Upload
marco-cerda-gonzalez
View
219
Download
0
Embed Size (px)
Citation preview
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 1/11
HABILITAR PVST+
line console 0logging synchronousexit
ip routing
spanning-tree mode rapid-pvst
ip dhcp pool cisconetwork 10.10.10.0 255.255.255.255default-router 10.10.10.254dns-serverlease 0 2exitip dhcp excluded-address 10.10.10.254
spanning-tree mode rapid-pvst
1.Puertos f0/10 f0/11 ALS1/ALS2 asignar a la VLAN de Datos/ Voice según topología. Posterior a eso habilitar port-security (solo permitir las MAC correspondientes),en caso de violación de seguridad solo permitir el paso de Syslog,Traps SNMP y que registren violaciones de seguridad.
##################################################
########## Configurar interfaces ###############################################################
#### ALS1-ALS2 ####
vlan 20exitname DATOSvlan 150name VOICE
exit
interface f0/10switchport mode accessswitchport access vlan 20switchport voice vlan 150switchport port-securityspanning-tree port fastswitchport port-security mac-address stinkyswitchport port-security maximun 1switchport port-security violation restrictexit
############################################################ Configurar interfaces #############
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 2/11
##################################################
#### ALS1-ALS2 ####
vlan 20
exitname DATOSvlan 150name VOICEexit
interface f0/11switchport mode accessswitchport access vlan 20switchport voice vlan 150switchport port-securityspanning-tree port fast
switchport port-security mac-address stinkyswitchport port-security maximun 1switchport port-security violation restrictexit
2 ####### Habilite Syslog en todos los Switches (Mande los Logs a PCLOG) ###############
logging on
logging host 192.168.100.1 (ip del pc servidor de syslog)logging trap informational
3. ###### Las SVI pero las VLAN 10,20 en SW DLS1, y para VLAN 30 y 40 DLS2 (Primera IP en cada SVI). ######
############################################################ Configurar interfaces SVI #############################################################
#### DLS1 ####
vlan 10exitvlan 20exit
interface vlan 10ip address 192.168.10.1 255.255.255.0no shutdownexit
interface vlan 20ip address 192.168.20.1 255.255.255.0
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 3/11
no shutdownexit
##################################################
########## Configurar interfaces SVI #############################################################
#### DLS1 ####
vlan 30exitvlan 40exit
interface vlan 30ip address 192.168.30.1 255.255.255.0no shutdownexit
interface vlan 40ip address 192.168.40.1 255.255.255.0no shutdownexit
4. El equipo PC1 debe estar aislado de PC 2 y PC 3, por lo tanto PC2 y PC3,por entre ellos se ven pero no pueden llegar a PC1,equipos de otra VLAN si pueden llegar a PC 1.
vtp mode transparent
vlan 10name PRIMARYprivate-vlan primary
vlan 200name comunityprivate-vlan community
vlan 300name insolatedprivate-vlan isolated
vlan 10private-vlan association 200,300
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 4/11
5. DLS1 es DHCP VLAN 10,20,30 y DLS2 es DHCP VLAN 30 y 40
################################################################ Configurar dhcp ################################################################
#### DLS1 ####
ip dhcp pool vlan10network 192.168.10.0 255.255.255.255default-router 192.168.10.254lease 0 2exitip dhcp excluded-address 192.168.10.254
ip dhcp pool vlan20network 192.168.20.0 255.255.255.255default-router 192.168.20.254lease 0 2exitip dhcp excluded-address 192.168.20.254
ip dhcp pool vlan30network 192.168.30.0 255.255.255.255default-router 192.168.30.254lease 0 2exitip dhcp excluded-address 192.168.30.254
################################################################ Configurar dhcp ################################################################
#### DLS2 ####
ip dhcp pool vlan30network 192.168.30.0 255.255.255.255default-router 192.168.30.254lease 0 2
exitip dhcp excluded-address 192.168.30.254
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 5/11
ip dhcp pool vlan40network 192.168.40.0 255.255.255.255default-router 192.168.40.254lease 0 2exitip dhcp excluded-address 192.168.40.254
6.###### Habilitar DHCP Snooping en todos los switches y declarar las pruetas trust que corresponde. #################
##################################################
########## Configurar dhcp snooping ##############################################################
#### DLS1 ####
ip dhcp snoopingip dhcp snooping vlan 10-40exit
int port-channel 1ip dhcp snooping trust
exit
int port-channel 5ip dhcp snooping trustexit
int port-channel 4ip dhcp snooping trustexit
############################################################ Configurar dhcp snooping ##############################################################
#### DLS2 ####
ip dhcp snoopingip dhcp snooping vlan 10-40exit
int port-channel 2ip dhcp snooping trustexit
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 6/11
int port-channel 3ip dhcp snooping trustexit
int port-channel 5ip dhcp snooping trust
exit
############################################################ Configurar dhcp snooping ##############################################################
#### ALS1 ####
ip dhcp snoopingip dhcp snooping vlan 10-40exit
int port-channel 1ip dhcp snooping trustexit
int port-channel 2ip dhcp snooping trustexit
############################################################ Configurar dhcp snooping ##############################################################
#### ALS2 ####
ip dhcp snoopingip dhcp snooping vlan 10-40exit
int port-channel 3ip dhcp snooping trustexit
int port-channel 4ip dhcp snooping trustexit
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 7/11
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 8/11
channel-group 3 mode passiveno shutdownexit
int range f0/4-5switchport trunk encapsulation dot1qswitchport mode trunk
channel-group 2 mode autoexit
################################################################ CREAR PORTCHANNELS ################################################################
#### ALS1 ####
int range f0/2-3switchport mode trunkchannel-group 1 mode autono shutdownexit
int range f0/4-5switchport mode trunkchannel-group 2 mode desirableno shutdownexit
################################################################ CREAR PORTCHANNELS ################################################################
#### ALS2 ####
int range f0/2-3switchport mode trunkchannel-group 3 mode activeno shutdownexit
int range f0/4-5switchport mode trunkchannel-group 4 mode passiveno shutdownexit
7. #### Habilitar DAI en ALS2, f0/10 debe ser agregado de forma estática chequear
la MAC origen del ARP Replay ####
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 9/11
############################################################### Configurar ARP ################################################################
#### ALS2 ####
ip arp inspection vlan 30int f0/10ip arp inspection trustexit
arp access-list ARPACL1permit ip host 10.10.10.4 mac 1234.5678.1234 1235.1254.1245exitip arp inspection filter ARPACL1 vlan 30 staticip arp inspection validate src-macexit
8. #### Habilitar IP Source Guard en f0/10 ALS1,para evitar un spoofing de la IPy de la MAC.###
########################################################################
#### ALS1 ####
int fa0/10ip verify source port-security
#########################################################################
9.##### Preparar los SW para evitar el ataque de Seguridad VLAN Hopping (DoubleTAG). ###########
###### DLS1 #######
int range port-channel 1 , port-channel 5 , port-channel 4switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit
d
vlan do1q taq native
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 10/11
###### DLS2 #######
int range port-channel 2 , port-channel 3 , port-channel 5switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit
vlan do1q taq native
###### ALS1 #######
int range port-channel 1 , port-channel 2switchport trunk native vlan 5switchport trunk allowed vlan remove 5
exit
###### ALS2 #######
int range port-channel 3 , port-channel 4switchport trunk native vlan 5switchport trunk allowed vlan remove 5exit
######################################################################### 10
(ALS2)#Int range fa 0/10-11#spanning-tree bpduguard enable
11
#int fa 0/24#spanning-tree guard root
12(ALS1)
#spanning-tree port fast bpdu filter default
13
#no spanning-tree port fast bpdu filter default
8/6/2019 configds prueba 3
http://slidepdf.com/reader/full/configds-prueba-3 11/11
#int fa 0/11#spanning-tree bpdu filter enable
14
En todo los switches#mls qos (configuracion global)
#auto qos voip trust (todo los troncales)
DLS2 PUERTO 20, 21#int range f 0/20 -21#switchport mode access#switchport access vlan 20#switchport access vlan 150#mls qos trust cos#mls qos trust device cisco-phone#switchport priority extended trust#switchport priority extended cos 3
#auto qos voip trust
15
aaa new-modelradius-server host 192.168.10.100 key ciscoaaa authe dot1x default group radiusdot1x system-auth-control
(PC conectado)int fa0/11dot1x port-control auto
16. PC 4 y PC 5 no se pueden ver (VACL)
access-list 100 permit icmp host 192.168.10.20 host 192.168.10.30 echoaccess-list 100 permit icmp host 192.168.10.30 host 192.168.10.20 echovlan access-map filtro 10match ip add 100
and - match ip add 100 action drop
vlan access-map filtro 20 action forwardvlan filter filtro vlan-list 10
17)#spanning-tree uplinkfast
El profesor cambió la topología, solamente los equipos que están conectados a los switch ALS, por que no soportan poe y eso, saludos.