Unidad Ic - Implementación de Seguridad de VLAN

Implementacin de
seguridad de VLAN
Horacio Vega F
Instructor CCNA CCAI CCNAS - CCNP
Presentation_ID
2014 Cisco Systems, Inc. Todos los derechos reservados.
Informacin confidencial de Cisco
Descripcin general
Horacio Vega F
Presentation_ID
Descripcin general de las VLAN
Definiciones de VLAN
Presentation_ID
La VLAN (LAN virtual) es una particin lgica de una red
de capa 2.
Se pueden crear varias particiones para que coexistan
varias VLAN.
Cada VLAN es un dominio de difusin (broadcast), que
generalmente posee su propia red IP.
Las VLAN se aslan mutuamente y los paquetes pueden
pasar entre ellas solamente mediante un router.
La particin de la red de capa 2 se lleva a cabo dentro de
un dispositivo de capa 2 (por lo general, un switch).
Los hosts que se agrupan dentro de una VLAN
desconocen la existencia de esta.
Presentation_ID
Las VLAN habilitan la implementacin de las polticas de
acceso y de seguridad segn grupos especficos de
usuarios.
Cada puerto de switch se puede asignar a una sola VLAN (a
excepcin de un puerto conectado a un telfono IP o a otro
switch).
Cada VLAN en una red conmutada corresponde a una red
IP; por lo tanto, al disear la VLAN, se debe tener en cuenta
la implementacin de un esquema de direccionamiento de
red jerrquico.
Presentation_ID
El direccionamiento jerrquico de la red significa que los
nmeros de red IP se aplican a los segmentos de red o a las
VLAN de manera ordenada, lo que permite que la red se
tome en cuenta como conjunto.
Los bloques de direcciones de red contiguas se reservan
para los dispositivos en un rea especfica de la red y se
configuran en estos, como se muestra en la ilustracin.
Presentation_ID
Beneficios de las redes VLAN

Seguridad
Reduccin de costos
Mejor rendimiento
Reduccin de dominios de difusin
Mejora de la eficiencia del personal de TI
Administracin ms simple de aplicaciones y proyectos
Presentation_ID
Beneficios de las redes VLAN
Presentation_ID
Tipos de VLAN
Horacio Vega F
Presentation_ID
Tipos de VLAN
VLAN de datos
VLAN predeterminada
VLAN nativa
VLAN de administracin
Presentation_ID
10
VLAN de datos
Una VLAN de datos es una VLAN configurada para enviar slo
trfico de datos generado por el usuario.
Una VLAN podra enviar trfico basado en voz o trfico utilizado para
administrar el switch, pero este trfico no sera parte de una VLAN de
datos.
Es una prctica comn separar el trfico de voz y de administracin del

trfico de datos.
La importancia de separar los datos del usuario del trfico de voz y del
control de administracin del switch se destaca mediante el uso de un
trmino especfico para identificar las VLAN que slo pueden enviar datos
del usuario: una "VLAN de Datos".
A veces, a una VLAN de datos se la denomina VLAN de usuario.
Presentation_ID
11
VLAN de predeterminada
Todos los puertos de switch se convierten en un miembro de la VLAN
predeterminada luego del arranque inicial del switch.
Hacer participar a todos los puertos de switch en la VLAN
predeterminada los hace a todos parte del mismo dominio de broadcast.
Esto admite cualquier dispositivo conectado a cualquier puerto de switch
para comunicarse con otros dispositivos en otros puertos de switch.
La VLAN predeterminada para los switches de Cisco es la VLAN 1.
La VLAN 1 tiene todas las caractersticas de cualquier VLAN, excepto
que no la puede volver a denominar y no la puede eliminar.
El trfico de control de Capa 2, como CDP y el trfico del protocolo
spanning tree se asociar siempre con la VLAN 1: esto no se puede
cambiar.
Nota: Algunos administradores de red utilizan el trmino "VLAN
predeterminada" para referirse a una VLAN que no sea la VLAN 1
que el administrador de red defini como la VLAN a la que se
asignan todos los puertos cuando no estn en uso.
Presentation_ID
12
VLAN Nativa
Una VLAN nativa est asignada a un puerto troncal 802.1Q.
Un puerto de enlace troncal 802.1 Q admite el trfico que llega de
muchas VLAN (trfico etiquetado) como tambin el trfico que no
llega de una VLAN (trfico no etiquetado).
El puerto de enlace troncal 802.1Q coloca el trfico no etiquetado en
la VLAN nativa.
La funcin que cumple la VLAN Nativa es la de manejar el trfico de
control de Capa 2 para la red, como CDP, VTP, DTP, PAgP, STP.
Las VLAN se establecen en la especificacin IEEE 802.1Q para
mantener la compatibilidad retrospectiva con el trfico no etiquetado
comn para los ejemplos de LAN antigua.
Para nuestro fin, una VLAN nativa sirve como un identificador

comn en extremos opuestos de un enlace troncal. Es una
optimizacin usar una VLAN diferente de la VLAN 1 como la VLAN
nativa.
Presentation_ID
13
VLAN de administracin
Una VLAN de administracin es cualquier VLAN que usted
configura para acceder a las capacidades de administracin de
un switch.
La VLAN 1 servira como VLAN de administracin si no defini

proactivamente una VLAN nica para que sirva como VLAN de
administracin.
Se asigna una direccin IP y una mscara de subred a la VLAN de
administracin.
Se puede manejar un switch mediante HTTP, Telnet, SSH o SNMP.
Debido a que la configuracin lista para usar de un switch de Cisco
tiene a VLAN 1 como la VLAN predeterminada, puede notar que la
VLAN 1 sera una mala opcin como VLAN de administracin; no
querra que un usuario arbitrario se conectara a un switch para que se
configurara de manera predeterminada la VLAN de administracin.
Presentation_ID
14
Tipos de VLAN
Presentation_ID
15
VLAN de voz
El trfico VoIP depende del factor tiempo y requiere lo
siguiente:
Ancho de banda garantizado para asegurar la calidad de la voz
Prioridad de la transmisin sobre los tipos de trfico de la red
Capacidad para ser enrutado en reas congestionadas de la red
Demora inferior a 150 ms a travs de la red
La caracterstica de la VLAN de voz permite que los puertos de

acceso enven el trfico de voz IP desde un telfono IP.
El switch puede conectarse a un telfono IP 7960 de Cisco y
transportar el trfico de voz IP.
Dado que la calidad de sonido de una llamada desde un
telfono IP puede disminuir si la informacin no se enva de
manera uniforme, el switch admite la calidad de servicio (QoS).
Presentation_ID
16
VLAN de voz
El telfono IP 7960 de Cisco tiene un switch integrado
10/100 de tres puertos:
Presentation_ID
El puerto 1 se conecta al switch.
El puerto 2 es una interfaz interna 10/100 que enva el trfico

del telfono IP.
El puerto 3 (puerto de acceso) se conecta a una PC u otro

dispositivo.
17
VLAN de voz
Presentation_ID
18
Presentation_ID
19
Enlaces troncales de
VLAN
Horacio Vega F
Presentation_ID
20
Redes VLAN en un entorno conmutado mltiple
Qu es un enlace troncal?
Un enlace troncal es un enlace punto a punto, entre dos
dispositivos de red, que transporta ms de una VLAN.
Presentation_ID
21
Qu es un enlace troncal?
Un enlace troncal de VLAN le permite extender las VLAN a travs
de toda una red.
Cisco admite IEEE 802.1Q para la coordinacin de enlaces
troncales en interfaces FastEthernet y Gigabitethernet.
Un enlace troncal de VLAN no pertenece a una VLAN especfica,
sino que es un conducto para las VLAN entre switches y routers.
Presentation_ID
22
Enlaces troncales de VLAN

Un enlace troncal de VLAN transporta ms de una VLAN.
Generalmente, se establece entre los switches para que los

dispositivos de una misma VLAN se puedan comunicar
incluso si estn conectados fsicamente a switches
diferentes.
Un enlace troncal de VLAN no est relacionado con ninguna
VLAN. Tampoco lo estn los puertos de enlace troncal que
se utilizan para establecer el enlace troncal.
IOS de Cisco admite IEEE802.1q, un protocolo de enlace
troncal de VLAN conocido.
Presentation_ID
23
Enlaces troncales de VLAN
Presentation_ID
24
VLAN Etiquetada (Tagging)

VLAN NO Etiquetada
VLAN Etiquetada
El etiquetado de VLAN es usado cuando un enlace

troncal necesita llevar trafico para mas de una VLAN.
Presentation_ID
25
Control de dominios de difusin con VLAN

Las VLAN se pueden utilizar para limitar el alcance de
las tramas de difusin.
Una VLAN es un dominio de difusin propio.

Por lo tanto, una trama de difusin que enva un
dispositivo en una VLAN especfica se reenva
solamente dentro de esa VLAN.
Esto ayuda a controlar el alcance de las tramas de
difusin y su impacto en la red.
Las tramas de unidifusin y multidifusin tambin se
reenvan dentro de la VLAN de origen.
Presentation_ID
26
Etiquetado de tramas de Ethernet para la

identificacin de VLAN
El etiquetado de tramas se utiliza para transmitir correctamente
las tramas de varias VLAN a travs de un enlace troncal.
Los switches etiquetan las tramas para identificar la VLAN a la
que pertenecen. Existen diferentes protocolos de etiquetado.
IEEE 802.1q es uno muy popular.
El protocolo define la estructura del encabezado de etiquetado
que se agrega a la trama.
Los switches agregan etiquetas VLAN a las tramas antes de
colocarlas en los enlaces troncales y quitan las etiquetas antes
de reenviar las tramas a travs de los puertos de enlace no
troncal.
Una vez que estn etiquetadas correctamente, las tramas
pueden atravesar cualquier cantidad de switches mediante los
enlaces troncales y aun as se pueden reenviar dentro de la
VLAN correcta en el destino.
Presentation_ID
27
Etiquetado de tramas de Ethernet para la

identificacin de VLAN
Presentation_ID
28
VLAN nativas y etiquetado de 802.1q

Las tramas que pertenecen a la VLAN nativa no se
etiquetan.
Una trama que se recibe sin etiqueta seguir sin
etiqueta y se colocar en la VLAN nativa cuando se
reenve.
Una trama sin etiqueta se descarta si no hay puertos
asociados a la VLAN nativa y si no hay otros enlaces
troncales.
En los switches Cisco, la VLAN nativa es la VLAN 1 de
manera predeterminada.
Presentation_ID
29
Enlace troncal IEEE 802.1Q

Estndar de IEEE (Open Source)..
Agrega una Etiqueta de 4 bytes a la trama original.
La etiqueta incluye un campo para prioridad (802.1p)
Admite trfico simultneo etiquetado y sin etiquetar.
Presentation_ID
30
Enlace troncal ISL (Inter-Switch Link)

Protocolo propietario de Cisco.
No modifica la trama original.
Usa proceso de encapsulacin.
En un puerto de enlace troncal ISL
se espera que todos los paquetes
recibidos sean encapsulados con un
encabezado ISL y que todos los
paquetes transmitidos se enven con
un encabezado ISL.
Las tramas nativas (sin etiquetar)
recibidas de un puerto de enlace
troncal ISL se descartan.
ISL ya no es un modo de puerto de
enlace troncal recomendado y no se
admite en varios de los switches de
Cisco.
Presentation_ID
31
Etiquetado de VLAN de voz
Presentation_ID
32
Comparacin ISL y 802.1Q
Presentation_ID
33
Enlace Troncal y los tipos de VLAN
Presentation_ID
34
Asignacin de VLAN
Horacio Vega F
Presentation_ID
35
Asignacin de VLAN
Rangos de VLAN en los switches Catalyst

Los switches de las series Catalyst 2960 y 3560 admiten
ms de 4000 VLAN.
Estas VLAN se dividen en dos categoras:
VLAN de rango normal
Nmeros de VLAN de 1 a 1005.
La configuracin se almacena en el archivo vlan.dat (en la memoria

flash).
VTP solo puede descubrir y almacenar las VLAN de rango normal.
VLAN de rango extendido
Presentation_ID
Nmeros de VLAN de 1006 a 4096.
La configuracin se almacena en la configuracin en ejecucin (en

la NVRAM).
VTP no descubre las VLAN de rango extendido.

36
Asignacin de VLAN
Creacin de una VLAN
Presentation_ID
37
Asignacin de VLAN
Asignacin de puertos a las redes VLAN
Presentation_ID
38
Asignacin de VLAN
Asignacin de puertos a las redes VLAN
Presentation_ID
39
Asignacin de VLAN
Cambio de pertenencia de puertos de una VLAN
Presentation_ID
40
Asignacin de VLAN
Cambio de pertenencia de puertos de una VLAN
Presentation_ID
41
Asignacin de VLAN
Eliminacin de VLAN
Presentation_ID
42
Asignacin de VLAN
Verificacin de informacin de VLAN
Presentation_ID
43
Asignacin de VLAN
Verificacin de informacin de VLAN
Presentation_ID
44
Asignacin de VLAN
Configuracin de enlaces troncales IEEE 802.1Q
Presentation_ID
45
Asignacin de VLAN
Permitir Vlan en enlaces troncales IEEE 802.1Q

El comando es:
Switch(config-if)# switchport trunk allowed vlan { vlan-list | all |{add |
except | remove} vlan-list}
Ejemplo:
(config- if )#switchport trunk allowed vlan 10,20-30,1
(config- if )#switchport trunk allowed vlan add 40

(config- if)#switchport trunk allowed vlan remove 30
Para verificar utilice el comando:
#show interface trunk
Presentation_ID
46
Asignacin de VLAN
Restablecimiento del enlace troncal al estado

predeterminado
Presentation_ID
47
Asignacin de VLAN
Restablecimiento del enlace troncal al estado

predeterminado
Presentation_ID
48
Asignacin de VLAN
Verificacin de la configuracin de enlace

troncal
Presentation_ID
49
Asignacin de VLAN
Pasos para configurar las Vlan y los enlaces

troncales
Presentation_ID
50
Configuracin de Calidad
de servicio para Vlan de
voz
Horacio Vega F
Presentation_ID
51
Asignacin de VLAN
VLAN de voz
Antes de que configure una VLAN de voz en el puerto,
primero debe crear una VLAN para voz y una VLAN para
datos.
Por ejemplo, la VLAN 150 es la VLAN de voz y la VLAN 20
es la VLAN de datos.
Se supone que la red ha sido configurada para garantizar
que el trfico de voz se pueda transmitir con un estado
prioritario sobre la red, mediante el comando mls qos trust
cos.
Cuando se enchufa por primera vez un telfono IP en un
puerto de switch que est en modo de voz, ste enva
mensajes al telfono proporcionndole la configuracin y el
ID de VLAN de voz adecuado.
Presentation_ID
52
Asignacin de VLAN
VLAN de voz
El telfono IP etiqueta las tramas de voz con el ID de VLAN
de voz y enva todo el trfico de voz a travs de la VLAN de
voz.
El comando de configuracin mls qos trust cos garantiza
que el trfico de voz se identifique como trfico
prioritario.
Recuerde que toda la red debe prepararse para que priorice
el trfico de voz.
No puede simplemente configurar el puerto con este
comando.
Presentation_ID
53
Asignacin de VLAN
VLAN de voz
S3 (config)#mls qos
S3 (config)#interface f0/20
S3 (config-if)# switchport mode access
S3 (config-if)#switchport access vlan 20
S3 (config-if)#switchport voice vlan 150
S3 (config-if)# mls qos trust cos
S3 (config-if)#mls qos trust device cisco-phone
Presentation_ID
54
Asignacin de VLAN
VLAN de voz
Presentation_ID
55
Asignacin de VLAN
VLAN de voz
Presentation_ID
56
DTP
Horacio Vega F
Presentation_ID
57
Protocolo de enlace troncal dinmico
Introduccin al protocolo DTP

Los puertos de switch se pueden configurar manualmente para
formar enlaces troncales.
Los puertos de switch tambin se pueden configurar para negociar
y para establecer un enlace troncal con un peer conectado.
El protocolo de enlace troncal dinmico (DTP) administra la
negociacin de enlaces troncales.
DTP es un protocolo exclusivo de Cisco que se habilita de manera
predeterminada en los switches Cisco Catalyst 2960 y Catalyst
3560.
DTP administra la negociacin del enlace troncal si el puerto en el
switch vecino se configura en un modo de enlace troncal que
admite DTP.
La configuracin predeterminada de DTP para los switches Cisco
Catalyst 2960 y 3560 es dynamic auto (dinmico automtico).
Presentation_ID
58
Modos de interfaz negociados

Los switches Cisco Catalyst 2960 y 3560 son compatibles
con los siguientes modos de enlace troncal:
switchport mode dynamic auto
switchport mode dynamic desirable
switchport mode trunk
switchport nonegotiate
Presentation_ID
59
Desactivacin del DTP

Puede desactivar el DTP para el enlace troncal para que el puerto local no
enve tramas de DTP al puerto remoto. Utilice el comando switchport
nonegotiate.
Entonces el puerto local se considera que est en un estado de enlace
troncal incondicional. El puerto vecino deber ser configurado como
troncal manualmente.
Utilice esta caracterstica cuando necesite configurar un enlace troncal con
un switch de otro proveedor.
Nota:
El modo switchport predeterminado para una interfaz en un switch Catalyst
2950 y 3550 es conveniente y dinmico (dynamic desirable ).
2960 es automtico y dinmico (dynamic auto).
2900XL es por defecto modo de acceso (mode access).
Presentation_ID
60
Resolucin de problemas
Horacio Vega F
Presentation_ID
61
Resolucin de problemas de VLAN y enlaces troncales
Problemas de direccionamiento de VLAN

Es una prctica comn asociar una VLAN a una red IP.
Dado que las diferentes redes IP solo se comunican

mediante un router, todos los dispositivos dentro de una
VLAN deben formar parte de la misma red IP para poder
comunicarse.
En la siguiente imagen, se muestra que la PC1 no puede
comunicarse con el servidor, porque tiene configurada
una direccin IP incorrecta.
Presentation_ID
62
VLAN faltantes
Si se resolvieron todas las incompatibilidades de las
direcciones IP pero el dispositivo an no puede
conectarse, revise si la VLAN existe en el switch.
Presentation_ID
63
Introduccin a la resolucin de problemas de

enlaces troncales
Presentation_ID
64
Problemas comunes con enlaces troncales

En general, los problemas de enlaces troncales se
deben a una configuracin incorrecta.
Los tipos ms comunes de errores de configuracin de
enlaces troncales son los siguientes:
1. Falta de concordancia de la VLAN nativa
2. Falta de concordancia del modo de enlace troncal
3. VLAN permitidas en enlaces troncales
Si se detecta un problema de enlace troncal, se

recomienda, segn las pautas de prcticas
recomendadas, resolver los problemas en el orden
anterior.
Presentation_ID
65
Falta de concordancia del modo enlaces troncales
Presentation_ID
66
Incompatibilidades del modo de enlace troncal

Cuando un puerto en un enlace troncal se configura con un modo
de enlace troncal que no es compatible con el puerto de enlace
troncal vecino, no se puede formar un enlace troncal entre los dos
switches.
Verifique el estado de los puertos enlace troncal de los switches
con el comando show interfaces trunk.
Para resolver el problema, configure las interfaces en los modos
de enlace troncal apropiados.
Presentation_ID
67
Lista de VLAN incorrectas

Se deben permitir las VLAN en el enlace troncal para
que se puedan transmitir las tramas a travs del
enlace.
Utilice el comando switchport trunk allowed vlan
para especificar las VLAN permitidas en el enlace
troncal.
Para asegurarse de que se permitan las VLAN
apropiadas en un enlace troncal, utilice el comando
show interfaces trunk.
Presentation_ID
68
Ataques a Redes VLAN
Horacio Vega F
Presentation_ID
69
Ataques a redes VLAN
Ataque de suplantacin de identidad de switch

Existen diferentes tipos de ataques a VLAN en las redes
conmutadas modernas. El salto de VLAN es uno de ellos.
La configuracin predeterminada del puerto de switch es
dynamic auto (dinmico automtico).
Al configurar un host para que funcione como switch y
formar un enlace troncal, un atacante podra acceder a
cualquier VLAN en la red.
Debido a que el atacante ahora puede acceder a otras
VLAN, esto se denomina ataque con salto de VLAN.
Para evitar un ataque de suplantacin de identidad de
switch bsico, desactive el enlace troncal en todos los
puertos, excepto en los que requieren el enlace troncal
especficamente.
Presentation_ID
70
Ataque de etiquetado doble

El ataque de etiquetado doble aprovecha la forma en que el
hardware desencapsula las etiquetas 802.1Q en la mayora
de los switches.
Muchos switches realizan solamente un nivel de
desencapsulacin 802.1Q, lo que permite que un atacante
incorpore un segundo encabezado de ataque no autorizado
en la trama.
Despus de quitar el primer encabezado 802.1Q legtimo, el
switch reenva la trama a la VLAN especificada en el
encabezado 802.1Q no autorizado.
El mejor mtodo para mitigar los ataques de etiquetado
doble es asegurar que la VLAN nativa de los puertos de
enlace troncal sea distinta de la VLAN de cualquier puerto
de usuario.
Presentation_ID
71
Ataque de etiquetado doble
Presentation_ID
72
Permetro de PVLAN
La caracterstica de permetro de
VLAN privada (PVLAN), tambin
conocida como puertos
protegidos, asegura que no se
intercambie trfico de unidifusin,
difusin o multidifusin entre los
puertos protegidos del switch.
Solo tiene importancia local.
Un puerto protegido intercambia
trfico solamente con los puertos
no protegidos.
Un puerto protegido no
intercambia trfico con otro puerto
protegido.
Presentation_ID
73
Permetro de PVLAN
Las caractersticas de la funcin de permetro de PVLAN
son las siguientes:
Los puertos protegidos no reenvan trfico (de unidifusin,
difusin o multidifusin) a ningn otro puerto que tambin sea
un puerto protegido, excepto el trfico de control.
El trfico de datos no se puede reenviar entre los puertos
protegidos en la capa 2.
El comportamiento de reenvo entre un puerto protegido y un
puerto no protegido contina normalmente.
Los puertos protegidos se deben configurar manualmente.
Presentation_ID
74
Permetro de PVLAN
Presentation_ID
75
Prcticas recomendadas
de diseo para las VLAN
Horacio Vega F
Presentation_ID
76
Prcticas recomendadas de diseo para las VLAN
Pautas de diseo de VLAN

Mueva todos los puertos de la VLAN1 y asgnelos a una VLAN
que no se utilice.
Desactive todos los puertos de switch sin utilizar.
Separe el trfico de administracin y de datos de usuario.
Cambie la VLAN de administracin por una VLAN distinta de
VLAN1. Lo mismo aplica para la VLAN nativa.
Asegrese de que solo los dispositivos en la VLAN de
administracin se puedan conectar a los switches.
El switch solo debe aceptar las conexiones SSH.
Deshabilite la autonegociacin en los puertos de enlace troncal.

No utilice los modos de puerto de switch automtico ni deseado.
Presentation_ID
77
Acceso remoto seguro SSH
Horacio Vega F
Presentation_ID
78
Acceso remoto seguro
Funcionamiento de SSH
Shell seguro (SSH) es un protocolo que proporciona una
conexin segura (cifrada) a un dispositivo remoto basada en la
lnea de comandos.
Por lo general, SSH se utiliza en sistemas basados en UNIX.
IOS de Cisco tambin admite SSH.
Para habilitar SSH en los switches Catalyst 2960, se requiere
una versin del software IOS que incluya caractersticas y
capacidades criptogrficas (cifradas).
SSH reemplaza a Telnet para las conexiones de administracin,
debido a sus slidas caractersticas de cifrado.
SSH utiliza el puerto TCP 22 de manera predeterminada. Telnet
utiliza el puerto TCP 23.
Presentation_ID
79
Funcionamiento de SSH
Presentation_ID
80
Configuracin de SSH
Presentation_ID
81
Ejemplo de configuracin de SSH

# configure terminal
# hostname ALS1
# enable secret class
# ip domain-name [nombre_dominio]
# crypto key generate rsa [1024]
Ejemplo: inacap.cl
Es el Tamao del modulo.
# ip ssh version 2
# username [nombre_usuario] privilege 15 secret [contrasea]
# Line vty 0 4
#Login local
#transport input ssh
#exit
Presentation_ID
82
Verificacin de SSH
Presentation_ID
83
Resumen
Horacio Vega F
Presentation_ID
84
Deteccin de DHCP con

el comando DHCP
Snooping
Horacio Vega F
Presentation_ID
85
Seguridad de puertos de switch
Deteccin de DHCP
La deteccin de DHCP permite determinar cules son los
puertos de switch que pueden responder a solicitudes de
DHCP.
Presentation_ID
86
Deteccin de DHCP
Presentation_ID
87
Deteccin de DHCP
Presentation_ID
88
Comandos de DHCP Snooping

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan vlan id
Switch(config)# ip dhcp snooping information option
Switch(config)# interface type mod / num
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# ip dhcp snooping limit rate [rate]
The rate can be 1 to 2048 DHCP packets per second.
Switch# show ip dhcp snooping [binding]
Presentation_ID
89
Ejemplo de comandos de DHCP Snooping

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 104
Switch(config)# ip dhcp snooping information option
Switch(config)# interface range fastethernet 0/18 20
Switch(config-if)# ip dhcp snooping limit rate 3
The rate can be 1 to 2048 DHCP packets per second.
Switch(config-if)# interface gigabitethernet 0/1
Presentation_ID
90
Verificacin de DHCP Snooping

Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
104
Insertion of option 82 is enabled
Interface
Trusted
Rate limit (pps)
------------------------ ----------
--------------------
FastEthernet0/35
no
FastEthernet0/36
no
GigabitEthernet0/1
yes
unlimited
Switch#
Presentation_ID
91
Seguridad de puertos de
acceso
Horacio Vega F
Presentation_ID
92
Seguridad de puertos: funcionamiento

La seguridad de puertos limita la cantidad
direcciones MAC vlidas permitidas en un puerto.
de
Se permite el acceso a las direcciones MAC de los

dispositivos legtimos, mientras que otras direcciones MAC
se rechazan.
Cualquier intento adicional de conexin por parte de
direcciones MAC desconocidas generar una violacin de
seguridad.
Las direcciones MAC seguras se pueden configurar de
varias maneras:
Direcciones MAC seguras estticas
Direcciones MAC seguras dinmicas

Direcciones MAC seguras persistentes
Presentation_ID
93
Seguridad de puertos: modos de violacin de

seguridad
IOS considera que se produce una violacin de seguridad
cuando se da cualquiera de estas situaciones:
Se agreg la cantidad mxima de direcciones MAC
seguras a la tabla CAM para esa interfaz, y una estacin
cuya direccin MAC no figura en la tabla de direcciones
intenta acceder a la interfaz.
Una direccin aprendida o configurada en una interfaz
segura puede verse en otra interfaz segura de la misma
VLAN.
Cuando se detecta una violacin, hay tres acciones
posibles que se pueden realizar:
Protect
Restrict
Shutdown
Presentation_ID
94

seguridad
Protect: Protege bloqueando, pero cuando llega una MAC conocida
vuelve a enviar trafico.
No avisa
No genera Syslog y SNMP.
Restrict:
Protege bloqueando, pero cuando llega una MAC conocida vuelve a
enviar trafico.
Enva Syslog y SNMP.
Enva un errdisable.
Shutdown:
Bloquea el puerto,
Apaga el puerto.
Hay que levantarlo manualmente.
Presentation_ID
95

seguridad
Shutdown El puerto de inmediato se pone en el estado
errdisable, lo que hace que efectivamente se apague. Hay que
volver a habilitarlo de forma manual o mediante la recuperacin
errdisable para ser utilizado de nuevo.
Restrict Al puerto se le permite permanecer en estado Up,
pero todos los paquetes violados de las direcciones MAC son
botados. El switch mantiene un recuento actualizado del
nmero de paquetes violados, se puede enviar una captura de
SNMP y un mensaje de Syslog como una alerta de la
violacin.
Protect Al puerto se le permite estar en estado Up, como en
el modo de restringir. A pesar de que los paquetes de
direcciones MAC violados se botan, no hay constancia de la
violacin.
Presentation_ID
96
Seguridad de puertos: configuracin

Configuracin predeterminada de la seguridad de
puertos dinmicos
Presentation_ID
97

Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2 (El rango va
de 1 132)
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security mac-address
0006.5b02.a841
Switch(config-if)# switchport port-security violation {shutdown |
restrict |
protect}
Presentation_ID
98

Configuracin de la seguridad de puertos dinmicos
Presentation_ID
99
Configuracin de la seguridad de puertos persistentes
Presentation_ID
100
Seguridad de puertos: verificacin

Verificacin de la seguridad de puertos persistentes
Presentation_ID
101

Verificacin de la seguridad de puertos persistentes:
configuracin en ejecucin
Presentation_ID
102

Verificacin de la seguridad de puertos: direcciones
MAC seguras
Presentation_ID
103
Puertos en estado de inhabilitacin por errores

Una violacin de seguridad de puertos puede dejar
al switch en estado de inhabilitacin por errores.
Un puerto en estado de inhabilitacin por errores
queda desactivado completamente.
El switch comunicar estos eventos por medio de
mensajes de consola.
Presentation_ID
104

El comando show interface tambin indica si hay un
puerto de switch en estado de inhabilitacin por errores.
Presentation_ID
105

Se debe emitir un comando de interfaz shutdown/no
shutdown para volver a habilitar el puerto.
Presentation_ID
106
Consultas ..
Presentation_ID
107
Presentation_ID
108

Unidad Ic - Implementación de Seguridad de VLAN

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad Ic - Implementación de Seguridad de VLAN

Uploaded by

Copyright:

Available Formats

Implementacin de

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

Beneficios de las redes VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

Beneficios de las redes VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

Es una prctica comn separar el trfico de voz y de administracin del

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

Para nuestro fin, una VLAN nativa sirve como un identificador

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

La VLAN 1 servira como VLAN de administracin si no defini

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

Ancho de banda garantizado para asegurar la calidad de la voz

Prioridad de la transmisin sobre los tipos de trfico de la red

Capacidad para ser enrutado en reas congestionadas de la red

Demora inferior a 150 ms a travs de la red

La caracterstica de la VLAN de voz permite que los puertos de

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

El puerto 1 se conecta al switch.

El puerto 2 es una interfaz interna 10/100 que enva el trfico

El puerto 3 (puerto de acceso) se conecta a una PC u otro

2014 Cisco Systems, Inc. Todos los derechos reservados.

Informacin confidencial de Cisco

Descripcin general de las VLAN

2014 Cisco Systems, Inc. Todos los derechos reservados.