3.3.2.2 Lab - Implementing VLAN Security
3.3.2.2 Lab - Implementing VLAN Security
3.3.2.2 Lab - Implementing VLAN Security
Topología
Tabla de direccionamiento
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
Asignaciones de VLAN
VLAN Nombre
10 Datos
99 Management&Native
999 BlackHole
Objetivos
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: implementar seguridad de VLAN en los switches
Información básica/situación
La práctica recomendada indica que se deben configurar algunos parámetros básicos de seguridad para los
puertos de enlace troncal y de acceso en los switches. Esto sirve como protección contra los ataques de
VLAN y la posible detección del tráfico de la red dentro de esta.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
En esta práctica de laboratorio, configurará los dispositivos de red en la topología con algunos parámetros
básicos, verificará la conectividad y, a continuación, aplicará medidas de seguridad más estrictas en los
switches. Utilizará varios comandos show para analizar la forma en que se comportan los switches Cisco.
Luego, aplicará medidas de seguridad.
Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco
versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco.
Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen
pueden diferir de los que se muestran en las prácticas de laboratorio.
Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está
seguro, consulte con el instructor.
Recursos necesarios
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
Cables Ethernet, como se muestra en la topología
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname S1
S1(config)#no ip domain-lookup
S1(config)#enable s
S1(config)#enable secret class
S1(config)#line co
S1(config)#line console 0
S1(config-line)#pass
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
S2(config-vlan)#name Management&Native
S2(config-vlan)#vlan 999
S2(config-vlan)#name BlackHole
S2(config-vlan)#
g. Configure la dirección IP que se indica para la VLAN 99 en la tabla de direccionamiento en ambos
switches.
S1(config)#interface vlan 99
S1(config-if)#
S1(config-if)#ip address
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#ip de
S1(config)#ip default-gateway 172.17.99.1
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
k. Emita el comando show vlan brief para verificar las asignaciones de VLAN y de puertos.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 6 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
t. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2.
¿Tuvo éxito? ¿Por qué?
Parcialmente exitosos los pings. la PC-C solo hace ping a S2 porque el enlace troncal no ha sido
establecido entre los switches
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
c. Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface trunk en los dos
switches.
S1# show interface trunk
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 7 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
Fa0/1 1-4094
Paso 2. cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2.
Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal de la VLAN 1 a
otra VLAN.
d. ¿Cuál es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2?
La Vlan 1 es la nativa Vlan para ambos switches.
e. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99
Management&Native.
S1# config t
S1(config)# interface f0/1
S1(config-if)# switchport trunk native vlan 99
f. Espere unos segundos. Debería comenzar a recibir mensajes de error en la sesión de consola del S1.
¿Qué significa el mensaje %CDP-4-NATIVE_VLAN_MISMATCH:?
Este es un mensaje que indica que las Vlans de S1 y S2 no coinciden. la vlan de S1 es Vlan 99 y la Vlan
de S2 es Vlan 1
g. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2.
S2(config)# interface f0/1
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 8 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
h. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuación, se muestra el resultado
del S1.
S1# show interface trunk
Paso 3. verificar que el tráfico se pueda transmitir correctamente a través del enlace troncal.
i. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1. ¿Tuvieron éxito
los pings? ¿Por qué?
Los pings fueron exitosos porque se estableció la misma vlan de administración del Switch S1
j. En la sesión de consola del S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los
pings? ¿Por qué?
Los pings fueron exitosos porque se estableció el enlace troncal en misma vlan de administración , Vlan
99 en S1 y S2
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 9 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
k. En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del S1 y el S2, y a la
dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué?
Todos los pings fallaron. Porque la PC-B esta en la Vlan 10 y los demás en la Vlan 99 , no hay un
dispositivo de capa 3 que pueda rutear los paquetes entre las redes
l. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2, y a la
dirección IP de la PC-A. ¿Tuvo éxito? ¿Por qué?
Si fueron exitosos porque PC-C esta la misma vlan de administración del Switch S1, S2 y PC-A
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 10 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 11 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
t. Verifique que las asignaciones de puertos de VLAN en ambos switches sean las correctas. A
continuación, se muestra el S1 como ejemplo.
S1# show vlan brief
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 12 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
10 Data active
99 Management&Native active Fa0/6
999 BlackHole active Fa0/2, Fa0/3, Fa0/4, Fa0/5
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Restrict VLANs allowed on trunk ports.
De manera predeterminada, se permite transportar todas las VLAN en los puertos de enlace troncal. Por
motivos de seguridad, se recomienda permitir que solo se transmitan las VLAN deseadas y específicas a
través de los enlaces troncales en la red.
u. Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y 99.
S1(config)# interface f0/1
S1(config-if)# switchport trunk allowed vlan 10,99
v. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y 99.
w. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo EXEC privilegiado
en el S1 y el S2
S1# show interface trunk
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 13 de 14
Práctica de laboratorio: implementación de seguridad de VLAN
¿Cuál es el resultado?
Solo las Vlans 10 y 99 tiene permiso para tener enlace troncal entre los Switches 1 y 2
Reflexión
¿Qué problemas de seguridad, si los hubiera, tiene la configuración predeterminada de un switch Cisco?
Todos los puertos están asignados de forma predeterminada a la Vlan1
las troncales de los switches Cisco están en auto negociación, entonces se puede encender y establecer
un enlace troncal sin tu conocimiento.
Las contraseñas de consola y VTY no estén cifradas y se encuentre en un texto plano.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 14 de 14