Instituto Tecnológico del Estado de Querétaro

Educación Presencial a Distancia

Unidad Colón

Reporte actividad 1 semana 6

Asignatura: Seguridad

Alumno: Lorena Montserrat Gudiño Ledezma

No. Control: 14141296

Grupo: O6E

Asesor: Ing. José Antonio Castañeda Osornio

Tutor: Ing. Jorge Luis Alonso Moreno

Colón, Qro., 7 de septiembre de 2018

INTRODUCCIÓN

En esta actividad se encuentran los pasos a seguir para la elaboración de dos

practicas en la primera realizaremos la asignación como interruptor central como
puente raíz, los parámetros spanning-tree de una manera segura para asi evitar
los ataques, y habilitaremos la seguridad de los puertos para evitar ataques.

En la segunda actividad realizaremos la conexión de un nuevo enlace redundante

entre SW-1 y SW-2, habilitaremos el enlace trunking y configuramos la seguridad
en el nuevo enlace troncal entre SW-1 y SW-2, creamos una nueva VLAN de
administración (VLAN 20) y conectamos una PC de administración a esa VLAN y
por ultimo implementar una ACL para evitar que los usuarios externos accedan a
la VLAN de administración. En esta ultima practica existen dos procedimientos
diferentes.

PRACTICA 1

PROCEDIMIENTO

Paso 1. Abrimos la actividad con la topología con la que estaremos trabajando, en

la cual vemos que esta en 0% y nuestra meta es que llegue al 100%.

Paso 2. Revisaremos donde esta configurado el spanning-tree

Central#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0009.7C61.9058
 Cost 4
Port 25(GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)

Address 00D0.D31C.634C
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Gi0/1 Root FWD 4 128.25 P2p
Gi0/2 Desg FWD 4 128.26 P2p

Central#

Paso 3. Configuramos Central como puerto primario/raíz

Central(config)#spanning-tree vlan 1 root primary

Central(config)#

Paso 4. Configurar el Switch 1 como el secundario

SW-1(config)#spanning-tree vlan 1 root secondary

SW-1(config)#

Paso 5. Revisamos la prioridad de spanning-tree nuevamente

Central#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 00D0.D31C.634C
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)

Address 00D0.D31C.634C
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Gi0/1 Desg FWD 4 128.25 P2p
Gi0/2 Desg FWD 4 128.26 P2p
Central#

Paso 6. Ahora lo revisamos dentro del switch 1

SW-1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 00D0.D31C.634C
Cost 4
Port 25(GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 28673 (priority 28672 sys-id-ext 1)

Address 0009.7C61.9058
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------
Fa0/1 Desg FWD 19 128.1 P2p
Fa0/23 Desg FWD 19 128.23 P2p
Fa0/24 Desg FWD 19 128.24 P2p
Gi0/1 Root FWD 4 128.25 P2p

SW-1#

Paso 7. En el SW-A configuramos los puertos que están conectadas las

comptadoras y podemos ver que nos manda un mensaje de precaución de que
solo se puede configurar en un único host, en las interfaces de la 1 a la 4. Toda
esta configuración la realizams dentro de SW-B.

SW-A(config)#inter range fa0/1-4

SW-A(config-if-range)#spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION

%Portfast has been configured on FastEthernet0/1 but will only

have effect when the interface is in a non-trunking mode.
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION

%Portfast has been configured on FastEthernet0/2 but will only

have effect when the interface is in a non-trunking mode.
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION

%Portfast has been configured on FastEthernet0/3 but will only

have effect when the interface is in a non-trunking mode.
%Warning: portfast should only be enabled on ports connected to a single
host. Connecting hubs, concentrators, switches, bridges, etc... to this
interface when portfast is enabled, can cause temporary bridging loops.
Use with CAUTION

%Portfast has been configured on FastEthernet0/4 but will only

have effect when the interface is in a non-trunking mode.
SW-A(config-if-range)#

Paso 8. Configuramos la prevención de accesos no autorizados y sumplantacion

en los puertos, tanto en el SW-A como en el SW-B

SW-A(config)#inter range fa0/1-4

SW-A(config-if-range)#spanning-tree bpduguard enable
SW-A(config-if-range)#

Paso 9. Configuramos los puertos que no son raíz en el switch tanto en el 1 como
en el 2

SW-1(config)#inter fa0/23
SW-1(config-if)#spanning-tree guard root
SW-1(config-if)#inter fa0/24
SW-1(config-if)#spanning-tree guard root
SW-1(config-if)#

Paso 10. Configuraremos el SW-1, SW-2 y el central para que nos deje controlar
las tormentas de brodcast a un nivel 50

SW-1(config)#inter gi0/1
SW-1(config-if)#storm-control broadcast level 50
SW-1(config-if)#inter fa0/1
SW-1(config-if)#storm-control broadcast level 50
SW-1(config-if)#inter fa0/23
SW-1(config-if)#storm-control broadcast level 50
SW-1(config-if)#inter fa0/24
SW-1(config-if)#storm-control broadcast level 50
SW-1(config-if)#
SW-2(config)#inter gi0/1
SW-2(config-if)#storm-control broadcast level 50
SW-2(config-if)#inter fa0/1
SW-2(config-if)#storm-control broadcast level 50
SW-2(config-if)#inter fa0/23
SW-2(config-if)#storm-control broadcast level 50
SW-2(config-if)#inter fa0/24
SW-2(config-if)#storm-control broadcast level 50
SW-2(config-if)#
Central(config)#inter gi0/1
Central(config-if)#storm-control broadcast level 50
Central(config-if)#inter gi0/2
Central(config-if)#storm-control broadcast level 50
Central(config-if)#inter fa0/1
Central(config-if)#storm-control broadcast level 50
Central(config-if)#

Paso11. Revisamos que si fueran aplicadas

SW-1#show storm-control broadcast

Interface Filter State Upper Lower Current
--------- ------------- ----------- ----------- ----------
Fa0/1 Link Up 50.00% 50.00% 0.00%
Fa0/23 Link Up 50.00% 50.00% 0.00%
Fa0/24 Link Up 50.00% 50.00% 0.00%
Gig0/1 Link Up 50.00% 50.00% 0.00%

SW-1#

Paso 12. Realizar control de acceso en SW-A y SW-B, únicamente nos deje
conectar las computadoras ya configuradas, y los demás puertos no puedan ser
utilizables.

SW-A(config)#interf fa0/1
SW-A(config-if)#switchport mode access
SW-A(config-if)#switchport port-security
SW-A(config-if)#switchport port-security maximum 2
SW-A(config-if)#switchport port-security violation shutdown
SW-A(config-if)#switchport port-security mac-address sticky
SW-A(config)#inter range fa0/2-4
SW-A(config-if-range)#switchport mode access
SW-A(config-if-range)#switchport port-security
SW-A(config-if-range)#switchport port-security maximum 2
SW-A(config-if-range)#switchport port-security violation shutdown
SW-A(config-if-range)#switchport port-security mac-address sticky
SW-A(config-if-range)#

Paso 13. Verificamos la configuración

SW-A#show port-security inter fa0/4
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses :2
Total MAC Addresses :0
Configured MAC Addresses : 0
Sticky MAC Addresses :0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

SW-A#

Paso 14. Desactivamos las demás interfaces tanto en SW-A como en el SW-B

SW-A(config)#inter range fa0/5-22

SW-A(config-if-range)#shutdown

%LINK-5-CHANGED: Interface FastEthernet0/5, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/6, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/7, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/9, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/10, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/12, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/13, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/14, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/15, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/16, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/17, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/19, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/20, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/21, changed state to administratively down

%LINK-5-CHANGED: Interface FastEthernet0/22, changed state to administratively down

SW-A(config-if-range)#

Paso 15. Verificamos que llegara al 100% nuestra practica.

PRACTICA 2

PROCEDIMIENTO UNO

Paso 1. Abrimos el archivo con la topología que usaremos para nuestra

configuración
Paso 2. Agregamos un cable Copper Cross-Over del SW-1 al SW-2 en la interface
FastEthernet0/23 en ambas

Paso 3. Activaremos las interface’s que acabamos de agregar.

SW-1(config)#inter fa0/23
SW-1(config-if)#no shut
%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to down
SW-1(config-if)#
SW-2(config)#inter fa0/23
SW-2(config-if)#no shut
SW-2(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/23, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/23, changed state

to up

SW-2(config-if)#

Paso 4. Configuramos un enlace trunk dentro del SW-1 y SW-2, definimos en que
vlan además de la negociación dentro de los SW al momento de enviar los
paquetes. Todo esto dentro la configuración de la interface’s que agregamos. Para
que lo haga dentro de un protocolo.

SW-1(config-if)#switchport mode trunk

SW-1(config-if)#switchport trunk native vlan 15
SW-1(config-if)#switchport nonegotiate
SW-1(config-if)#
SW-2(config-if)#switchport mode trunk
SW-2(config-if)#switchport trunk native vlan 15
SW-2(config-if)#switchport nonegotiate
SW-2(config-if)#

Paso 5. Agregamos cable Copper Cross-Over del SW-1 al SW-B y de SW-2 en la

interface FastEthernet0/22 en ambas
Paso 6. Realizamos la configuración del paso 4 en las interface’s que agregamos
en el paso 5

SW-1(config)#interface FastEthernet0/22
SW-1(config-if)#no shut
SW-1(config-if)#switchport mode trunk
SW-1(config-if)#switchport trunk native vlan 15
SW-1(config-if)#switchport nonegotiate
SW-1(config-if)#exit
SW-1(config)#
SW-2(config)#interface FastEthernet0/22
SW-2(config-if)#no shut
SW-2(config-if)#switchport mode trunk
SW-2(config-if)#switchport trunk native vlan 15
SW-2(config-if)#switchport nonegotiate
SW-2(config-if)#exit
SW-2(config)#
SW-A(config)#interface FastEthernet0/22
SW-A(config-if)#no shut
SW-A(config-if)#switchport mode trunk
SW-A(config-if)#switchport trunk native vlan 15
SW-A(config-if)#switchport nonegotiate
SW-A(config-if)#exit
SW-A(config)#
SW-B(config)#interface FastEthernet0/22
SW-B(config-if)#no shut
SW-B(config-if)#switchport mode trunk
SW-B(config-if)#switchport trunk native vlan 15
SW-B(config-if)#switchport mode trunk
SW-B(config-if)#exit
SW-B(config)#

Paso 7. Configuraremos para que sea reconocida la vlan 20 dentro de la red,

creándola y agregándole una dirección ip.

SW-A(config)#vlan 20
SW-A(config-vlan)#exit
SW-A(config)#inter vlan 20
SW-A(config-if)#
%LINK-5-CHANGED: Interface Vlan20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

SW-A(config-if)#ip addres 192.168.20.1 255.255.255.0

SW-A(config-if)#
SW-B(config)#vlan 20
SW-B(config-vlan)#exit
SW-B(config)#inter vlan 20
SW-B(config-if)#
%LINK-5-CHANGED: Interface Vlan20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

SW-B(config-if)#ip addres 192.168.20.2 255.255.255.0

SW-B(config-if)#exit
SW-1(config)#vlan 20
SW-1(config-vlan)#exit
SW-1(config)#inter vlan 20
SW-1(config-if)#
%LINK-5-CHANGED: Interface Vlan20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

SW-1(config-if)#ip addres 192.168.20.3 255.255.255.0

SW-1(config-if)#exit
SW-2(config)#vlan 20
SW-2(config-vlan)#exit
SW-2(config)#inter vlan 20
SW-2(config-if)#
%LINK-5-CHANGED: Interface Vlan20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

SW-2(config-if)#ip addres 192.168.20.4 255.255.255.0

SW-2(config-if)#exit
Central(config)#vlan 20
Central(config-vlan)#exit
Central(config)#interface vlan 20
Central(config-if)#ip address 192.168.20.5 255.255.255.0
Central(config-if)#exit

Paso 8. Conectamos la computadora que tenemos en la vlan 20 al SW-A en el

interface FastEthernet0/1

Paso 9. Configuramos para que tenga acceso dentro de nuestra red. Que este en
modo de acceso, además de activarla.

SW-A(config)#interface FastEthernet0/1
SW-A(config-if)#switchport mode access
SW-A(config-if)#switchport access vlan 20
SW-A(config-if)#no shut

SW-A(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to

up

SW-A(config-if)#
Paso 10. Configuramos las direcciones dentro de la PC1

Paso 11. Enviamos un mensaje desde el PC1 hacia todos los switch los cuales
deben ser exitosos.
Paso 12. Habilitamos una sub interface gigabit en el router, realizando una
encapsulación y agregándole una dirección ip.

R1(config)#interf gi0/0.1
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 192.168.20.100 255.255.255.0
R1(config-subif)#no shut
R1(config-subif)#^Z
R1#

Paso 13. Configuramos las Access-list dentro del router

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255

R1(config)#access-list 101 permit ip any any
R1(config)#interf gi0/0.1
R1(config-subif)#ip access-group 101 in
R1(config-subif)#interf gi0/0.2
R1(config-subif)#ip access-group 101 in
R1(config-subif)#

Paso 14. Revisamos el porcentaje al que llegamos, en este caso no se llego al

100% por lo cual intentaremos nuevamente la practica para poder lograrlo.
PROCEDIMIENTO DOS

En el procedimiento anterior la practica únicamente llega al 92% por lo cual lo volvi

a realizar, en este caso puse un paso antes del paso numero dos.

Paso 1. Realizamos el paso uno del procedimiento uno, continuamos con la

configuración del R1 con la sub interface gigabit 0.3, configurando el
encapsulamiento y la dirección ip.

R1(config-if)#interf gi0/0.3
R1(config-subif)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0.3, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.3, changed

state to up

R1(config-subif)#no shut
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 192.168.20.6 255.255.255.0
R1(config-subif)#

Paso 2. Realizamos con normalidad del paso 2 al paso 11 del procedimiento uno.

Paso 3. Revisamos el porcentaje de nuestra practica la cual ya debe estar en

100%
CONCLUSIÓN

Las dos actividades fueron realizadas durante las horas de asesoría, en la primera
practica se logro llegar al 100%, los comandos utilizados fueron entendibles
aunque algunos ya los hemos visto y había unos nuevos, de esta manera pudimos
implementar otro tipo de seguridad dentro de nuestra red. En la segunda no se
logro alcanzar el 100% por lo cual lo volvi a realizar, omiti unos pasos en
comparación al primer procedimiento e mplemente otro que se omitio en el
primero, pero el porcentaje llego a 100%. De esta manera comprendi de mejor
manera la utilización de ciertos comandos.

Bibliografía
CONFIGURACION DE SPANNING TREE PROTOCOL. (8 de Marzo de 2012). Obtenido de
https://cursodeccna.wordpress.com/2012/03/08/spanning-tree-protocol-2/

Configuración del protocolo spanning-tree. (s.f.). Obtenido de

https://sites.google.com/site/redeslocalesyglobales/4-configuracion-de-red/3-
configuracion-de-conmutadores-switches/7-configuracion-del-protocolo-spanning-tree

Introducción y Configuración del Spanning Tree Protocol (STP). (s.f.). Obtenido de

https://www.cisco.com/c/es_mx/support/docs/lan-switching/spanning-tree-
protocol/5234-5.pdf

Spanning Tree. (s.f.). Obtenido de

https://www.cisco.com/c/es_mx/support/docs/switches/catalyst-6500-series-
switches/72844-MST.pdf

Spanning-tree. (s.f.). Obtenido de

https://www.cisco.com/c/es_mx/support/docs/switches/catalyst-6500-series-
switches/72836-rapidpvst-mig-config.pdf