You are on page 1of 11

HABILITAR PVST+

line console 0
logging synchronous
exit
ip routing
spanning-tree mode rapid-pvst

ip dhcp pool cisco


network 10.10.10.0 255.255.255.255
default-router 10.10.10.254
dns-server
lease 0 2
exit
ip dhcp excluded-address 10.10.10.254

spanning-tree mode rapid-pvst


1.Puertos f0/10 f0/11 ALS1/ALS2 asignar a la VLAN de Datos/ Voice segn topologa. P
osterior a eso habilitar port-security (solo permitir las MAC correspondientes),
en caso de violacin de seguridad solo permitir el paso de Syslog,Traps SNMP y qu
e registren violaciones de seguridad.
##################################################
########## Configurar interfaces #############
##################################################

#### ALS1-ALS2 ####


vlan
exit
name
vlan
name
exit

20
DATOS
150
VOICE

interface f0/10
switchport mode access
switchport access vlan 20
switchport voice vlan 150
switchport port-security
spanning-tree port fast
switchport port-security mac-address stinky
switchport port-security maximun 1
switchport port-security violation restrict
exit
##################################################
########## Configurar interfaces #############

##################################################

#### ALS1-ALS2 ####


vlan
exit
name
vlan
name
exit

20
DATOS
150
VOICE

interface f0/11
switchport mode access
switchport access vlan 20
switchport voice vlan 150
switchport port-security
spanning-tree port fast
switchport port-security mac-address stinky
switchport port-security maximun 1
switchport port-security violation restrict
exit

2 ####### Habilite Syslog en todos los Switches (Mande los Logs a PCLOG) #####
##########

logging on
logging host 192.168.100.1
logging trap informational

(ip del pc servidor de syslog)

3. ###### Las SVI pero las VLAN 10,20 en SW DLS1, y para VLAN 30 y 40 DLS2 (Pr
imera IP en cada SVI). ######
##################################################
########## Configurar interfaces SVI ###########
##################################################

#### DLS1 ####


vlan 10
exit
vlan 20
exit
interface vlan 10
ip address 192.168.10.1 255.255.255.0
no shutdown
exit
interface vlan 20
ip address 192.168.20.1 255.255.255.0

no shutdown
exit

##################################################
########## Configurar interfaces SVI ###########
##################################################

#### DLS1 ####


vlan 30
exit
vlan 40
exit
interface vlan 30
ip address 192.168.30.1 255.255.255.0
no shutdown
exit
interface vlan 40
ip address 192.168.40.1 255.255.255.0
no shutdown
exit

4.
El equipo PC1 debe estar aislado de PC 2 y PC 3, por lo tanto PC2 y PC3,
por entre ellos se ven pero no pueden llegar a PC1,equipos de otra VLAN si pued
en llegar a PC 1.

vtp mode transparent


vlan 10
name PRIMARY
private-vlan primary
vlan 200
name comunity
private-vlan community
vlan 300
name insolated
private-vlan isolated
vlan 10
private-vlan association 200,300

5.

DLS1 es DHCP VLAN 10,20,30 y DLS2 es DHCP VLAN 30 y 40


##################################################
##############
Configurar dhcp ##############
##################################################

#### DLS1 ####


ip dhcp pool vlan10
network 192.168.10.0 255.255.255.255
default-router 192.168.10.254
lease 0 2
exit
ip dhcp excluded-address 192.168.10.254
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.255
default-router 192.168.20.254
lease 0 2
exit
ip dhcp excluded-address 192.168.20.254
ip dhcp pool vlan30
network 192.168.30.0 255.255.255.255
default-router 192.168.30.254
lease 0 2
exit
ip dhcp excluded-address 192.168.30.254

##################################################
##############
Configurar dhcp ##############
##################################################

#### DLS2 ####


ip dhcp pool vlan30
network 192.168.30.0 255.255.255.255
default-router 192.168.30.254
lease 0 2
exit
ip dhcp excluded-address 192.168.30.254

ip dhcp pool vlan40


network 192.168.40.0 255.255.255.255
default-router 192.168.40.254
lease 0 2
exit
ip dhcp excluded-address 192.168.40.254

6.######
Habilitar DHCP Snooping en todos los switches y declarar las pru
etas trust que corresponde. #################

##################################################
########## Configurar dhcp snooping ############
##################################################

#### DLS1 ####


ip dhcp snooping
ip dhcp snooping vlan 10-40
exit
int port-channel 1
ip dhcp snooping trust
exit
int port-channel 5
ip dhcp snooping trust
exit
int port-channel 4
ip dhcp snooping trust
exit

##################################################
########## Configurar dhcp snooping ############
##################################################

#### DLS2 ####


ip dhcp snooping
ip dhcp snooping vlan 10-40
exit
int port-channel 2
ip dhcp snooping trust
exit

int port-channel 3
ip dhcp snooping trust
exit
int port-channel 5
ip dhcp snooping trust
exit

##################################################
########## Configurar dhcp snooping ############
##################################################

#### ALS1 ####


ip dhcp snooping
ip dhcp snooping vlan 10-40
exit
int port-channel 1
ip dhcp snooping trust
exit
int port-channel 2
ip dhcp snooping trust
exit

##################################################
########## Configurar dhcp snooping ############
##################################################

#### ALS2 ####


ip dhcp snooping
ip dhcp snooping vlan 10-40
exit
int port-channel 3
ip dhcp snooping trust
exit
int port-channel 4
ip dhcp snooping trust
exit

x - ########### CREAR PORt-CHANNEL CORRESPONDIENTES ################

##################################################
############## CREAR PORTCHANNELS ##############
##################################################

#### DLS1 ####


int range f0/6-7
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 5 mode desirable
no shutdown
exit
int range f0/2-3
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode auto
no shutdown
exit
int range f0/4-5
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 4 mode active
no shutdown
exit

##################################################
############## CREAR PORTCHANNELS ##############
##################################################

#### DLS2 ####


int range f0/6-7
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 5 mode auto
no shutdown
exit
int range f0/2-3
switchport trunk encapsulation dot1q
switchport mode trunk

channel-group 3 mode passive


no shutdown
exit
int range f0/4-5
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 2 mode auto
exit

##################################################
############## CREAR PORTCHANNELS ##############
##################################################

#### ALS1 ####


int range f0/2-3
switchport mode trunk
channel-group 1 mode auto
no shutdown
exit
int range f0/4-5
switchport mode trunk
channel-group 2 mode desirable
no shutdown
exit
##################################################
############## CREAR PORTCHANNELS ##############
##################################################

#### ALS2 ####


int range f0/2-3
switchport mode trunk
channel-group 3 mode active
no shutdown
exit
int range f0/4-5
switchport mode trunk
channel-group 4 mode passive
no shutdown
exit

7. #### Habilitar DAI en ALS2, f0/10 debe ser agregado de forma esttica chequear
la MAC origen del ARP Replay ####

#################################################
############## Configurar ARP ###############
#################################################

#### ALS2 ####


ip arp inspection vlan 30
int f0/10
ip arp inspection trust
exit
arp access-list ARPACL1
permit ip host 10.10.10.4 mac 1234.5678.1234 1235.1254.1245
exit
ip arp inspection filter ARPACL1 vlan 30 static
ip arp inspection validate src-mac
exit

8. #### Habilitar IP Source Guard en f0/10 ALS1,para evitar un spoofing de la IP


y de la MAC.###

########################################################################
#### ALS1 ####
int fa0/10
ip verify source port-security
#########################################################################

9.##### Preparar los SW para evitar el ataque de Seguridad VLAN Hopping (Double
TAG). ###########

###### DLS1 #######


int range port-channel 1 , port-channel 5 , port-channel 4
switchport trunk native vlan 5
switchport trunk allowed vlan remove 5
exit
d
vlan do1q taq native

###### DLS2 #######


int range port-channel 2 , port-channel 3 , port-channel 5
switchport trunk native vlan 5
switchport trunk allowed vlan remove 5
exit
vlan do1q taq native

###### ALS1 #######


int range port-channel 1 , port-channel 2
switchport trunk native vlan 5
switchport trunk allowed vlan remove 5
exit

###### ALS2 #######


int range port-channel 3 , port-channel 4
switchport trunk native vlan 5
switchport trunk allowed vlan remove 5
exit

#########################################################################
10
(ALS2)
#Int range fa 0/10-11
#spanning-tree bpduguard enable
11
#int fa 0/24
#spanning-tree guard root
12
(ALS1)
#spanning-tree port fast bpdu filter default

13
#no spanning-tree port fast bpdu filter default

#int fa 0/11
#spanning-tree bpdu filter enable
14
En todo los switches
#mls qos (configuracion global)
#auto qos voip trust (todo los troncales)
DLS2 PUERTO 20, 21
#int range f 0/20 -21
#switchport mode access
#switchport access vlan 20
#switchport access vlan 150
#mls qos trust cos
#mls qos trust device cisco-phone
#switchport priority extended trust
#switchport priority extended cos 3
#auto qos voip trust
15
aaa new-model
radius-server host 192.168.10.100 key cisco
aaa authe dot1x default group radius
dot1x system-auth-control
(PC conectado)
int fa0/11
dot1x port-control auto
16.

PC 4 y PC 5 no se pueden ver (VACL)

access-list 100 permit icmp host 192.168.10.20 host 192.168.10.30 echo


access-list 100 permit icmp host 192.168.10.30 host 192.168.10.20 echo
vlan access-map filtro 10
match ip add 100
and -| match ip add 100
| action drop
vlan access-map filtro 20 action forward
vlan filter filtro vlan-list 10
17)
#spanning-tree uplinkfast
El profesor cambi la topologa, solamente los equipos que estn conectados a los swit
ch ALS, por que no soportan poe y eso, saludos.