Tarea 3 Índice. Índice. ____________________________ _______________________________________ ______________________ ______________________ _____________ __ 1 Ejercicio 1 ______________________ _________________________________ ______________________ ______________________ ________________ _____ 2 Ejercicio 2 ______________________ _________________________________ ______________________ ______________________ ________________ _____ 3
Alumno: Francisco Martínez del Amo Fecha: 05/12/2014 Asignatura: Planificación y administración de redes.
1
NOMBRE MARTINEZ DEL AMO FRANCISCO JOSE - NIF 25163145H
Firmado digitalmente por NOMBRE MARTINEZ DEL AMO FRANCISCO JOSE - NIF 25163145H Nombre de reconocimiento (DN): c=es, o=FNMT, ou=fnmt clase 2 ca, ou=703004154, ou=703004154, cn=NOMBRE MARTINEZ DEL AMO FRANCISCO JOSE - NIF 25163145H Fecha: 2014.12.22 23:34:36 +01'00'
Ejercicio 1 a)
¿Cuántos segmentos Ethernet forman la red?
Tenemos 16, cada conexión de los conmutadores es uno, los concentradores es sólo uno aunque tengan muchos ordenadores ya que no crean segmentos o dominios de colisión. Y finalmente cada conexión de los routers con el puente.
b)
¿Cuántos dominios de difusión podríamos tener?
3. Los routers son los únicos que los pueden hacer, así que podríamos tener en esa figura hasta 3.
c)
Que dispositivos de la figura son capaces de crear dominios de colisión?
Los switch, los router y los bridge.
d)
¿Llegaría hasta los hub una difusión MAC hecha desde el puente?
El puente trabaja a nivel de enlace de datos o capa 2, haciendo difusión de MAC, creando dominios de colisión y memorizando las MAC para evitar el flujo innecesario, funcionando de filtro. Si recibe desde un router transmitiría sólo al otro router (y de allí al hub),si la MAC se encuentra allí o si la desconoce, pero no por el puerto en que la recibe. Desde el puente la difusión llegaría sólo a uno de los lados de la red, pero no al del interfaz por el que la reciba, ya que es el funcionamiento de los puentes, filtrar el tráfico, crear segmentos de colisión y evitar la saturación de la red.
2
Ejercicio 2 Paso 1: Conectar los hosts con el switch y configurarlos
a. Conecte el host H1 al puerto Fa0/1 del switch S1 con la interfaz Fast Ethernet y conecte el host H2 al puerto Fa0/4. Configure los hosts utilizando la dirección IP, la máscara y el gateway tal como se muestra en la tabla y en el diagrama de topología anterior. b.
Configure la PC3. Todavía no conecte el host H3 al switch.
NOTA: realizado como puede verse en el fichero PKT
Paso 2: Configurar el switch
a. Configure el switch con el nombre del host como PAR03. switch>enable switch#configure terminal switch(config)#hostname PAR03
b. Establezca la contraseña del modo EXEC privilegiado como cisco. PAR03(config)#enable password cisco
c. Establezca la contraseña secreta del modo EXEC privilegiado como cisco123. PAR03(config)#enable secret cisco123
d. Configure la contraseña de la consola y de la terminal virtual para usar la contraseña class y solicitarla al iniciar sesión. PAR03(config)#line console 0 PAR03(config-line)#password class PAR03(config-line)#login PAR03(config-line)#line vty 0 4 PAR03(config-line)#password class PAR03(config-line)#login PAR03(config-line)#end
e. Salga de la sesión de la consola e inicie sesión nuevamente. ¿Qué contraseña se solicitó para ingresar al modo EXEC privilegiado? La contraseña solicitada es cisco123. Primero para acceder por consola nos pide class que es la que acabamos de poner para consola, pero para pasar al 3
modo privilegiado nos pide la contraseña secreta ya que le hemos configurado esa contraseña en esa seguridad.
¿Por qué? Porque es la contraseña que hemos puesto para los accesos privilegiados en esa seguridad, ya que al definir una contraseña secreta se deshabilita la normal.
Paso 3: Configurar la interfaz de administración del switch en la VLAN 1
a. Establezca la dirección IP, la máscara de subred y el gateway predeterminado para la interfaz de administración. ¿Por qué la interfaz de la VLAN 1 requiere una dirección IP en esta red de área local (LAN, Local Area Network)? PAR03(config)#interface vlan1 PAR03(config-if)#ip address 192.168.1.2 255.255.255.0 PAR03(config-if)#ip default-gateway 192.168.1.1 La interfaz de la VLAN 1 requiere una dirección IP en la misma red LAN que los equipos para poder comunicarse con ellos, de otra forma estarían en redes distintos y no se podrían comunicar con el router desde la red.
¿Cuál es el propósito del gateway predeterminado? El propósito de la puerta de enlace predeterminada es poder comunicarse con el router que nos de salida a otra red, por ejemplo internet, de esta forma comunicaremos nuestra red LAN creada, incluida la interfaz VLAN 1 del switch con internet.
Paso 4: Verificar la conectividad.
a. Para verificar que los hosts y el switch estén configurados correctamente, haga ping a la dirección IP del switch desde el host H1 y H2. b. ¿Los pings funcionan correctamente? No, los pings no funcionan correctamente. Desde el equipo H1 puedo hacer ping al H2 y viceversa, pero ningún equipo puede hacer ping a la interfaz VLAN 1 del switch, y el switch no puede hacer ping a los equipos.
c. Si el ping no funciona correctamente, verifique nuevamente las conexiones y las configuraciones. Verifique que todos los cables sean correctos y que las conexiones estén colocadas correctamente. 4
Para solucionar los pings hay que levantar la interfaz VLAN1 que por defecto esta down. Los comandos son los siguientes: PAR03#configure terminal PAR03(config)#interface vlan1 PAR03(config-if)#no shutdown PAR03(config-if)#end Ahora si tenemos ping: PAR03#ping 192.168.1.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 3/4/5 ms PAR03#ping 192.168.1.4 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 3/4/5 ms
Paso 5: Anotar las direcciones MAC de los hosts.
Determine y anote las direcciones de capa 2 de las tarjetas de interfaz de red de la PC. En el indicador de comando de cada PC, ingrese ipconfig /all. 1 0030.A322.EEE5 PC 2 0004.9A01.815E PC
PC 3 0060.70B0.C71A
Paso 6: Determinar qué direcciones MAC adquirió el switch
a. Determine cuáles son las direcciones MAC que obtuvo el switch por medio del comando show mac-address-table en el intérprete de comandos del modo EXEC privilegiado. PAR03#show mac-address-table Mac Address Table ------------------------------------------Vlan ---1
Mac Address -----------
Type --------
Ports -----
0004.9a01.815e
DYNAMIC
Fa0/4
5
1
0030.a322.eee5
DYNAMIC
Fa0/1
b. ¿Cuántas direcciones dinámicas figuran? Figuran dos direcciones, ya que el equipo H3 no está aún conectado.
c. ¿Las direcciones MAC concuerdan con las direcciones MAC de los hosts? Si
Paso 7: Configurar una dirección MAC estática.
Configure una dirección MAC estática en la interfaz FastEthernet 0/4. Utilice la dirección que se anotó para la PC2 en el Paso 5. Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03>enable PAR03#configure terminal PAR03(config)#mac-address-table static 0004.9a01.815e vlan 1 interface fastethernet 0/4
Paso 8: Verificar los resultados.
a. Verifique las entradas de la tabla de direcciones MAC. Switch1#show macaddress-table
PAR03#show mac-address-table Mac Address Table ------------------------------------------Vlan
Mac Address
Type
Ports
----
-----------
--------
-----
1
0004.9a01.815e
STATIC
Fa0/4
1
0030.a322.eee5
DYNAMIC
Fa0/1
¿Cuántas direcciones MAC dinámicas hay en total ahora? Una
6
¿Cuántas direcciones MAC estáticas hay en total ahora? Una
b. Elimine la entrada estática de la tabla de direcciones MAC. Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03#configure terminal PAR03(config)#no mac-address-table static 0004.9a01.815e vlan 1 interface fastethernet 0/4
Paso 9: Enumerar las opciones de seguridad de puerto.
a. Determine cuáles son las opciones para configurar la seguridad de puerto en la interfaz FastEthernet 0/4. ¿Cuáles son algunas de las opciones disponibles? PAR03#show port-security interface fastethernet 0/4 Port Security : Disabled Port Status : Secure-down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0
Podemos configurar el número máximo de macs permitidas en ese puerto, así como la respuesta del switch en caso de que la mac no esté permitida, y configurar cuales son las macs permitidas, entre otras opciones. b. Para permitir que el puerto del switch FastEthernet 0/4 acepte sólo un dispositivo, configure la seguridad de puerto. Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03#configure terminal PAR03(config)#interface fastethernet 0/4 PAR03(config-if)#switchport mode access PAR03(config-if)#switchport port-security PAR03(config-if)#switchport port-security maximum 1
7
PAR03(config-if)#switchport port-security violation protect PAR03(config-if)#switchport port-security mac-address 0004.9a01.815e PAR03(config-if)#exit PAR03(config)#exit
c. Salga del modo de configuración y verifique la configuración de la seguridad de puerto. Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03#show port-security interface fastethernet 0/4
y muestre el resultado del mismo: Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count
: : : : : : : : : : : :
Enabled Secure-up Protect 0 mins Absolute Disabled 1 1 1 0 0000.0000.0000:0 0
Si un host que no sea la PC2 intenta conectarse a Fa0/4, ¿que sucede? Sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.Ya que he usado el comando switchport port-security violation protect. Si no lo hubiera usado no la opción por defecto es shutdown y el puerto se apagaría.
Paso 10: Limitar la cantidad de hosts por puerto y configurar el puerto para que se desconecte si se produce una violación de seguridad.
a. En la interfaz FastEthernet 0/4, establezca en 1 el conteo máximo de MAC de seguridad de puerto. Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03(config-if)#switchport 1
8
port-security
maximum
b. En caso de que se produzca una violación de seguridad, la interfaz debe desconectarse. Para que se desconecte la seguridad de puerto, escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03(config-if)#switchport violation shutdown
port-security
¿Qué otras opciones de acción hay disponibles para la seguridad de puerto? Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión. Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta. Se registra en los logs. Shutdown: el puerto se deshabilita.
b. Desconecte la PC2 conectada a FastEthernet 0/4. Conecte la PC3 a FastEthernet 0/4. La PC3 ha recibido la dirección IP 192.168.1.5 y todavía no se ha conectado al switch. Es posible que sea necesario hacer ping a la dirección 192.168.1.2 del switch para generar tráfico. Anote cualquier observación. Cuando conecto el PC3 y hago ping al switch este desconecta el puerto fastethernet 0/4 y no permite el tráfico.
d. Verifique la configuración de la seguridad de puerto y muestre el resultado del mismo: show port-security interface Port Security : Port Status : Violation Mode : Aging Time : Aging Type : SecureStatic Address Aging : Maximum MAC Addresses : Total MAC Addresses : Configured MAC Addresses : Sticky MAC Addresses : Last Source Address:Vlan : Security Violation Count :
9
fastethernet 0/4 Enabled Secure-shutdown Shutdown 0 mins Absolute Disabled 1 1 1 0 0060.70B0.C71A:1 1
Paso 11: Reactivar el puerto
a. Si se produce una violación de seguridad y el puerto se desconecta, use los comandos shutdown/no shutdown para volver a conectarlo. PAR03(config-if)#shutdown PAR03(config-if)#no shutdown
b. Intente volver a conectar este puerto algunas veces conmutando entre los hosts PC2 y PC3. Haga ping mediante el indicador de comando. Paso 12: Deshabilitar los puertos que no se utilicen.
Deshabilite los puertos que no se utilizan en el switch. Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03>enable PAR03#configure terminal PAR03(config)#interface range fastethernet 0/2-3 PAR03(config-if-range)#shutdown PAR03(config-if-range)#exit PAR03(config)#interface range fastethernet 0/5-24 PAR03(config-if-range)#shutdown PAR03(config-if-range)#exit PAR03(config)#interface range GigabitEthernet 1/1-2 PAR03(config-if-range)#shutdown PAR03(config-if-range)#exit PAR03(config)#exit
Paso 13: Configurar las opciones de duplex y de velocidad para los puertos
a. Cambie los parámetros predeterminados de los puertos a auto-duplex y auto-speed. Si una computadora con una NIC de 100 Mbps está conectada al puerto, automáticamente cambia al modo full-duplex de 100 Mbps. Si un hub está conectado al puerto del switch, generalmente cambia al modo half-duplex con 10 Mbps. PAR03(config)#interface range fastethernet 0/1-24 PAR03(config-if-range)#speed auto PAR03(config-if-range)#duplex auto PAR03(config-if-range)#exit
b. Ejecute el comando show interfaces para ver los parámetros de los puertos Fa0/1 y Fa0/4. Este comando genera una gran cantidad de resultados. Presione la barra espaciadora hasta que pueda ver toda la información de estos puertos. ¿Cuáles son los parámetros de duplex y de velocidad para estos puertos?
10
Port Fa0/1 Port Fa0/4
Full-duplex, 100Mb/s Full-duplex, 100Mb/s .
c. A veces es necesario establecer la velocidad y el duplex de un puerto para asegurarse de que funcione de una manera determinada. Puede establecer la velocidad y el duplex con los comandos duplex y speed mientras se encuentra en el modo de configuración de la interfaz. Para que el puerto 5 de FastEthernet funcione en half duplex y con 10 Mbps, ejecute los siguientes comandos: Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03(config)#interface fastethernet 0/5 PAR03(config-if)#speed 10 PAR03(config-if)#duplex half PAR03(config-if)#end
d. Habilitar Auto-MDIX en el puerto 5 del conmutador. Escriba los comandos que necesitamos teclear en el orden adecuado para ello: PAR03(config)#interface fastethernet 0/5 PAR03(config-if)#mdix auto PAR03(config-if)#end
d. Ejecute el comando show interfaces nuevamente. ¿Cuál es el parámetro actual de duplex y de velocidad para Fa0/5? . Half-duplex, 10Mb/s
Paso 14: Reflexión
1. ¿Qué símbolo se utiliza para mostrar que se ha logrado hacer ping en el software Cisco IOS? El símbolo es la admiración hacia abajo. Una por cada intento, hasta 5. Si falla se pone un punto. !!!!!
b. ¿Cuál es el beneficio de utilizar la seguridad del puerto? Poder controlar los accesos a la red sólo de los dispositivos autorizados, evitando intrusiones y definiendo que debemos hacer en caso de una intrusión.
c. ¿Por qué deben deshabilitarse los puertos no utilizados en un switch?
Para poder controlar los accesos a la misma, impidiendo que un dispositivo no autorizado conecte en un puerto que no este en uso y no 11
estemos controlando, o que incluso se pudiera aprender la mac del dispositivo de forma automática si el administrador no lo detecta y usa el comando sticky. De esta forma al estar deshabilitado impediremos esta brecha de la seguridad.
12
