You are on page 1of 9

Packet Tracer - Layer 2 VLAN Security

Objetivos

Conectar un nuevo enlace redundante entre SW1 y SW2.


Habilitar el enlace troncal y configurar la seguridad en el nuevo enlace

troncal entre SW-1 y SW-2.


Crear una nueva VLAN de administracin (VLAN 20) y conectar un PC de

gestin de esa VLAN.


Implementar una ACL para evitar que usuarios externos tengan acceso a la
VLAN de administracin.

Antecedentes / Escenario

La red de una empresa est configurado actualmente utilizando dos VLAN


separadas: 5 de VLAN y VLAN 10. Adems, todos los puertos troncales estn
configurados con VLAN nativa 15. Un administrador de red desea aadir un enlace
redundante entre el interruptor SW-1 y SW-2. El enlace debe haber habilitado
enlaces troncales y todos los requisitos de seguridad deben estar en su lugar.
Adems, el administrador de red desea conectar un PC de gestin para cambiar
SW-A. El administrador le gustara permitir que el PC de gestin para poder
conectarse a todos los interruptores y el router, pero no quiere que ningn otro
dispositivo para conectarse a la PC de gestin o los interruptores. El administrador
le gustara crear una nueva VLAN 20 con fines de gestin.
Todos los dispositivos han sido pre configurado con:

Enable secret password: ciscoenpa55

Console password: ciscoconpa55

VTY line password: ciscovtypa55

Parte 1: Verificar la conectividad


Paso 1: Verificar la conectividad entre C2 (VLAN 10) y C3 (VLAN 10).
Paso 2: Verificar la conectividad entre C2 (VLAN 10) y D1 (VLAN 5).
Nota: Si se utiliza la interfaz grfica de usuario sencilla de paquetes PDU,
asegrese de ping a dos veces para permitir la ARP.
Parte 2: crear un enlace redundante entre SW-1 y SW-2
Paso 1: Conectar SW-1 y SW-2.
El uso de un cable cruzado, conectar el puerto Fa0 / 23 en SW-1 a la Parte Fa0 /
23 en SW-2.

Paso 2: Habilitar el enlace troncal, incluyendo todos los mecanismos de


seguridad del tronco sobre el vnculo entre SW-1 y SW-2.

Trunking ya se ha configurado en todas las interfaces troncales preexistentes. El


nuevo enlace debe configurarse para concentracin de enlaces, incluyendo todos
los mecanismos de seguridad tronco. Por tanto SW-1 y SW-2, configure el puerto
en el tronco, asignar VLAN nativa 15 al puerto de enlace troncal, y desactivar la
negociacin automtica.
SW-1(config)# interface fa0/23
SW-1(config-if)# switchport mode trunk
SW-1(config-if)# switchport trunk native vlan 15
SW-1(config-if)# switchport nonegotiate
SW-1(config-if)# no shutdown
SW-2(config)# interface fa0/23
SW-2(config-if)# switchport mode trunk
SW-2(config-if)# switchport trunk native vlan 15
SW-2(config-if)# switchport nonegotiate
SW-2(config-if)# no shutdown
Parte 3: Habilitar la VLAN 20 como VLAN de administracin
El administrador de red desea acceder a todos los dispositivos de conmutacin y
enrutamiento utilizando un PC de gestin. Para mayor seguridad, el administrador
quiere asegurarse de que todos los dispositivos administrados estn en una VLAN
separada.
Paso 1: Habilitar una VLAN de administracin (VLAN 20) en SW-A.
a. Enable VLAN 20 on SW-A.
SW-A(config)# vlan 20
SW-A(config-vlan)# exit

b. Crear una interfaz VLAN 20 y asignar una direccin IP dentro de la red


192.168.20.0/24.

SW-A(config)# interface vlan 20


SW-A(config-if)# ip address 192.168.20.1 255.255.255.0
Paso 2: Habilitar la misma VLAN de administracin en todos los dems
interruptores.
a. Crear la VLAN de administracin en todos los switches: SW-B, SW-1, SW2, y centrales.
SW-B(config)# vlan 20
SW-B(config-vlan)# exit
SW-1(config)# vlan 20
SW-1(config-vlan)# exit
SW-2(config)# vlan 20
SW-2(config-vlan)# exit
Central(config)# vlan 20
Central(config-vlan)# exit

b. Crear una interfaz VLAN 20 en todos los switches y asignar una direccin
IP dentro de la red 192.168.20.0/24.
SW-B(config)# interface vlan 20
SW-B(config-if)# ip address 192.168.20.2 255.255.255.0
SW-1(config)# interface vlan 20
SW-1(config-if)# ip address 192.168.20.3 255.255.255.0
SW-2(config)# interface vlan 20
SW-2(config-if)# ip address 192.168.20.4 255.255.255.0
Central(config)# interface vlan 20
Central(config-if)# ip address 192.168.20.5 255.255.255.0

Paso 3: Configurar el PC de gestin y conectarlo a SW-Un puerto Fa0 / 1.

Asegrese de que el PC de gestin se le asigna una direccin IP dentro de la


red 192.168.20.0/24. Conectar el PC de gestin a SW-Un puerto Fa0 / 1.
Paso 4: El SW-A, asegurar la PC de gestin es parte de la VLAN 20.
Interfaz Fa0 / 1 debe ser parte de la VLAN 20.
SW-A (config) # interface Fa0 / 1
SW-A (config-if) # switchport acceso VLAN 20
SW-A (config-if) # no shutdown

Paso 5: Verificar la conectividad de la PC de gestin a todos los


interruptores.
El PC de gestin debe ser capaz de hacer ping SW-A, SW-B, SW-1, SW-2, y
central.
Parte 4: Habilitar el PC de administracin tengan acceso router R1
Paso 1: Activar una nueva subinterfaz en el router R1
a. Crear subinterfaz Fa0 / 0.3 y configurar la encapsulacin de dot1q 20 para
dar cuenta de la VLAN 20.
R1(config)# interface fa0/0.3
R1(config-subif)# encapsulation dot1q 20
b. Asignar una direccin IP dentro de la red 192.168.20.0/24.
R1(config)# interface fa0/0.3
R1(config-subif)# ip address 192.168.20.100 255.255.255.0

Paso 2: Verificar la conectividad entre el PC de gestin y R1.


Asegrese de configurar la puerta de enlace predeterminada en el equipo de
gestin para permitir la conectividad.
Paso 3: Habilitacin de la seguridad.
Mientras que el PC de gestin debe ser capaz de acceder al router, ningn otro
PC debe ser capaz de acceder a la VLAN de administracin.

a. Crear una ACL que niega cualquier red de acceso a la red 192.168.20.0/24,
pero permite que todas las dems redes para acceder a los otros.
R1(config)# access-list 101 deny ip any 192.168.20.0 0.0.0.255
R1(config)# access-list 101 permit ip any any
b. Apply the ACL to the proper interface(s).
R1(config)# interface fa0/0.1
R1(config-subif)# ip access-group 101 in
R1(config-subif)# interface fa0/0.2
R1(config-subif)# ip access-group 101 in
Paso 4: Verificar la seguridad.
Desde el PC de gestin, mesa de ping-AT SW, SW-B, y R1. Los pings xito?
Explique
R: // Los pings deberan haber tenido xito porque todos los dispositivos dentro de
la red 192.168.20.0 deben poder hacer ping entre s. Dispositivos dentro VLAN20
no se requiere que la ruta a travs del router.
De D1, ping en el PC de gestin. Los pings xito? Explique
R: // El ping debe haber fallado. Esto se debe a que para que un dispositivo dentro
de una VLAN diferente para hacer ping con xito un dispositivo dentro de VLAN20,
debe ser en caminada. El router tiene una ACL que impide que todos los paquetes
de acceso a la red 192.168.20.0.

Paso 5: Verificar los resultados.


Su porcentaje de finalizacin debe ser del 100%. Haga clic en Verificar resultados
para ver informacin y verificacin de qu componentes requeridos se han
completado.

Si todos los componentes parecen ser correcta y la actividad sigue mostrando


incompleta, podra ser debido a las pruebas de conectividad que verifican el
funcionamiento del LCA

Script for SW-1


conf t
interface fa0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown vlan 20
exit
interface vlan 20
ip address 192.168.20.3 255.255.255.0

Script for SW-2


conf t
interface fa0/23
switchport mode trunk

switchport trunk native vlan 15


switchport nonegotiate
no shutdown
vlan 20
exit
interface vlan 20
ip address 192.168.20.4 255.255.255.0

Script for SW-A


conf t
vlan 20
exit
interface vlan 20
ip address 192.168.20.1 255.255.255.0
interface fa0/1
switchport access vlan 20
no shutdown

Script for SW-B


conf t
vlan 20
exit
interface vlan 20
ip address 192.168.20.2 255.255.255.0
Script for Central
conf t
vlan 20
exit

interface vlan 20
ip address 192.168.20.5 255.255.255.0

Script for R1
conf t
interface fa0/0.3
encapsulation dot1q 20
ip address 192.168.20.100 255.255.255.0
access-list 101 deny ip any 192.168.20.0 0.0.0.255 access-list 101 permit ip any
any
interface FastEthernet0/0.1
ip access-group 101 in
interface FastEthernet0/0.2
ip access-group 101 in