11
HABILITAR PVST+ line console 0 logging synchronous exit ip routing spanning-tree mode rapid-pvst ip dhcp pool cisco network 10.10.10.0 255.255.255.255 default-router 10.10.10.254 dns-server lease 0 2 exit ip dhcp excluded-address 10.10.10.254 spanning-tree mode rapid-pvst 1.Puertos f0/10 f0/11 ALS1/ALS2 asignar a la VLAN de Datos/ Voice según topología. P osterior a eso habilitar port-security (solo permitir las MAC correspondientes), en caso de violación de seguridad solo permitir el paso de Syslog,Traps SNMP y qu e registren violaciones de seguridad. ################################################## ########## Configurar interfaces ############# ################################################## #### ALS1-ALS2 #### vlan 20 exit name DATOS vlan 150 name VOICE exit interface f0/10 switchport mode access switchport access vlan 20 switchport voice vlan 150 switchport port-security spanning-tree port fast switchport port-security mac-address stinky switchport port-security maximun 1 switchport port-security violation restrict exit ################################################## ########## Configurar interfaces #############

configds prueba 3

Embed Size (px)

Citation preview

Page 1: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 1/11

HABILITAR PVST+

line console 0logging synchronousexit

ip routing

spanning-tree mode rapid-pvst

ip dhcp pool cisconetwork 10.10.10.0 255.255.255.255default-router 10.10.10.254dns-serverlease 0 2exitip dhcp excluded-address 10.10.10.254

spanning-tree mode rapid-pvst

1.Puertos f0/10 f0/11 ALS1/ALS2 asignar a la VLAN de Datos/ Voice según topología. Posterior a eso habilitar port-security (solo permitir las MAC correspondientes),en caso de violación de seguridad solo permitir el paso de Syslog,Traps SNMP y que registren violaciones de seguridad.

##################################################

########## Configurar interfaces ###############################################################

#### ALS1-ALS2 ####

vlan 20exitname DATOSvlan 150name VOICE

exit

interface f0/10switchport mode accessswitchport access vlan 20switchport voice vlan 150switchport port-securityspanning-tree port fastswitchport port-security mac-address stinkyswitchport port-security maximun 1switchport port-security violation restrictexit

############################################################ Configurar interfaces #############

Page 2: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 2/11

##################################################

#### ALS1-ALS2 ####

vlan 20

exitname DATOSvlan 150name VOICEexit

interface f0/11switchport mode accessswitchport access vlan 20switchport voice vlan 150switchport port-securityspanning-tree port fast

switchport port-security mac-address stinkyswitchport port-security maximun 1switchport port-security violation restrictexit

2 ####### Habilite Syslog en todos los Switches (Mande los Logs a PCLOG) ###############

logging on

logging host 192.168.100.1 (ip del pc servidor de syslog)logging trap informational

3. ###### Las SVI pero las VLAN 10,20 en SW DLS1, y para VLAN 30 y 40 DLS2 (Primera IP en cada SVI). ######

############################################################ Configurar interfaces SVI #############################################################

#### DLS1 ####

vlan 10exitvlan 20exit

interface vlan 10ip address 192.168.10.1 255.255.255.0no shutdownexit

interface vlan 20ip address 192.168.20.1 255.255.255.0

Page 3: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 3/11

no shutdownexit

##################################################

########## Configurar interfaces SVI #############################################################

#### DLS1 ####

vlan 30exitvlan 40exit

interface vlan 30ip address 192.168.30.1 255.255.255.0no shutdownexit

interface vlan 40ip address 192.168.40.1 255.255.255.0no shutdownexit

4. El equipo PC1 debe estar aislado de PC 2 y PC 3, por lo tanto PC2 y PC3,por entre ellos se ven pero no pueden llegar a PC1,equipos de otra VLAN si pueden llegar a PC 1.

vtp mode transparent 

vlan 10name PRIMARYprivate-vlan primary

vlan 200name comunityprivate-vlan community

vlan 300name insolatedprivate-vlan isolated

vlan 10private-vlan association 200,300

 

Page 4: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 4/11

 

5. DLS1 es DHCP VLAN 10,20,30 y DLS2 es DHCP VLAN 30 y 40

################################################################ Configurar dhcp ################################################################

#### DLS1 ####

ip dhcp pool vlan10network 192.168.10.0 255.255.255.255default-router 192.168.10.254lease 0 2exitip dhcp excluded-address 192.168.10.254

ip dhcp pool vlan20network 192.168.20.0 255.255.255.255default-router 192.168.20.254lease 0 2exitip dhcp excluded-address 192.168.20.254

ip dhcp pool vlan30network 192.168.30.0 255.255.255.255default-router 192.168.30.254lease 0 2exitip dhcp excluded-address 192.168.30.254

################################################################ Configurar dhcp ################################################################

#### DLS2 ####

ip dhcp pool vlan30network 192.168.30.0 255.255.255.255default-router 192.168.30.254lease 0 2

exitip dhcp excluded-address 192.168.30.254

Page 5: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 5/11

ip dhcp pool vlan40network 192.168.40.0 255.255.255.255default-router 192.168.40.254lease 0 2exitip dhcp excluded-address 192.168.40.254

6.###### Habilitar DHCP Snooping en todos los switches y declarar las pruetas trust que corresponde. #################

##################################################

########## Configurar dhcp snooping ##############################################################

#### DLS1 ####

ip dhcp snoopingip dhcp snooping vlan 10-40exit

int port-channel 1ip dhcp snooping trust

exit

int port-channel 5ip dhcp snooping trustexit

int port-channel 4ip dhcp snooping trustexit

############################################################ Configurar dhcp snooping ##############################################################

#### DLS2 ####

ip dhcp snoopingip dhcp snooping vlan 10-40exit

int port-channel 2ip dhcp snooping trustexit

Page 6: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 6/11

 int port-channel 3ip dhcp snooping trustexit

int port-channel 5ip dhcp snooping trust

exit

############################################################ Configurar dhcp snooping ##############################################################

#### ALS1 ####

ip dhcp snoopingip dhcp snooping vlan 10-40exit

int port-channel 1ip dhcp snooping trustexit

int port-channel 2ip dhcp snooping trustexit

############################################################ Configurar dhcp snooping ##############################################################

#### ALS2 ####

ip dhcp snoopingip dhcp snooping vlan 10-40exit

int port-channel 3ip dhcp snooping trustexit

int port-channel 4ip dhcp snooping trustexit

Page 7: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 7/11

Page 8: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 8/11

channel-group 3 mode passiveno shutdownexit

int range f0/4-5switchport trunk encapsulation dot1qswitchport mode trunk

channel-group 2 mode autoexit

################################################################ CREAR PORTCHANNELS ################################################################

#### ALS1 ####

int range f0/2-3switchport mode trunkchannel-group 1 mode autono shutdownexit

int range f0/4-5switchport mode trunkchannel-group 2 mode desirableno shutdownexit

################################################################ CREAR PORTCHANNELS ################################################################

#### ALS2 ####

int range f0/2-3switchport mode trunkchannel-group 3 mode activeno shutdownexit

int range f0/4-5switchport mode trunkchannel-group 4 mode passiveno shutdownexit

7. #### Habilitar DAI en ALS2, f0/10 debe ser agregado de forma estática chequear

la MAC origen del ARP Replay #### 

Page 9: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 9/11

############################################################### Configurar ARP ################################################################

#### ALS2 ####

ip arp inspection vlan 30int f0/10ip arp inspection trustexit

arp access-list ARPACL1permit ip host 10.10.10.4 mac 1234.5678.1234 1235.1254.1245exitip arp inspection filter ARPACL1 vlan 30 staticip arp inspection validate src-macexit

8. #### Habilitar IP Source Guard en f0/10 ALS1,para evitar un spoofing de la IPy de la MAC.### 

########################################################################

#### ALS1 ####

int fa0/10ip verify source port-security

#########################################################################

9.##### Preparar los SW para evitar el ataque de Seguridad VLAN Hopping (DoubleTAG). ###########

###### DLS1 #######

int range port-channel 1 , port-channel 5 , port-channel 4switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit

d

vlan do1q taq native

Page 10: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 10/11

###### DLS2 ####### 

int range port-channel 2 , port-channel 3 , port-channel 5switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit

vlan do1q taq native

###### ALS1 #######

int range port-channel 1 , port-channel 2switchport trunk native vlan 5switchport trunk allowed vlan remove 5

exit

 

###### ALS2 #######

int range port-channel 3 , port-channel 4switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit

 

######################################################################### 10

(ALS2)#Int range fa 0/10-11#spanning-tree bpduguard enable

11

 #int fa 0/24#spanning-tree guard root

12(ALS1)

#spanning-tree port fast bpdu filter default

13

 #no spanning-tree port fast bpdu filter default

Page 11: configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 11/11

#int fa 0/11#spanning-tree bpdu filter enable

14

En todo los switches#mls qos (configuracion global)

#auto qos voip trust (todo los troncales)

DLS2 PUERTO 20, 21#int range f 0/20 -21#switchport mode access#switchport access vlan 20#switchport access vlan 150#mls qos trust cos#mls qos trust device cisco-phone#switchport priority extended trust#switchport priority extended cos 3

#auto qos voip trust

15

 aaa new-modelradius-server host 192.168.10.100 key ciscoaaa authe dot1x default group radiusdot1x system-auth-control

(PC conectado)int fa0/11dot1x port-control auto

16. PC 4 y PC 5 no se pueden ver (VACL)

access-list 100 permit icmp host 192.168.10.20 host 192.168.10.30 echoaccess-list 100 permit icmp host 192.168.10.30 host 192.168.10.20 echovlan access-map filtro 10match ip add 100

and - match ip add 100 action drop

 vlan access-map filtro 20 action forwardvlan filter filtro vlan-list 10

17)#spanning-tree uplinkfast

El profesor cambió la topología, solamente los equipos que están conectados a los switch ALS, por que no soportan poe y eso, saludos.