Unidad 6 y 7 - Paso 9– Lab 10-1, Securing Layer 2 Switches

DIPLOMADO DE PROFUNDIZACION
CCNP- (208014A_952)

Presentado a:
Efraín Alejandro Pérez
Tutor

Entregado por:
SEBASTIAN BARRERA LOBOA
Código: 1.119.889.819

Grupo:
208014_17

Universidad Nacional Abierta y a Distancia

Escuela de Ciencias Básicas, Tecnología e Ingeniería
02 de julio de 2021
Chapter 10 Lab 10-1, Securing Layer 2 Switches
Topology.

Objetivos
 Prepare la red.
 Implemente las características de seguridad de red de la capa 2.
 Evitar ataques de suplantación de DHCP.
 Evite el acceso no autorizado a la red mediante AAA.

fondo
Un compañero ingeniero de redes que conoces y en el que has confiado durante muchos años
te ha invitado a almorzar esta semana. En el almuerzo, menciona el tema de la seguridad de la
red y cómo dos de sus antiguos compañeros de trabajo habían sido arrestados por usar
diferentes técnicas de ataque de Capa 2 para recopilar datos de otros usuarios en la oficina
para su propio beneficio personal en sus carreras y finanzas. La historia te impacta porque
siempre has sabido que tu amigo es muy cauteloso con la seguridad en su red. Su historia le
hace darse cuenta de que su red empresarial ha sido cautelosa con las amenazas externas, la
seguridad de capa 3-7, los firewalls en las fronteras, etc., pero insuficiente en la seguridad y
protección de capa 2 dentro de la red local.
 Cuando regrese a la oficina, se reunirá con su jefe para analizar sus inquietudes. Después de
revisar las políticas de seguridad de la compañía, usted comienza a trabajar en una directiva
de seguridad de la capa 2.
En primer lugar, establezca qué amenazas de red le preocupan y, a continuación, cree un plan
de acción para mitigar estas amenazas. Mientras investiga estas amenazas, puede obtener
información sobre otras amenazas potenciales para los conmutadores de capa 2 que podrían
no ser malintencionadas, pero que podrían amenazar la estabilidad de la red. Usted decide
incluir estas amenazas en las políticas también.
Otras medidas de seguridad deben establecerse para proteger aún más la red, pero comienza
con la configuración de los conmutadores contra algunos tipos específicos de ataques,
incluidos los ataques de inundación de MAC, los ataques de suplantación de DHCP y el
acceso no autorizado a la red local. Tiene previsto probar las configuraciones en un entorno de
laboratorio antes de ponerlas en producción.
Nota: Este laboratorio utiliza los Cisco Catalyst 3560 y 2960 Switch que funcionan con los
servicios IP del Cisco IOS 15.0(2) y las imágenes de la base LAN, respectivamente. Los
switches 3560 y 2960 están configurados con las plantillas SDM "dual-ipv4-and-ipv6 routing" y
"lanbase-routing", respectivamente. Dependiendo del modelo del Switch y de la versión del
Cisco IOS Software, los comandos disponibles y la salida producidos pudieron variar de qué se
muestra en este laboratorio. Los Catalyst 3650 Switch (que funcionan con cualquier versión del
Cisco IOS XE) y los Catalyst 2960-Plus Switch (que funcionan con cualquier imagen soportada
del Cisco IOS) se pueden utilizar en lugar de los Catalyst 3560 Switch y de los Catalyst 2960
Switch.
Nota: Este laboratorio utiliza el Switch de Cisco WS-C2960-24TT-L con la imagen c2960-
lanbasek9-mz.150-2.SE6.bin del Cisco IOS y el Catalyst 3560V2-24PS Switch con la imagen
c3560-ipservicesk9-mz.150-2.SE6.bindel Cisco IOS. Otros Switches y versiones del Cisco
IOS Software pueden ser utilizados si tienen capacidades y características comparables.
Dependiendo del modelo del Switch y de la versión del Cisco IOS Software, los comandos
disponibles y la salida producidos pudieron variar de qué se muestra en este laboratorio.

Recursos necesarios
 2 Switches (Cisco 2960 con el Cisco IOS Release 15.0(2)SE6 C2960-LANBASEK9-
M imagen o comparable).
 1 Switches (Imagen del Cisco 3560 con el Cisco IOS Release 15.0(2)SE6 C3560-
IPSERVICESK9-M o comparable).
 3 PC con sistema operativo Windows. Uno de los PCs should ser equipado Wireshark,
WinRadius, y Tftpd32 software.
 Ethernet y cables de consola

Part 1: Prepárese para el laboratorio

Solución:
Topología implementada en el software GNS3 con VM, el servidor DHCP no se pudo utilizar
una imagen como servidor DHCP porque no fue posible hallarla para el software GNS3, por lo
tanto, opte por trabajar con un router cisco 7200 para que realizara las funciones de un
servidor DHCP.
En esta imagen podemos observar la topologia de la red donde utilizamos 2 switch capa 3 y
dos switch capa 2 IOU version 15, dos host y un servidor DHCP que en este caso toco utilizar
un router C7200 porque no logre encontrar una imagen IOS de un servidor DHCP para GNS3
Step 1: Preparar los modificadores para el laboratorio
Utilice el script reset.tcl que creó en el laboratorio 1 "Preparación del conmutador" para
configurar los conmutadores para este laboratorio. A continuación, cargue el archivo BASE.
CFG en los ejecutar-config con el comando copy flash:BASE. CFG running-config.

RTA: para quitar todos los contenidos en switches reales utilizamos los siguientes
comandos para L3

Utilizamos los siguientes comandos

DLS1 / DLS2:

tclsh
puts [ open "flash:reset.tcl" w+ ] {
typeahead "\n"
copy running-config startup-config
typeahead "\n"
erase startup-config
delete /force vlan.dat
delete /force multiple-fs
ios_config "sdm prefer dual-ipv4-and-ipv6 routing"
typeahead "\n"
puts "Reloading the switch in 1 minute, type reload cancel to halt"
typeahead "\n"
reload in 1 RESET.TCL SCRIPT RUN
}
Tclquit
Estos son los comandos

copy running-config startup-config

erase startup-config
delete /force vlan.dat
delete /force multiple-fs

conf term
sdm prefer dual-ipv4-and-ipv6 routing
reload

para quitar todos los contenidos en switches reales utilizamos los siguientes comandos
para L2

ALS1/ALS2:
tclsh
puts [ open "flash:reset.tcl" w+ ] {
typeahead "\n"
copy running-config startup-config
typeahead "\n"
erase startup-config
delete /force vlan.dat
delete /force multiple-fs
ios_config "sdm prefer lanbase-routing"
typeahead "\n"
puts "Reloading the switch in 1 minute, type reload cancel to halt"
typeahead "\n"
reload in 1 RESET.TCL SCRIPT RUN
}
Tclquit
RTA: la razon por la cual no se puede borrar la memoria flash se debe a que no hay archivos
que borrar.
Step 2: Configure los parámetros básicos del switch.
a. Cargando BASE. El CFG debe haber fijado el nombre de host, el Domain Name IP, y haber
apagado todas las interfaces en cada Switch.
b. Configure el secreto del permiso, y las contraseñas VTY. Como con los laboratorios
anteriores, si se requiere la compatibilidad de NETLAB, utilice la clase como el secreto del
permiso y Cisco como la contraseña VTY.

Comandos utilizados

DSL1#
DSL1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
DSL1(config)#hostname DSL1
DSL1(config)#enable secret class
DSL1(config)#line console 0
DSL1(config-line)#password cisco
DSL1(config-line)#login
DSL1(config-line)#exit
DSL1(config)#line vty 0 4
DSL1(config-line)#password cisco
DSL1(config-line)#login
DSL1(config-line)#exit
DSL1(config)#exit
 Aqui realizamos las configuraciones básicas en los dispositivos como la asiganacion de un
nombre y las contraseñas respectivas.

c. Configure el VLA N 99 de la interfaz en cada Switch con la dirección IP de administración

mostrada en el diagrama de topología.
 Configuramos las VLAN les asignamos sus respectivas direcciones IP

d. Configure los conmutadores de capa de acceso (ALS1 y ALS2) para utilizar una dirección
IP de puerta de enlace predeterminada de 172.16.99.1.
e. Configure el NTP básico (unauthenticated) en la red. Utilice DLS1 como el master NTP y
haga dls2, als1, y als2 sincronizar a 172.16.99.3.
f. Configure el enlace 802.1q entre el Switches según el diagrama (observe que no hay
EtherChanneles en esta topología). Cree y después utilice el VLA N 666 como el VLA N
nativo para todos los trunks. También apague la negociación del switchport en todos los
trunks.
En todos los dispositivos creamos los switchport trunk y les asignamos sus respectivas
VLAN, también creamos el enlace 802.1q entre el Switches según el diagrama hicimos
que DLS1 sea master NTP e hicimos que dls2, als1, y als2 sincronizaran a 172.16.99.3
Configure los cuatro Switches. Un ejemplo de la configuración DLS1 y ALS1 sigue:
DLS1# clock set 14:55:00 3 August 2015
DLS1# config t
DLS1(config)# clock timezone CST -6
DLS1(config)# clock summer-time CDT recurring
DLS1(config)# ntp master 10
DLS1(config)# enable secret class
DLS1(config)# enable secret class
DLS1(config)# line vty 0 15
DLS1(config-line)# password cisco
DLS1(config-line)# login
DLS1(config-line)# exit
DLS1(config)# interface vlan 99
DLS1(config-if)# ip address 172.16.99.3 255.255.255.0
DLS1(config-if)# no shutdown
DLS1(config-if)# exit
DLS1(config)# vlan 666
DLS1(config-vlan)# name NATIVE_DO_NOT_USE
DLS1(config-vlan)# exit
DLS1(config)# interface range fastethernet 0/7 - 12
DLS1(config-if-range)# switchport trunk encapsulation dot1q
DLS1(config-if-range)# switchport mode trunk
DLS1(config-if-range)# switchport trunk native vlan 666
DLS1(config-if-range)# switchport nonegotiate
DLS1(config-if-range)# no shut
DLS1(config-if-range)# exit

ALS1(config)# enable secret class

ALS1(config)# line vty 0 15
ALS1(config-line)# password cisco
ALS1(config-line)# login
ALS1(config-line)# exit
ALS1(config)# interface vlan 99
ALS1(config-if)# ip address 172.16.99.5 255.255.255.0
ALS1(config-if)# no shutdown
ALS1(config-if)# exit
ALS1(config)# ip default-gateway 172.16.99.1
ALS1(config)# ntp server 172.16.99.3
ALS1(config)# clock timezone CST -6
ALS1(config)# clock summer-time CDT recurring
ALS1(config)# vlan 666
ALS1(config-vlan)# name NATIVE_DO_NOT_USE
ALS1(config-vlan)# exit
ALS1(config)# interface range fastethernet 0/7 - 12
ALS1(config-if-range)# switchport mode trunk
ALS1(config-if-range)# switchport trunk native vlan 666
ALS1(config-if-range)# switchport nonegotiate
ALS1(config-if-range)# no shut
ALS1(config-if-range)# exit
g. Verifique el enlace y las operaciones del atravesar-árbol usando el trunk de las interfaces
de la demostración y los comandos show spanning-tree. ¿Qué Switch es el Root
Bridge?

Con este comando observamos que VLAN están atravesadas y utilizan el protocolo de
expansión de árbol.
RTA: segun las tablas que nos arrojan los commandos no aparece el Puente debido que
nos toca primero apagar el Puerto E0/0.
RTA: Entonces segun la siguiente comparacion entre el switch ASL1 y DSL1 temenos

Que DSL1 es el root bridge

h. Para ALS1 y ALS2, ¿qué troncos tienen un papel de designado (Desg), Alternativo (Altn), y
raíz?
ALS1: las rutas designadas son: E1/1-E1/2-E1/3
Las rutas alternativas son: E0/3-E1/0-E1/1
La ruta raíz es: E0/2
ALS2: las rutas designadas son: E1/2-E1/3
Las rutas alternativas son: E0/1-E0/02-E0/3
La ruta raíz es: E1/3
Paso 3: Configure el VTP en DLS2, el ALS1, y el ALS2.
a. Cambie el modo VTP de ALS1 y ALS2 al cliente. Un ejemplo de ALS1:
Cliente del modo vtp ALS1(config)#
Configuración del dispositivo al modo cliente VTP.
Cree la vlan 100 y 200 y le activamos el modo acceso.
 i. Cambie el modo VTP de DLS2 al servidor sin otra configuración:
DLS2(config)# servidor de modo vtp
Configuración del dispositivo al modo servidor VTP.

Step 3: Configure el VTP en DLS1.

Cree el dominio VTP en DLS1, y cree los VLA N 99, 100,y 200 para el dominio.
DLS1(config)# dominio vtp SWPOD
DLS1(config)# versión 2 del vtp

DLS1(config)# vlan 99
DLS1(config-vlan)# administración de nombres
DLS1(config-vlan)# vlan 100
DLS1(config-vlan)# nombre PERSONAL
DLS1(config-vlan)# vlan 200
DLS1(config-vlan)# nombre ESTUDIANTES
DLS1(config-vlan)# salida
DLS1(config) #

Esta imagen evidenciamos como creamos las vlan y

Les damos un nombre.

Step 4: Configurar equipos host.

Configure el hostA, B y C de los EQUIPOS con la dirección IP y la máscara de subred que se
muestran en la topología. El host A está en el VLA N 100 con un default gateway de
 172.16.100.1. El host B está en el VLA N 200 con un default gateway de 172.16.200.1. El host
C está en el VLA N 99 con un default gateway de 172.16.99.1.

Step 5: Configure los puertos de acceso.

Configure los puertos del host para los VLA N apropiados según el diagrama. Configure esto
en DLS1, ALS1, y ALS2. Un ejemplo del ALS1 está abajo (todos los puertos en el ALS1 deben
estar en el VLA N 100, todos los puertos en el ALS2 deben estar en el VLA N 200):
ALS1(config)# rango de interfaz fa0/6, fa0/15 - 24
ALS1(config-if-range)# acceso de modo switchport
ALS1(config-si-gama)# acceso del switchport vlan 100
ALS1(config-if-range)# spanning-tree portfast
ALS1(config-if-range)# no cerrado

%Advertencia: portfast sólo debe estar habilitado en los puertos

conectados a un único
anfitrión. Conectando hubs, concentradores, switches, puentes,
etc... a esto
interfaz cuando se habilita portfast, puede causar los Loop de
bridging temporales.
Usar con PRECAUCIÓN

%Portfast será configurado en 10 interfaces debido al comando range

pero tendrá solamente efecto cuando las interfaces están en un
modo del non-trunking.
 Hacemos q ue la ALS1 tenga el modo cliente VTP

Step 6: Switches raíz del Spanning-Tree de la configuración

Configure DLS1 para ser la raíz primaria para los VLA N 99 y 100 y la raíz secundaria para el
VLA N 200. Configure DLS2 para ser la raíz primaria para el VLA N 200 y la raíz secundaria
para los VLA N 99 y 100.
DLS1(config)# spanning-tree vlan 99.100 raíz primaria
DLS1(config)# raíz del spanning-tree vlan 200 secundaria
 Hacemos que DSL1 tenga el protocolo spanning-tree en la vlan 99 y
100 en donde esta sea primaria y en la VLAN 200 sea secundaria.

DLS2(config)# spanning-tree vlan 99.100 raíz secundaria

DLS2(config)# spanning-tree vlan 200 raíz primaria

Step 7: Configure el Ruteo y el HSRP en DLS1 y DLS2.

En el Switches DLS, cree los SMI para los VLA N 100 y 200 usando los direccionamientos
especificados en el diagrama de topología. Además, configure el HSRP con la preferencia en
las tres redes. Configure DLS1 con una prioridad de 150 para el VLA N 99 y 100, y DLS2 con
una prioridad de 150 para el VLA N 200. Configure esto en DLS1 y DLS2. A continuación se
muestra un ejemplo de DLS1:
Dls1(config)# ip routing
DLS1(config)# interfaz vlan 100
DLS1(config-if)# ip agregaress 172.16.100. 3 255.255.255.0
DLS1(config-si)# ip 100 espera 172.16.100.1
DLS1(config-if)# standby 100 priority 150
DLS1(config-if)# standby 100 preempt
DLS1(config-if)# exit
DLS1(config)# interfaz vlan 200
DLS1(config-if)# dirección IP 172.16.200. 3 255.255.255.0
DLS1(config-if)# ip 200 espera 172.16. 200,1
DLS1(config-if)# standby 200 preempt
DLS1(config-if)# exit
DLS1(config)# interfaz vlan 99
DLS1(config-if)# standby 99 ip 172.16.99.1
DLS1(config-if)# standby 99 priority 150
DLS1(config-if)# standby 99 preempt
DLS1(config-if)# exit
Configuramos el switch DSL2, los SMI para los VLA N 100 y 200 y el
HSRP con la preferencia en las tres redes. Tambien en DLS1 hicimos
una prioridad de 150 para el VLA N 99 y 100, y DLS2 con una
prioridad de 150 para el VLA N 200.
Verifique la configuración usando el resumen del vlan de lademostración, el estatusdel vtp de
la demostración, el resumen espera de la demostración,y el comando show ip route en
DLS1. La salida de DLS1 se muestra aquí.
Dls1# muestre el resumen del VLAN

Puertos de estado de nombre VLAN

---- ------------------------------ ---------
-------------------------------
1 activo predeterminado Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/13,
Fa0/14
Fa0/15, Fa0/16,
Fa0/17, Fa0/18
Fa0/19, Fa0/20,
Fa0/21, Fa0/22
Fa0/23, Fa0/24,
Gi0/1, Gi0/2
100 empleados activos
200 Estudiantes activos
1002 fddi-default act/unsup
1003 trcrf-default act/unsup
1004 fddinet-default act/unsup
1005 trbrf-default act/unsup

En esta imagen observamos un resumen de la vlan

¿Cuántos VLA N son activos en el dominio VTP?
RTA: las vlan activas en el dominio VTP son 99,100,200,666,999, pero tambien estan activas
la 1002,1003,1005, son consideradas activas
Dls1# muestre el estatus del vtp
Versión VTP capaz: 1 a 3
Versión VTP en ejecución: 1
Nombre de dominio VTP : SWLAB
Modo de poda VTP: Inhabilitado
Generación de desvíos VTP: Inhabilitado
ID del dispositivo: e840.406f.7280
Configuración modificada por última vez por 0.0.0.0 en 8-3-15
14:56:12
El ID del actualizador local es 172.16.99.3 en la interfaz Vl99 (la
interfaz VLAN numerada más baja encontrada)

VLAN de características:
--------------
Modo de funcionamiento VTP: Servidor
VLA N máximas soportadas localmente: 1005
Número de VLAN existentes: 9
Revisión de la configuración : 3
Resumen MD5 : 0xE2 0x62 0xBC 0xCE 0x16 0xF3 0xBC 0x0C
0x6D 0x84 0x63 0xF2 0x38 0x55
0xB9 0xB7

Vemos el resumen de la VTP

 Resumen de espera de la demostración DLS1#
P indica configurado para tener preferencia.
|
Interfaz Grp Pri P State Active Standby Virtual IP
Vl99 99 150 Local activo 172.16.99.4 172.16.99.1
Vl100 100 150 P Local activo 172.16.100.4 172.16.100.1
Vl200 200 100 P En espera 172.16.200.4 local 172.16.200.1
¿Cuál es el router activo para los VLAN 1 y 100? ¿Cuál es el router activo para el VLA N 200?
RTA: la vlan 1 no esta configurada asi que debe ser la 99 para este es el router DSL1 para la
vlan 200 es DSL2

De esta forma vemos si la VLAN 200 esta activa y si opera como local
Dls1# muestre la ruta ip | comience el gateway
La puerta de enlace de último recurso no está establecida

172.16.0.0/16 es variable subnetted, 6 subredes, 2 máscaras

C 172.16.99.0/24 está conectado directamente, Vlan99
L 172.16.99.3/32 está conectado directamente, Vlan99
C 172.16.100.0/24 está conectado directamente, Vlan100
L 172.16.100.3/32 está conectado directamente, Vlan100
C 172.16.200.0/24 está conectado directamente, Vlan200
L 172.16.200.3/32 está conectado directamente, Vlan200
 ¿Cuál sería el efecto sobre el VLAN 100 de la interfaz virtual si el VLAN100 no hubiera sido
creado?
RTA: El estado de la interface virtual vlan 100 seria levantado pero la línea del protocolo
estaría conectada y también la red directamente conectada no estaría presente en la tabla de
enrutamiento.

Parte 2: Implementar características de seguridad de red de

capa 2.
Especifique métodos de verificación y técnicas de mitigación para los tipos de
ataque.
Complete la tabla siguiente con los métodos de comprobación y los enfoques de mitigación
adecuados para los tipos de ataque especificados en la columna izquierda.

Tipo de ataque verificación mitigación

Suplantación o Con el comando SHOW Configurando el puerto de

inundación de MAC ADDRESS seguridad.
direcciones MAC podríamos saber y
Hay que configurar el
averiguar si hemos
espionaje DHCP
recibido ataques.
 DHCP SNOOPING

Suplantación de DHCP VER contratos de configurar el espionaje

arrendamiento de DHCP DHCP
para detectar
discrepancias

Acceso no autorizado a La verificación es muy Configuración de

la LAN difícil para este tipo de autenticación usando AAA
ataque

Step 2: Prevención de tormentas

Cuando los paquetes inundan la red de área local, se produce una tormenta de tráfico. Esto
podría degradar el rendimiento de la red. Las características de control de tormentas ayudan a
proteger contra un ataque de este tipo. El control de tormentas se implementa normalmente en
los puertos del conmutador de capa de acceso para mitigar los efectos de una tormenta de
tráfico antes de propagarse a la red. El control de tormentas también se puede implementar en
interfaces troncales, incluidas las interfaces de canal de puerto, para proteger los dispositivos
de capa de distribución de la saturación del tráfico, lo que podría tener un impacto mucho más
amplio en la red.
El control de tormentas puede detectar y mitigar tormentas de tráfico de difusión, unidifusión o
multidifusión. Como parte de la configuración, debe especificar lo que califica como una
tormenta; ya sea un umbral ascendente y descendente basado en el porcentaje del ancho de
banda de una interfaz utilizado (la tormenta se reconoce cuando se utiliza X% del ancho de
banda de la interfaz, y se ve que se reduce cuando se utiliza Y% del ancho de banda de la
interfaz), o basado en umbrales ascendentes y descendentes medidos en bits por segundo
(bps) o paquetes por segundo(pps).

Control detormentas
0-100 Omitt Falling and
0-100
Umbral Rising es la marca
Umbral descendente alta/baja
ascendente
| de difusión de | de control 0-10,000,000,000 [k| 0-10,000,000,000 [k|
de tormentas multidifusión ] bps m|g] Umbral m|g] Umbral
nivel ascendente descendente
0-10,000,000,000 [k| 0-10,000,000,000 [k|
Pps m|g] Umbral m|g] Umbral
ascendente descendente
Para configurar con precisión estos niveles, debe conocer la cantidad de estos tipos de tráfico
que fluyen en la red durante las horas punta.
Cuando se detecta una tormenta de tráfico y se configura el control de tormentas, la respuesta
predeterminada es filtrar silenciosamente el tráfico. El control de tormentas se puede configurar
opcionalmente para apagar la interfaz que recibe la tormenta de tráfico o para enviar un SNMP
Trap al NMS.
a. Habilite el control de tormentas de broadcast en los puertos 0/6 y 0/15 - 0/24 en el ALS1
con los parámetros enumerados abajo. Si se detecta alguna tormenta, se enviará una
captura SNMP.
1) Las tormentas de unidifusión se observarán en un uso de ancho de banda del 65% y
disminuyerán en el ancho de banda del 35%
2) Las tormentas de transmisión se observarán a 1000 pps y disminuyerán a 300pps
3) Las tormentas de multidifusión se observarán en el uso de ancho de banda del 40% y
disminuyerán en el ancho de banda del 25%
ALS1(config)# rango de interfaz FastEthernet 0/6, f0/15-24
ALS1(config-if-range)# nivel de unidifusión de control de tormentas
65 35
ALS1(config-if-range)# storm-control broadcast level pps 1k 300
ALS1(config-if-range)# nivel de multidifusión de control de
tormentas 40 25
ALS1(config-if-range)# trampa de acción de control de tormentas

RTA: estos comandos no están soportados en GNS3

storm-control unicast level 65 35

ALS1(config-if-range)# storm-control broadcast level pps 1k 300
ALS1(config-if-range)# storm-control multicast level 40 25
ALS1(config-if-range)# storm-control action trap
 Los comandos no están soportados por GNS3

b. Verifique la configuración con el comando show storm-control. La salida a continuación

muestra la información de solo f0/6; dejando la designación de la interfaz apagado
mostraría la información de configuración para todas las interfaces configuradas del control
de tormentas.
EL ALS1# muestre el unicast del control de tormentas f0/6
Estado del filtro de interfaz Corriente inferior superior
--------- ------------- ----------- ----------- ----------
Fa0/6 Reenvío 65.00% 35.00% 0.00%
Difusión de ALS1# muestre el control de tormentas f0/6
Estado del filtro de interfaz Corriente inferior superior
--------- ------------- ----------- ----------- ----------
Fa0/6 Reenvío 1k pps 300 pps 0 pps
Multicast del control de tormentas f0/6 de la demostración ALS1#
Estado del filtro de interfaz Corriente inferior superior
--------- ------------- ----------- ----------- ----------
Fa0/6 Reenvío 40.00% 25.00% 0.00%
ELA1 #

Step 8: Demostrar la operación de control de tormentas

Para demostrar los efectos del control de tormentas, configure el control de tormentas del
unicast en las interfaces DLS1 F0/7 y F0/8 con los números útil bajos y después genere el
tráfico del ALS1 que hará el umbral ser excedido.
a. En DLS1, configure F0/7 y F0/8 con lo siguiente:
DLS1(config)#int corrió f0/7-8
DLS1(config-if-range)#nivel de unidifusión de control de tormentas
bps 750 300
DLS1(config-if-range)# acciónde control de tormentas cerrada
DLS1(config-if-range)#exit
 RTA: esta parte de la practica no es posible realizarla debido a
que GNS3 no soporta el comando storm-control, pero podemos concluir
que la acción que se realiza en esta parte es apagar la interfaz
cuando las ráfagas están entre los 752 y 300 bits por segundo.
b. En el ALS1, publique el comando ping 172.16.99.3 repita 1000.
c. Dentro de algunos segundos usted verá un mensaje de SYSLOG en DLS1 que indica que
una tormenta había sido detectada y las interfaces apagadas.
Ago 3 15:44:38.333: %PM-4-ERR_DISABLE: error de control de
tormentas detectado en Fa0/7, poniendo Fa0/7 en err-disable estado
Ago 3 15:44:38.358: %STORM_CONTROL-3-SHUTDOWN: Se detectó una
tormenta de paquetes en Fa0/7. La interfaz se ha deshabilitado.
Ago 3 15:44:39.339: %LINEPROTO-5-UPDOWN: Line protocol on Interface
FastEthernet0/7, changed state to down
Ago 3 15:44:40.363: %LINK-3-UPDOWN: Interfaz FastEthernet0/7,
estado cambiado a abajo
Ago 3 15:45:09.572: %PM-4-ERR_DISABLE: error de control de
tormentas detectado en Fa0/8, poniendo Fa0/8 en err-disable estado
Ago 3 15:45:09.597: %STORM_CONTROL-3-SHUTDOWN: Se detectó una
tormenta de paquetes en Fa0/8. La interfaz se ha deshabilitado.
Agosto 3 15:45:10.579: %LINEPROTO-5-UPDOWN: Line protocol en
interfaz FastEthernet0/8, estado cambiado a abajo
Ago 3 15:45:11.602: %LINK-3-UPDOWN: Interfaz FastEthernet0/8,
estado cambiado a abajo
a. Reajuste la configuración del control de tormentas en DLS1 F0/7 y F0/8. Porque las
interfaces ahora son apagado debido a un ERR-DISABLE, usted tiene que reajustarlas
manualmente publicando los comandos shutdown y no shutdown. Mientras hace esto,
quite el control de tormentas de las interfaces.
DLS1(config)#int corrió f0/7-8
DLS1(config-if-range)#apagado
DLS1(config-if-range)#no storm-control unicast level bps 750 300
DLS1(config-if-range)#ninguna acción de control de tormentas
cerrada
DLS1(config-if-range)#sin apagado
DLS1(config-if-range)#exit
RTA: la configuración control de tormenta no funciona en este simulador, pero
concluimos que lo que se hace es activar y desactivar la interfaz para quitar el control de
tormentas.

Step 9: Configure la Seguridad de puerto básica.

Para proteger contra la inundación mac o los ataques spoofing, configure la Seguridad del
puerto en los puertos de acceso del VLA N 100 y 200. Porque los dos VLA N sirven diversos
propósitos — uno para el personal y uno para los estudiantes — configure los puertos para
resolver los diversos requisitos.
La VLAN del estudiante debe permitir que las direcciones MAC asignadas a un puerto
cambien, porque la mayoría de los estudiantes usan computadoras portátiles y se mueven
dentro de la red. Configure la Seguridad de puerto para que solo se permita una dirección MAC
en un puerto en un momento dado. Este tipo de configuración no funciona en los puertos que
necesitan dar servicio a teléfonos IP con equipos conectados o máquinas virtuales en
ejecución de PC. En este caso, habría dos direcciones MAC permitidas. Para habilitar la
Seguridad en un puerto, usted debe primero publicar el comando switchport port-security
por sí mismo.
Las direcciones MAC del personal no cambian a menudo, porque el personal utiliza estaciones
de trabajo de escritorio proporcionadas por el departamento de TI. En este caso, usted puede
configurar el VLA N del personal de modo que la dirección MAC aprendida en un puerto esté
agregada a la configuración en el Switch como si la dirección MAC fuera configurada usando el
comando switchport port-security mac-address. Esta característica, que se llama
aprendizaje pegajoso, está disponible en algunas plataformas de conmutación. Combina las
características de direcciones aprendidas dinámicamente y configuradas estáticamente. Los
puertos del personal también permiten que un máximo de dos direcciones MAC sea aprendido
dinámicamente por el puerto.
d. Ingrese la configuración para los puertos de acceso del estudiante en el ALS2. Para
habilitar la Seguridad de puerto básica, publique el comando switchport port-security.
Nota:Por abandono, publicando el comando switchport port-security por sí mismo fija el
número máximo de direcciones MAC a 1, y el modo de la violación para apagar. No es
necesario especificar el número máximo de direcciones, a menos que sea mayor que 1.
ALS2(config)# interface range fastethernet 0/6, f0/15 - 24
ALS2(config-if-range)# switchport port-security

e. Verifique la configuración para el ALS2 usando el comando show port-security interface.

ALS2# show interfaz de seguridad de puerto f0/6

Seguridad portuaria : Habilitado
Estado del puerto : Secure-up
Modo de infracción: Apagado
Tiempo de envejecimiento: 0 minutos
 Tipo de envejecimiento : Absoluto
SecureStatic Address Aging : Deshabilitado
Direcciones MAC máximas: 1
Total de direcciones MAC : 1
Direcciones MAC configuradas: 0
Direcciones MAC pegajosas: 0
Dirección de fuente pasada:Vlan : 000c.2911.a33a:200
Recuento de infracciones de seguridad: 0

Step 10: Configure los parámetros adicionales de la Seguridad de puerto.

a. Ingrese la configuración de los puertos del personal en el ALS1. Primero, habilite la
Seguridad de puerto con el comando switchport port-security. Utilice el comando
switchport port-security maximum #_of_MAC_addresses de cambiar el número máximo
de direcciones MAC a 2, y utilice el comando switchport port-security mac-address
sticky de permitir que los dos direccionamientos dinámicamente aprendidos sean
agregados a la configuración corriente.
ALS1(config)# interface range fastethernet f0/6, f0/15 - 24
ALS1(config-if-range)# switchport port-security
ALS1(config-if-range)# switchport port-security maximum 2
ALS1(config-if-range)# switchport port-security mac-address sticky
Esta vez se permiten dos direcciones MAC. Ambos se aprenderán dinámicamente y, a
continuación, se agregarán a la configuración en ejecución.
b. Verifique la configuración usando el comando show port-security interface.
ALS1#sho port-security int f0/6
Seguridad portuaria : Habilitado
Estado del puerto : Secure-up
Modo de infracción: Apagado
Tiempo de envejecimiento: 0 minutos
Tipo de envejecimiento : Absoluto
SecureStatic Address Aging : Deshabilitado
Direcciones MAC máximas: 2
Total de direcciones MAC : 1
Direcciones MAC configuradas: 0
Direcciones MAC pegajosas: 1
Dirección de fuente pasada:Vlan : 000c.2915.ab9d:100
Recuento de infracciones de seguridad: 0
Step 11: Configurar la recuperación automática del puerto inhabilitado de la
configuración
Una vez que se produce una infracción en un puerto, el puerto pasará a un estado de error
deshabilitado. La única manera de borrar un puerto que ha sido error inhabilitado es realizar
un comando shutdown y entonces un no shutdown en la interfaz. Este método, por
supuesto, requiere la intervención manual de un administrador.
Los puertos inhabilitados error se pueden configurar para recuperarse automáticamente de las
violaciones de seguridad del puerto con el uso del comando errdisable recovery cause. Se
puede configurar un intervalo para que después de un tiempo especificado el puerto borre
automáticamente la infracción.
El comando de verificar la configuración de la neutralización del error es la recuperación
errdisable delademostración.
Configure el Switch para recuperar automáticamente un puerto inhabilitado del error causado
de una violación de la Seguridad del puerto. Observe que hay muchas opciones diferentes
para las que puede configurar la recuperación de deshabilitación de errores. Sin embargo, lo
configuraremos solo para la infracción de seguridad de puerto.

ALS1(config)# errdisable causa de recuperación ?

todos Habilitar temporizador para recuperarse de todas las causas de
error
arp-inspección Habilitar temporizador para recuperarse de un error de
inspección arp
Deshabilitar el estado
bpduguard Habilitar temporizador para recuperarse del error de protección
BPDU
channel-misconfig (STP) Habilitar temporizador para recuperarse del error
de configuración incorrecta de canal
dhcp-rate-limit Habilitar temporizador para recuperarse del error dhcp-
rate-limit
dtp-flap Habilite el temporizador para recuperarse del error del dTP-flap
gbic-invalid Habilitar temporizador para recuperarse de un error GBIC no
válido
 alimentación en línea Habilitar temporizador para recuperarse de un error
de alimentación en línea
link-flap Habilite el temporizador para recuperarse del error link-flap
loopback Habilitar temporizador para recuperarse del error de bucle
invertido
mac-limit Habilitar temporizador para recuperarse del estado de
desactivación del límite de mac
pagp-flap Habilitar temporizador para recuperarse del error pagp-flap
port-mode-failure Habilitar temporizador para recuperarse del cambio de
modo de puerto
fracaso
pppoe-ia-rate-limit Habilite el temporizador para recuperarse del límite
de velocidad pppoe IA
error
psecure-violation Habilitar temporizador para recuperarse del error de
violación psecure
psp Habilitar temporizador para recuperarse de psp
infracción de seguridad Habilitar temporizador para recuperarse del error
de infracción 802.1x
sfp-config-mismatch Habilite el temporizador para recuperarse de la
discordancia de los config SFP
error
small-frame Habilitar temporizador para recuperarse de un error de trama
pequeña
control de tormentas Habilitar temporizador para recuperarse de un error
de control de tormentas
udld Habilitar temporizador para recuperarse del error udld
vmps Habilitar temporizador para recuperarse del error de apagado de vmps

ALS1(config)# errdisable recuperar causa psecure-violación

RTA: el comando no genera ningun efecto en la consola

Configure el intervalo de recuperación durante 30 segundos. Si no se especifica ningún
intervalo de recuperación, el valor predeterminado del tiempo de recuperación es de 300
segundos.

ALS1(config)# errdisable intervalo de recuperación ?

<30-86400> intervalo de temporizador (seg.)
 ALS1(config)# errdisable intervalo de recuperación 30

Utilice el comando show errdisable recovery de ver la configuración.

ALS1# muestra la recuperación errdisable

Estado del temporizador de razón ErrDisable
----------------- --------------
arp-inspección inhabilitada
bpduguard deshabilitado
canal-misconfig (STP) inhabilitado
dhcp-rate-limit Deshabilitado
dtp-flap deshabilitado
gbic-invalid deshabilitado
encendido en línea deshabilitado
link-flap deshabilitado
mac-limit deshabilitado
bucle invertido deshabilitado
pagp-flap deshabilitado
puerto-modo-error deshabilitado
pppoe-ia-rate-limit deshabilitado
psecure-violation habilitado
 infracción de seguridad deshabilitada
sfp-config-mismatch deshabilitado
trama pequeña deshabilitada
control de tormentas deshabilitado
udld deshabilitado
vmps deshabilitado
psp Deshabilitado

Intervalo del temporizador: 30 segundos

Interfaces que se habilitarán en el siguiente tiempo de espera:

Part 2: Configure el Snooping del DHCP del IPv4

La suplantación de DHCP es un tipo de ataque principalmente en el que un dispositivo no
autorizado asigna información de configuración y direccionamiento IP a los hosts de la red.
Los servidores DHCP IPv4 responden a las tramas DHCPDISCOVER. Estas tramas son
generalmente BROADCAST, lo que significa que se ven en toda la red. El atacante responde a
una solicitud DHCP, afirmando tener información válida de puerta de enlace y DNS. Un
servidor DHCP válido también puede responder a la solicitud, pero si la respuesta del atacante
llega primero al solicitante, se usa la información no válida del atacante. Esto puede conducir a
una denegación de servicio o interceptación de tráfico.
 El proceso que usaremos para ver este trabajo es verificar primero que el DHCP DISCOVER
se difunde en todas partes, y luego habilitar el espionaje DHCP para ver que se detiene.
Para hacer esto, usaremos la función de servidor DHCP de Tftpd32.

Step 1: Comprobar la operación de difusión DHCP

En el host C,
configure las
configuraciones
del servidor
DHCP en Tftpd32
para soportar el
DHCP para el
VLA N 200. La
captura de
pantalla detalla la
configuración:

a. En DLS1, publique el comando ip helper-address 172.16.99.50 bajo interfaz VLAN 200.

b. Reasigne la interfaz f0/6 en el ALS1 al VLA N 200.
c. En el Host A, ejecute Wireshark y haga que se recopile en su interfaz ethernet. En la barra
de filtro, escriba bootp y presione enter (esto filtra la salida para mostrar solo los
paquetes relacionados con DHCP).

d. En el host B, vuelva a configurar la interfaz de red para utilizar DHCP. Usted debe ver que
el host B recibe una dirección IP y otra información del DHCP.
Conexión de área local del adaptador Ethernet:

Sufijo DNS específico de la conexión. : GOOD-DHCP. SRV

Dirección IPv6 local de vínculo . . . . . : fe80::b8ee:7ffd:e885:8423%10
Dirección IPv4. . . . . . . . . . . : 172.16.200.150
Máscara de subred . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . . . . . : 172.16.200.1
 e. Vuelva al host A y usted debe ver el tráfico DHCP en la ventana de la captura.

Si el Host A fuera un atacante, podría crear mensajes OFFER del servidor DHCP u otros
mensajes de servidor DHCP para responder a la solicitud DHCP del Host B.
Para ayudar a proteger la red de un ataque de este tipo, puede utilizar el espionaje DHCP.
RTA: esta parte del laboratorio me fue imposible realizarla debido a que no conte con la
imagen del servidor DHCP por ello no se pudo realizar el laboratorio tal y como la guía lo
sugiere.

Step 2: Configure DHCP Snooping

El snooping del DHCP es una característica del Cisco Catalyst que determina qué puertos del
switch se permiten responder a las peticiones del DHCP. Los puertos se identifican como de
confianza o que no son de confianza. Los puertos de confianza permiten todos los mensajes
DHCP, mientras que los puertos que no son de confianza sólo permiten solicitudes DHCP (de
entrada). Los puertos de confianza pueden alojar un servidor DHCP o pueden ser un vínculo
superior hacia un servidor DHCP. Si un dispositivo no autorizado en un puerto que no es de
confianza intenta enviar un paquete de respuesta DHCP a la red, el puerto está deshabilitado.
Desde una perspectiva de espionaje DHCP, los puertos de acceso que no son de confianza no
deben enviar ninguna respuesta del servidor DHCP, como DHCPOFFER, DHCPACK o
DHCPNAK.
Configurar dhcp Snooping en un solo Switch es muy simple. Existen consideraciones
adicionales al configurar el Snooping DHCP en la capa de acceso de una red empresarial de
varias capas. Por abandono el Switches que pasa las peticiones del DHCP encendido a otro
Switch insertará la información del opción-82, que se puede utilizar para las diversas funciones
de administración.
Cuando un Switch recibe una trama DHCP que tenga información option-82 en una interfaz
untrusted, la trama será caída. El comando ip dhcp relay information trust-all es una forma
de evitar este comportamiento predeterminado. No es necesario habilitar el snooping del
DHCP en el Switches de la capa de distribución, aunque esto permitiría que DLS1 y DLS2
confíen en el ALS1 y el ALS2 como agentes de retransmisión.
a. Configure DLS1 y DLS2 para confiar en las peticiones reencomenadas del DHCP
(preajuste de la opción 82 con el campo del giaddr igual a 0.0.0.0). Configure esto en
DLS1 y DLS2. A continuación se muestra un ejemplo de DLS1:
DLS1(config)# ip dhcp relay information trust-all

b. Configure el ALS1 y el ALS2 para confiar en la información del DHCP en los puertos
troncales solamente, y limite la tarifa que las peticiones están recibidas en los puertos de
 acceso. La configuración del snooping del DHCP en los Switches de la capa de acceso
implica los pasos siguientes:
 Gire snooping en globalmente usando el comando ip dhcp snooping.
 Configure las interfaces de confianza con el comando ip dhcp snooping trust. De
forma predeterminada, todos los puertos se consideran que no son de confianza a
menos que estén configurados estáticamente para ser de confianza. * Muy importante
* : La topología usada para este laboratorio no está utilizando los EtherChanneles.
Recuerde que cuando un EtherChannel creado, la interfaz del canal de puerto virtual
es utilizada por el Switch para pasar el tráfico; las interfaces físicas (y importantemente
su configuración) no son referidas por el Switch. Por lo tanto, si esta topología utilizaba
los EtherChanneles,el comando ip dhcp snooping trust necesitaría ser aplicado a las
interfaces del canal de puerto y no a las interfaces físicas que componen el conjunto.
 Configure un límite de velocidad de solicitudes DHCP en los puertos de acceso de
usuario para limitar el número de solicitudes DHCP permitidas por segundo. Esto se
configura usando el ip dhcp snooping velocidad de límite rate_in_pps. Este
comando previene los ataques de inanición del DHCP limitando el índice de las
peticiones del DHCP en los puertos que no son de confianza.
 Configure los VLA N que utilizarán el snooping del DHCP. En este escenario, el
snooping del DHCP será utilizado en los VLA N del estudiante y del personal.
Configure esto en ELS1 y el ALS2. Un ejemplo de ALS1 está abajo:
ALS1(config)# ip dhcp snooping
ALS1(config)# interface range fastethernet 0/7 - 12
ALS1(config-si-gama)# ip dhcp snooping confianza
ALS1(config-if-range)# exit
ALS1(config)# interface range fastethernet 0/6, f0/15 - 24
ALS1(config-si-gama)# ip dhcp snooping índice de límite 20
ALS1(config-if-range)# exit
ALS1(config)# ip dhcp snooping vlan 100,200
c. Verifique las configuraciones en el ALS1 y el ALS2 usando el comando show ip dhcp
snooping.
ALS2# muestre el dhcp del IP que husmea
El snooping del DHCP del switch está habilitado
El snooping del DHCP se configura en los VLA N siguientes:
100,200
El snooping del DHCP es operativo en los VLA N siguientes:
100,200
El snooping del DHCP se configura en las interfaces siguientes L3:

La inserción de la opción 82 está habilitada

formato predeterminado circuit-id: vlan-mod-port
id remoto: 5017.ff84.0a80 (MAC)
No se permite la opción 82 en puertos que no son de confianza
La verificación del campo hwaddr está habilitada
La verificación del campo giaddr está habilitada
La confianza/la tarifa del snooping del DHCP se configura en las
interfaces siguientes:

Opción de permiso de confianza de interfaz límite de velocidad(pps)

----------------------- ------- ------------
----------------
FastEthernet0/6 no no 20
Identificadores de circuito personalizados:
FastEthernet0/7 sí sí ilimitado
Identificadores de circuito personalizados:
FastEthernet0/8 sí sí ilimitado
Identificadores de circuito personalizados:
Opción de permiso de confianza de interfaz límite de velocidad(pps)
----------------------- ------- ------------
----------------
FastEthernet0/9 sí sí ilimitado
Identificadores de circuito personalizados:
FastEthernet0/10 sí sí ilimitado
 Identificadores de circuito personalizados:
FastEthernet0/11 sí sí ilimitado
Identificadores de circuito personalizados:
FastEthernet0/12 sí sí ilimitado
Identificadores de circuito personalizados:
<... SALIDA OMITIDA... >
Step 3: Verifique la operación del Snooping del DHCP del IPv4
Para verificar que el espionaje DHCP funciona, vuelva a ejecutar la prueba realizada para
observar el funcionamiento dhcp sin el espionaje DHCP configurado. Asegúrese de que
WIRESHARK todavía se está ejecutando en HOST_A. Emita el comando ipconfig /renew en
HOST_B. En este caso, dhcpdiscover no debe verse en HOST_A.
Una vez validado, cambie ALS1 f0/6 de nuevo al VLA N 100 y aseegurese HOSTA y hostb
tienen IP Addresses estáticos válidos asignados.

¿Las respuestas DHCP se permitirán a los puertos de acceso de ingreso asignados a VLAN
200?
RTA: no los puertos de acceso VLAN 200 son no confiables para DHCP config solo las
solicitudes DHCP pueden ser enviados atreves de estos puertos no las respuestas.

¿Cuántos paquetes DHCP se permitirán en Fast Ethernet 0/16 por segundo?

RTA: seran alimentados por 20 paquetes por segundo

Part 3: Configuración AAA

AAA significa Autenticación, Autorización y Contabilidad. La porción de la autenticación de AAA
se refiere al usuario que es identificado positivamente. La autenticación se configura definiendo
una lista de métodos de autenticación y aplicando esa lista a interfaces específicas. Si las listas
no están definidas, se utiliza una lista predeterminada.
Para demostrar esto utilizaremos el AAA para validar a los usuarios que intentan iniciar sesión
en las líneas VTY de nuestros dispositivos de red. El servidor de AAA será un servidor de
RADIUS en el host C (172.16.99.50) conectado con el DLS1 F0/6. Hay muchas alternativas
diferentes de servidor de RADIUS, pero para este laboratorio se utiliza el programa WinRadius.
Para esta parte de la configuracion se me complica porque no tengo el servidor radius y
tampoco winradius

Step 1: Switches de la configuración para utilizar el AAA para asegurar el acceso a

la línea VTY
Tal como está parado, todo el Switches debe tener una contraseña estáticamente asignada de
Cisco en las líneas VTY. No se trata de una configuración escalable. Requiere una sola
contraseña conocida, y la modificación manual de cada Switch individualmente así como la
difusión controlada de esa sola contraseña sabda. El uso de la autenticación centralizada es un
método mucho más simple, donde cada usuario utiliza su propio nombre de usuario y
contraseña únicos.
Asegúrese de que el host C tenga conectividad al gateway y a los cuatro Switches.
Realice los siguientes cambios de configuración en los cuatro conmutadores:
f. Publique el comando aaa new-model global configuration de habilitar el AAA
ALS1(config)# nuevo-modelo aaa
 g. Configurar un usuario local llamado lastditch con un nivel de privilegio de 15 y una
contraseña de $cisco 123&configure a local user named lastditch with a privilege level of 15
and a password of $cisco 123&configure a local user named lastditch with a privilege level
of 15 and a password of $cisco 123&Configure
ALS1(config)#nombre de usuario lastditch privilegio 15 contraseña
$cisco 123&/

h. Configure al servidor de RADIUS para utilizar el puerto de autenticación 1812, el

puerto de contabilidad 1813 y la clave compartida WinRadius
ALS1(config)# servidor de RADIUS RADIUS
ALS1(config-radius-server)# dirección ipv4 172.16.99.50 auth-port
1812 acct-port 1813
ALS1(config-radius-server)# clave WinRadius
ALS1(config-radius-server)# salida
i. Configure el CONTROL REMOTO del método de autenticación AAA para utilizar al
servidor de RADIUS y para el respaldo a la base de datos local
ALS1(config)# aaa authentication login remote-control group radius
local
j. Configure las líneas VTY para utilizar el método de autenticación del TELECONTROL
ALS1(config)# línea vty 0 4
ALS1(config-line)# autenticación de inicio de sesión CONTROL REMOTO
ALS1(config-line)# exit

Step 2: Configurar WinRadius

Siga las instrucciones del Apéndice A para configurar, probar y ejecutar WinRadius. Como
parte de la configuración, usted debe tener el telecontrol de la cuenta de usuario con la
contraseña cisco123.

Step 3: Pruebe la autenticación de línea VTY centralizada

Ahora de un host en la red, intente telnet a uno del Switches. Se le debe exigir que introduzca
un nombre de usuario y una contraseña. Utilice el nombre de usuario del telecontrol y la
contraseña de cisco123. La autenticación debe ser correcta.
Step 4: Fin del laboratorio
No guarde las configuraciones. El equipo se restablecerá para el próximo laboratorio.

Apéndice A: instalación del servidor WinRadius

Se debe instalar un servidor WinRadius (o comparable) en la plataforma host para este

laboratorio. Si no es así, puede utilizar el siguiente procedimiento para descargarlo e instalarlo.
Consulte con su instructor si tiene preguntas con respecto a la instalación del servidor
RADIUS.

Step 1: Descargue el software WinRadius.

Un número de servidores RADIUS están disponibles, tanto freeware y para la venta. Este
laboratorio utiliza WinRadius,un servidor RADIUS basado en estándares freeware que se
ejecuta en Windows 7 y la mayoría de los otros sistemas operativos Windows.
Nota: La versión gratuita del software puede admitir sólo cinco nombres de usuario. Estos
nombres de usuario NO se conservan durante los reinicios, ¡así que intente no reiniciar el PC
durante la duración del laboratorio!

Step 5: Instale el software WinRadius.

a. Cree una carpeta denominada WinRadius en el escritorio u otra ubicación en la que
almacenar los archivos.
b. Busque winradius en la web y descargue la última versión de un sitio web de confianza.
Nota del instructor: Las instrucciones proporcionadas en este laboratorio son para WinRadius
4.0. Sin embargo, usted puede utilizar otro erver delRADIUSs si uno está disponible.
c. Guarde el archivo zip descargado en la carpeta creada en el paso 2a y extraiga los
archivos comprimidos en la misma carpeta. No hay ninguna configuración de instalación. El
archivo de WinRadius.exe extraído es ejecutable.
d. Cree un acceso directo en el escritorio para WinRadius.exe.

Step 6: Configurar la base de datos de servidor WinRadius.

a. Inicie la aplicación WinRadius.exe. WinRadius utiliza una base de datos local en la que
almacena información del usuario. Cuando la aplicación se inicia por primera vez, se
muestran los mensajes siguientes:

Vaya a "Configuración/Base de datos y cree el ODBC para su base de datos RADIUS.

Error al iniciar ODBC.

b. En el menú principal, seleccione Configuración > Base de datos.

c. Haga clic en el botón Configurar ODBC automáticamente y, a continuación, haga clic en
Aceptar. Debería ver un mensaje que indica que el ODBC se creó correctamente. Salga
de WinRadius y reinicie la aplicación para que los cambios surtan efecto.
 d. Cuando WinRadius se inicia de nuevo, debería ver mensajes similares al siguiente:

Nota: WinRadius escucha la autenticación en el puerto 1812 y las estadísticas en el puerto 1813.

Step 7: Configurar usuarios y contraseñas en el servidor WinRadius.

Nota: La versión gratuita de WinRadius puede admitir solo cinco nombres de usuario a la vez. Los
nombres de usuario se pierden si sale de la aplicación y la reinicia. Se deben volver a crear los nombres de
usuario creados en sesiones anteriores. El primer mensaje de la pantalla anterior muestra que se cargaron cero
usuarios. No se había creado ningún usuario antes de esto, pero este mensaje se muestra cada vez que se
inicia WinRadius, independientemente de si se crearon usuarios o no.
a. En el menú principal, seleccione Operación > Agregar usuario.
b. Ingrese el control remoto del nombre de usuario con una contraseña de cisco123.
c. Haga clic en Aceptar. Debería ver un mensaje en la pantalla de registro que indica que el
usuario se agregó correctamente.

Step 8: Borre la pantalla del registro.

En el menú principal, seleccione Registrar > Borrar.

Step 9: Pruebe el nuevo usuario agregado mediante la utilidad de prueba
WinRadius.

a. un. Una utilidad de prueba WinRadius se incluye en el archivo zip descargado.

Desplácese hasta la carpeta donde descomprimió el archivo WinRadius.zip y busque el
archivo denominado RadiusTest.exe.
b. B. Comience la aplicación radiustest, y ingrese el IP Address del servidor de RADIUS.
Para este laboratorio, el servidor de RADIUS es SRV1, y la dirección IP es 172.16.99.50.
c. c. Ingrese el telecontrol de nombre de usuario y la contraseña cisco123. No cambie el
número de puerto RADIUS predeterminado de 1813 ni la contraseña RADIUS de
WinRadius.
d. Nota: Esté seguro de utilizar la dirección IP de PC-C en este laboratorio (172.16.99.50) al
probar.
e. d. Haga clic en Enviar y debería ver un mensaje enviar Access_Request que indica que el
servidor en 172.16.99.50, número de puerto 1813, recibió 44 caracteres hexadecimales. En
la pantalla de registro de WinRadius, también debería ver un mensaje que indica que el
usuario remoto se autenticó correctamente.

f. Cierre la aplicación WinRadius.