configds prueba 3

8/6/2019 configds prueba 3

http://slidepdf.com/reader/full/configds-prueba-3 1/11

HABILITAR PVST+

line console 0logging synchronousexit

ip routing

spanning-tree mode rapid-pvst

ip dhcp pool cisconetwork 10.10.10.0 255.255.255.255default-router 10.10.10.254dns-serverlease 0 2exitip dhcp excluded-address 10.10.10.254

spanning-tree mode rapid-pvst

1.Puertos f0/10 f0/11 ALS1/ALS2 asignar a la VLAN de Datos/ Voice según topología. Posterior a eso habilitar port-security (solo permitir las MAC correspondientes),en caso de violación de seguridad solo permitir el paso de Syslog,Traps SNMP y que registren violaciones de seguridad.

##################################################

########## Configurar interfaces ###############################################################

#### ALS1-ALS2 ####

vlan 20exitname DATOSvlan 150name VOICE

exit

interface f0/10switchport mode accessswitchport access vlan 20switchport voice vlan 150switchport port-securityspanning-tree port fastswitchport port-security mac-address stinkyswitchport port-security maximun 1switchport port-security violation restrictexit

############################################################ Configurar interfaces #############



##################################################

#### ALS1-ALS2 ####

vlan 20

exitname DATOSvlan 150name VOICEexit

interface f0/11switchport mode accessswitchport access vlan 20switchport voice vlan 150switchport port-securityspanning-tree port fast

switchport port-security mac-address stinkyswitchport port-security maximun 1switchport port-security violation restrictexit

2 ####### Habilite Syslog en todos los Switches (Mande los Logs a PCLOG) ###############

logging on

logging host 192.168.100.1 (ip del pc servidor de syslog)logging trap informational

3. ###### Las SVI pero las VLAN 10,20 en SW DLS1, y para VLAN 30 y 40 DLS2 (Primera IP en cada SVI). ######

############################################################ Configurar interfaces SVI #############################################################

#### DLS1 ####

vlan 10exitvlan 20exit

interface vlan 10ip address 192.168.10.1 255.255.255.0no shutdownexit

interface vlan 20ip address 192.168.20.1 255.255.255.0



no shutdownexit

##################################################

########## Configurar interfaces SVI #############################################################

#### DLS1 ####

vlan 30exitvlan 40exit



4. El equipo PC1 debe estar aislado de PC 2 y PC 3, por lo tanto PC2 y PC3,por entre ellos se ven pero no pueden llegar a PC1,equipos de otra VLAN si pueden llegar a PC 1.

vtp mode transparent

vlan 10name PRIMARYprivate-vlan primary

vlan 200name comunityprivate-vlan community

vlan 300name insolatedprivate-vlan isolated

vlan 10private-vlan association 200,300



5. DLS1 es DHCP VLAN 10,20,30 y DLS2 es DHCP VLAN 30 y 40

################################################################ Configurar dhcp ################################################################

#### DLS1 ####

ip dhcp pool vlan10network 192.168.10.0 255.255.255.255default-router 192.168.10.254lease 0 2exitip dhcp excluded-address 192.168.10.254



################################################################ Configurar dhcp ################################################################

#### DLS2 ####

ip dhcp pool vlan30network 192.168.30.0 255.255.255.255default-router 192.168.30.254lease 0 2

exitip dhcp excluded-address 192.168.30.254




6.###### Habilitar DHCP Snooping en todos los switches y declarar las pruetas trust que corresponde. #################

##################################################

########## Configurar dhcp snooping ##############################################################

#### DLS1 ####

ip dhcp snoopingip dhcp snooping vlan 10-40exit

int port-channel 1ip dhcp snooping trust

exit

int port-channel 5ip dhcp snooping trustexit


############################################################ Configurar dhcp snooping ##############################################################

#### DLS2 ####






int port-channel 5ip dhcp snooping trust

exit


#### ALS1 ####





#### ALS2 ####








channel-group 3 mode passiveno shutdownexit

int range f0/4-5switchport trunk encapsulation dot1qswitchport mode trunk

channel-group 2 mode autoexit

################################################################ CREAR PORTCHANNELS ################################################################

#### ALS1 ####

int range f0/2-3switchport mode trunkchannel-group 1 mode autono shutdownexit

int range f0/4-5switchport mode trunkchannel-group 2 mode desirableno shutdownexit

################################################################ CREAR PORTCHANNELS ################################################################

#### ALS2 ####

int range f0/2-3switchport mode trunkchannel-group 3 mode activeno shutdownexit

int range f0/4-5switchport mode trunkchannel-group 4 mode passiveno shutdownexit

7. #### Habilitar DAI en ALS2, f0/10 debe ser agregado de forma estática chequear

la MAC origen del ARP Replay ####



############################################################### Configurar ARP ################################################################

#### ALS2 ####

ip arp inspection vlan 30int f0/10ip arp inspection trustexit

arp access-list ARPACL1permit ip host 10.10.10.4 mac 1234.5678.1234 1235.1254.1245exitip arp inspection filter ARPACL1 vlan 30 staticip arp inspection validate src-macexit

8. #### Habilitar IP Source Guard en f0/10 ALS1,para evitar un spoofing de la IPy de la MAC.###

########################################################################

#### ALS1 ####

int fa0/10ip verify source port-security

#########################################################################

9.##### Preparar los SW para evitar el ataque de Seguridad VLAN Hopping (DoubleTAG). ###########

###### DLS1 #######

int range port-channel 1 , port-channel 5 , port-channel 4switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit

d

vlan do1q taq native



###### DLS2 #######

int range port-channel 2 , port-channel 3 , port-channel 5switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit

vlan do1q taq native

###### ALS1 #######

int range port-channel 1 , port-channel 2switchport trunk native vlan 5switchport trunk allowed vlan remove 5

exit

###### ALS2 #######

int range port-channel 3 , port-channel 4switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit

######################################################################### 10

(ALS2)#Int range fa 0/10-11#spanning-tree bpduguard enable

11

#int fa 0/24#spanning-tree guard root

12(ALS1)

#spanning-tree port fast bpdu filter default

13

#no spanning-tree port fast bpdu filter default



#int fa 0/11#spanning-tree bpdu filter enable

14

En todo los switches#mls qos (configuracion global)

#auto qos voip trust (todo los troncales)

DLS2 PUERTO 20, 21#int range f 0/20 -21#switchport mode access#switchport access vlan 20#switchport access vlan 150#mls qos trust cos#mls qos trust device cisco-phone#switchport priority extended trust#switchport priority extended cos 3

#auto qos voip trust

15

aaa new-modelradius-server host 192.168.10.100 key ciscoaaa authe dot1x default group radiusdot1x system-auth-control

(PC conectado)int fa0/11dot1x port-control auto

16. PC 4 y PC 5 no se pueden ver (VACL)

access-list 100 permit icmp host 192.168.10.20 host 192.168.10.30 echoaccess-list 100 permit icmp host 192.168.10.30 host 192.168.10.20 echovlan access-map filtro 10match ip add 100

and - match ip add 100 action drop

vlan access-map filtro 20 action forwardvlan filter filtro vlan-list 10

17)#spanning-tree uplinkfast

El profesor cambió la topología, solamente los equipos que están conectados a los switch ALS, por que no soportan poe y eso, saludos.

Documents

configds prueba 3