unidad ic - implementación de seguridad de vlan
TRANSCRIPT
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
1/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 1
Implementacin de
seguridad de VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
2/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 2
Descripcin general
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
3/108
Presentation_ID 3 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
Definiciones de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
4/108
Presentation_ID 4 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
Definiciones de VLAN
La VLAN (LAN virtual) es una particin lgica de una redde capa 2.
Se pueden crear varias particiones para que coexistanvarias VLAN.
Cada VLAN es un dominio de difusin (broadcast), quegeneralmente posee su propia red IP.
Las VLAN se aslan mutuamente y los paquetes puedenpasar entre ellas solamente mediante un router.
La particin de la red de capa 2 se lleva a cabo dentro deun dispositivo de capa 2 (por lo general, un switch).
Los hosts que se agrupan dentro de una VLANdesconocen la existencia de esta.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
5/108
Presentation_ID 5 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Las VLAN habilitan la implementacin de las polticas deacceso y de seguridad segn grupos especficos deusuarios.
Cada puerto de switch se puede asignar a una sola VLAN (a
excepcin de un puerto conectado a un telfono IP o a otroswitch).
Cada VLAN en una red conmutada corresponde a una redIP; por lo tanto, al disear la VLAN, se debe tener en cuenta
la implementacin de un esquema de direccionamiento dered jerrquico.
Descripcin general de las VLAN
Definiciones de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
6/108
Presentation_ID 6 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
El direccionamiento jerrquico de la red significa que losnmeros de red IP se aplican a los segmentos de red o a lasVLAN de manera ordenada, lo que permite que la red setome en cuenta como conjunto.
Los bloques de direcciones de red contiguas se reservanpara los dispositivos en un rea especfica de la red y seconfiguran en estos, como se muestra en la ilustracin.
Descripcin general de las VLAN
Definiciones de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
7/108Presentation_ID 7 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
Beneficios de las redes VLAN
Seguridad
Reduccin de costos
Mejor rendimiento
Reduccin de dominios de difusin
Mejora de la eficiencia del personal de TI
Administracin ms simple de aplicaciones y proyectos
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
8/108Presentation_ID 8 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
Beneficios de las redes VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
9/108 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 9
Tipos de VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
10/108Presentation_ID 10 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
Tipos de VLAN
VLAN de datos
VLAN predeterminada
VLAN nativa
VLAN de administracin
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
11/108Presentation_ID 11 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Una VLAN de datos es una VLAN configurada para enviar slotrfico de datos generado por el usuario.
Una VLAN podra enviar trfico basado en voz o trfico utilizado paraadministrar el switch, pero este trfico no sera parte de una VLAN de
datos. Es una prctica comn separar el trfico de voz y de administracin del
trfico de datos.
La importancia de separar los datos del usuario del trfico de voz y delcontrol de administracin del switch se destaca mediante el uso de un
trmino especfico para identificar las VLAN que slo pueden enviar datosdel usuario: una "VLAN de Datos".
A veces, a una VLAN de datos se la denomina VLAN de usuario.
Descripcin general de las VLAN
VLAN de datos
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
12/108Presentation_ID 12 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Todos los puertos de switch se convierten en un miembro de la VLANpredeterminada luego del arranque inicial del switch.
Hacer participar a todos los puertos de switch en la VLANpredeterminada los hace a todos parte del mismo dominio de broadcast.
Esto admite cualquier dispositivo conectado a cualquier puerto de switchpara comunicarse con otros dispositivos en otros puertos de switch.
La VLAN predeterminada para los switches de Cisco es la VLAN 1.La VLAN 1 tiene todas las caractersticas de cualquier VLAN, exceptoque no la puede volver a denominar y no la puede eliminar.
El trfico de control de Capa 2, como CDP y el trfico del protocolospanning tree se asociar siempre con la VLAN 1: esto no se puedecambiar.
Nota: A lgunos adm in is tradores d e red u t i l izan el trm ino " VLANpredeterminada" para refer irse a una VLAN que no sea la VLAN 1 que el adm in is trador de red defin i como la VLAN a la que se as ig nan todos lo s puerto s cuando no es tn en uso .
Descripcin general de las VLAN
VLAN de predeterminada
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
13/108Presentation_ID 13 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Una VLAN nativa est asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1 Q admite el trfico que llega de
muchas VLAN (trfico etiquetado) como tambin el trfico que nollega de una VLAN (trfico no etiquetado).
El puerto de enlace troncal 802.1Q coloca el trfico no etiquetado en
la VLAN nativa.
La funcin que cumple la VLAN Nativa es la de manejar el trfico decontrol de Capa 2 para la red, como CDP, VTP, DTP, PAgP, STP.
Las VLAN se establecen en la especificacin IEEE 802.1Q para
mantener la compatibilidad retrospectiva con el trfico no etiquetadocomn para los ejemplos de LAN antigua.
Para nuestro fin, una VLAN nativa sirve como un identificadorcomn en extremos opuestos de un enlace troncal. Es unaoptimizacin usar una VLAN diferente de la VLAN 1 como la VLAN
nativa.
Descripcin general de las VLAN
VLAN Nativa
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
14/108Presentation_ID 14 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Una VLAN de administracin es cualquier VLAN que ustedconfigura para acceder a las capacidades de administracin deun switch.
La VLAN 1 servira como VLAN de administracin si no defini
proactivamente una VLAN nica para que sirva como VLAN deadministracin.
Se asigna una direccin IP y una mscara de subred a la VLAN deadministracin.
Se puede manejar un switch mediante HTTP, Telnet, SSH o SNMP.
Debido a que la configuracin lista para usar de un switch de Ciscotiene a VLAN 1 como la VLAN predeterminada, puede notar que laVLAN 1 sera una mala opcin como VLAN de administracin; noquerra que un usuario arbitrario se conectara a un switch para que seconfigurara de manera predeterminada la VLAN de administracin.
Descripcin general de las VLAN
VLAN de administracin
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
15/108Presentation_ID 15 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
Tipos de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
16/108Presentation_ID 16 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
VLAN de voz
El trfico VoIP depende del factor tiempo y requiere losiguiente:
Ancho de banda garantizado para asegurar la calidad de la voz
Prioridad de la transmisin sobre los tipos de trfico de la red
Capacidad para ser enrutado en reas congestionadas de la red
Demora inferior a 150 ms a travs de la red
La caracterstica de la VLAN de voz permite que los puertos deacceso enven el trfico de voz IP desde un telfono IP.
El switch puede conectarse a un telfono IP 7960 de Cisco ytransportar el trfico de voz IP.
Dado que la calidad de sonido de una llamada desde untelfono IP puede disminuir si la informacin no se enva demanera uniforme, el switch admite la calidad de servicio (QoS).
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
17/108Presentation_ID 17 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
VLAN de voz
El telfono IP 7960 de Cisco tiene un switch integrado10/100 de tres puertos:
El puerto 1 se conecta al switch.
El puerto 2 es una interfaz interna 10/100 que enva el trficodel telfono IP.
El puerto 3 (puerto de acceso) se conecta a una PC u otrodispositivo.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
18/108Presentation_ID 18 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Descripcin general de las VLAN
VLAN de voz
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
19/108Presentation_ID 19 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
20/108 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 20
Enlaces troncales de
VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
21/108Presentation_ID 21 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Un enlace troncal es un enlace punto a punto, entre dosdispositivos de red, que transporta ms de una VLAN.
Redes VLAN en un entorno conmutado mltiple
Qu es un enlace troncal?
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
22/108Presentation_ID 22 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Un enlace troncal de VLAN le permite extender las VLAN a travsde toda una red.
Cisco admite IEEE 802.1Q para la coordinacin de enlacestroncales en interfaces FastEthernet y Gigabitethernet.
Un enlace troncal de VLAN no pertenece a una VLAN especfica,sino que es un conducto para las VLAN entre switches y routers.
Redes VLAN en un entorno conmutado mltiple
Qu es un enlace troncal?
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
23/108Presentation_ID 23 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Enlaces troncales de VLAN
Un enlace troncal de VLAN transporta ms de una VLAN.
Generalmente, se establece entre los switches para que losdispositivos de una misma VLAN se puedan comunicarincluso si estn conectados fsicamente a switches
diferentes. Un enlace troncal de VLAN no est relacionado con ninguna
VLAN. Tampoco lo estn los puertos de enlace troncal quese utilizan para establecer el enlace troncal.
IOS de Cisco admite IEEE802.1q, un protocolo de enlacetroncal de VLAN conocido.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
24/108Presentation_ID 24 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Enlaces troncales de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
25/108
Presentation_ID 25 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
El etiquetado de VLAN es usado cuando un enlacetroncal necesita llevar trafico para mas de una VLAN.
VLAN NO Etiquetada
VLAN Etiquetada
Redes VLAN en un entorno conmutado mltiple
VLAN Etiquetada (Tagging)
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
26/108
Presentation_ID 26 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Control de dominios de difusin con VLAN
Las VLAN se pueden utilizar para limitar el alcance delas tramas de difusin.
Una VLAN es un dominio de difusin propio.
Por lo tanto, una trama de difusin que enva undispositivo en una VLAN especfica se reenvasolamente dentro de esa VLAN.
Esto ayuda a controlar el alcance de las tramas dedifusin y su impacto en la red.
Las tramas de unidifusin y multidifusin tambin sereenvan dentro de la VLAN de origen.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
27/108
Presentation_ID 27 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Etiquetado de tramas de Ethernet para laidentificacin de VLAN
El etiquetado de tramas se utiliza para transmitir correctamentelas tramas de varias VLAN a travs de un enlace troncal.
Los switches etiquetan las tramas para identificar la VLAN a laque pertenecen. Existen diferentes protocolos de etiquetado.IEEE 802.1q es uno muy popular.
El protocolo define la estructura del encabezado de etiquetadoque se agrega a la trama.
Los switches agregan etiquetas VLAN a las tramas antes decolocarlas en los enlaces troncales y quitan las etiquetas antes
de reenviar las tramas a travs de los puertos de enlace notroncal.
Una vez que estn etiquetadas correctamente, las tramaspueden atravesar cualquier cantidad de switches mediante losenlaces troncales y aun as se pueden reenviar dentro de la
VLAN correcta en el destino.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
28/108
Presentation_ID 28 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Etiquetado de tramas de Ethernet para laidentificacin de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
29/108
Presentation_ID 29 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
VLAN nativas y etiquetado de 802.1q
Las tramas que pertenecen a la VLAN nativa no seetiquetan.
Una trama que se recibe sin etiqueta seguir sinetiqueta y se colocar en la VLAN nativa cuando se
reenve.
Una trama sin etiqueta se descarta si no hay puertosasociados a la VLAN nativa y si no hay otros enlacestroncales.
En los switches Cisco, la VLAN nativa es la VLAN 1 demanera predeterminada.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
30/108
Presentation_ID 30 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Estndar de IEEE (Open Source)..
Agrega una Etiqueta de 4 bytes a la trama original.
La etiqueta incluye un campo para prioridad (802.1p)
Admite trfico simultneo etiquetado y sin etiquetar.
Redes VLAN en un entorno conmutado mltiple
Enlace troncal IEEE 802.1Q
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
31/108
Presentation_ID 31 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Protocolo propietario de Cisco.
No modifica la trama original.
Usa proceso de encapsulacin.En un puerto de enlace troncal ISLse espera que todos los paquetesrecibidos sean encapsulados con unencabezado ISL y que todos lospaquetes transmitidos se enven conun encabezado ISL.
Las tramas nativas (sin etiquetar)
recibidas de un puerto de enlacetroncal ISL se descartan.
ISL ya no es un modo de puerto deenlace troncal recomendado y no seadmite en varios de los switches deCisco.
Redes VLAN en un entorno conmutado mltiple
Enlace troncal ISL (Inter-Switch Link)
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
32/108
Presentation_ID 32 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Etiquetado de VLAN de voz
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
33/108
Presentation_ID 33 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Comparacin ISL y 802.1Q
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
34/108
Presentation_ID 34 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Redes VLAN en un entorno conmutado mltiple
Enlace Troncal y los tipos de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
35/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 35
Asignacin de VLAN
Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
36/108
Presentation_ID 36 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Rangos de VLAN en los switches Catalyst
Los switches de las series Catalyst 2960 y 3560 admitenms de 4000 VLAN.
Estas VLAN se dividen en dos categoras:
VLAN de rango normal
Nmeros de VLAN de 1 a 1005.
La configuracin se almacena en el archivo vlan.dat (en la memoriaflash).
VTP solo puede descubrir y almacenar las VLAN de rango normal.
VLAN de rango extendido Nmeros de VLAN de 1006 a 4096.
La configuracin se almacena en la configuracin en ejecucin (enla NVRAM).
VTP no descubre las VLAN de rango extendido.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
37/108
Presentation_ID 37 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Creacin de una VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
38/108
Presentation_ID 38 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Asignacin de puertos a las redes VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
39/108
Presentation_ID 39 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Asignacin de puertos a las redes VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
40/108
Presentation_ID 40 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Cambio de pertenencia de puertos de una VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
41/108
Presentation_ID 41 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Cambio de pertenencia de puertos de una VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
42/108
Presentation_ID 42 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Eliminacin de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
43/108
Presentation_ID 43 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Verificacin de informacin de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
44/108
Presentation_ID 44 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Verificacin de informacin de VLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
45/108
Presentation_ID 45 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Configuracin de enlaces troncales IEEE 802.1Q
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
46/108
Presentation_ID 46 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
El comando es:
Switch(config-if)# switchport trunk allowed vlan { vlan-list | all |{add |except | remove} vlan-list}
Ejemplo:
(config- if )#switchport trunk allowed vlan 10,20-30,1
(config- if )#switchport trunk allowed vlan add 40
(config- if)#switchport trunk allowed vlan remove 30
Para verificar utilice el comando:
#show interface trunk
Asignacin de VLAN
Permitir Vlan en enlaces troncales IEEE 802.1Q
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
47/108
Presentation_ID 47 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Restablecimiento del enlace troncal al estadopredeterminado
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
48/108
Presentation_ID 48 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Restablecimiento del enlace troncal al estadopredeterminado
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
49/108
Presentation_ID 49 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Verificacin de la configuracin de enlacetroncal
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
50/108
Presentation_ID 50 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
Pasos para configurar las Vlan y los enlacestroncales
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
51/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 51
Configuracin de Calidadde servicio para Vlan devoz
Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
52/108
Presentation_ID 52 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Antes de que configure una VLAN de voz en el puerto,primero debe crear una VLAN para voz y una VLAN paradatos.
Por ejemplo, la VLAN 150 es la VLAN de voz y la VLAN 20
es la VLAN de datos.
Se supone que la red ha sido configurada para garantizarque el trfico de voz se pueda transmitir con un estadoprioritario sobre la red, mediante el comando mls qos trustcos.
Cuando se enchufa por primera vez un telfono IP en unpuerto de switch que est en modo de voz, ste envamensajes al telfono proporcionndole la configuracin y elID de VLAN de voz adecuado.
Asignacin de VLAN
VLAN de voz
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
53/108
Presentation_ID 53 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
El telfono IP etiqueta las tramas de voz con el ID de VLANde voz y enva todo el trfico de voz a travs de la VLAN devoz.
El comando de configuracin m ls qos trus t cos garantizaque el trfico de voz se identifique como trficoprioritario.
Recuerde que toda la red debe prepararse para que prioriceel trfico de voz.
No puede simplemente configurar el puerto con estecomando.
Asignacin de VLAN
VLAN de voz
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
54/108
Presentation_ID 54 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
S3 (config)#mls qos
S3 (config)#interface f0/20
S3 (config-if)# switchport mode access
S3 (config-if)#switchport access vlan 20
S3 (config-if)#switchport voice vlan 150
S3 (config-if)# mls qos trust cos
S3 (config-if)#mls qos trust device cisco-phone
Asignacin de VLAN
VLAN de voz
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
55/108
Presentation_ID 55 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
VLAN de voz
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
56/108
Presentation_ID 56 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Asignacin de VLAN
VLAN de voz
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
57/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 57
DTP
Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
58/108
Presentation_ID 58 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Protocolo de enlace troncal dinmico
Introduccin al protocolo DTP
Los puertos de switch se pueden configurar manualmente paraformar enlaces troncales.
Los puertos de switch tambin se pueden configurar para negociary para establecer un enlace troncal con un peer conectado.
El protocolo de enlace troncal dinmico (DTP) administra la
negociacin de enlaces troncales.
DTP es un protocolo exclusivo de Cisco que se habilita de manerapredeterminada en los switches Cisco Catalyst 2960 y Catalyst3560.
DTP administra la negociacin del enlace troncal si el puerto en elswitch vecino se configura en un modo de enlace troncal queadmite DTP.
La configuracin predeterminada de DTP para los switches CiscoCatalyst 2960 y 3560 es dynamic auto (dinmico automtico).
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
59/108
Presentation_ID 59 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Protocolo de enlace troncal dinmico
Modos de interfaz negociados
Los switches Cisco Catalyst 2960 y 3560 son compatiblescon los siguientes modos de enlace troncal:
switchport mode dynamic auto
switchport mode dynamic desirable
switchport mode trunk
switchport nonegotiate
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
60/108
Presentation_ID 60 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Puede desactivar el DTP para el enlace troncal para que el puerto local noenve tramas de DTP al puerto remoto. Utilice el comando switchportnonegotiate.
Entonces el puerto local se considera que est en un estado de enlacetroncal incondicional. El puerto vecino deber ser configurado como
troncal manualmente.
Utilice esta caracterstica cuando necesite configurar un enlace troncal conun switch de otro proveedor.
Nota:
El modo switchport predeterminado para una interfaz en un switch Catalyst2950 y 3550 es conveniente y dinmico (dynamic desirable ).
El modo switchport predeterminado para una interfaz en un switch Catalyst
2960 es automtico y dinmico (dynamic auto).
El modo switchport predeterminado para una interfaz en un switch Catalyst2900XL es por defecto modo de acceso (mode access).
Protocolo de enlace troncal dinmico
Desactivacin del DTP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
61/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 61
Resolucin de problemas
Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
62/108
Presentation_ID 62 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Resolucin de problemas de VLAN y enlaces troncales
Problemas de direccionamiento de VLAN
Es una prctica comn asociar una VLAN a una red IP. Dado que las diferentes redes IP solo se comunican
mediante un router, todos los dispositivos dentro de unaVLAN deben formar parte de la misma red IP para podercomunicarse.
En la siguiente imagen, se muestra que la PC1 no puedecomunicarse con el servidor, porque tiene configuradauna direccin IP incorrecta.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
63/108
Presentation_ID 63 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Resolucin de problemas de VLAN y enlaces troncales
VLAN faltantes
Si se resolvieron todas las incompatibilidades de lasdirecciones IP pero el dispositivo an no puedeconectarse, revise si la VLAN existe en el switch.
R l i d bl d VLAN l t l
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
64/108
Presentation_ID 64 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Resolucin de problemas de VLAN y enlaces troncales
Introduccin a la resolucin de problemas deenlaces troncales
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
65/108
Presentation_ID 65 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Resolucin de problemas de VLAN y enlaces troncales
Problemas comunes con enlaces troncales
En general, los problemas de enlaces troncales sedeben a una configuracin incorrecta.
Los tipos ms comunes de errores de configuracin deenlaces troncales son los siguientes:
1. Falta de concordancia de la VLAN nativa2. Falta de concordancia del modo de enlace troncal
3. VLAN permitidas en enlaces troncales
Si se detecta un problema de enlace troncal, se
recomienda, segn las pautas de prcticasrecomendadas, resolver los problemas en el ordenanterior.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
66/108
Presentation_ID 66 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Resolucin de problemas de VLAN y enlaces troncales
Falta de concordancia del modo enlaces troncales
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
67/108
Presentation_ID 67 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Resolucin de problemas de VLAN y enlaces troncales
Incompatibilidades del modo de enlace troncal
Cuando un puerto en un enlace troncal se configura con un modode enlace troncal que no es compatible con el puerto de enlacetroncal vecino, no se puede formar un enlace troncal entre los dosswitches.
Verifique el estado de los puertos enlace troncal de los switches
con el comando show interfaces trunk. Para resolver el problema, configure las interfaces en los modos
de enlace troncal apropiados.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
68/108
Presentation_ID 68 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Resolucin de problemas de VLAN y enlaces troncales
Lista de VLAN incorrectas
Se deben permitir las VLAN en el enlace troncal paraque se puedan transmitir las tramas a travs delenlace.
Utilice el comando switchport trunk allowed vlanpara especificar las VLAN permitidas en el enlacetroncal.
Para asegurarse de que se permitan las VLANapropiadas en un enlace troncal, utilice el comandoshow interfaces trunk.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
69/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 69
Ataques a Redes VLAN
Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
70/108
Presentation_ID 70 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Ataques a redes VLAN
Ataque de suplantacin de identidad de switch Existen diferentes tipos de ataques a VLAN en las redes
conmutadas modernas. El salto de VLAN es uno de ellos.
La configuracin predeterminada del puerto de switch esdynamic auto (dinmico automtico).
Al configurar un host para que funcione como switch yformar un enlace troncal, un atacante podra acceder acualquier VLAN en la red.
Debido a que el atacante ahora puede acceder a otrasVLAN, esto se denomina ataque con salto de VLAN.
Para evitar un ataque de suplantacin de identidad deswitch bsico, desactive el enlace troncal en todos lospuertos, excepto en los que requieren el enlace troncalespecficamente.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
71/108
Presentation_ID 71 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Ataques a redes VLAN
Ataque de etiquetado doble
El ataque de etiquetado doble aprovecha la forma en que elhardware desencapsula las etiquetas 802.1Q en la mayorade los switches.
Muchos switches realizan solamente un nivel dedesencapsulacin 802.1Q, lo que permite que un atacante
incorpore un segundo encabezado de ataque no autorizadoen la trama.
Despus de quitar el primer encabezado 802.1Q legtimo, elswitch reenva la trama a la VLAN especificada en elencabezado 802.1Q no autorizado.
El mejor mtodo para mitigar los ataques de etiquetadodoble es asegurar que la VLAN nativa de los puertos deenlace troncal sea distinta de la VLAN de cualquier puertode usuario.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
72/108
Presentation_ID 72 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Ataques a redes VLAN
Ataque de etiquetado doble
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
73/108
Presentation_ID 73 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Ataques a redes VLAN
Permetro de PVLAN
La caracterstica de permetro deVLAN privada (PVLAN), tambinconocida como puertosprotegidos, asegura que no seintercambie trfico de unidifusin,
difusin o multidifusin entre lospuertos protegidos del switch.
Solo tiene importancia local.
Un puerto protegido intercambia
trfico solamente con los puertosno protegidos.
Un puerto protegido nointercambia trfico con otro puerto
protegido.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
74/108
Presentation_ID 74 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Ataques a redes VLAN
Permetro de PVLAN
Las caractersticas de la funcin de permetro de PVLANson las siguientes:
Los puertos protegidos no reenvan trfico (de unidifusin,difusin o multidifusin) a ningn otro puerto que tambin seaun puerto protegido, excepto el trfico de control.
El trfico de datos no se puede reenviar entre los puertosprotegidos en la capa 2.
El comportamiento de reenvo entre un puerto protegido y unpuerto no protegido contina normalmente.
Los puertos protegidos se deben configurar manualmente.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
75/108
Presentation_ID 75 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Ataques a redes VLAN
Permetro de PVLAN
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
76/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 76
Prcticas recomendadas
de diseo para las VLAN
Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
77/108
Presentation_ID 77 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Prcticas recomendadas de diseo para las VLAN
Pautas de diseo de VLAN
Mueva todos los puertos de la VLAN1 y asgnelos a una VLANque no se utilice.
Desactive todos los puertos de switch sin utilizar.
Separe el trfico de administracin y de datos de usuario.
Cambie la VLAN de administracin por una VLAN distinta deVLAN1. Lo mismo aplica para la VLAN nativa.
Asegrese de que solo los dispositivos en la VLAN deadministracin se puedan conectar a los switches.
El switch solo debe aceptar las conexiones SSH.
Deshabilite la autonegociacin en los puertos de enlace troncal.
No utilice los modos de puerto de switch automtico ni deseado.
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
78/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 78
Acceso remoto seguro -
SSH
Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
79/108
Presentation_ID 79 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Acceso remoto seguro
Funcionamiento de SSH Shell seguro (SSH) es un protocolo que proporciona una
conexin segura (cifrada) a un dispositivo remoto basada en lalnea de comandos.
Por lo general, SSH se utiliza en sistemas basados en UNIX.
IOS de Cisco tambin admite SSH.
Para habilitar SSH en los switches Catalyst 2960, se requiereuna versin del software IOS que incluya caractersticas ycapacidades criptogrficas (cifradas).
SSH reemplaza a Telnet para las conexiones de administracin,debido a sus slidas caractersticas de cifrado.
SSH utiliza el puerto TCP 22 de manera predeterminada. Telnetutiliza el puerto TCP 23.
A t
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
80/108
Presentation_ID 80 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Acceso remoto seguro
Funcionamiento de SSH
A t
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
81/108
Presentation_ID 81 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Acceso remoto seguro
Configuracin de SSH
A t
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
82/108
Presentation_ID 82 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
# configure terminal
# hostnameALS1
# enable secret class
# ip domain-name [nombre_dominio] Ejemplo: inacap.cl
# crypto key generate rsa [1024] Es el Tamao del modulo.
# ip ssh version 2
# username [nombre_usuario] privilege 15 secret [contrasea]
# Line vty 0 4 #Login local
#transport input ssh
#exit
Acceso remoto seguro
Ejemplo de configuracin de SSH
A t
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
83/108
Presentation_ID 83 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Acceso remoto seguro
Verificacin de SSH
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
84/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 84
Resumen
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
85/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 85
Deteccin de DHCP conel comando DHCP
Snooping
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
86/108
Presentation_ID 86 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos de switch
Deteccin de DHCP La deteccin de DHCP permite determinar cules son los
puertos de switch que pueden responder a solicitudes deDHCP.
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
87/108
Presentation_ID 87 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos de switch
Deteccin de DHCP
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
88/108
Presentation_ID 88 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos de switch
Deteccin de DHCP
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
89/108
Presentation_ID 89 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan vlan id
Switch(config)# ip dhcp snooping information option
Switch(config)# interface type mod / num
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate [rate]
The rate can be 1 to 2048 DHCP packets per second .Switch# show ip dhcp snooping [binding]
Seguridad de puertos de switch
Comandos de DHCP Snooping
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
90/108
Presentation_ID 90 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 104
Switch(config)# ip dhcp snooping information option
Switch(config)# interface range fastethernet 0/18
20Switch(config-if)# ip dhcp snooping limit rate 3
The rate can be 1 to 2048 DHCP packets per second .
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# interface gigabitethernet 0/1
Switch(config-if)# ip dhcp snooping trust
Seguridad de puertos de switch
Ejemplo de comandos de DHCP Snooping
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
91/108
Presentation_ID 91 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
104Insertion of option 82 is enabled
Interface Trusted Rate limit (pps)
------------------------ ---------- --------------------
FastEthernet0/35 no 3
FastEthernet0/36 no 3
GigabitEthernet0/1 yes unlimited
Switch#
Seguridad de puertos de switch
Verificacin de DHCP Snooping
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
92/108
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 92
Seguridad de puertos de
acceso
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
93/108
Presentation_ID 93 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos de switch
Seguridad de puertos: funcionamiento La seguridad de puertos limita la cantidad de
direcciones MAC vlidas permitidas en un puerto.
Se permite el acceso a las direcciones MAC de losdispositivos legtimos, mientras que otras direcciones MACse rechazan.
Cualquier intento adicional de conexin por parte dedirecciones MAC desconocidas generar una violacin deseguridad.
Las direcciones MAC seguras se pueden configurar devarias maneras:
Direcciones MAC seguras estticas
Direcciones MAC seguras dinmicas
Direcciones MAC seguras persistentes
Seguridad de puertos de switch
Seguridad de puertos: modos de violacin de
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
94/108
Presentation_ID 94 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos: modos de violacin deseguridad
IOS considera que se produce una violacin de seguridadcuando se da cualquiera de estas situaciones:
Se agreg la cantidad mxima de direcciones MACseguras a la tabla CAM para esa interfaz, y una estacincuya direccin MAC no figura en la tabla de direcciones
intenta acceder a la interfaz. Una direccin aprendida o configurada en una interfaz
segura puede verse en otra interfaz segura de la mismaVLAN.
Cuando se detecta una violacin, hay tres accionesposibles que se pueden realizar:
Protect
Restrict
Shutdown
Seguridad de puertos de switch
Seguridad de puertos: modos de violacin de
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
95/108
Presentation_ID 95 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Protect: Protege bloqueando, pero cuando llega una MAC conocidavuelve a enviar trafico.
No avisa
No genera Syslog y SNMP.
Restrict:
Protege bloqueando, pero cuando llega una MAC conocida vuelve aenviar trafico.
Enva Syslog y SNMP.
Enva un errdisable.
Shutdown:
Bloquea el puerto,
Apaga el puerto.
Hay que levantarlo manualmente.
Seguridad de puertos: modos de violacin deseguridad
Seguridad de puertos de switch
Seguridad de puertos: modos de violacin de
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
96/108
Presentation_ID 96 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Shutdown El puerto de inmediato se pone en el estadoerrdisable, lo que hace que efectivamente se apague. Hay quevolver a habilitarlo de forma manual o mediante la recuperacinerrdisable para ser utilizado de nuevo.
RestrictAl puerto se le permite permanecer en estado Up,pero todos los paquetes violados de las direcciones MAC sonbotados. El switch mantiene un recuento actualizado delnmero de paquetes violados, se puede enviar una captura deSNMP y un mensaje de Syslog como una alerta de la
violacin. ProtectAl puerto se le permite estar en estado Up, como en
el modo de restringir. A pesar de que los paquetes dedirecciones MAC violados se botan, no hay constancia de laviolacin.
Seguridad de puertos: modos de violacin deseguridad
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
97/108
Presentation_ID 97 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos de switch
Seguridad de puertos: configuracin Configuracin predeterminada de la seguridad de
puertos dinmicos
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
98/108
Presentation_ID 98 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2 (El rango vade 1 132)
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security mac-address0006.5b02.a841
Switch(config-if)# switchport port-security violation {shutdown |restrict |
protect}
Seguridad de puertos de switch
Seguridad de puertos: configuracin
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
99/108
Presentation_ID 99 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
g p
Seguridad de puertos: configuracin Configuracin de la seguridad de puertos dinmicos
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
100/108
Presentation_ID 100 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
g p
Seguridad de puertos: configuracin Configuracin de la seguridad de puertos persistentes
Seguridad de puertos de switch
S id d d t ifi i
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
101/108
Presentation_ID 101 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos: verificacin Verificacin de la seguridad de puertos persistentes
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
102/108
Presentation_ID 102 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
g p
Seguridad de puertos: verificacin Verificacin de la seguridad de puertos persistentes:
configuracin en ejecucin
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
103/108
Presentation_ID 103 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
g p
Seguridad de puertos: verificacin Verificacin de la seguridad de puertos: direcciones
MAC seguras
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
104/108
Presentation_ID 104 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos de switch
Puertos en estado de inhabilitacin por errores
Una violacin de seguridad de puertos puede dejaral switch en estado de inhabilitacin por errores.
Un puerto en estado de inhabilitacin por erroresqueda desactivado completamente.
El switch comunicar estos eventos por medio demensajes de consola.
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
105/108
Presentation_ID 105 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Seguridad de puertos de switch
Puertos en estado de inhabilitacin por errores
El comando show interface tambin indica si hay unpuerto de switch en estado de inhabilitacin por errores.
Seguridad de puertos de switch
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
106/108
Presentation_ID 106 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Segu dad de pue tos de s tc
Puertos en estado de inhabilitacin por errores
Se debe emitir un comando de interfaz shutdown/noshutdown para volver a habilitar el puerto.
Consultas
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
107/108
Presentation_ID 107 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Consultas ..
-
7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN
108/108