Configds Prueba 3

HABILITAR PVST+
line console 0
logging synchronous
exit
ip routing
spanning-tree mode rapid-pvst
ip dhcp pool cisco

network 10.10.10.0 255.255.255.255
default-router 10.10.10.254
dns-server
lease 0 2
exit
ip dhcp excluded-address 10.10.10.254
spanning-tree mode rapid-pvst

1.Puertos f0/10 f0/11 ALS1/ALS2 asignar a la VLAN de Datos/ Voice segn topologa. P
osterior a eso habilitar port-security (solo permitir las MAC correspondientes),
en caso de violacin de seguridad solo permitir el paso de Syslog,Traps SNMP y qu
e registren violaciones de seguridad.
##################################################
########## Configurar interfaces #############
##################################################
#### ALS1-ALS2 ####

vlan
exit
name
vlan
name
exit
20
DATOS
150
VOICE
interface f0/10
switchport mode access
switchport access vlan 20
switchport voice vlan 150
switchport port-security
spanning-tree port fast
switchport port-security mac-address stinky
switchport port-security maximun 1
switchport port-security violation restrict
exit
##################################################
########## Configurar interfaces #############
##################################################
#### ALS1-ALS2 ####

vlan
exit
name
vlan
name
exit
20
DATOS
150
VOICE
interface f0/11
switchport mode access
switchport access vlan 20
switchport voice vlan 150
switchport port-security
spanning-tree port fast
switchport port-security mac-address stinky
switchport port-security maximun 1
switchport port-security violation restrict
exit
2 ####### Habilite Syslog en todos los Switches (Mande los Logs a PCLOG) #####
##########
logging on
logging host 192.168.100.1
logging trap informational
(ip del pc servidor de syslog)
3. ###### Las SVI pero las VLAN 10,20 en SW DLS1, y para VLAN 30 y 40 DLS2 (Pr
imera IP en cada SVI). ######
##################################################
########## Configurar interfaces SVI ###########
##################################################
#### DLS1 ####

vlan 10
exit
vlan 20
exit
interface vlan 10
ip address 192.168.10.1 255.255.255.0
no shutdown
exit
interface vlan 20
ip address 192.168.20.1 255.255.255.0
no shutdown
exit
##################################################
########## Configurar interfaces SVI ###########
##################################################
#### DLS1 ####

vlan 30
exit
vlan 40
exit
interface vlan 30
ip address 192.168.30.1 255.255.255.0
no shutdown
exit
interface vlan 40
ip address 192.168.40.1 255.255.255.0
no shutdown
exit
4.
El equipo PC1 debe estar aislado de PC 2 y PC 3, por lo tanto PC2 y PC3,
por entre ellos se ven pero no pueden llegar a PC1,equipos de otra VLAN si pued
en llegar a PC 1.
vtp mode transparent

vlan 10
name PRIMARY
private-vlan primary
vlan 200
name comunity
private-vlan community
vlan 300
name insolated
private-vlan isolated
vlan 10
private-vlan association 200,300
5.
DLS1 es DHCP VLAN 10,20,30 y DLS2 es DHCP VLAN 30 y 40

##################################################
##############
Configurar dhcp ##############
##################################################
#### DLS1 ####

ip dhcp pool vlan10
network 192.168.10.0 255.255.255.255
lease 0 2
exit
ip dhcp pool vlan20
network 192.168.20.0 255.255.255.255
lease 0 2
exit
ip dhcp pool vlan30
network 192.168.30.0 255.255.255.255
lease 0 2
exit
##################################################
##############
Configurar dhcp ##############
##################################################
#### DLS2 ####

ip dhcp pool vlan30
network 192.168.30.0 255.255.255.255
lease 0 2
exit
ip dhcp pool vlan40

network 192.168.40.0 255.255.255.255
lease 0 2
exit
6.######
Habilitar DHCP Snooping en todos los switches y declarar las pru
etas trust que corresponde. #################
##################################################
########## Configurar dhcp snooping ############
##################################################
#### DLS1 ####

ip dhcp snooping
ip dhcp snooping vlan 10-40
exit
int port-channel 1
ip dhcp snooping trust
exit
int port-channel 5
exit
int port-channel 4
exit
##################################################
##################################################
#### DLS2 ####

ip dhcp snooping
exit
int port-channel 2
exit
int port-channel 3
exit
int port-channel 5
exit
##################################################
##################################################
#### ALS1 ####

ip dhcp snooping
exit
int port-channel 1
exit
int port-channel 2
exit
##################################################
##################################################
#### ALS2 ####

ip dhcp snooping
exit
int port-channel 3
exit
int port-channel 4
exit
x - ########### CREAR PORt-CHANNEL CORRESPONDIENTES ################
##################################################
############## CREAR PORTCHANNELS ##############
##################################################
#### DLS1 ####

int range f0/6-7
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 5 mode desirable
no shutdown
exit
int range f0/2-3
channel-group 1 mode auto
no shutdown
exit
int range f0/4-5
channel-group 4 mode active
no shutdown
exit
##################################################
##################################################
#### DLS2 ####

int range f0/6-7
no shutdown
exit
int range f0/2-3
channel-group 3 mode passive

no shutdown
exit
int range f0/4-5
exit
##################################################
##################################################
#### ALS1 ####

int range f0/2-3
no shutdown
exit
int range f0/4-5
channel-group 2 mode desirable
no shutdown
exit
##################################################
##################################################
#### ALS2 ####

int range f0/2-3
channel-group 3 mode active
no shutdown
exit
int range f0/4-5
channel-group 4 mode passive
no shutdown
exit
7. #### Habilitar DAI en ALS2, f0/10 debe ser agregado de forma esttica chequear
la MAC origen del ARP Replay ####
#################################################
############## Configurar ARP ###############
#################################################
#### ALS2 ####

ip arp inspection vlan 30
int f0/10
ip arp inspection trust
exit
arp access-list ARPACL1
permit ip host 10.10.10.4 mac 1234.5678.1234 1235.1254.1245
exit
ip arp inspection filter ARPACL1 vlan 30 static
ip arp inspection validate src-mac
exit
8. #### Habilitar IP Source Guard en f0/10 ALS1,para evitar un spoofing de la IP

y de la MAC.###
########################################################################
#### ALS1 ####
int fa0/10
ip verify source port-security
#########################################################################
9.##### Preparar los SW para evitar el ataque de Seguridad VLAN Hopping (Double
TAG). ###########
###### DLS1 #######

int range port-channel 1 , port-channel 5 , port-channel 4
switchport trunk native vlan 5
switchport trunk allowed vlan remove 5
exit
d
vlan do1q taq native
###### DLS2 #######

int range port-channel 2 , port-channel 3 , port-channel 5
exit
vlan do1q taq native
###### ALS1 #######

int range port-channel 1 , port-channel 2
exit
###### ALS2 #######

int range port-channel 3 , port-channel 4
exit
#########################################################################
10
(ALS2)
#Int range fa 0/10-11
#spanning-tree bpduguard enable
11
#int fa 0/24
#spanning-tree guard root
12
(ALS1)
#spanning-tree port fast bpdu filter default
13
#no spanning-tree port fast bpdu filter default
#int fa 0/11
#spanning-tree bpdu filter enable
14
En todo los switches
#mls qos (configuracion global)
#auto qos voip trust (todo los troncales)
DLS2 PUERTO 20, 21
#int range f 0/20 -21
#switchport mode access
#switchport access vlan 20
#switchport access vlan 150
#mls qos trust cos
#mls qos trust device cisco-phone
#switchport priority extended trust
#switchport priority extended cos 3
#auto qos voip trust
15
aaa new-model
radius-server host 192.168.10.100 key cisco
aaa authe dot1x default group radius
dot1x system-auth-control
(PC conectado)
int fa0/11
dot1x port-control auto
16.
PC 4 y PC 5 no se pueden ver (VACL)
access-list 100 permit icmp host 192.168.10.20 host 192.168.10.30 echo

access-list 100 permit icmp host 192.168.10.30 host 192.168.10.20 echo
vlan access-map filtro 10
match ip add 100
and -| match ip add 100
| action drop
vlan access-map filtro 20 action forward
vlan filter filtro vlan-list 10
17)
#spanning-tree uplinkfast
El profesor cambi la topologa, solamente los equipos que estn conectados a los swit
ch ALS, por que no soportan poe y eso, saludos.

Configds Prueba 3

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Configds Prueba 3

Uploaded by

Copyright:

Available Formats

HABILITAR PVST+

ip dhcp pool cisco

spanning-tree mode rapid-pvst

#### ALS1-ALS2 ####

#### ALS1-ALS2 ####

(ip del pc servidor de syslog)

#### DLS1 ####

#### DLS1 ####

vtp mode transparent

DLS1 es DHCP VLAN 10,20,30 y DLS2 es DHCP VLAN 30 y 40

#### DLS1 ####

#### DLS2 ####

ip dhcp pool vlan40

#### DLS1 ####

#### DLS2 ####

#### ALS1 ####

#### ALS2 ####

x - ########### CREAR PORt-CHANNEL CORRESPONDIENTES ################

#### DLS1 ####

#### DLS2 ####

channel-group 3 mode passive

#### ALS1 ####

#### ALS2 ####

#### ALS2 ####

8. #### Habilitar IP Source Guard en f0/10 ALS1,para evitar un spoofing de la IP

###### DLS1 #######

###### DLS2 #######

###### ALS1 #######

###### ALS2 #######

PC 4 y PC 5 no se pueden ver (VACL)

access-list 100 permit icmp host 192.168.10.20 host 192.168.10.30 echo

You might also like