que cualquier otro dispositivo para conectarse a la PC de
    gestión o los interruptores. El administrador le gustaría crear una nueva VLAN 20 con fines de gestión.

    Todos los dispositivos han sido preconfiguradas con:

    o Habilitar contraseña secreta: ciscoenpa55

    o contraseña de la consola: ciscoconpa55

    © 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 1 de 6
    Packet Tracer - Capa 2 VLAN Seguridad

    o VTY contraseña de línea: ciscovtypa55

    Parte 1: Verificar la conectividad

    Paso 1: Verificar la conectividad entre C2 (VLAN 10) y C3 (VLAN 10).

    Paso 2: Verificar la conectividad entre C2 (VLAN 10) y D1 (VLAN 5).

    Nota: Si se utiliza la interfaz gráfica de usuario sencilla de paquetes PDU, asegúrese de hacer ping dos veces para permitir la ARP.

    Parte 2: crear un enlace redundante entre SW-1 y SW-2

    Paso 1: Conectar SW-1 y SW-2.

    El uso de un cable cruzado, conectar el puerto Fa0 / 23 sobre SW-1 al puerto Fa0 / 23 sobre SW-2.

    Paso 2: Activar concentración de enlaces, incluyendo todos los mecanismos de seguridad tronco sobre la relación entre SW-1 y
    SW-2.

    Trunking ya se ha configurado en todas las interfaces troncales preexistentes. El nuevo enlace debe configurarse para concentración de enlaces, incluyendo todos los
    mecanismos de seguridad tronco. En ambos SW-1 y SW-2, establecer el puerto de tronco, asignar VLAN nativa 15 al puerto de enlace troncal, y desactivar la negociación
    automática.

    SW-1 (config) # interfaz fa0 / 23


    SW-1 (config-if) # tronco del modo del switchport
    SW-1 (config-if) # switchport tronco VLAN nativa 15
    SW-1 (config-if) # switchport nonegotiate
    SW-1 (config-if) # no apagarse

    SW-2 (config) # interfaz fa0 / 23


    SW-2 (config-if) # tronco del modo del switchport
    SW-2 (config-if) # switchport tronco VLAN nativa 15
    SW-2 (config-if) # switchport nonegotiate
    SW-2 (config-if) # no apagarse

    Parte 3: Habilitar la VLAN 20 como VLAN de administración

    El administrador de red desea acceder a todos los dispositivos de conmutación y enrutamiento utilizando un PC de gestión. Para mayor seguridad, el administrador
    quiere asegurarse de que todos los dispositivos administrados están en una VLAN separada.

    Paso 1: habilitar una VLAN de administración (VLAN 20) en SW-A.

    a. Habilitar VLAN 20 en SW-A.

    SW-A (config) # VLAN 20


    SW-A (config-vlan) # salida

    segundo. Crear una interfaz VLAN 20 y asignar una dirección IP dentro de la red 192.168.20.0/24.

    SW-A (config) # VLAN interfaz 20


    SW-A (config-if) # dirección IP 192.168.20.1 255.255.255.0

    Paso 2: Habilitar la misma VLAN de administración en todos los demás interruptores.

    a. Crear la VLAN de administración en todos los switches: SW-B, SW-1, SW-2, y Central.

    © 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 2 de 6
    Packet Tracer - Capa 2 VLAN Seguridad

    SW-B (config) # VLAN 20


    SW-B (config-vlan) # salida

    SW-1 (config) # VLAN 20


    SW-1 (config-vlan) # salida

    SW-2 (config) # VLAN 20


    SW-2 (config-vlan) # salida

    Central (config) # VLAN 20


    Central (config-vlan) # salida

    segundo. Crear una interfaz VLAN 20 en todos los switches y asignar una dirección IP dentro de la red 192.168.20.0/24.

    SW-B (config) # VLAN interfaz 20


    SW-B (config-if) # dirección IP 192.168.20.2 255.255.255.0

    SW-1 (config) # VLAN interfaz 20


    SW-1 (config-if) # dirección IP 192.168.20.3 255.255.255.0

    SW-2 (config) # VLAN interfaz 20


    SW-2 (config-if) # dirección IP 192.168.20.4 255.255.255.0

    Central (config) # VLAN interfaz 20


    Central (config-if) # dirección IP 192.168.20.5 255.255.255.0

    Paso 3: Configurar el PC de gestión y conectarlo a SW-A puerto Fa0 / 1.

    Asegúrese de que el PC de gestión se le asigna una dirección IP dentro de la red 192.168.20.0/24. Conectar el PC a la gestión SW-A puerto
    Fa0 / 1.

    Paso 4: En SW-A, asegurar la PC de gestión es parte de VLAN 20.

    Interfaz Fa0 / 1 debe ser parte de VLAN 20.

    SW-A (config) # interfaz fa0 / 1


    SW-A (config-if) # switchport access vlan 20
    SW-A (config-if) # no apagarse

    Paso 5: Verificar la conectividad de la PC de gestión a todos los interruptores.

    El PC de gestión debe ser capaz de hacer ping SW-A, SW-B, SW-1, SW-2, y Central.

    Parte 4: Habilitar el PC administración para acceder a router R1

    Paso 1: habilitar un nuevo subinterfaz en el router R1.

    a. Crear subinterfaz Fa0 / 0.3 y establecer encapsulación para dot1q 20 para dar cuenta de VLAN 20.

    R1 (config) # interfaz fa0 / 0.3


    R1 (config-subif) # dot1q encapsulación 20

    © 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 3 de 6
    Packet Tracer - Capa 2 VLAN Seguridad

    segundo. Asignar una dirección IP dentro de la red 192.168.20.0/24.

    R1 (config) # interfaz fa0 / 0.3


    R1 (config-subif) # dirección IP 192.168.20.100 255.255.255.0

    Paso 2: Verificar la conectividad entre el ordenador de gestión y R1.

    Asegúrese de configurar la puerta de enlace predeterminada en el PC de gestión para permitir la conectividad.

    Paso 3: Habilitación de la seguridad.

    Mientras que el PC de gestión debe ser capaz de acceder al router, ningún otro PC debe ser capaz de acceder a la VLAN de administración.

    a. Crear una ACL que niega cualquier red de acceso a la red 192.168.20.0/24, pero permite que todas las demás redes para acceder a los
    otros.

    Ejemplo: (puede variar desde la configuración de estudiante)

    R1 (config) # la lista de acceso 101 negar cualquier ip 192.168.20.0 0.0.0.255


    R1 (config) # la lista de acceso 101 IP del permiso cualquier cualquier

    segundo. Aplicar la ACL a la interfaz (s) adecuado.

    Ejemplo: (puede variar desde la configuración de estudiante)

    R1 (config) # interfaz fa0 / 0.1


    R1 (config-subif) # access-group 101 ip en
    R1 (config-subif) # interfaz fa0 / 0.2
    R1 (config-subif) # access-group 101 ip en

    Nota: Hay varias formas en las que una ACL se pueden crear para lograr la seguridad necesaria. Por esta razón, la clasificación en esta parte de la
    actividad se basa en los requisitos de conectividad correctas. El PC de gestión debe ser capaz de conectarse a todos los interruptores y el router. Todos
    los otros equipos no deben ser capaces de conectarse a cualquier dispositivo dentro de la VLAN de administración.

    Paso 4: Verificar la seguridad.

    a. Desde la administración de PC, mesa de ping SW-A, SW-B, y R1. Los pings éxito? Explique.

    ____________________________________________________________________________________

    ____________________________________________________________________________________

    ____________________________________________________________________________________

    Los pings deberían haber tenido éxito porque todos los dispositivos dentro de la red 192.168.20.0 deben poder hacer ping entre sí.
    Dispositivos dentro VLAN20 no se requiere que la ruta a través del router.

    segundo. Desde D1, ping en el PC de gestión. Los pings éxito? Explique.

    ____________________________________________________________________________________

    ____________________________________________________________________________________

    ____________________________________________________________________________________

    El ping debe haber fallado. Esto se debe a que para que un dispositivo dentro de una VLAN diferente a ping correctamente un dispositivo dentro de
    VLAN20, debe ser encaminada. El router tiene una ACL que impide que todos los paquetes que accedan a la red 192.168.20.0.

    © 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 4 de 6
    Packet Tracer - Capa 2 VLAN Seguridad

    Paso 5: Verificar los resultados.

    Su porcentaje de finalización debe ser del 100%. Hacer clic Verificar los resultados para ver información y verificación de los cuales se han cumplido los
    componentes requeridos.

    Si todos los componentes parecen ser correcta y la actividad sigue mostrando incompleta, podría ser debido a las pruebas de conectividad que verifican
    el funcionamiento del LCA.

    !!! Guión de SW-1


    conf t
    interfaz fa0 / 23 switchport tronco modo

    switchport tronco VLAN nativa 15 switchport


    nonegotiate no shutdown VLAN 20 de salida

    VLAN interfaz 20
    dirección IP 192.168.20.3 255.255.255.0

    !!! Guión de SW-2


    conf t
    interfaz fa0 / 23 switchport tronco modo

    switchport tronco VLAN nativa 15 switchport


    nonegotiate no shutdown VLAN 20 de salida

    VLAN interfaz 20
    dirección IP 192.168.20.4 255.255.255.0

    !!! Guión de SW-A


    conf t VLAN
    20 salida

    VLAN interfaz 20
    dirección IP de interfaz 192.168.20.1 255.255.255.0 fa0 / 1

    switchport access vlan 20 no shutdown

    !!! Guión de SW-B


    conf t VLAN
    20 salida

    VLAN interfaz 20
    dirección IP 192.168.20.2 255.255.255.0

    © 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 5 de 6
    Packet Tracer - Capa 2 VLAN Seguridad

    !!! Guión de Centroamérica

    conf t VLAN
    20 salida

    VLAN interfaz 20
    dirección IP 192.168.20.5 255.255.255.0

    !!! Guión para R1


    conf t
    interfaz fa0 / 0.3 encapsulación dot1q 20

    dirección IP 192.168.20.100 255.255.255.0 lista de acceso 101 niega ip cualquier


    192.168.20.0 0.0.0.255 lista de acceso 101 IP del permiso cualquier cualquier interfaz
    FastEthernet0 / 0,1 ip access-group 101 en la interfaz FastEthernet0 / 0,2 ip
    access-group 101 en

    © 2014 Cisco y / o sus filiales. Todos los derechos reservados. Este documento es pública de Cisco. Página 6 de 6

    También podría gustarte