Packet Tracer - Layer 2 VLAN Security
Objetivos
•
Conectar un nuevo enlace redundante entre SW1 y SW2. Habilitar el enlace troncal y configurar la seguridad en el nuevo enlace
•
troncal entre SW-1 y SW-2. Crear una nueva VLAN de administracin !VLAN 2"# y conectar un $C de
•
gestin de esa VLAN. %m&lementar una ACL &ara evitar 'ue usuarios e(ternos tengan acceso a la
•
VLAN de administracin.
Antecedentes / Escenario
La red de una em&resa est) configurado actualmente utili*ando dos VLAN se&aradas+ , de VLAN y VLAN 1". Adem)s todos los &uertos troncales est)n configurados con VLAN nativa 1,. n administrador de red desea a/adir un enlace redundante entre el interru&tor SW-1 y SW-2. 0l enlace debe aber abilitado enlaces troncales y todos los re'uisitos de seguridad deben estar en su lugar. Adem)s el administrador de red desea conectar un $C de gestin &ara cambiar SW-A. 0l administrador le gustara &ermitir 'ue el $C de gestin &ara &oder conectarse a todos los interru&tores y el router &ero no 'uiere 'ue ning3n otro dis&ositivo &ara conectarse a la $C de gestin o los interru&tores. 0l administrador le gustara crear una nueva VLAN 2" con fines de gestin. 4odos los dis&ositivos an sido &re configurado con+
•
0nable secret &ass5ord+ ciscoenpa55
•
Console &ass5ord+ ciscoconpa55
•
V46 line &ass5ord+ ciscovtypa55
Parte 1: Verificar la conectividad Paso 1: Verificar la conectividad entre C2 (VLA 1!" y C# (VLA 1!"$ Paso 2: Verificar la conectividad entre C2 (VLA 1!" y %1 (VLA 5"$ ota: Si se utili*a la interfa* gr)fica de usuario sencilla de &a'uetes $7 aseg3rese de &ing a dos veces &ara &ermitir la A8$. Parte 2: crear &n enlace red&ndante entre ')1 y ')2 Paso 1: Conectar ')1 y ')2$ 0l uso de un cable cru*ado conectar el &uerto 9a" : 2; en SW-1 a la $arte 9a" : 2; en SW-2.
Paso 2: *abilitar el enlace troncal+ incl¥do todos los ,ecanis,os de se-&ridad del tronco sobre el v.nc&lo entre ')1 y ')2$
4run
b. Crear una interfa* VLAN 2" y asignar una direccin %$ dentro de la red 1>
[email protected]".":2.
SW-A!config#= interface vlan 2" SW-A!config-if#= i& address 1>
[email protected]".1 2,,.2,,.2,,." Paso 2: *abilitar la ,is,a VLA de ad,inistracin en todos los de,0s interr&ptores$ a$ Crear la VLA de ad,inistracin en todos los sitces: ')3+ ')1+ ') 2+ y centrales$ SW-B!config#= vlan 2" SW-B!config-vlan#= e(it SW-1!config#= vlan 2" SW-1!config-vlan#= e(it SW-2!config#= vlan 2" SW-2!config-vlan#= e(it Central!config#= vlan 2" Central!config-vlan#= e(it
b$ Crear &na interfa4 VLA 2! en todos los sitces y asi-nar &na direccin P dentro de la red 162$178$2!$!/29$ SW-B!config#= interface vlan 2" SW-B!config-if#= i& address 1>
[email protected]".2 2,,.2,,.2,,." SW-1!config#= interface vlan 2" SW-1!config-if#= i& address 1>
[email protected]".; 2,,.2,,.2,,." SW-2!config#= interface vlan 2" SW-2!config-if#= i& address 1>
[email protected]". 2,,.2,,.2,,." Central!config#= interface vlan 2" Central!config-if#= i& address 1>
[email protected]"., 2,,.2,,.2,,."
Paso #: Confi-&rar el PC de -estin y conectarlo a ')n p&erto ;a! / 1$
Ase-
Paso 5: Verificar la conectividad de la PC de -estin a todos los interr&ptores$ El PC de -estin debe ser capa4 de acer pin- ')A+ ')3+ ')1+ ')2+ y central$ Parte 9: *abilitar el PC de ad,inistracin ten-an acceso ro&ter >1 Paso 1: Activar &na n&eva s&binterfa4 en el ro&ter >1 a. Crear subinterfa* 9a" : ".; y configurar la enca&sulacin de dot1' 2" &ara dar cuenta de la VLAN 2". 81!config#= interface fa":".; 81!config-subif#= enca&sulation dot1' 2" b. Asignar una direccin %$ dentro de la red 1>
[email protected]".":2. 81!config#= interface fa":".; 81!config-subif#= i& address 1>
[email protected]".1"" 2,,.2,,.2,,."
Paso 2: Verificar la conectividad entre el PC de -estin y >1$ Aseg3rese de configurar la &uerta de enlace &redeterminada en el e'ui&o de gestin &ara &ermitir la conectividad. Paso #: *abilitacin de la se-&ridad$ ientras 'ue el $C de gestin debe ser ca&a* de acceder al router ning3n otro $C debe ser ca&a* de acceder a la VLAN de administracin.
a. Crear una ACL 'ue niega cual'uier red de acceso a la red 1>
[email protected]".":2 &ero &ermite 'ue todas las dem)s redes &ara acceder a los otros. 81!config#= access-list 1"1 deny i& any 1>
[email protected]"." ".".".2,, 81!config#= access-list 1"1 &ermit i& any any b. A&&ly te ACL to te &ro&er interface!s#. 81!config#= interface fa":".1 81!config-subif#= i& access-grou& 1"1 in 81!config-subif#= interface fa":".2 81!config-subif#= i& access-grou& 1"1 in Paso 9: Verificar la se-&ridad$ %esde el PC de -estin+ ,esa de pin-)A? '+ ')3+ y >1$ Los pin-s @itoB Epli=&e 8+ :: Los &ings deberan aber tenido D(ito &or'ue todos los dis&ositivos dentro de la red 1>
[email protected]"." deben &oder acer &ing entre s. 7is&ositivos dentro VLAN2" no se re'uiere 'ue la ruta a travDs del router. %e %1+ pin- en el PC de -estin$ Los pin-s @itoB Epli=&e 8+ :: 0l &ing debe aber fallado. 0sto se debe a 'ue &ara 'ue un dis&ositivo dentro de una VLAN diferente &ara acer &ing con D(ito un dis&ositivo dentro de VLAN2" debe ser en caminada. 0l router tiene una ACL 'ue im&ide 'ue todos los &a'uetes de acceso a la red 1>
[email protected]".".
Paso 5: Verificar los res<ados. Su &orcentaEe de finali*acin debe ser del 1""F. Haga clic en Verificar resultados &ara ver informacin y verificacin de 'uD com&onentes re'ueridos se an com&letado.
Si todos los com&onentes &arecen ser correcta y la actividad sigue mostrando incom&leta &odra ser debido a las &ruebas de conectividad 'ue verifican el funcionamiento del LCA
'cript for ')1 conf t interface fa":2; s5itc&ort mode trun< s5itc&ort trun< native vlan 1, s5itc&ort nonegotiate no sutdo5n vlan 2" e(it interface vlan 2" i& address 1>
[email protected]".; 2,,.2,,.2,,."
'cript for ')2 conf t interface fa":2; s5itc&ort mode trun<
s5itc&ort trun< native vlan 1, s5itc&ort nonegotiate no sutdo5n vlan 2" e(it interface vlan 2" i& address 1>
[email protected]". 2,,.2,,.2,,."
'cript for ')A conf t vlan 2" e(it interface vlan 2" i& address 1>
[email protected]".1 2,,.2,,.2,,." interface fa":1 s5itc&ort access vlan 2" no sutdo5n
'cript for ')3 conf t vlan 2" e(it interface vlan 2" i& address 1>
[email protected]".2 2,,.2,,.2,,." 'cript for Central conf t vlan 2" e(it
interface vlan 2" i& address 1>
[email protected]"., 2,,.2,,.2,,."
'cript for >1 conf t interface fa":".; enca&sulation dot1' 2" i& address 1>
[email protected]".1"" 2,,.2,,.2,,." access-list 1"1 deny i& any 1>
[email protected]"." ".".".2,, access-list 1"1 &ermit i& any any interface 9ast0ternet":".1 i& access-grou& 1"1 in interface 9ast0ternet":".2 i& access-grou& 1"1 in