You are on page 1of 15

Topología

Para este trabajo nuestra topología de red tiene un nutrido de diversas
tecnologías, las cuales serán descritas a continuación:

Implementacion: .Hacia DNS Google 5 Implementar Etherchannel de Capa 3 .ARP Inspection .DHCP .0/24 .Entre los DLS1 y DLS2 6.master DLS1 V10.0.Entre DLS2 y ALS2: Lacp .master DLS2 V30 V40 4.Root Guard .0.30: 10.3.20: 10.0.1. Optimizar STP 3.VTP .Syslog .0/24 . Etherchannel L2 .1.Entre ALS1 y ALS2: Pagp 7.Passwords 8.Nombres de Equipo .802.40: 10.DTP .BPDU Guard .0.0. VRRP .Port Security .2. Implementacion de Configuraciones básicas .10: 10.0/24 2.1x Per Vlan Spanning Tree .0/24 .Entre DLS1 y ALS1: Pagp . Vlan . V20 .BPDU Filter .DHCP Snooping .Acceso remoto . Track e Ip SLA .

fueron diseñados para monitorear y controlar la red de capa 2. y para una mejor administración de los recursos decidimos dejar como Root-Bridge de Vlan 10 y 20 al Switch DLS1 y como Root-Bridge de Vlan 30 y 40 al switch DLS2. es decir que el paquete enviado puede dar vueltas por nuestra red sin parar. y malgastar nuestro ancho de banda y/o saturar nuestros equipos o enlaces.En una red conmutada y con enlaces redundantes. y no habrán bucles que afecten a nuestra red. podemos decir que unos de los 2 puertos entre ALS1 y ALS2 (Port-Channel). se pueden originar bucles. .1w respectivamente. De esta manera.30 y 40. Características: PVST - Admite ISL y enlace troncal IEEE 802. se ira a modo bloqueo.1w - Posee convergencia más veloz que 802.1Q - Admite las extensiones de STP propiedad de Cisco - Agrega mejoras en la protección de BPDU y en la protección de raíz RPVST - Basado en el estándar IEEE802. y que esta se mantenga fuera de bucles. Spanning Tree Protocol (STP) y Rapid Spanning Tree Protocol (RSTP) normados por la IEEE 802.1d y 802.1D En nuestro diagrama de Red tenemos creadas en cada switch las vlan 10.20.

40 root secondary DLS2 - spanning-tree mode rapid-pvst spanning-tree vlan 30. y las interfaces e0/2-e0/3 entre ALS1 y ALS2.Comandos a utilizar: DLS1 . De esta manera nuestras Vlan podrán circular entre nuestros enlaces. El cual tiene como principal función crear Enlaces Troncales de manera automática.20 root primary .40 root primary spanning-tree vlan 10. Comandos a utilizar: - switchport switchport switchport switchport mode Access access vlan X mode trunk trunk Encapsulation Dot1q .spanning-tree vlan 30. DLS2 y ALS2.spanning-tree mode rapid-pvst .20 root secondary Dynamic Trunking Protocol (DTP) Es un protocolo propietario de CISCO. Definiciones y conversiones del puerto: Nosotros en definiremos los puertos como troncal las interfaces e0/0e0/1 entre DLS1 y ALS1.spanning-tree vlan 10. y en algunos casos incluso negociar qué tipo de trunking para usar en el puerto.

Transparente: Este tipo de switch no adopta las Vlans que le manda el servidor. ALS1 y ALS2. Para conseguir con éxito este proceso se debe tener en consideración que la versión de VTP debe ser igual en los participantes. En él podremos crear Vlans y utilizarlas de manera local.VLAN Trunking Protocol (VTP) Es un protocolo propietario de Cisco que nos permite tener un switch donde se crearan las Vlans y éste se encarga de propagarlas a los otros switch que están bajo el mismo dominio. Para esta topología nosotros asignamos a DLS1 como el Servidor y será el encargado de propagar todas sus Vlan a DLS2. Cliente: Este tipo de switch serán los que reciban las Vlans del Servidor y las podrán utilizar. VTP cuenta con 3 modos de configuración - Servidor: En él tendremos que configurar las Vlans para que se propaguen en el resto del dominio. la misma contraseña y el mismo dominio. Comandos a utilizar: - VTP VTP VTP VTP domain “nombre dominio” mode [server | Client | Transparent ] password “contraseña” version [ 1 – 3 ] . con esto tendremos todos nuestros dispositivos con las mismas vlan.

- switchport port-security mac-address Esta opción permite definir manualmente la dirección MAC que se permite conectar a través de ese puerto. la definiremos como máximo de conexión 1. . - switchport port-security maximum Esta opción permite definir el número de direcciones MAC que está permitido que se conecten a través de la interfaz del swtich. Las opciones son deshabilitar el puerto.Port Security Port Security es una tecnología de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. alertar al Adminsitrador o permitir exclusivamente el tráfico de la MAC que se registró inicialmente. - switchport port-security violation Esta opción establece la acción que tomará el switch en caso de que se supere el número de direcciones MAC que se establece con el comando anterior. que si sobrepasa esta cantidad el puerto pase a shutdown modo err-disable. Si un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca. El número máximo de direcciones permitidas por puerto es 132. port-security deshabilitará el puerto. o dejar que la aprenda dinámicamente. Comandos a utilizar: En la interfaz: - switchport port-security maximum [cantidad MAC permitidas] switchport port-security violation [shutdown | restrict | protect] switchport port-security mac-address [MAC | Sticky] En nuestra topología utilizaremos la seguridad en los puertos en modo acceso. y que aprenda esta dirección MAC de manera autmatica.

el switch local no permitirá que el otro switch se convierta en el switch raíz o Root Bridge Comandos a utilizar: En el puerto - spanning-tree bpdufilter enable spanning-tree bpduguard enable spanning-tree guard root . Un puerto portfast sigue dentro del dominio STP y. pero que pasa si se conecta otro switch con una prioridad más alta que el Root-Bridge. si otro switch advierte un Prioridad superior en un puerto con Root guard habilitado. El switch aprende el 'Bridge ID' del switch raíz. como un cambio inesperado de la topología de STP. sigue enviando BPDUs. por donde no se las espera. en donde se elegirá un switch como Root-Bridge ya que su prioridad es la más alta. una función de los puertos portfast que controla la llegada de BPDUs. Para evitar esto tenemos BPDU Guard. bloqueando el puerto como mecanismo de seguridad para evitar males mayores. podríamos tener variaciones en nuestro esquemas de STP. Para evitarlo tenemos la función BPDU filter que permite no enviar tramas BPDUs por este puerto. Root Guard es el mecanismo que controla donde podemos encontrar y conectar un switch candidato a asumir el rol de switch raíz dentro de la topología de Spanning Tree.BPDU Guard – Filter y Root Guard El Protocolo Spanning-Tree (STP) mantiene la red física libre de bucles. por tanto. Para la comunicación entre switches STP utiliza tramas multicast llamadas Bridge Protocol Data Units (BPDUs).

el portchannel será de capa 2.1ad. Cabe mencionar que en el modo ON. si los puertos son de Capa 2 y el portchannel es configurado en modo ON.Etherchannel En una red donde los dispositivos están conectados mediante switches. Para esto nace una tecnología llamada etherchannel. ya no sus puertos físicos sino el puerto lógico que los contiene. se puede formar un portchannel de capa 3. es posible que se forme congestión y provocar la pérdida de paquetes por la saturación del puerto que conecta dos o más switches. . para esto los puertos tiene que ser de capa 3 ( a excepción de un portachannel entre un switch y un router). Auto: espera a recibir paquetes para negociar el EtherChannel. Modos de funcionamiento: - On: Solo forma Portchannel contra otro puerto en modo ON Off: evita que los puertos establezcan un EtherChannel. si hay dos conmutadores con 20 dispositivos conectados a cada switch. Modos de funcionamiento: - On: Solo forma Portchannel contra otro puerto en modo ON Off: evita que se establezca el EtherChannel. cada uno de ellos conectado a 100Mbps y los switches entre ellos están conectados a 100 Mbps. LACP: Basado en estándares IEEE 802. Passive: pone el puerto en espera de recibir paquetes LACP para negociar el EtherChannel. fácilmente el enlace entre los conmutadores se saturará. También es importante decir que el portchannel es participante de STP. Hay dos protocolos para agrupar puertos: PAgP: Propietario de Cisco Systems. Active: establece que el puerto envíe paquetes para iniciar la negociación del EtherChannel. Desirable: establece que el puerto negocie el establecimiento del EtherChannel mediante PAgP. que su principal función es que los cables físicos formen uno lógico y así se sumen sus ancho de banda para poder transmitir de manar más expedita y sin que los enlaces se saturen.

Pagp y Lacp: Etherchannel de Capa 3 .Entre los DLS1 y DLS2 Etherchannel L2 .Comandos a utilizar: En la Interfaz: - channel-protocol pagp channel-group 1 mode desirable - channel-protocol lacp channel-group 2 mode active Global: . de todos sus modos.int port-channel 1 En nuestra topología se implementaran portchannels de capa 2 y de capa 3. on.Entre ALS1 y ALS2: Pagp .Entre DLS2 y ALS2: Lacp .Entre DLS1 y ALS1: Pagp .

. Cabe mencionar que el dispositivo con mayor prioridad será escogido como “activo”. y el que estaba como “activo” pasara a “respaldo”. es decir que si me falla un enlace. la implementación de un protocolo de redundancia en el primer salto. Es un protocolo de alta disponibilidad. siempre tendré otro de respaldo para poder transmitir mi flujo de datos y tener la producción siempre activa. y el otro quedara como “respaldo”. Las terminales utilizan la dirección IP virtual como default-gateway. pero si en algún momento falla el equipo en modo activo. el dispositivo de “respaldo” pasará a “activo”. es una de las maneras privilegiadas de administrar esa redundancia. Para esto se cumplen las siguientes definiciones: - Los Reuters o switch L3 comparten una dirección IP virtual.First Hop Redundancy Protocol (FHRP) Cuando una red LAN tiene más de una puerta de salida (gateway). Los routers o Switch L3 intercambian mensajes del protocolo FHRP para coordinar cuál es el router operativo en cada momento.

Aplica un esquema de redundancia Activo/Standby. definido por la IETF.Hay 3 protocolos que desempeñan esta tarea: HSRP - Hot Standby Router Protocol. No soporta balanceo de carga. GLBP - Gateway Load Balancing Protocol. Comandos a utilizar: HSRP . VRRP - Virtual Router Redundancy Protocol. Propietario de Cisco. Aplica un esquema de redundancia AVG/AVF Soporta balanceo de carga. Propietario de Cisco. Aplica un esquema de redundancia Master/Backup. No soporta balanceo de carga.

que encuentre una dirección IP de manera independiente.255. VRRP . Sólo tiene que especificarle al equipo. no es posible conectar directamente con él) que contiene toda la información solicitada por el cliente.255.1. sin intervención particular.) a través de la red local.255 con información adicional como el tipo de solicitud.100 vrrp 2 timers advertise 5 vrrp 2 priority 150 GLBP - ip address 192.255. El host enviará un paquete especial de transmisión (transmisión en 255. Cuando el DHCP recibe el paquete de transmisión. por ejemplo.10.1 255. y se ocupara en sus respectivas interfaces vlan.10.100 standby 2 priority 150 standby 2 preempt VRRP - ip address 10.master DLS2 V30 V40 Protocolo de configuración de host dinámico DHCP Es un protocolo que permite que un equipo conectado a una red pueda obtener su configuración IP en forma dinámica es decir. V20 . Tipos de paquetes: - DHCPDISCOVER: para ubicar servidores DHCP disponibles DHCPOFFER: respuesta del servidor a un paquete DHCPDISCOVER.255.168.0 glbp 1 ip 192.1 255. que contiene los parámetros iniciales DHCPREQUEST: solicitudes varias del cliente. por lo tanto.255.10.168.255.master DLS1 V10.10.0 standby 2 ip 10. etc.10. para extender su concesión .- ip address 10. mediante DHCP.10.1.10. contestará con otro paquete de transmisión (no olvide que el cliente no tiene una dirección IP y. El objetivo principal es simplificar la administración de la red. los puertos de conexión.0 vrrp 2 ip 10.10.255.100 glbp 1 priority 150 glbp 1 preempt En nuestro esquema de red solo será utilizado el protocolo VRRP.1 255.255.

a esto se conoce como el DHCP SPOOFING. donde tendremos constantes caídas de la red local.255.1.1.168.1.255. Si nuestra red local no cuenta con la protección adecuada es bastante dificil contener este tipo de ataques.168. Hay malas prácticas como insertar otro DHCP y empezar a entregar direcciones distintas y asi poder recibir información e insertarse dentro de la red. ya tiene su dirección IP Comandos a utilizar: Global: - service dhcp ip dhcp excluded-address 192.0 255.0 default-router 192.20 ip dhcp pool “nombre” network 192.1 192. en palabras simples un servidor DHCP que suplanta o interfiere con el verdadero DHCP corporativo. . El servicio DHCP escucha los broadcast generados por los host e inicia una conversación hasta que finalmente entrega la dirección ip.1.1 dns-server 192.3 DHCP Snooping Una de las formas más utilizadas por los administradores de red para entregar direccionamiento ip es mediante un servidor DHCP.- DHCPACK: respuesta del servidor que contiene los parámetros y la dirección IP del cliente DHCPNAK: respuesta del servidor para indicarle al cliente que su concesión ha vencido o si el cliente anuncia una configuración de red errónea DHCPDECLINE: el cliente le anuncia al servidor que la dirección ya está en uso DHCPRELEASE: el cliente libera su dirección IP DHCPINFORM: el cliente solicita parámetros locales.168.168.168.1.

que no es mas que un tipo de ataque donde el atacante tiene la capacidad de leer. interceptar y modificar la comunicación entre dos partes sin que se den cuenta que el enlace entre ellos ha sido violado. los que tenga firewall y el que tenga el DHCP corporativo. Comando a utilizar: Global - ip dhcp snooping vlan 10. Por tanto. se recomiendan los trunk.Los Switches Cisco se cuenta con una tecnologia llamada DHCP Snooping. escucharemos y los enrutaremos de nuevo al host apropiado Dynamic ARP Inspection es una funcionalidad de seguridad en la red y como su nombre indica. el binding entre direcciones IP y MAC en un determinado puerto es verificado. los dos hosts comenzarán la comunicación. un MiTM. ARP poisoning consiste básicamente en poder engañar a la víctima envenenando el cache ARP de las dos máquinas que queremos sniffear. pero los paquetes serán para nosotros. Una vez que las caches estén envenenadas. se basa en la inspección dinámica de las resoluciones de direcciones de capa de enlace que se reciben en un puerto de un switch o router. Sólo hay que declarar el puerto al cual está conectado el DHCP corporativo (Trust) y ya está funcionando. que es una función del equipo que sirve para repeler este tipo de ataques. evitando así un envenenamiento de ARP y en consecuencia.20 Interfaz: - ip dhcp snooping trust ARP Inspección Un ataque Mitm. su funcionamiento consiste en verificar que las peticiones y respuestas ARP son válidas. y habrá que activar los puertos Trust o confiables. Al activar DHCP Snooping todos los puertos serán Untrust. .

Comandos a utilizar: Global: - ip arp inspection vlan 11.20.30 Configuramos los puertos confiables o trust - ip arp inspection trust .