unidad ic - implementación de seguridad de vlan

7/25/2019 Unidad Ic - Implementacin de Seguridad de VLAN

1/108

2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 1

Implementacin de

seguridad de VLAN

Horacio Vega F

Instructor CCNA CCAI CCNAS - CCNP


2/108


Descripcin general

Horacio Vega F



3/108

Presentation_ID 3 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco

Descripcin general de las VLAN

Definiciones de VLAN


4/108




La VLAN (LAN virtual) es una particin lgica de una redde capa 2.

Se pueden crear varias particiones para que coexistanvarias VLAN.

Cada VLAN es un dominio de difusin (broadcast), quegeneralmente posee su propia red IP.

Las VLAN se aslan mutuamente y los paquetes puedenpasar entre ellas solamente mediante un router.

La particin de la red de capa 2 se lleva a cabo dentro deun dispositivo de capa 2 (por lo general, un switch).

Los hosts que se agrupan dentro de una VLANdesconocen la existencia de esta.


5/108


Las VLAN habilitan la implementacin de las polticas deacceso y de seguridad segn grupos especficos deusuarios.

Cada puerto de switch se puede asignar a una sola VLAN (a

excepcin de un puerto conectado a un telfono IP o a otroswitch).

Cada VLAN en una red conmutada corresponde a una redIP; por lo tanto, al disear la VLAN, se debe tener en cuenta

la implementacin de un esquema de direccionamiento dered jerrquico.




6/108


El direccionamiento jerrquico de la red significa que losnmeros de red IP se aplican a los segmentos de red o a lasVLAN de manera ordenada, lo que permite que la red setome en cuenta como conjunto.

Los bloques de direcciones de red contiguas se reservanpara los dispositivos en un rea especfica de la red y seconfiguran en estos, como se muestra en la ilustracin.




7/108Presentation_ID 7 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco


Beneficios de las redes VLAN

Seguridad

Reduccin de costos

Mejor rendimiento

Reduccin de dominios de difusin

Mejora de la eficiencia del personal de TI

Administracin ms simple de aplicaciones y proyectos




Beneficios de las redes VLAN


9/108 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 9

Tipos de VLAN

Horacio Vega F





Tipos de VLAN

VLAN de datos

VLAN predeterminada

VLAN nativa

VLAN de administracin



Una VLAN de datos es una VLAN configurada para enviar slotrfico de datos generado por el usuario.

Una VLAN podra enviar trfico basado en voz o trfico utilizado paraadministrar el switch, pero este trfico no sera parte de una VLAN de

datos. Es una prctica comn separar el trfico de voz y de administracin del

trfico de datos.

La importancia de separar los datos del usuario del trfico de voz y delcontrol de administracin del switch se destaca mediante el uso de un

trmino especfico para identificar las VLAN que slo pueden enviar datosdel usuario: una "VLAN de Datos".

A veces, a una VLAN de datos se la denomina VLAN de usuario.


VLAN de datos



Todos los puertos de switch se convierten en un miembro de la VLANpredeterminada luego del arranque inicial del switch.

Hacer participar a todos los puertos de switch en la VLANpredeterminada los hace a todos parte del mismo dominio de broadcast.

Esto admite cualquier dispositivo conectado a cualquier puerto de switchpara comunicarse con otros dispositivos en otros puertos de switch.

La VLAN predeterminada para los switches de Cisco es la VLAN 1.La VLAN 1 tiene todas las caractersticas de cualquier VLAN, exceptoque no la puede volver a denominar y no la puede eliminar.

El trfico de control de Capa 2, como CDP y el trfico del protocolospanning tree se asociar siempre con la VLAN 1: esto no se puedecambiar.

Nota: A lgunos adm in is tradores d e red u t i l izan el trm ino " VLANpredeterminada" para refer irse a una VLAN que no sea la VLAN 1 que el adm in is trador de red defin i como la VLAN a la que se as ig nan todos lo s puerto s cuando no es tn en uso .


VLAN de predeterminada



Una VLAN nativa est asignada a un puerto troncal 802.1Q. Un puerto de enlace troncal 802.1 Q admite el trfico que llega de

muchas VLAN (trfico etiquetado) como tambin el trfico que nollega de una VLAN (trfico no etiquetado).

El puerto de enlace troncal 802.1Q coloca el trfico no etiquetado en

la VLAN nativa.

La funcin que cumple la VLAN Nativa es la de manejar el trfico decontrol de Capa 2 para la red, como CDP, VTP, DTP, PAgP, STP.

Las VLAN se establecen en la especificacin IEEE 802.1Q para

mantener la compatibilidad retrospectiva con el trfico no etiquetadocomn para los ejemplos de LAN antigua.

Para nuestro fin, una VLAN nativa sirve como un identificadorcomn en extremos opuestos de un enlace troncal. Es unaoptimizacin usar una VLAN diferente de la VLAN 1 como la VLAN

nativa.


VLAN Nativa



Una VLAN de administracin es cualquier VLAN que ustedconfigura para acceder a las capacidades de administracin deun switch.

La VLAN 1 servira como VLAN de administracin si no defini

proactivamente una VLAN nica para que sirva como VLAN deadministracin.

Se asigna una direccin IP y una mscara de subred a la VLAN deadministracin.

Se puede manejar un switch mediante HTTP, Telnet, SSH o SNMP.

Debido a que la configuracin lista para usar de un switch de Ciscotiene a VLAN 1 como la VLAN predeterminada, puede notar que laVLAN 1 sera una mala opcin como VLAN de administracin; noquerra que un usuario arbitrario se conectara a un switch para que seconfigurara de manera predeterminada la VLAN de administracin.


VLAN de administracin




Tipos de VLAN




VLAN de voz

El trfico VoIP depende del factor tiempo y requiere losiguiente:

Ancho de banda garantizado para asegurar la calidad de la voz

Prioridad de la transmisin sobre los tipos de trfico de la red

Capacidad para ser enrutado en reas congestionadas de la red

Demora inferior a 150 ms a travs de la red

La caracterstica de la VLAN de voz permite que los puertos deacceso enven el trfico de voz IP desde un telfono IP.

El switch puede conectarse a un telfono IP 7960 de Cisco ytransportar el trfico de voz IP.

Dado que la calidad de sonido de una llamada desde untelfono IP puede disminuir si la informacin no se enva demanera uniforme, el switch admite la calidad de servicio (QoS).




VLAN de voz

El telfono IP 7960 de Cisco tiene un switch integrado10/100 de tres puertos:

El puerto 1 se conecta al switch.

El puerto 2 es una interfaz interna 10/100 que enva el trficodel telfono IP.

El puerto 3 (puerto de acceso) se conecta a una PC u otrodispositivo.




VLAN de voz


20/108 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de CiscoPresentation_ID 20

Enlaces troncales de

VLAN

Horacio Vega F




Un enlace troncal es un enlace punto a punto, entre dosdispositivos de red, que transporta ms de una VLAN.

Redes VLAN en un entorno conmutado mltiple

Qu es un enlace troncal?



Un enlace troncal de VLAN le permite extender las VLAN a travsde toda una red.

Cisco admite IEEE 802.1Q para la coordinacin de enlacestroncales en interfaces FastEthernet y Gigabitethernet.

Un enlace troncal de VLAN no pertenece a una VLAN especfica,sino que es un conducto para las VLAN entre switches y routers.


Qu es un enlace troncal?




Enlaces troncales de VLAN

Un enlace troncal de VLAN transporta ms de una VLAN.

Generalmente, se establece entre los switches para que losdispositivos de una misma VLAN se puedan comunicarincluso si estn conectados fsicamente a switches

diferentes. Un enlace troncal de VLAN no est relacionado con ninguna

VLAN. Tampoco lo estn los puertos de enlace troncal quese utilizan para establecer el enlace troncal.

IOS de Cisco admite IEEE802.1q, un protocolo de enlacetroncal de VLAN conocido.




Enlaces troncales de VLAN


25/108


El etiquetado de VLAN es usado cuando un enlacetroncal necesita llevar trafico para mas de una VLAN.

VLAN NO Etiquetada

VLAN Etiquetada


VLAN Etiquetada (Tagging)


26/108



Control de dominios de difusin con VLAN

Las VLAN se pueden utilizar para limitar el alcance delas tramas de difusin.

Una VLAN es un dominio de difusin propio.

Por lo tanto, una trama de difusin que enva undispositivo en una VLAN especfica se reenvasolamente dentro de esa VLAN.

Esto ayuda a controlar el alcance de las tramas dedifusin y su impacto en la red.

Las tramas de unidifusin y multidifusin tambin sereenvan dentro de la VLAN de origen.


27/108



Etiquetado de tramas de Ethernet para laidentificacin de VLAN

El etiquetado de tramas se utiliza para transmitir correctamentelas tramas de varias VLAN a travs de un enlace troncal.

Los switches etiquetan las tramas para identificar la VLAN a laque pertenecen. Existen diferentes protocolos de etiquetado.IEEE 802.1q es uno muy popular.

El protocolo define la estructura del encabezado de etiquetadoque se agrega a la trama.

Los switches agregan etiquetas VLAN a las tramas antes decolocarlas en los enlaces troncales y quitan las etiquetas antes

de reenviar las tramas a travs de los puertos de enlace notroncal.

Una vez que estn etiquetadas correctamente, las tramaspueden atravesar cualquier cantidad de switches mediante losenlaces troncales y aun as se pueden reenviar dentro de la

VLAN correcta en el destino.


28/108



Etiquetado de tramas de Ethernet para laidentificacin de VLAN


29/108



VLAN nativas y etiquetado de 802.1q

Las tramas que pertenecen a la VLAN nativa no seetiquetan.

Una trama que se recibe sin etiqueta seguir sinetiqueta y se colocar en la VLAN nativa cuando se

reenve.

Una trama sin etiqueta se descarta si no hay puertosasociados a la VLAN nativa y si no hay otros enlacestroncales.

En los switches Cisco, la VLAN nativa es la VLAN 1 demanera predeterminada.


30/108


Estndar de IEEE (Open Source)..

Agrega una Etiqueta de 4 bytes a la trama original.

La etiqueta incluye un campo para prioridad (802.1p)

Admite trfico simultneo etiquetado y sin etiquetar.


Enlace troncal IEEE 802.1Q


31/108


Protocolo propietario de Cisco.

No modifica la trama original.

Usa proceso de encapsulacin.En un puerto de enlace troncal ISLse espera que todos los paquetesrecibidos sean encapsulados con unencabezado ISL y que todos lospaquetes transmitidos se enven conun encabezado ISL.

Las tramas nativas (sin etiquetar)

recibidas de un puerto de enlacetroncal ISL se descartan.

ISL ya no es un modo de puerto deenlace troncal recomendado y no seadmite en varios de los switches deCisco.


Enlace troncal ISL (Inter-Switch Link)


32/108



Etiquetado de VLAN de voz


33/108



Comparacin ISL y 802.1Q


34/108



Enlace Troncal y los tipos de VLAN


35/108


Asignacin de VLAN

Horacio Vega FInstructor CCNA CCAI CCNAS - CCNP


36/108


Asignacin de VLAN

Rangos de VLAN en los switches Catalyst

Los switches de las series Catalyst 2960 y 3560 admitenms de 4000 VLAN.

Estas VLAN se dividen en dos categoras:

VLAN de rango normal

Nmeros de VLAN de 1 a 1005.

La configuracin se almacena en el archivo vlan.dat (en la memoriaflash).

VTP solo puede descubrir y almacenar las VLAN de rango normal.

VLAN de rango extendido Nmeros de VLAN de 1006 a 4096.

La configuracin se almacena en la configuracin en ejecucin (enla NVRAM).

VTP no descubre las VLAN de rango extendido.


37/108


Asignacin de VLAN

Creacin de una VLAN


38/108


Asignacin de VLAN

Asignacin de puertos a las redes VLAN


39/108


Asignacin de VLAN

Asignacin de puertos a las redes VLAN


40/108


Asignacin de VLAN

Cambio de pertenencia de puertos de una VLAN


41/108


Asignacin de VLAN

Cambio de pertenencia de puertos de una VLAN


42/108


Asignacin de VLAN

Eliminacin de VLAN


43/108


Asignacin de VLAN

Verificacin de informacin de VLAN


44/108


Asignacin de VLAN

Verificacin de informacin de VLAN


45/108


Asignacin de VLAN

Configuracin de enlaces troncales IEEE 802.1Q


46/108


El comando es:

Switch(config-if)# switchport trunk allowed vlan { vlan-list | all |{add |except | remove} vlan-list}

Ejemplo:

(config- if )#switchport trunk allowed vlan 10,20-30,1

(config- if )#switchport trunk allowed vlan add 40

(config- if)#switchport trunk allowed vlan remove 30

Para verificar utilice el comando:

#show interface trunk

Asignacin de VLAN

Permitir Vlan en enlaces troncales IEEE 802.1Q


47/108


Asignacin de VLAN

Restablecimiento del enlace troncal al estadopredeterminado


48/108


Asignacin de VLAN

Restablecimiento del enlace troncal al estadopredeterminado


49/108


Asignacin de VLAN

Verificacin de la configuracin de enlacetroncal


50/108


Asignacin de VLAN

Pasos para configurar las Vlan y los enlacestroncales


51/108


Configuracin de Calidadde servicio para Vlan devoz



52/108


Antes de que configure una VLAN de voz en el puerto,primero debe crear una VLAN para voz y una VLAN paradatos.

Por ejemplo, la VLAN 150 es la VLAN de voz y la VLAN 20

es la VLAN de datos.

Se supone que la red ha sido configurada para garantizarque el trfico de voz se pueda transmitir con un estadoprioritario sobre la red, mediante el comando mls qos trustcos.

Cuando se enchufa por primera vez un telfono IP en unpuerto de switch que est en modo de voz, ste envamensajes al telfono proporcionndole la configuracin y elID de VLAN de voz adecuado.

Asignacin de VLAN

VLAN de voz


53/108


El telfono IP etiqueta las tramas de voz con el ID de VLANde voz y enva todo el trfico de voz a travs de la VLAN devoz.

El comando de configuracin m ls qos trus t cos garantizaque el trfico de voz se identifique como trficoprioritario.

Recuerde que toda la red debe prepararse para que prioriceel trfico de voz.

No puede simplemente configurar el puerto con estecomando.

Asignacin de VLAN

VLAN de voz


54/108


S3 (config)#mls qos

S3 (config)#interface f0/20

S3 (config-if)# switchport mode access

S3 (config-if)#switchport access vlan 20

S3 (config-if)#switchport voice vlan 150

S3 (config-if)# mls qos trust cos

S3 (config-if)#mls qos trust device cisco-phone

Asignacin de VLAN

VLAN de voz


55/108


Asignacin de VLAN

VLAN de voz


56/108


Asignacin de VLAN

VLAN de voz


57/108


DTP



58/108


Protocolo de enlace troncal dinmico

Introduccin al protocolo DTP

Los puertos de switch se pueden configurar manualmente paraformar enlaces troncales.

Los puertos de switch tambin se pueden configurar para negociary para establecer un enlace troncal con un peer conectado.

El protocolo de enlace troncal dinmico (DTP) administra la

negociacin de enlaces troncales.

DTP es un protocolo exclusivo de Cisco que se habilita de manerapredeterminada en los switches Cisco Catalyst 2960 y Catalyst3560.

DTP administra la negociacin del enlace troncal si el puerto en elswitch vecino se configura en un modo de enlace troncal queadmite DTP.

La configuracin predeterminada de DTP para los switches CiscoCatalyst 2960 y 3560 es dynamic auto (dinmico automtico).


59/108



Modos de interfaz negociados

Los switches Cisco Catalyst 2960 y 3560 son compatiblescon los siguientes modos de enlace troncal:

switchport mode dynamic auto

switchport mode dynamic desirable

switchport mode trunk

switchport nonegotiate


60/108


Puede desactivar el DTP para el enlace troncal para que el puerto local noenve tramas de DTP al puerto remoto. Utilice el comando switchportnonegotiate.

Entonces el puerto local se considera que est en un estado de enlacetroncal incondicional. El puerto vecino deber ser configurado como

troncal manualmente.

Utilice esta caracterstica cuando necesite configurar un enlace troncal conun switch de otro proveedor.

Nota:

El modo switchport predeterminado para una interfaz en un switch Catalyst2950 y 3550 es conveniente y dinmico (dynamic desirable ).

El modo switchport predeterminado para una interfaz en un switch Catalyst

2960 es automtico y dinmico (dynamic auto).

El modo switchport predeterminado para una interfaz en un switch Catalyst2900XL es por defecto modo de acceso (mode access).


Desactivacin del DTP


61/108


Resolucin de problemas



62/108


Resolucin de problemas de VLAN y enlaces troncales

Problemas de direccionamiento de VLAN

Es una prctica comn asociar una VLAN a una red IP. Dado que las diferentes redes IP solo se comunican

mediante un router, todos los dispositivos dentro de unaVLAN deben formar parte de la misma red IP para podercomunicarse.

En la siguiente imagen, se muestra que la PC1 no puedecomunicarse con el servidor, porque tiene configuradauna direccin IP incorrecta.


63/108



VLAN faltantes

Si se resolvieron todas las incompatibilidades de lasdirecciones IP pero el dispositivo an no puedeconectarse, revise si la VLAN existe en el switch.

R l i d bl d VLAN l t l


64/108



Introduccin a la resolucin de problemas deenlaces troncales


65/108



Problemas comunes con enlaces troncales

En general, los problemas de enlaces troncales sedeben a una configuracin incorrecta.

Los tipos ms comunes de errores de configuracin deenlaces troncales son los siguientes:

1. Falta de concordancia de la VLAN nativa2. Falta de concordancia del modo de enlace troncal

3. VLAN permitidas en enlaces troncales

Si se detecta un problema de enlace troncal, se

recomienda, segn las pautas de prcticasrecomendadas, resolver los problemas en el ordenanterior.


66/108



Falta de concordancia del modo enlaces troncales


67/108



Incompatibilidades del modo de enlace troncal

Cuando un puerto en un enlace troncal se configura con un modode enlace troncal que no es compatible con el puerto de enlacetroncal vecino, no se puede formar un enlace troncal entre los dosswitches.

Verifique el estado de los puertos enlace troncal de los switches

con el comando show interfaces trunk. Para resolver el problema, configure las interfaces en los modos

de enlace troncal apropiados.


68/108



Lista de VLAN incorrectas

Se deben permitir las VLAN en el enlace troncal paraque se puedan transmitir las tramas a travs delenlace.

Utilice el comando switchport trunk allowed vlanpara especificar las VLAN permitidas en el enlacetroncal.

Para asegurarse de que se permitan las VLANapropiadas en un enlace troncal, utilice el comandoshow interfaces trunk.


69/108


Ataques a Redes VLAN



70/108


Ataques a redes VLAN

Ataque de suplantacin de identidad de switch Existen diferentes tipos de ataques a VLAN en las redes

conmutadas modernas. El salto de VLAN es uno de ellos.

La configuracin predeterminada del puerto de switch esdynamic auto (dinmico automtico).

Al configurar un host para que funcione como switch yformar un enlace troncal, un atacante podra acceder acualquier VLAN en la red.

Debido a que el atacante ahora puede acceder a otrasVLAN, esto se denomina ataque con salto de VLAN.

Para evitar un ataque de suplantacin de identidad deswitch bsico, desactive el enlace troncal en todos lospuertos, excepto en los que requieren el enlace troncalespecficamente.


71/108



Ataque de etiquetado doble

El ataque de etiquetado doble aprovecha la forma en que elhardware desencapsula las etiquetas 802.1Q en la mayorade los switches.

Muchos switches realizan solamente un nivel dedesencapsulacin 802.1Q, lo que permite que un atacante

incorpore un segundo encabezado de ataque no autorizadoen la trama.

Despus de quitar el primer encabezado 802.1Q legtimo, elswitch reenva la trama a la VLAN especificada en elencabezado 802.1Q no autorizado.

El mejor mtodo para mitigar los ataques de etiquetadodoble es asegurar que la VLAN nativa de los puertos deenlace troncal sea distinta de la VLAN de cualquier puertode usuario.


72/108



Ataque de etiquetado doble


73/108



Permetro de PVLAN

La caracterstica de permetro deVLAN privada (PVLAN), tambinconocida como puertosprotegidos, asegura que no seintercambie trfico de unidifusin,

difusin o multidifusin entre lospuertos protegidos del switch.

Solo tiene importancia local.

Un puerto protegido intercambia

trfico solamente con los puertosno protegidos.

Un puerto protegido nointercambia trfico con otro puerto

protegido.


74/108



Permetro de PVLAN

Las caractersticas de la funcin de permetro de PVLANson las siguientes:

Los puertos protegidos no reenvan trfico (de unidifusin,difusin o multidifusin) a ningn otro puerto que tambin seaun puerto protegido, excepto el trfico de control.

El trfico de datos no se puede reenviar entre los puertosprotegidos en la capa 2.

El comportamiento de reenvo entre un puerto protegido y unpuerto no protegido contina normalmente.

Los puertos protegidos se deben configurar manualmente.


75/108



Permetro de PVLAN


76/108


Prcticas recomendadas

de diseo para las VLAN



77/108


Prcticas recomendadas de diseo para las VLAN

Pautas de diseo de VLAN

Mueva todos los puertos de la VLAN1 y asgnelos a una VLANque no se utilice.

Desactive todos los puertos de switch sin utilizar.

Separe el trfico de administracin y de datos de usuario.

Cambie la VLAN de administracin por una VLAN distinta deVLAN1. Lo mismo aplica para la VLAN nativa.

Asegrese de que solo los dispositivos en la VLAN deadministracin se puedan conectar a los switches.

El switch solo debe aceptar las conexiones SSH.

Deshabilite la autonegociacin en los puertos de enlace troncal.

No utilice los modos de puerto de switch automtico ni deseado.


78/108


Acceso remoto seguro -

SSH



79/108


Acceso remoto seguro

Funcionamiento de SSH Shell seguro (SSH) es un protocolo que proporciona una

conexin segura (cifrada) a un dispositivo remoto basada en lalnea de comandos.

Por lo general, SSH se utiliza en sistemas basados en UNIX.

IOS de Cisco tambin admite SSH.

Para habilitar SSH en los switches Catalyst 2960, se requiereuna versin del software IOS que incluya caractersticas ycapacidades criptogrficas (cifradas).

SSH reemplaza a Telnet para las conexiones de administracin,debido a sus slidas caractersticas de cifrado.

SSH utiliza el puerto TCP 22 de manera predeterminada. Telnetutiliza el puerto TCP 23.

A t


80/108



Funcionamiento de SSH

A t


81/108



Configuracin de SSH

A t


82/108


# configure terminal

# hostnameALS1

# enable secret class

# ip domain-name [nombre_dominio] Ejemplo: inacap.cl

# crypto key generate rsa [1024] Es el Tamao del modulo.

# ip ssh version 2

# username [nombre_usuario] privilege 15 secret [contrasea]

# Line vty 0 4 #Login local

#transport input ssh

#exit


Ejemplo de configuracin de SSH

A t


83/108



Verificacin de SSH


84/108


Resumen

Horacio Vega F



85/108


Deteccin de DHCP conel comando DHCP

Snooping

Horacio Vega F


Seguridad de puertos de switch


86/108



Deteccin de DHCP La deteccin de DHCP permite determinar cules son los

puertos de switch que pueden responder a solicitudes deDHCP.



87/108



Deteccin de DHCP



88/108



Deteccin de DHCP



89/108


Switch(config)# ip dhcp snooping

Switch(config)# ip dhcp snooping vlan vlan id

Switch(config)# ip dhcp snooping information option

Switch(config)# interface type mod / num

Switch(config-if)# ip dhcp snooping trust

Switch(config-if)# ip dhcp snooping limit rate [rate]

The rate can be 1 to 2048 DHCP packets per second .Switch# show ip dhcp snooping [binding]


Comandos de DHCP Snooping



90/108


Switch(config)# ip dhcp snooping

Switch(config)# ip dhcp snooping vlan 104

Switch(config)# ip dhcp snooping information option

Switch(config)# interface range fastethernet 0/18

20Switch(config-if)# ip dhcp snooping limit rate 3

The rate can be 1 to 2048 DHCP packets per second .


Switch(config-if)# interface gigabitethernet 0/1



Ejemplo de comandos de DHCP Snooping



91/108


Switch# show ip dhcp snooping

Switch DHCP snooping is enabled

DHCP snooping is configured on following VLANs:

104Insertion of option 82 is enabled

Interface Trusted Rate limit (pps)

------------------------ ---------- --------------------

FastEthernet0/35 no 3

FastEthernet0/36 no 3

GigabitEthernet0/1 yes unlimited

Switch#


Verificacin de DHCP Snooping


92/108


Seguridad de puertos de

acceso

Horacio Vega F




93/108



Seguridad de puertos: funcionamiento La seguridad de puertos limita la cantidad de

direcciones MAC vlidas permitidas en un puerto.

Se permite el acceso a las direcciones MAC de losdispositivos legtimos, mientras que otras direcciones MACse rechazan.

Cualquier intento adicional de conexin por parte dedirecciones MAC desconocidas generar una violacin deseguridad.

Las direcciones MAC seguras se pueden configurar devarias maneras:

Direcciones MAC seguras estticas

Direcciones MAC seguras dinmicas

Direcciones MAC seguras persistentes


Seguridad de puertos: modos de violacin de


94/108


Seguridad de puertos: modos de violacin deseguridad

IOS considera que se produce una violacin de seguridadcuando se da cualquiera de estas situaciones:

Se agreg la cantidad mxima de direcciones MACseguras a la tabla CAM para esa interfaz, y una estacincuya direccin MAC no figura en la tabla de direcciones

intenta acceder a la interfaz. Una direccin aprendida o configurada en una interfaz

segura puede verse en otra interfaz segura de la mismaVLAN.

Cuando se detecta una violacin, hay tres accionesposibles que se pueden realizar:

Protect

Restrict

Shutdown




95/108


Protect: Protege bloqueando, pero cuando llega una MAC conocidavuelve a enviar trafico.

No avisa

No genera Syslog y SNMP.

Restrict:

Protege bloqueando, pero cuando llega una MAC conocida vuelve aenviar trafico.

Enva Syslog y SNMP.

Enva un errdisable.

Shutdown:

Bloquea el puerto,

Apaga el puerto.

Hay que levantarlo manualmente.





96/108


Shutdown El puerto de inmediato se pone en el estadoerrdisable, lo que hace que efectivamente se apague. Hay quevolver a habilitarlo de forma manual o mediante la recuperacinerrdisable para ser utilizado de nuevo.

RestrictAl puerto se le permite permanecer en estado Up,pero todos los paquetes violados de las direcciones MAC sonbotados. El switch mantiene un recuento actualizado delnmero de paquetes violados, se puede enviar una captura deSNMP y un mensaje de Syslog como una alerta de la

violacin. ProtectAl puerto se le permite estar en estado Up, como en

el modo de restringir. A pesar de que los paquetes dedirecciones MAC violados se botan, no hay constancia de laviolacin.




97/108



Seguridad de puertos: configuracin Configuracin predeterminada de la seguridad de

puertos dinmicos



98/108


Switch(config-if)# switchport port-security

Switch(config-if)# switchport port-security maximum 2 (El rango vade 1 132)

Switch(config-if)# switchport port-security mac-address sticky

Switch(config-if)# switchport port-security mac-address0006.5b02.a841

Switch(config-if)# switchport port-security violation {shutdown |restrict |

protect}


Seguridad de puertos: configuracin



99/108


g p

Seguridad de puertos: configuracin Configuracin de la seguridad de puertos dinmicos



100/108


g p

Seguridad de puertos: configuracin Configuracin de la seguridad de puertos persistentes


S id d d t ifi i


101/108


Seguridad de puertos: verificacin Verificacin de la seguridad de puertos persistentes



102/108


g p

Seguridad de puertos: verificacin Verificacin de la seguridad de puertos persistentes:

configuracin en ejecucin



103/108


g p

Seguridad de puertos: verificacin Verificacin de la seguridad de puertos: direcciones

MAC seguras



104/108



Puertos en estado de inhabilitacin por errores

Una violacin de seguridad de puertos puede dejaral switch en estado de inhabilitacin por errores.

Un puerto en estado de inhabilitacin por erroresqueda desactivado completamente.

El switch comunicar estos eventos por medio demensajes de consola.



105/108




El comando show interface tambin indica si hay unpuerto de switch en estado de inhabilitacin por errores.



106/108


Segu dad de pue tos de s tc


Se debe emitir un comando de interfaz shutdown/noshutdown para volver a habilitar el puerto.

Consultas


107/108


Consultas ..


108/108

unidad ic - implementación de seguridad de vlan

Documents