Packet Tracer - Layer 2 VLAN Security

Objetivos
 Conectar un nuevo enlace redundante entre SW1 y SW2.
 Habilitar el enlace troncal y configurar la seguridad en el nuevo enlace
troncal entre SW-1 y SW-2.
 Crear una nueva VLAN de administración (VLAN 20) y conectar un PC de
gestión de esa VLAN.
 Implementar una ACL para evitar que usuarios externos tengan acceso a la
VLAN de administración.
Antecedentes / Escenario

La red de una empresa está configurado actualmente utilizando dos VLAN

separadas: 5 de VLAN y VLAN 10. Además, todos los puertos troncales están
configurados con VLAN nativa 15. Un administrador de red desea añadir un enlace
redundante entre el interruptor SW-1 y SW-2. El enlace debe haber habilitado
enlaces troncales y todos los requisitos de seguridad deben estar en su lugar.

Además, el administrador de red desea conectar un PC de gestión para cambiar

SW-A. El administrador le gustaría permitir que el PC de gestión para poder
conectarse a todos los interruptores y el router, pero no quiere que ningún otro
dispositivo para conectarse a la PC de gestión o los interruptores. El administrador
le gustaría crear una nueva VLAN 20 con fines de gestión.

Todos los dispositivos han sido pre configurado con:

 Enable secret password: ciscoenpa55

 Console password: ciscoconpa55

 VTY line password: ciscovtypa55

Parte 1: Verificar la conectividad

Paso 1: Verificar la conectividad entre C2 (VLAN 10) y C3 (VLAN 10).
Paso 2: Verificar la conectividad entre C2 (VLAN 10) y D1 (VLAN 5).
Nota: Si se utiliza la interfaz gráfica de usuario sencilla de paquetes PDU,
asegúrese de ping a dos veces para permitir la ARP.
Parte 2: crear un enlace redundante entre SW-1 y SW-2
Paso 1: Conectar SW-1 y SW-2.
El uso de un cable cruzado, conectar el puerto Fa0 / 23 en SW-1 a la Parte Fa0 /
23 en SW-2.
Paso 2: Habilitar el enlace troncal, incluyendo todos los mecanismos de
seguridad del tronco sobre el vínculo entre SW-1 y SW-2.

Trunking ya se ha configurado en todas las interfaces troncales preexistentes. El

nuevo enlace debe configurarse para concentración de enlaces, incluyendo todos
los mecanismos de seguridad tronco. Por tanto SW-1 y SW-2, configure el puerto
en el tronco, asignar VLAN nativa 15 al puerto de enlace troncal, y desactivar la
negociación automática.

SW-1(config)# interface fa0/23

SW-1(config-if)# switchport mode trunk

SW-1(config-if)# switchport trunk native vlan 15

SW-1(config-if)# switchport nonegotiate

SW-1(config-if)# no shutdown

SW-2(config)# interface fa0/23

SW-2(config-if)# switchport mode trunk

SW-2(config-if)# switchport trunk native vlan 15

SW-2(config-if)# switchport nonegotiate

SW-2(config-if)# no shutdown

Parte 3: Habilitar la VLAN 20 como VLAN de administración

El administrador de red desea acceder a todos los dispositivos de conmutación y
enrutamiento utilizando un PC de gestión. Para mayor seguridad, el administrador
quiere asegurarse de que todos los dispositivos administrados están en una VLAN
separada.
Paso 1: Habilitar una VLAN de administración (VLAN 20) en SW-A.
a. Enable VLAN 20 on SW-A.
SW-A(config)# vlan 20
SW-A(config-vlan)# exit
 b. Crear una interfaz VLAN 20 y asignar una dirección IP dentro de la red
192.168.20.0/24.

SW-A(config)# interface vlan 20

SW-A(config-if)# ip address 192.168.20.1 255.255.255.0

Paso 2: Habilitar la misma VLAN de administración en todos los demás

interruptores.
a. Crear la VLAN de administración en todos los switches: SW-B, SW-1, SW-
2, y centrales.
SW-B(config)# vlan 20
SW-B(config-vlan)# exit
SW-1(config)# vlan 20
SW-1(config-vlan)# exit
SW-2(config)# vlan 20
SW-2(config-vlan)# exit
Central(config)# vlan 20
Central(config-vlan)# exit

b. Crear una interfaz VLAN 20 en todos los switches y asignar una dirección
IP dentro de la red 192.168.20.0/24.
SW-B(config)# interface vlan 20
SW-B(config-if)# ip address 192.168.20.2 255.255.255.0
SW-1(config)# interface vlan 20
SW-1(config-if)# ip address 192.168.20.3 255.255.255.0
SW-2(config)# interface vlan 20
SW-2(config-if)# ip address 192.168.20.4 255.255.255.0
Central(config)# interface vlan 20
Central(config-if)# ip address 192.168.20.5 255.255.255.0
Paso 3: Configurar el PC de gestión y conectarlo a SW-Un puerto Fa0 / 1.

Asegúrese de que el PC de gestión se le asigna una dirección IP dentro de la

red 192.168.20.0/24. Conectar el PC de gestión a SW-Un puerto Fa0 / 1.

Paso 4: El SW-A, asegurar la PC de gestión es parte de la VLAN 20.

Interfaz Fa0 / 1 debe ser parte de la VLAN 20.

SW-A (config) # interface Fa0 / 1
SW-A (config-if) # switchport acceso VLAN 20
SW-A (config-if) # no shutdown

Paso 5: Verificar la conectividad de la PC de gestión a todos los

interruptores.

El PC de gestión debe ser capaz de hacer ping SW-A, SW-B, SW-1, SW-2, y
central.

Parte 4: Habilitar el PC de administración tengan acceso router R1

Paso 1: Activar una nueva subinterfaz en el router R1

a. Crear subinterfaz Fa0 / 0.3 y configurar la encapsulación de dot1q 20 para

dar cuenta de la VLAN 20.
R1(config)# interface fa0/0.3
R1(config-subif)# encapsulation dot1q 20
b. Asignar una dirección IP dentro de la red 192.168.20.0/24.
R1(config)# interface fa0/0.3
R1(config-subif)# ip address 192.168.20.100 255.255.255.0

Paso 2: Verificar la conectividad entre el PC de gestión y R1.

Asegúrese de configurar la puerta de enlace predeterminada en el equipo de

gestión para permitir la conectividad.
Paso 3: Habilitación de la seguridad.

Mientras que el PC de gestión debe ser capaz de acceder al router, ningún otro
PC debe ser capaz de acceder a la VLAN de administración.

a. Crear una ACL que niega cualquier red de acceso a la red 192.168.20.0/24,
pero permite que todas las demás redes para acceder a los otros.
R1(config)# access-list 101 deny ip any 192.168.20.0 0.0.0.255
R1(config)# access-list 101 permit ip any any
b. Apply the ACL to the proper interface(s).
R1(config)# interface fa0/0.1

R1(config-subif)# ip access-group 101 in

R1(config-subif)# interface fa0/0.2

R1(config-subif)# ip access-group 101 in

Paso 4: Verificar la seguridad.

Desde el PC de gestión, mesa de ping-AT SW, SW-B, y R1. Los pings éxito?
Explique

R: // Los pings deberían haber tenido éxito porque todos los dispositivos dentro de
la red 192.168.20.0 deben poder hacer ping entre sí. Dispositivos dentro VLAN20
no se requiere que la ruta a través del router.

De D1, ping en el PC de gestión. Los pings éxito? Explique

R: // El ping debe haber fallado. Esto se debe a que para que un dispositivo dentro
de una VLAN diferente para hacer ping con éxito un dispositivo dentro de VLAN20,
debe ser en caminada. El router tiene una ACL que impide que todos los paquetes
de acceso a la red 192.168.20.0.
Paso 5: Verificar los resultados.
Su porcentaje de finalización debe ser del 100%. Haga clic en Verificar resultados
para ver información y verificación de qué componentes requeridos se han
completado.
Si todos los componentes parecen ser correcta y la actividad sigue mostrando
incompleta, podría ser debido a las pruebas de conectividad que verifican el
funcionamiento del LCA

Script for SW-1

conf t
interface fa0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown vlan 20
exit
interface vlan 20
ip address 192.168.20.3 255.255.255.0
Script for SW-2
conf t
interface fa0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown
vlan 20
exit
interface vlan 20
ip address 192.168.20.4 255.255.255.0

Script for SW-A

conf t
vlan 20
exit
interface vlan 20
ip address 192.168.20.1 255.255.255.0
interface fa0/1
switchport access vlan 20
no shutdown

Script for SW-B

conf t
vlan 20
exit
interface vlan 20
ip address 192.168.20.2 255.255.255.0
Script for Central
conf t
vlan 20
exit
interface vlan 20
ip address 192.168.20.5 255.255.255.0

Script for R1
conf t
interface fa0/0.3
encapsulation dot1q 20
ip address 192.168.20.100 255.255.255.0
access-list 101 deny ip any 192.168.20.0 0.0.0.255 access-list 101 permit ip any
any
interface FastEthernet0/0.1
ip access-group 101 in
interface FastEthernet0/0.2
ip access-group 101 in