Vous êtes sur la page 1sur 6

CCNA Discovery

Introducción al enrutamiento y la conmutación en la empresa

Práctica de laboratorio 3.1.4: Aplicación de seguridad básica de un


switch

Designación Contraseña Contraseña


del Máscara de Gateway secreta de de consola y
dispositivo Dirección IP subred predeterminado enable de vty
PC 1 192.168.1.3 255.255.255.0 192.168.1.1
PC 2 192.168.1.4 255.255.255.0 192.168.1.1
PC 3 192.168.1.5 255.255.255.0 192.168.1.1
Switch1 192.168.1.2 255.255.255.0 192.168.1.1 class cisco

Objetivos
• Configurar contraseñas para garantizar que el acceso a la CLI sea seguro.
• Configurar un switch para eliminar el estado de servidor http por razones de seguridad.
• Configurar la seguridad de puertos.
• Deshabilitar los puertos que no se utilicen.
• Probar la configuración de seguridad mediante la conexión de los hosts no especificados a los
puertos seguros.

Información básica / Preparación


Establezca una red similar a la del diagrama de topología.
Se necesitan los siguientes recursos:
• Un switch Cisco 2960 o uno similar
• Tres PC con Windows, al menos una con un programa de emulación de terminal

All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 1 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

• Al menos un cable conector de consola RJ45 a DB9


• Dos cables Ethernet de conexión directa (de la PC1 y la PC2 al switch)
• Acceso al indicador de comandos de la PC
• Acceso a la configuración TCP/IP de red de la PC
NOTA: asegúrese de que se hayan borrado las configuraciones de inicio del switch. Las instrucciones para
borrar tanto los switches como los routers se proporcionan en el Manual del laboratorio, que se encuentra en
la sección Tools (Herramientas) del sitio Web de Academy Connection.

Paso 1: Conecte la PC1 al switch.


a. Conecte la PC1 al puerto Fa0/1 del switch Fast Ethernet. Configure la PC1 para utilizar la dirección
IP, la máscara y el gateway tal como se muestra en la tabla.
b. Establezca una sesión de emulación de terminal de la PC1 al switch.

Paso 2: Conecte la PC2 al switch.


a. Conecte la PC2 al puerto Fa0/4 del switch Fast Ethernet.
b. Configure la PC2 para utilizar la dirección IP, la máscara y el gateway tal como se muestra en la
tabla.

Paso 3: Configure la PC3 sin conectarla.


Se necesita un tercer host para esta práctica de laboratorio.
a. Configure la PC3 mediante la dirección IP 192.168.1.5. La máscara de subred es 255.255.255.0 y el
gateway predeterminado es 192.168.1.1.
b. No conecte aún esta PC al switch. Se utilizará para probar la seguridad.

Paso 4: Realice una configuración inicial en el switch.


a. Configure el nombre de host del switch como Switch1.
Switch>enable
Switch#config terminal
Switch(config)#hostname Switch1
b. Establezca la contraseña del modo EXEC privilegiado como cisco.
Switch1(config)#enable password cisco
c. Establezca la contraseña secreta del modo EXEC privilegiado como class.
Switch1(config)#enable secret class
d. Configure la contraseña de consola y de terminal virtual para usar una contraseña y solicitarla al
iniciar sesión.
Switch1(config)#line console 0
Switch1(config-line)#password cisco
Switch1(config-line)#login
Switch1(config-line)#line vty 0 15
Switch1(config-line)#password cisco
Switch1(config-line)#login
Switch1(config-line)#end

All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 2 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

e. Salga de la sesión de la consola e inicie sesión nuevamente.


¿Qué contraseña se solicitó para ingresar al modo EXEC privilegiado? ______________________
¿Por qué? ______________________________________________________________________

Paso 5: Configure la interfaz de administración del switch en la VLAN 1.


a. Ingrese el modo de configuración de interfaz para la VLAN 1.
Switch1(config)#interface vlan 1
b. Establezca la dirección IP, la máscara de subred y el gateway predeterminado para la interfaz de
administración.
Switch1(config-if)#ip address 192.168.1.2 255.255.255.0
Switch1(config-if)#no shutdown
Switch1(config-if)#exit
Switch1(config)#ip default-gateway 192.168.1.1
Switch1(config)#end
¿Por qué la interfaz de la VLAN 1 requiere una dirección IP en esta LAN?
________________________________________________________________________________
¿Cuál es el propósito del gateway predeterminado?
________________________________________________________________________________

Paso 6: Verifique las configuraciones de administración de las LAN.


a. Verifique que la dirección IP de la interfaz de administración del switch de la VLAN 1 y la dirección IP
de la PC1 y la PC2 estén en la misma red local. Utilice el comando show running-config para
verificar la configuración de la dirección IP del switch.
b. Verifique la configuración de interfaz de la VLAN 1.
Switch1#show interface vlan 1
¿Cuál es el ancho de banda en esta interfaz? ___________________________________________
¿Cuáles son los estados de la VLAN?:
El estado de la VLAN 1 es __________ y el del protocolo de línea es __________.

Paso 7: Deshabilite el switch para que no sea un servidor http.


Desactive la función del switch que se utiliza como un servidor http.
Switch1(config)#no ip http server

Paso 8: Verifique la conectividad.


a. Para verificar que los hosts y el switch estén configurados correctamente, haga ping a la dirección IP
del switch desde los hosts.
¿Los ping tuvieron éxito? ___________________________
Si el ping no tiene éxito, verifique nuevamente las conexiones y las configuraciones. Verifique que
todos los cables sean correctos y que las conexiones estén en su lugar. Verifique las configuraciones
del host y el switch.
b. Guarde la configuración.

All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 3 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

Paso 9: Registre las direcciones MAC del host.


Determine y registre las direcciones de Capa 2 de las tarjetas de interfaz de red de la PC. En el indicador
de comandos de cada PC, ingrese ipconfig /all.
PC1 __________________________________________________
PC2 __________________________________________________
PC3 __________________________________________________

Paso 10: Determine las direcciones MAC que ha aprendido el switch.


Determine cuáles son las direcciones MAC que ha aprendido el switch por medio del comando show
mac-address-table en el indicador del modo EXEC privilegiado.
Switch1#show mac-address-table
¿Cuántas direcciones dinámicas hay? _____________
¿Cuántas direcciones MAC hay en total? ____________
¿Las direcciones MAC coinciden con las direcciones MAC del host? ____________

Paso 11: Vea las opciones de show mac-address-table.


Vea las opciones que tiene disponible el comando show mac-address-table.
Switch1(config)#show mac-address-table ?
¿Qué opciones están disponibles? _________________________________________________
_____________________________________________________________________________

Paso 12: Configure una dirección MAC estática.


Configure una dirección MAC estática en la interfaz FastEthernet 0/4. Utilice la dirección que se registró
para la PC2 en el paso 9. La dirección MAC 00e0.2917.1884 se utiliza únicamente en la sentencia de
este ejemplo.
Switch1(config)#mac-address-table static 00e0.2917.1884 vlan 1
interface fastethernet 0/4

Paso 13: Verifique los resultados.


a. Verifique las entradas de la tabla de direcciones MAC.
Switch1#show mac-address-table
¿Cuántas direcciones MAC dinámicas hay en total ahora? __________
¿Cuántas direcciones MAC estáticas hay en total ahora? _____________

b. Elimine la entrada estática de la tabla de direcciones MAC.


Switch1(config)#no mac-address-table static 00e0.2917.1884 vlan 1
interface fastethernet 0/4

All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 4 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

Paso 14: Enumere las opciones de seguridad de puerto.


a. Determine cuáles son las opciones para configurar la seguridad de puerto en la interfaz FastEthernet
0/4.
Switch1(config)#interface fastethernet 0/4
Switch1(config-if)#switchport port-security ?
¿Cuáles son algunas de las opciones disponibles? _______________________________________
b. Para permitir que el puerto del switch FastEthernet 0/4 acepte sólo un dispositivo, configure la
seguridad de puerto.
Switch1(config-if)#switchport mode access
Switch1(config-if)#switchport port-security
Switch1(config-if)#switchport port-security mac-address sticky
c. Salga del modo de configuración y verifique la configuración de la seguridad de puerto.
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/4 1 0 0 Shutdown
---------------------------------------------------------------------------
Si un host que no sea la PC2 intenta conectarse a Fa0/4, ¿que sucede?
________________________________________________________________________

Paso 15: Limite la cantidad de hosts por puerto.


a. En la interfaz FastEthernet 0/4, establezca el conteo máximo de MAC de seguridad de puerto como 1.
Switch1(config-if)#switchport port-security maximum 1.
b. Desconecte la PC conectada a FastEthernet 0/4. Conecte la PC3 a FastEthernet 0/4. La PC3 ha
recibido la dirección IP 192.168.1.5 y todavía no se ha conectado al switch. Es posible que sea
necesario hacer ping a la dirección 192.168.1.2 del switch para generar tráfico.
Anote cualquier observación. ______________________________________________________
_____________________________________________________________________________

Paso 16: Configure el puerto para que se desconecte si se produce una violación de seguridad.
a. En caso de que se produzca una violación a la seguridad, la interfaz debe apagarse. Para hacer que
se desconecte la seguridad de puerto, ingrese el siguiente comando:
Switch1(config-if)#switchport port-security violation shutdown
¿Qué otras opciones de acción están disponibles para la seguridad de puerto? ______________
_____________________________________________________________________________
b. Si es necesario, haga ping a la dirección del switch 192.168.1.2 desde la PC3 192.168.1.5. Ahora,
esta PC está conectada a la interfaz FastEthernet 0/4. Esto garantiza que haya tráfico desde la PC
hacia el switch.
c. Anote cualquier observación.
_____________________________________________________________________________
_____________________________________________________________________________

All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 5 de 6
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

d. Verifique la configuración de la seguridad de puerto.


Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/4 1 1 0 Shutdown
---------------------------------------------------------------------------

Paso 17: Muestre la información de configuración del puerto 0/4.


Para ver la información de configuración del puerto FastEthernet 0/4 solamente, escriba show
interface fastethernet 0/4 en el indicador del modo EXEC privilegiado.
Switch1#show interface fastethernet 0/4
¿Cuál es el estado de esta interfaz?
El estado de FastEthernet0/4 es __________ y el del protocolo de línea es __________.

Paso 18: Vuelva a activar el puerto.


a. Si se produce una violación de seguridad y el puerto se desconecta, use los comandos shutdown /
no shutdown para volver a conectarlo.
b. Intente volver a conectar este puerto algunas veces conmutando el puerto de host 0/4 original y el
nuevo puerto de host. Conecte el host original, ingrese el comando no shutdown en la interfaz y
haga ping mediante el indicador de comandos.
El ping deberá repetirse varias veces; otra posibilidad es usar el comando ping 192.168.1.2 -n
200. Este comando establece la cantidad de paquetes de ping en 200 en lugar de 4. Luego, cambie
los hosts y vuelva a intentarlo.

Paso 19: Deshabilite los puertos no utilizados.


Deshabilite los puertos que no se utilizan en el switch.
Switch1(config)#interface range Fa0/2 – 3
Switch1(config-if-range)#shutdown
Switch1(config-if-range)#exit
Switch1(config)#interface range Fa0/5 – 24
Switch1(config-if-range)#shutdown

Switch1(config)#interface range gigabitethernet0/1 - 2


Switch1(config-if-range)#shutdown

Paso 20: Reflexión.


a. ¿Por qué se activaría la seguridad de puerto en un switch?_______________________________
______________________________________________________________________________
b. ¿Por qué deben deshabilitarse los puertos no utilizados en un switch? _______________________
_______________________________________________________________________________

All contents are Copyright © 1992–2009 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Página 6 de 6