Administracin de redes.

Gua 6 1 Facultad: Ingeniera Escuela: Electrnica Asignatura: Administracin de redes

Tema: Mecanismos para control de trfico basado en puertos

Contenidos
Storm Control Protected Ports Private Edge VLANs Port Blocking Port Security

Objetivos Especficos
Estudiar diferentes mecanismos disponibles para el control de trfico basado en puertos. Diferenciar escenarios en que se pueden utilizar los mecanismos para control de trfico basado en puertos. Ejecutar procedimientos para la configuracin de control de trfico basado en puertos en un switch Catalyst 2960.

Materiales y Equipo
1 1 1 1 1 Switch Cisco Catalyst 2960 PC con HyperTerminal o SecureCRT Cables de Consola Cisco Convertidores serial a USB Cable UTP Cruzado

Procedimiento
Esquema de Conexiones Bibliografa
Conectar la PC con el switch empleando el cable de consola.

Gua 1
PARTE I: Storm Control
Storm control previene que el trfico de la LAN se vea afectado o interrumpido por tormentas de broadcast, multicast o unicast en una de las interfaces fsicas. Una tormenta LAN ocurre cuando paquetes inundan la LAN, generando trfico excesivo y degradando el desempeo de la red. Errores en la implementacin de protocols, configuraciones de red errneas o usuarios atacando la red con DoS pueden provocar una tormenta. Storm Control (o supresin de trfico) monitorea los paquetes que pasan de las interfaces al bus de switching y determina si el paquete es unicast, multicast, o broadcast. El switch realiza conteo de

2 Administracin de redes. Gua 6

los paquetes de un tipo especfico recibidos en un intervalo de 1 segundo y luego compara el nmero de paquetes con el umbral de nivel de supresin predefinido. Con storm control, el puerto bloquea el trfico cuando el umbral mximo ha sido alcanzado. El puerto permanece bloqueado hasta que la tasa de trfico cae por debajo del umbral mnimo (si se ha especificado uno) y entonces transmite trfico de forma normal. En general, entre ms alto es el umbral, la proteccin contra tormentas de broadcast es menos efectiva. Storm control se configura ingresando al modo de configuracin de interface y aplicando el siguiente comando storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps [pps-low]} Level especifica el umbral mximo (rising threshold) para trfico broadcast, multicast o unicast como porcentaje del ancho de banda. Bps especifica el umbral mximo en bits por segundo. Pps especifica el umbral mximo en paquetes por segundo. Luego se aplica el siguiente comando para especificar la accin a tomar cuando una tormenta es detectada. Por defecto la accin realizada es la de filtrar el trfico sin enviar traps. storm-control action {shutdown | trap} Shutdown es utilizado para deshabilitar el Puerto (err-disable) durante la tormenta. Trap es utilizado para generar un trap de SNMP cuando se detecta una tormenta. 1. Configure el puerto Fa0/1 para habilitar storm control para broadcast con un umbral de 20%.

Switch# configure terminal Switch(config)# interface FastEthernet0/1 Switch(config-if)# storm-control broadcast level 20
2. Configure el Puerto Fa0/2 para habilitar storm control para multicast con un umbral mximo de 100kbps y un umbral cada de 50kbps. En caso de detectar una tormenta se debe generar un trap SNMP.

Switch# Switch(config)# Switch(config-if)# Switch(config-if)#

PARTE II: Protected Ports Private Edge VLANs

Por razones de seguridad y proteccin de hosts de la red LAN o debido a la existencia de ciertas aplicaciones se tienen requerimientos que ningn tipo de trfico sea transmitido (forwarded) a nivel de L2 entre puertos de un mismo switch de tal forma que un host no pueda ver el trfico generado por otro vecino. En tal ambiente, el uso de puertos protegidos asegura que no exista intercambio de trfico unicast, multicast o broadcast entre dichos puertos. Puertos protegidos poseen las siguientes caractersticas:

Administracin de redes. Gua 6 3 Un puerto protegido no transmite trfico a ningn puerto que tambin es protegido. Trfico de datos no puede ser transmitido entre puertos protegidos en L2; solamente trfico de control, como paquetes PIM, pueden ser transmitidos debido a que estos paquetes son procesados por el CPU y transmitidos via software. Todo el trfico de datos que debe pasar entre 2 puertos protegidos, debe hacerse por medio de un dispositivo L3. Transmisin entre un puerto protegido y uno no protegido (publico) se hace de forma normal. 1. Configure el Puerto FastEthernet0/3 como puerto protegido:

Switch# configure terminal Switch(config)# interface FastEthernet0/3 Switch(config-if)# switchport protected Switch(config-if)# end

PARTE III: Port Blocking

Por defecto, un switch inunda los paquetes con direcciones MAC destino desconocidas en todos los puertos. Si trfico multicast o unicast desconocido es enviado a un puerto protegido, pueden existir problemas de seguridad. Para prevenir que trfico unicast o multicast desconocido sea transmitidos de un puerto a otro, se puede bloquear un puerto (protegido o publico) para que no inunde paquetes unicast o multicast desconocidos a otros puertos. 2. Configure la interface FastEthernet0/4 para bloquear inundaciones de multicast y unicast desconocidas:

Switch# configure terminal Switch(config)# interface gigabitethernet0/1 Switch(config-if)# switchport block multicast Switch(config-if)# switchport block unicast Switch(config-if)# end

PARTE IV: Port Security

Se puede utilizar port security para restringir trfico entrante en una interface al limitar e identificar las direcciones MAC de las estaciones que tienen acceso autorizado al puerto. Cuando se asignan direcciones MAC seguras a un puerto asegurado, el puerto no transmite paquetes con direcciones origen que no se encuentren en el grupo de direcciones predefinido. Si se limita el nmero de direcciones MAC a uno y se asigna una direccin MAC nica, el host asociado al puerto tiene asegurado todo el ancho de banda de dicho puerto. Si un puerto es configurado como seguro y el nmero mximo de direcciones MAC seguras es alcanzado o cuando la direccin MAC de la estacin que intenta tener acceso a la red es diferente de las direcciones MAC configuradas como seguras, una violacin de seguridad ocurre. Tambin, si una estacin con direccin MAC segura configurada o aprendida en un puerto seguro intenta acceder mediante otro puerto seguro, se marca una violacin. Se configura el nmero mximo de direcciones seguras permitidas en un puerto utilizando el comando switchport port-security maximum value. Un switch soporta los siguientes tipos de direcciones MAC seguras:

4 Administracin de redes. Gua 6

Static secure MAC addresses: estas direcciones son configuradas manualmente utilizando el comando switchport port-security mac-address mac-address. Estas direcciones son almacenadas en la tabla de direcciones y se agregan el la configuracin actual del equipo (runningconfiguration). Dynamic secure MAC addresses: estas direcciones son configuradas de forma dinmica y son almacenadas nicamente en la tabla de direcciones y son removidas una vez se reinicia el switch. Sticky secure MAC addresses: estas pueden ser aprendidas de forma dinmica o configuradas manualmente, almacenadas en la tabla de direcciones y se agregan a la configuracin actual del equipo. Si estas direcciones son almacenadas en el archivo de configuracin, cuando el switch reinicia, la interface no requiere reconfigurar dinmicamente las direcciones.
Se puede configurar una interface para convertir las direcciones MAC dinmicas en direcciones MAC sticky para que sean agregadas a la configuracin actual del switch utilizando sticky learning. Para habilitar sticky learning se emplea el comando switchport port-security macaddress sticky. Al ejecutar este comando, la interface convierte todas las direcciones MAC seguras dinmicas, incluyendo aquellas que fueron aprendidas de forma dinmica antes de haber habilitado sticky learning. Todas las direcciones seguras sticky son aadidas a la configuracin actual del switch. Si se deshabilita sticky learning, las direcciones MAC sticky son convertidas a direcciones dinmicas seguras y son removidas de la configuracin actual del switch.

Se puede configurar una interface en tres modos de violacin: Protect: cuando el numero de direcciones MAC seguras alcanza el limite mximo permitido en el puerto, paquetes con direcciones fuente desconocidas son descartados. No se envan notificaciones que una violacin de seguridad ha ocurrido. Restrict: cuando el nmero de direcciones MAC alcanza el lmite mximo permitido en el puerto, los paquetes con direcciones fuente desconocidas son descartados. En este modo, se enva notificacin de que una violacin de seguridad ha ocurrido. Un trap SNMP es enviado, un mensaje syslog es creado y el contador de violaciones incrementa. Shutdown: una violacin de seguridad del puerto provoca que la interface sea deshabilitada (err-disable) inmediatamente. Un trap SNMP es enviado, se crea un mensaje syslog y el contador de violaciones incrementa. Este es el modo por defecto. Para la configuracin de port security se emplean los siguientes commandos: Se configura el modo switchport de la interface: switchport mode {access | trunk} Se habilita port security en el puerto: switchport port-security Configurar el nmero mximo de direcciones MAC seguras permitidas. Puede especificarse el nmero mximo por VLAN. switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]] Configurar el modo de violacin switchport port-security violation {protect | restrict | shutdown} Configurar las direcciones MAC seguras permitidas en el puerto. Si se configura un nmero de direcciones menor al mximo permitido en el puerto, el remanente de direcciones puede ser aprendidas de forma dinmica. switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]

Administracin de redes. Gua 6 5

Habilitar sticky learning en la interface: switchport port-security mac-address sticky Configurar una direccin MAC segura como direccin sticky: switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access |
voice}}]

3. Configure el Puerto FastEthernet0/5 con port security con un nmero mximo de direcciones MAC seguras de 50.

Switch(config)# interface gigabitethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 50 Switch(config-if)# switchport port-security mac-address sticky
4. Configure el Puerto FastEthernet0/6 con port security, configure direcciones MAC seguras de forma manual para la vlan de datos y vlan de voz, configure un nmero mximo de 20 direcciones seguras en el puerto (10 para vlan de datos y 10 para vlan de voz).

Switch(config)# interface FastEthernet0/1 Switch(config-if)# switchport access vlan 21 Switch(config-if)# switchport mode access Switch(config-if)# switchport voice vlan 22 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 20 Switch(config-if)# switchport port-security violation restrict Switch(config-if)# switchport port-security mac-address sticky Switch(config-if)# switchport port-security mac-address sticky address Switch(config-if)# switchport port-security mac-address address Switch(config-if)# switchport port-security mac-address sticky address vlan voice Switch(config-if)# switchport port-security mac-address address vlan voice Switch(config-if)# switchport port-security maximum 10 vlan access Switch(config-if)# switchport port-security maximum 10 vlan voice

Anlisis de resultados
Presente un escenario o ejemplo en que pueda implementarse cada uno de estos mecanismos.

Gua 3

Gua 4 Bibliografa
fa http://cisco.biz/en/US/docs/ios/12_0t/12_0t1/feature/guide/Easyip2.html#wp24774

Gua 3 Gua 4
fa

6 Administracin de redes. Gua 6

Hoja de cotejo:

Gua 6: puertos
Alumno:

Mecanismos

para

control

Docente: de trfico basado Mquina No:

1 1

en

Mquina No: GL:

Mquinaa No: Fecha: GL: GL:

Tema: Presentacin del programa Alumno: Docente : Docente:

EVALUACION % CONOCIMIENTO Del 20 al 30% 1-4 Conocimiento deficiente de los fundamentos tericos 5-7 Conocimiento y explicacin incompleta de los fundamentos tericos 8-10 Conocimiento completo y explicacin clara de los fundamentos tericos Nota

APLICACIN DEL CONOCIMIENTO

Del 40% al 60%

ACTITUD Del 15% al 30% No tiene actitud proactiva. Actitud propositiva y con propuestas no aplicables al contenido de la gua. Tiene actitud proactiva y sus propuestas son concretas.

TOTAL

100%