Professional Documents
Culture Documents
Objetivos Especficos
Estudiar diferentes mecanismos disponibles para el control de trfico basado en puertos. Diferenciar escenarios en que se pueden utilizar los mecanismos para control de trfico basado en puertos. Ejecutar procedimientos para la configuracin de control de trfico basado en puertos en un switch Catalyst 2960.
Materiales y Equipo
1 1 1 1 1 Switch Cisco Catalyst 2960 PC con HyperTerminal o SecureCRT Cables de Consola Cisco Convertidores serial a USB Cable UTP Cruzado
Procedimiento
Esquema de Conexiones Bibliografa
Conectar la PC con el switch empleando el cable de consola.
Gua 1
PARTE I: Storm Control
Storm control previene que el trfico de la LAN se vea afectado o interrumpido por tormentas de broadcast, multicast o unicast en una de las interfaces fsicas. Una tormenta LAN ocurre cuando paquetes inundan la LAN, generando trfico excesivo y degradando el desempeo de la red. Errores en la implementacin de protocols, configuraciones de red errneas o usuarios atacando la red con DoS pueden provocar una tormenta. Storm Control (o supresin de trfico) monitorea los paquetes que pasan de las interfaces al bus de switching y determina si el paquete es unicast, multicast, o broadcast. El switch realiza conteo de
Switch# configure terminal Switch(config)# interface FastEthernet0/1 Switch(config-if)# storm-control broadcast level 20
2. Configure el Puerto Fa0/2 para habilitar storm control para multicast con un umbral mximo de 100kbps y un umbral cada de 50kbps. En caso de detectar una tormenta se debe generar un trap SNMP.
Administracin de redes. Gua 6 3 Un puerto protegido no transmite trfico a ningn puerto que tambin es protegido. Trfico de datos no puede ser transmitido entre puertos protegidos en L2; solamente trfico de control, como paquetes PIM, pueden ser transmitidos debido a que estos paquetes son procesados por el CPU y transmitidos via software. Todo el trfico de datos que debe pasar entre 2 puertos protegidos, debe hacerse por medio de un dispositivo L3. Transmisin entre un puerto protegido y uno no protegido (publico) se hace de forma normal. 1. Configure el Puerto FastEthernet0/3 como puerto protegido:
Switch# configure terminal Switch(config)# interface FastEthernet0/3 Switch(config-if)# switchport protected Switch(config-if)# end
Switch# configure terminal Switch(config)# interface gigabitethernet0/1 Switch(config-if)# switchport block multicast Switch(config-if)# switchport block unicast Switch(config-if)# end
Se puede configurar una interface en tres modos de violacin: Protect: cuando el numero de direcciones MAC seguras alcanza el limite mximo permitido en el puerto, paquetes con direcciones fuente desconocidas son descartados. No se envan notificaciones que una violacin de seguridad ha ocurrido. Restrict: cuando el nmero de direcciones MAC alcanza el lmite mximo permitido en el puerto, los paquetes con direcciones fuente desconocidas son descartados. En este modo, se enva notificacin de que una violacin de seguridad ha ocurrido. Un trap SNMP es enviado, un mensaje syslog es creado y el contador de violaciones incrementa. Shutdown: una violacin de seguridad del puerto provoca que la interface sea deshabilitada (err-disable) inmediatamente. Un trap SNMP es enviado, se crea un mensaje syslog y el contador de violaciones incrementa. Este es el modo por defecto. Para la configuracin de port security se emplean los siguientes commandos: Se configura el modo switchport de la interface: switchport mode {access | trunk} Se habilita port security en el puerto: switchport port-security Configurar el nmero mximo de direcciones MAC seguras permitidas. Puede especificarse el nmero mximo por VLAN. switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]] Configurar el modo de violacin switchport port-security violation {protect | restrict | shutdown} Configurar las direcciones MAC seguras permitidas en el puerto. Si se configura un nmero de direcciones menor al mximo permitido en el puerto, el remanente de direcciones puede ser aprendidas de forma dinmica. switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]
Habilitar sticky learning en la interface: switchport port-security mac-address sticky Configurar una direccin MAC segura como direccin sticky: switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access |
voice}}]
3. Configure el Puerto FastEthernet0/5 con port security con un nmero mximo de direcciones MAC seguras de 50.
Switch(config)# interface gigabitethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 50 Switch(config-if)# switchport port-security mac-address sticky
4. Configure el Puerto FastEthernet0/6 con port security, configure direcciones MAC seguras de forma manual para la vlan de datos y vlan de voz, configure un nmero mximo de 20 direcciones seguras en el puerto (10 para vlan de datos y 10 para vlan de voz).
Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport access vlan 21 Switch(config-if)# switchport mode access Switch(config-if)# switchport voice vlan 22 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 20 Switch(config-if)# switchport port-security violation restrict Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# switchport port-security mac-address sticky address Switch(config-if)# switchport port-security mac-address address Switch(config-if)# switchport port-security mac-address sticky address vlan voice Switch(config-if)# switchport port-security mac-address address vlan voice Switch(config-if)# switchport port-security maximum 10 vlan access Switch(config-if)# switchport port-security maximum 10 vlan voice
Anlisis de resultados
Presente un escenario o ejemplo en que pueda implementarse cada uno de estos mecanismos.
Gua 3
Gua 4 Bibliografa
fa http://cisco.biz/en/US/docs/ios/12_0t/12_0t1/feature/guide/Easyip2.html#wp24774
Gua 3 Gua 4
fa
Hoja de cotejo:
Gua 6: puertos
Alumno:
Mecanismos
para
control
1 1
en
EVALUACION % CONOCIMIENTO Del 20 al 30% 1-4 Conocimiento deficiente de los fundamentos tericos 5-7 Conocimiento y explicacin incompleta de los fundamentos tericos 8-10 Conocimiento completo y explicacin clara de los fundamentos tericos Nota
ACTITUD Del 15% al 30% No tiene actitud proactiva. Actitud propositiva y con propuestas no aplicables al contenido de la gua. Tiene actitud proactiva y sus propuestas son concretas.
TOTAL
100%