Taller vlan

© 2014 Cisco y/o sus f iliales. Todos los derechos reservados. Este documento es inf ormación pública de Cisco. Página 1 de 7
Universidad Agraria Del Ecuador
Facultad De Ciencias Agrarias
Carrera de Ingeniería en Ciencias de la Computación
Asignatura: Redes 2
Docente: Ing. Mitchell Vásquez.
Curso: 6 S” A”
Taller 2: VLAN
Integrantes:
1. CamachoMarroquín AndreaMargarita
2. Mora LombeidaLady Russhell
3. Proaño CabreraAnderson Xavier
4. Ponce Díaz Jeremy Joel
5. PantaleónZapata IsmaelAlexis
Guayaquil – Ecuador
Ciclo 1
2020-2021

Práctica de laboratorio: implementación de seguridad de VLAN
Topología
Tabla de direccionamiento
Di spo si tivo Interfaz Dirección IP
Máscara de
subred
Gateway
predeterminado
S1 VLAN 99 172.17.99.11 255.255.255.0 172.17.99.1
S2 VLAN 99 172.17.99.12 255.255.255.0 172.17.99.1
PC-A NIC 172.17.99.3 255.255.255.0 172.17.99.1
PC-B NIC 172.17.10.3 255.255.255.0 172.17.10.1
PC-C NIC 172.17.99.4 255.255.255.0 172.17.99.1
Asignaciones de VLAN
VLAN Nombre
10 Datos
99 Management&Nati ve
999 BlackHole
Objetivos
Parte 1: armar la red y configurar losparámetrosbá sico sde lo sdi spo si tivo s
Parte 2: implementar seguridad de VLAN en losswitche s
Información básica/situación
La práctica recomendada indica que se deben configurar algunos parámetros básicos de seguridad para l os
puertos de enlace troncal y de acceso en los switches. Esto sirve como protección contra los ataques de
VLAN y la posible detección del tráfico de la red dentro de esta.

En esta práctica de laboratorio, configurará los dispositi vos de red en la topol ogía con algunos parám etros
básicos, veri ficará la conecti vi dad y, a continuación, aplicará medi das de seguri dad más estrictas en los
switches. Utilizará varios comandos show para analizar la form a en que se comportan los switches Cisco.
Luego, aplicará medidas de seguridad.
Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco
versión 15.0(2) (im agen de l anbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco.
Según el modelo y la versión de IOS de Cisco, los comandos disponibl es y los resultados que se obtienen
pueden diferi r de los que se muestran en l as prácticas de laboratori o.
Nota: asegúrese de que los switches se hayan borrado y no tengan confi guraciones de inicio. Si no está
seguro, consulte con el instructor.
Recursos necesarios
• 2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
• 3 computadoras (Windows 7, Vista o XP con un programa de emul ación de termi nal, como Tera Term)
• Cabl es de consol a para configurar los dispositi vos con IOS de Cisco mediante los puertos de consol a
• Cabl es Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los
dispositivos
En la part e 1, confi gurará los parámet ros básicos en los switches y las computadoras. Consulte la tabla de
direccionamiento para obtener información sobre nombres de dispositi vos y direcciones.
Paso 1. realizar el cableado de redtal como se muestra en la topología.
Paso 2. inicializar y volver a cargar los switches.

Paso 3. configurar las direcciones IPen la PC-A, la PC-B y la PC-C.
Cons ulte la tabla de direccionamiento para obt ener la información de di recciones de las computadoras.

Paso 4. configurar los parámetros básicos para cada switch.
a. Desacti ve la búsqueda del DNS.
S1(config)#no ip domain-lookup
b. Confi gure los nom bres de los dispositi vos como se m uestra en la topol ogía.
c. Asigne class como la contraseña del modo E XE C pri vilegiado.

d. Asigne ci sco como la contraseña de V TY y la contraseña de consola, y habilite el inicio de sesión para
las líneas de vty y de consola.
e. Confi gure el inicio de sesión sincrónico para las líneas de vty y de consola.
S1(config-line)#logging synchronous
Paso 5. configurar las VLAN en cada switch.
a. Cree las VLAN y asígnel es nombres según la tabl a de asi gnaciones de VLA N.
S1#configure terminal
S1(config)#vlan 10
S1(config-vlan)#name Datos
S1(config-vlan)#end
S1(config)#vlan 99
S1(config-vlan)#name Management&Native
S1(config-vlan)#end
S1(config)#vlan 999
S1(config-vlan)#name BlackHole
S1(config-vlan)#end
Y así mismo, para el switch 2 se deberá crear las VLANS.

b. Confi gure la dirección IP que se indica para la VLA N 99 en la tabl a de di reccionamient o en am bos
switches.
S1(config)#vlan 99
S1(config-vlan)#exit
S1(config)#interface vlan99
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to down
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
S2(config)#vlan 99
S2(config-vlan)#exit
S2(config)#interface vlan99
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to down
S2(config-if)#ip address 172.17.99.12 255.255.255.0
S2(config-if)#no shutdown
S2(config-if)#exit
c. Confi gure F0/6 en el S1 como puerto de acceso y asígnel o a la VLA N 99.
S1(config)#interface f0/6
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 99
S1(config-if)#exit

d. Confi gure F0/11 en el S2 com o puerto de acceso y asígnelo a la VLA N 10.
S2(config-if)#exit
d. Confi gure F0/18 en el S2 com o puerto de acceso y asígnelo a la VLA N 99.
S2(config-if)#exit
f. Emita el comando show vlan brief para veri ficar las asignaciones de VLA N y de puertos.
¿A qué VLA N pertenecería un puerto sin asignar, como F 0/8 en el S2?
A la VLAN 1 por defecto
Paso 6. configurar la seguridad básica del switch.
a. Confi gure un m ensaj e MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.
S1(config)#banner motd #ADVERTENCIA: El acceso de este equipo es para usuario
autorizados#
S1(config)#end

b. Encripte todas las contraseñas.
S1(config)#service password-encryption
S1(config)#end
c. Desacti ve todos los puertos físicos sin utilizar.
Va variar el rango de los puertos a desactivar en cada switch, de ahí tienen la misma estructura:
S2(config)#interface range f0/12-f0/17
S2(config-if-range)#shutdown
S2(config-if-range)#exit
S2(config-if-range)#end
EN EL SWITCH 1 SE DESACTIVARON LAS INTERFACES DE LA SIGUIENTE MANERA:

© 2014 Cisco y/o sus f iliales. Todos los derechos reservados. Este documento es inf ormación pública de Cisco. Página 10 de
7

7
d. Deshabilite el servicio web básico en ej ecución.
S1(config)# no ip http server
S2(config)# no ip http server
No corre la instrucción en el packet tracer
e. Copi e la configuración en ejecución en la confi guración de inicio.
Paso 7. verificar la conectividad entre la información de VLAN y los dispositivos.
a. En el símbol o del sistema de la PC-A, haga pi ng a la dirección de administración del S1. ¿ Tuvieron éxito
los pings? ¿Por qué?
El ping funcionó correctamente la comunicación, debido que la PC se encuentra en la misma VLAN.

7
b. Desde el S1, haga ping a la dirección de admi nistración del S2. ¿Tuvieron éxito los pings? ¿Por qué?
No se pudo hacer ping porque no tienen asignación de la troncal, a pesar de que ambas pertenecen a la
misma vlan 99.
c. En el símbol o del sistema de la PC-B, haga pi ng a las di recciones de admi nistración del S1 y el S2, y a la
dirección IP de la P C-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué?
Ningún dispositivo estableció comunicación debido que no se encuentran en la misma VLAN.

7
d. En el símbol o del sistema de la PC-C, haga pi ng a las direcciones de admi nistración del S1 y el S2.
¿Tuvo éxito? ¿Por qué?
Solo el switch 2 tuvo éxito porque esta en la misma VLAN, mientras que el switch 1 no funcionó el ping
Nota: puede ser necesario des acti var el firewall de las computadoras para hacer ping entre ellas.
Parte 2. implementar seguridad de VLAN en los switches
Paso 1. configurar puertos de enlace troncal enel S1 y el S2.
a. Confi gure el puerto F 0/1 en el S1 como puerto de enl ace troncal.
G
S1(config)# interface f0/1
S1(config-if)# switchport mode trunk
b. Confi gure el puerto F 0/1 en el S2 como puerto de enl ace troncal.

7
S2(config-if)# switchport mode trunk
c. Verifi que los enlaces troncales en el S1 y el S2. Emita el comando show interface trunk en los dos
switches.
S1# show interface trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 1-4094
Port Vlans allowed and active in management domain
Fa0/1 1,10,99,999
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 1,10,99,999

7
Paso 2. cambiar la VLAN nativa para los puertos de enlace troncal en el S1 yel S2.
Es aconsejable para la seguridad cam biar l a VLAN nati va para los puertos de enlace troncal de la VLAN 1 a
otra VLA N.
a. ¿Cuál es la VLAN nati va actual para las interfaces F0/1 del S1 y el S2?
VLAN 1
b. Confi gure la VLAN nati va de la i nterfaz de enlace troncal F0/ 1 del S1 en la VLAN 99
Managem ent&Nati ve.
S1# config t
S1(config-if)# switchport trunk native vlan 99
c. Espere unos segundos. Debería com enzar a recibi r mens ajes de error en la sesión de consola del S1.
¿Qué significa el m ensaje % CDP -4-NA TIVE_VLA N_MISMA TCH:?
Porque ambos lados del trunk estan utilizando una VLAN nativa diferente, por eso
muestra un aviso de incompatibilidad de VLAN nativa en un enlace troncal con este
mensaje:
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (99), with
S2 FastEthernet0/1 (1)

7
d. Confi gure la VLAN 99 como VLA N nati va de la interfaz de enl ace troncal F0/1 del S2.
S2(config-if)# switchport trunk native vlan 99
_

7
e. Verifi que que ahora l a VLAN nati va sea la 99 en ambos switches. A continuación, se muestra el
resultado del S1.

7
Paso 3. verificar que el tráfico se pueda transmitir correctamente a través delenlace troncal.
a. En el símbol o del sistema de la PC-A, haga pi ng a la dirección de administración del S1. ¿ Tuvieron éxito
los pings? ¿Por qué?
Si, porque la VLAN 99 esta como tipo administrativa
b. En la sesión de cons ola del S1, haga ping a la dirección de administración del S2. ¿Tuvi eron éxito los
pings? ¿Por qué?
Si funciono el ping, porque ya se realizó un enlace TRONCAL que permite pasar varias VLAN de
un switch a otro.

7
c. En el símbol o del sistema de la PC-B, haga pi ng a las di recciones de admi nistración del S1 y el S2, y a la
dirección IP de la P C-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué?
No funciona, porque ambos no están en la misma VLAN y su Ip está en otra red.
d. En el símbol o del sistema de la PC-C, haga pi ng a las direcciones de admi nistración del S1 y el S2, y a la
dirección IP de la P C-A. ¿ Tuvo éxito? ¿P or qué?
Si hacen ping las 3 porque están en la misma VLAN

7
Paso 4. impedir el uso de DTP en elS1 y el S2.
Cisco utiliza un protocolo exclusi vo conoci do como “protocolo de enl ace troncal dinámico” (DTP) en los
switches. Algunos puertos negocian el enl ace troncal de manera automática. Se rec omienda desacti var la
negociación. Puede ver este comportamiento predetermi nado medi ante l a emisión del siguiente comando:
S1# show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>

7
a. Desacti ve la negociación en el S1.
S1(config-if)# switchport nonegotiate
b. Desacti ve la negociación en el S2.
S2(config-if)# switchport nonegotiate

7
c. Verifi que que la negociación esté desacti vada m ediante la emisión del com ando show interface f0/1
switchport en el S1 y el S2.
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
<Output Omitted>

7
Paso 5. implementar medidas de seguridad en los puertos de acceso del S1 y el S2.
Aunque desacti vó los puertos sin utilizar en los switches, si se conecta un dispositi vo a uno de esos puertos y
la interfaz está habilitada, se podría produci r un enlace troncal. Además, todos los puertos están en la VLA N
1 de manera predetermi nada. Se recomienda colocar todos los puert os sin utilizar en una VLAN de “aguj ero
negro”. En este paso, deshabilitará los enl aces troncal es en todos los puertos sin utilizar. Tam bién asi gnará
los puert os sin utilizar a la VLAN 999. A los fines de esta práctica de laboratorio, solo se configurarán los
puertos 2 a 5 en ambos switches.
a. Emita el comando show interface f0/2 switchport en el S1. Observe el m odo administrati vo y el estado
para la negociación de enlaces troncales.
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: down
Negotiation of Trunking: On
<Output Omitted>
b. Deshabilite los enl aces troncal es en los puertos de acceso del S1.
S1(config)# interface range f0/2 – 5
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999

7
d. Deshabilite los enl aces troncal es en los puertos de acceso del S2.

7
d. Verifi que que el puerto F 0/2 esté establecido en m odo de acceso en el S1.
Name: Fa0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Negotiation of Trunking: Off Access
Mode VLAN: 999 (BlackHole) Trunking
Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
<Output Omitted>
e. Verifi que que las asignaciones de puertos de VLA N en ambos switches sean las correctas. A
continuación, se muestra el S1 com o ejem plo.
S1# show vlan brief
VLAN Name Statu s Ports
---- ---------------- ----- --------- --------- ------------------- ----- ----- -
1 de fault activ e Fa0/7 , Fa0 /8, F a0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 Da ta activ e
99 Ma nagem ent&N ativ e activ e Fa0/6
999 Bl ackHo le activ e Fa0/2 , Fa0 /3, F a0/4, Fa0/5
1002 fddi-default act /unsup
1003 token-ring-defau lt act/unsu p
1004 fddinet-default act/unsup
1005 trnet-default act/unsu p
Restrict VLANs allowe d on trunk ports.

7
De manera predetermi nada, se permite transport ar todas las VLAN en los puert os de enl ace tronc al. Por
moti vos de seguridad, se recomienda permitir que solo se transmitan las VLAN deseadas y específicas a
través de los enl aces troncales en la red.

7
f. Restrinj a el puerto de enl ace troncal F0/1 en el S1 para permitir solo las VLA N 10 y 99.
S1(config-if)# switchport trunk allowed vlan 10,99
f. Restrinj a el puerto de enl ace troncal F0/1 en el S2 para permitir solo las VLA N 10 y 99.
h. Verifi que las VLAN permitidas. Emita el comando show interface trunk en el modo E XEC pri vil egi ado
en el S1 y el S2
Port
Fa0/1
Mode
on
Encapsulation
802.1q
Status
trunking
Native vlan
99
Port
Fa0/1
Vlans
10,99
allowed on trunk
Port Vlans allowed and active in management domain
Fa0/1 10,99
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1 10,99
¿Cuál es el resultado?
Muestra los puertos de las interfaces de enlace troncal y además indica la VLAN nativa y a su vez el
protocolo de encapsulación troncal está utilizando.

7

7
Reflexión
¿Qué problemas de seguridad, si los hubiera, tiene la configuración predeterminada
de un switch Cisco?
1. Todos los puertos por defecto están asignados a la misma VLAN, además cualquier usuario podría
administrar con la VLAN1 porque es nativa por defecto.
2. Los enlaces troncales están por defecto en auto negociación.
3. Servidor http está activado por defecto.

Taller vlan

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Taller vlan

Similar a Taller vlan (20)

Más de Alumic S.A

Más de Alumic S.A (20)

Último

Último (20)

Taller vlan