TOPOLOGÍA
ESCENARIO
1. Habilitar Port Security en todos los puertos de acceso.
2. Configurar que el switch permita como máximo 1 dirección mac por puerto y esta tiene que ser grabada en la running.-config. Los equipos de la VLAN 10 se les aplicará la opción de protect.
3. Configurar DHCP Snooping.
4. Asegurar los puertos antes ataques de Spanning-Tree
5. Comprobar que se cumplen las recomendaciones de seguridad
--------------------------------------------------------------------------------------------------------------------------
1. Port Security
switch1(config)#int range fastEthernet 0/1 - 24
switch1(config-if-range)#switchport mode access
switch1(config-if-range)#switchport port-security
2. Una dirección mac por puerto y grabada en la running.
switch1(config-if-range)#switchport port-security maximum 1
switch1(config-if-range)#switchport port-security mac-address sticky
Los puertos de los equipos de la VLAN 10 en protect.
switch1(config)#int range fastEthernet 0/1 - 2
switch1(config-if-range)#switchport port-security violation protect
3. Configuramos la parte de DHCP en el Servidor DHCP para que los equipos consigan una dirección ip. Para que funcione, los puertos tienen que tener la VLAN 20 asignada. Recordad también que en el Serivdor DHCP hay que configurar la ip estática.
Ahora vamos a habilitar DHCP Snooping. Hacemos al puerto Fa0/7 de tipo fiable (trust). También lo configuramos para la vlan 20
switch1(config)#ip dhcp snooping
switch1(config)#int f0/7
switch1(config)#ip dhcp snooping vlan 20
Si no aparecen las mac,probad en los PC's a pedir otra vez la ip:
PC> ipconfig /release
PC> ipconfig /renew
Ahora vamos a configurar el puerto Fa0/8 como no fiable (untrust). Configuramos el DHCP FALSO y veremos como cierra el puerto.
4. Aseguramos el spanning-tree
switch1(config)#interface range f0/1 - 24
switch1(config-if-range)#spanning-tree bpduguard enable
5. Hacemos un repaso de la lista que nos sugiere Cisco
6. SWITCHING DE CAPA 3
No hay comentarios:
Publicar un comentario