14 9 9-lab---configure-stp-security_pt-BR

Prévia do material em texto

© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 17 www.netacad.com 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE 
SEGURANÇA DE REDE - Configurar a Segurança STP 
Topologia 
 
Tabela de endereçamento 
Dispositiv
o Interface Endereço IP 
Máscara de 
Sub-Rede Gateway padrão 
Porta do Switch 
R1 G0/0/1 192.168.1.1 255.255.255.0 N/D S1 F0/5 
S1 VLAN 1 192.168.1.2 255.255.255.0 N/D N/D 
S2 VLAN 1 192.168.1.3 255.255.255.0 N/D N/D 
PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1 S1 F0/6 
PC-B Placa de rede 192.168.1.11 255.255.255.0 192.168.1.1 S2 F0/18 
Blank Line, No additional information 
Objetivos 
Parte 1: configurar as definições básicas do Switch 
 Construir a topologia. 
 Configure o nome do host, o endereço IP e as senhas de acesso. 
Parte 2: Configurar portas de troncos seguros 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 17 www.netacad.com 
 Configure o modo de porta do tronco. 
 Altere a VLAN nativa para portas do tronco. 
 Verifique a configuração do tronco. 
 Desativar troncos. 
Parte 3: Proteger contra ataques STP 
 Enable PortFast and BPDU guard. 
 Verifique a guarda do BPDU. 
 Ativar guarda-raiz. 
 Ativar guarda de loop. 
Parte 4: Configurar a segurança da porta e desativar portas não utilizadas 
 Configure e verifique a segurança de porta. 
 Desativar portas não utilizadas. 
 Mova as portas da VLAN padrão 1 para alternar VLAN. 
 Configure o recurso de borda PVLAN em uma porta. 
Histórico/Cenário 
A infraestrutura da camada 2 consiste principalmente de interruptores Ethernet interconectados. A maioria 
dos dispositivos de usuário final, como computadores, impressoras, telefones IP e outros hosts, conecte-se à 
rede via switches de acesso da LAYER 2. Como resultado, os switches podem apresentar um risco de 
segurança de rede. Semelhante aos roteadores, os switches estão sujeitos a ataques de usuários internos 
mal-intencionados. O software Switch Cisco IOS fornece muitos recursos de segurança específicos para 
alternar funções e protocolos. 
Neste laboratório, você configurará várias medidas de proteção do comutador, incluindo recursos de 
segurança de porta de acesso e abrangência (STP), como proteção BPDU e protetor raiz. 
Nota: Os roteadores usados com o CCNA Hands-on Labs são Cisco 4221 com o Cisco Ios Xe Release 
16.9.6 (imagem Universalk9). Os switches usados nos laboratórios são Cisco Catalyst 2960+ com a versão 
Cisco IOS 15.2 (7) (imagem lanbasek9). Outros roteadores, switches e versões do Cisco IOS podem ser 
usados. De acordo com o modelo e a versão do Cisco IOS, os comandos disponíveis e a saída produzida 
poderão variar em relação ao que é mostrado nos laboratórios. Consulte a Tabela de resumo de interfaces 
dos roteadores no final do laboratório para saber quais são os identificadores de interface corretos. 
Nota: Antes de começar, verifique se os roteadores e os comutadores foram apagados e não têm 
configurações de inicialização. 
Recursos necessários 
 1 roteador (Cisco 4221 com a Liberação Cisco Xe 16.9.6 Imagem universal ou comparável com uma 
licença de pacote de tecnologia de segurança) 
 2 switches (Cisco 2960+ com lançamento do Cisco IOS 15.2 (7) imagem lanbasek9 ou comparável) 
 Nota: Antes de Achar, Verifique SE OS Roteia e OS Comutadores Foram Apagados e Não têm 
configurações de inicialização. 
 Cabos de console para configurar dispositivos de rede Cisco 
 Cabos ethernet conforme mostrado na topologia 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 17 www.netacad.com 
Instruções 
Parte 1: Configurar as definições básicas do Switch 
Na Parte 1, você configurará a topologia da rede e configurará as configurações básicas, como os nomes de 
host, endereços IP e senha de acesso ao dispositivo. 
Etapa 1: Cabeie a rede conforme mostrado na topologia. 
Anexar os dispositivos, conforme mostrado no diagrama de topologia e cabo conforme necessário. 
Etapa 2: Configure as configurações básicas para o roteador e cada interruptor. 
Execute todas as tarefas em R1, S1 e S2. O procedimento para S1 é mostrado aqui como exemplo. 
Abrir a janela de configuração 
a. Configure HostNames, conforme mostrado na topologia. 
b. Configure endereços IP da interface, conforme mostrado na tabela de endereçamento IP. A configuração 
a seguir exibe a interface de gerenciamento VLAN 1 em S1: 
S1(config)# interface vlan 1 
S1(config-if)# ip address 192.168.1.2 255.255.255.0 
S1(config-if)# no shutdown 
c. Impedir que o roteador ou alterne a tentativa de traduzir comandos inseridos incorretamente desativando 
a pesquisa DNS. S1 é mostrado aqui como exemplo. 
S1(config)# no ip domain-lookup 
d. O acesso HTTP ao comutador é ativado por padrão. Impedir o acesso HTTP desativando o servidor 
HTTP e o HTTP Secure Server. 
S1(config)# no ip http server 
S1(config)# no ip http secure-server 
Nota: O switch deve ter uma imagem iOS de criptografia para suportar o comando ip http secure-
server. O acesso HTTP ao roteador é desativado por padrão. 
e. Configure a senha Ativar Secreta. 
S1(config)# enable algorithm-type scrypt secret cisco12345 
f. Configure a senha do console. 
S1(config)#line console 0 
S1(config-line)# password ciscoconpass 
S1(config-line)# exec-timeout 5 0 
S1(config-line)# login 
S1(config-line)# logging synchronous 
Etapa 3: Defina as configurações de IP do host do PC. 
Configure um endereço IP estático, máscara de sub-rede e gateway padrão para PC-A e PC-B, conforme 
mostrado na tabela de endereçamento. 
Etapa 4: Verifique a conectividade de rede básica. 
a. Ping do PC-A e PC-B para a interface R1 G0 / 0/1 no endereço IP 192.168.1.1. 
Se os pings não tiverem sucesso, solucione problemas de configurações básicas do dispositivo antes de 
continuar. 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 4 de 17 www.netacad.com 
b. Ping do pc-a para pc-b. 
Se os pings não tiverem sucesso, solucione problemas de configurações básicas do dispositivo antes de 
continuar. 
Etapa 5: Salve as configurações básicas para o roteador e os dois switches. 
Salve a configuração em execução para a configuração de inicialização no prompt do modo Exec 
Privilegiado. 
S1# copy running-config startup-config 
Fechar janela de configuração 
Parte 2: Configurar portas de tronco seguro 
Nesta parte, você configurará as portas do tronco, alterará a VLAN nativa para portas do tronco e verificará a 
configuração do tronco. 
Proteger as portas do tronco pode ajudar a parar os ataques de pulsão de VLAN. A melhor maneira de 
impedir que um ataque básico de salto de VLAN seja explicitamente desativar o entroncamento em todas as 
portas, exceto as portas que especificamente exigem trunking. Nas portas de troncos necessárias, desative 
as negociações DTP (trunking automático) e habilitasse manualmente. Se nenhum tronco for necessário em 
uma interface, configure a porta como uma porta de acesso. Isso desativa o tronco na interface. 
Nota: As tarefas devem ser executadas em S1 ou S2, conforme indicado. 
Etapa 1: Configure S1 como interruptor raiz. 
Para os propósitos deste laboratório, o S2 é atualmente a ponte raiz. Você configurará S1 como a ponte raiz, 
alterando o nível de prioridade do ID da ponte. 
a. No console no S1, insira o modo de configuração global. 
Abrir a janela de configuração 
b. A prioridade padrão para S1 e S2 é 32769 (32768 + 1 com extensão de identificação do sistema). Definir 
prioridade S1 como 0 para que se torne o interruptor raiz. 
S1(config)# spanning-treevlan 1 priority 0 
S1(config)# exit 
Nota: Você também pode usar o comando spanning-tree vlan 1 root primary para tornar o S1 a chave 
root para VLAN 1. 
c. Emita o comando show spanning-tree para verificar se S1 é a ponte raiz, para ver as portas em uso e 
para ver seu status. 
S1# show spanning-tree 
 
VLAN0001 
 Spanning tree enabled protocol ieee 
 Root ID Priority 1 
 Address 001d.4635.0c80 
 This bridge is the root 
 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
 
 Bridge ID Priority 1 (priority 0 sys-id-ext 1) 
 Address 001d.4635.0c80 
 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec 
 Aging Time 300 
 
Interface Role Sts Cost Prio.Nbr Type 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 5 de 17 www.netacad.com 
---------------- ---- --- --------- -------- -------------------------------- 
Fa0/1 Desg FWD 19 128.1 P2p 
Fa0/5 Desg FWD 19 128.5 P2p 
Fa0/6 Desg FWD 19 128.6 P2p 
Pergunta: 
Qual é a prioridade S1? 
 
Quais portas estão em uso e qual é o status deles? 
Digite suas respostas aqui. 
 
Etapa 2: Configure as portas do tronco no S1 e S2. 
a. Configure a porta F0 / 1 no S1 como uma porta de tronco. 
S1(config)# interface f0/1 
S1(config-if)# switchport mode trunk 
Observação: se estiver realizando este laboratório com um switch 3560, o usuário deve primeiro entrar o 
comandoswitchport trunk encapsulation dot1q . 
b. Configure a porta F0 / 1 no S2 como porta de tronco. 
S2(config)# interface f0/1 
S2(config-if)# switchport mode trunk 
c. Verifique se a porta S1 F0 / 1 está no modo de troncos com o comando show interfaces trunk 
S1# show interfaces trunk 
 
Port Mode Encapsulation Status Native vlan 
Fa0/1 on 802.1q trunking 1 
 
Port Vlans allowed on trunk 
Fa0/1 1-4094 
 
Port Vlans allowed and active in management domain 
Fa0/1 1 
 
Port Vlans in spanning tree forwarding state and not pruned 
Fa0/1 1 
Etapa 3: Altere a VLAN nativa para as portas do tronco no S1 e S2. 
a. Alterando a VLAN nativa para portas de tronco para uma VLAN não utilizada ajuda a impedir ataques de 
pulsão VLAN. 
Pergunta: 
Da saída do comando show interfaces trunk na etapa anterior, qual é a atual VLAN nativa para a 
interface do tronco S1 F0 / 1? 
Digite suas respostas aqui. 
 
b. Defina a VLAN nativa na interface do tronco S1 F0 / 1 para uma VLAN 99 não utilizada. 
S1(config)# interface f0/1 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 6 de 17 www.netacad.com 
S1(config-if)# switchport trunk native vlan 99 
S1(config-if)#end 
c. A seguinte mensagem deve exibir após um breve período de tempo: 
02:16:28: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on 
FastEthernet0/1 (99), with S2 FastEthernet0/1 (1). 
Pergunta: 
O que significa a mensagem? 
Digite suas respostas aqui. 
 
d. Defina a VLAN nativa na interface do tronco S2 F0 / 1 para a VLAN 99. 
S2(config)# interface f0/1 
S2(config-if)# switchport trunk native vlan 99 
S2(config-if)# end 
Etapa 4: Impedir o uso do DTP no S1 e S2. 
Configurando a porta do tronco para nonegotiate atambém ajuda a mitigar o salto de VLAN, desligando a 
geração de quadros DTP 
S1(config)# interface f0/1 
S1(config-if)# switchport nonegotiate 
 
S2(config)# interface f0/1 
S2(config-if)# switchport nonegotiate 
Etapa 5: Verifique a configuração de troncos na porta F0 / 1. 
S1# show interfaces f0/1 trunk 
 
Port Mode Encapsulation Status Native vlan 
Fa0/1 on 802.1q trunking 99 
 
Port Vlans allowed on trunk 
Fa0/1 1-4094 
 
Port Vlans allowed and active in management domain 
Fa0/1 1 
 
Port Vlans in spanning tree forwarding state and not pruned 
Fa0/1 1 
 
S1# show interfaces f0/1 switchport 
 
Nome: Fa0/1 
Switchport: Enabled 
Administrative Mode: trunk 
Operational Mode: trunk 
Administrative Trunking Encapsulation: dot1q 
Operational Trunking Encapsulation: dot1q 
Negotiation of Trunking: Off 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 7 de 17 www.netacad.com 
Modo deacesso VLAN: 1 (padrão) 
Trunking Native Mode VLAN: 99 (Inactive) 
Administrative Native VLAN tagging: enabled 
Voice VLAN: none 
Administrative private-vlan host-association: none 
Administrative private-vlan mapping: none 
Administrative private-vlan trunk native VLAN: none 
Administrative private-vlan trunk Native VLAN tagging: enabled 
Administrative private-vlan trunk encapsulation: dot1q 
Administrative private-vlan trunk normal VLANs: none 
Administrative private-vlan trunk private VLANs: none 
Operational private-vlan: none 
Trunking VLANs Enabled: ALL 
Pruning VLANs Enabled: 2-1001 
Capture Mode Disabled 
Capture VLANs Allowed: ALL 
 
Protected: false 
Unknown unicast blocked: disabled 
Unknown multicast blocked: disabled 
Appliance trust: none 
Etapa 6: Verifique a configuração com o comando show run. 
Use o comando show run para exibir a configuração em execução, começando com a primeira linha que 
contém a string de texto “0/1”. 
S1# show run | begin 0/1 
interface FastEthernet0/1 
 switchport trunk native vlan 99 
 switchport mode trunk 
 switchport nonegotiate 
 
<output omitted> 
Etapa 7: Desative o trunking em portas de acesso S1. 
a. No S1, configure F0 / 5, a porta à qual o R1 é conectado apenas como modo de acesso. 
S1(config)# interface f0/5 
S1(config-if)# switchport mode access 
b. No S1, configure F0 / 6, a porta a qual o PC-A está conectado apenas como modo de acesso. 
S1(config)# interface f0/6 
S1(config-if)# switchport mode access 
Etapa 8: Desativar troncos em portas de acesso S2. 
No S2, configure F0 / 18, a porta a qual o PC-B está conectado apenas como modo de acesso. 
S2(config)# interface f0/18 
S2(config-if)# switchport mode access 
Fechar janela de configuração 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 8 de 17 www.netacad.com 
Parte 3: Proteger contra ataques STP 
Os invasores de rede esperam que paronte seu sistema, ou um interruptor desonesto que eles adicionam à 
rede, como a ponte raiz na topologia, manipulando os parâmetros da ponte raiz STP. Se uma porta que 
estiver configurada com o Portfast recebe um BPDU, o STP pode colocar a porta no estado de bloqueio 
usando um recurso chamado BPDU Guard. 
A topologia tem apenas dois interruptores e nenhum caminho redundante, mas o STP ainda está ativo. Nesta 
parte, você permitirá que os recursos de segurança do Switch que possam ajudar a reduzir a possibilidade 
de um comutador de manipulação do invasor via métodos relacionados à STP. 
Etapa 1: Ativar portfast. 
A Portfast é configurada em portas de acesso que se conectam a uma única estação de trabalho ou servidor, 
o que lhes permite tornar-se ativo mais rapidamente. 
Abrir a janela de configuração 
a. Ativar portfast na porta de acesso S1 F0 / 5. 
S1(config)# interface f0/5 
S1(config-if)# spanning-tree portfast 
%Warning: portfast should only be enabled on ports connected to a single host. A 
conexão de hubs, concentradores, switches, bridges, etc… a essa interface quando 
portfast está ativado, pode causar loops temporários de bridging. Use with CAUTION 
 
%Portfast has been configured on FastEthernet0/5 but will only 
 %Portfast has been configured on FastEthernet0/5 but will only 
b. Ativar portfast na porta de acesso S1 F0 / 6. 
S1(config)# interface f0/6 
S1(config-if)# spanning-treeportfast 
c. Ativar portfast nas portas de acesso S2 F0 / 18. 
S2(config)# interface f0/18 
S2(config-if)# spanning-tree portfast 
Etapa 2: Ativar a guarda do BPDU. 
O BPDU Guard é um recurso que pode ajudar a evitar interruptores desonestos e falsificação nas portas de 
acesso. 
a. Ativar a proteção do BPDU na porta do comutador f0 / 6. 
S1(config)# interface f0/6 
S1(config-if)# spanning-tree bpduguard enable 
 
S2(config)# interface f0/18 
S2(config-if)# spanning-tree bpduguard enable 
Nota: PortFast e guarda BPDU também podem ser habilitados globalmente com os comandos no modo 
de configuração global spanning-tree portfast default a spanning-tree portfast bpduguard. 
Nota: A Guarda do BPDU pode ser ativada em todas as portas de acesso que tenham o PortFast 
ativado. Essas portas nunca devem receber um BPDU. O BPDU Guarda é melhor implantado em portas 
voltadas para o usuário para evitar extensões de rede desonestas por um invasor. Se uma porta estiver 
ativada com o BPDU Guard e receba um BPDU, ele está desativado e deve ser reativado manualmente. 
Um err-disable timeout pode ser configurado na porta para que possa se recuperar automaticamente 
após um período de tempo especificado. 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 9 de 17 www.netacad.com 
b. Verifique se a proteção BPDU está configurada usando o comando show spanning-tree interface f0/6 
detail em S1. 
S1# show spanning-tree interface f0/6 detail 
 
Port 6 (FastEthernet0/6) of VLAN0001 is designated forwarding 
 Port path cost 19, Port priority 128, Port Identifier 128.6. 
 Designated root has priority 1, address 001d.4635.0c80 
 Designated bridge has priority 1, address 001d.4635.0c80 
 Designated port id is 128.6, designated path cost 0 
 Timers: message age 0, forward delay 0, hold 0 
 Number of transitions to forwarding state: 1 
 The port is in the portfast mode 
 Link type is point-to-point by default 
 Bpdu guard is enabled 
 BPDU: sent 3349, received 0 
Etapa 3: Ativar guarda-raiz. 
Guarda raiz é outra opção para ajudar a evitar interruptores e falsões desonestos. Protetor de raiz pode ser 
ativado em todas as portas em um interruptor que não são portas raiz. Normalmente é ativado apenas nas 
portas que se conectam aos interruptores da borda onde um BPDU superior nunca deve ser recebido. Cada 
interruptor deve ter apenas uma porta raiz, que é o melhor caminho para o interruptor raiz. 
a. O seguinte comando configura a protetor raiz na interface S2 G0 / 1. Normalmente, isso é feito se outra 
chave estiver presa a esta porta. Protetor raiz é melhor implantado em portas que se conectam a 
switches que não devem ser a ponte raiz. Na topologia do laboratório, o S1 F0 / 1 seria o candidato mais 
lógico para a guarda de raiz. No entanto, o S2 G0 / 1 é mostrado aqui como exemplo, pois as portas de 
Gigabit são mais comumente usadas para conexões inter-switch. 
S2(config)# interface g0/1 
S2(config-if)# spanning-tree guard root 
b. Emita o comando show run | begin Gig para verificar se o protetor de raiz está configurado. 
S2# show run | begin Gig 
interface GigabitEthernet0/1 
 spanning-tree guard root 
Nota: A porta S2 GI0 / 1 não está atualmente para cima, por isso não está participando do STP. 
Caso contrário, você poderia usar o comando show spanning-tree interface Gi0/1 detail. 
Nota: A expressão no comando show run |begin é sensível a maiúsculas e minúsculas. 
c. Se uma porta que estiver habilitada com o BPDU Guard receba um BPDU superior, ele entra em um 
estado inconsistente. Use o comando show spanning-tree inconsistentports para determinar se há 
quaisquer portas atualmente recebendo BPDs superiores que não devem ser. 
S2# show spanning-tree inconsistentports 
 
Name Interface Inconsistency 
------------------------------------------ ------------------ 
Number of inconsistent ports (segments) in the system : 0 
Nota: Protetor raiz permite que um interruptor conectado participe do STP, desde que o dispositivo não 
tente se tornar a raiz. Se a proteção root bloquear a porta, a recuperação subseqüente é automática. A 
porta retorna ao estado de encaminhamento se o Superior BPDUs parar. 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 10 de 17 www.netacad.com 
Etapa 4: Ativar guarda de loop. 
O recurso STP Loop Guard fornece proteção adicional contra loops de encaminhamento da Camada 2 (STP 
Loops). Um loop STP é criado quando uma porta de bloqueio STP em uma topologia redundante 
erroneamente transita para o estado de encaminhamento. Isso geralmente acontece porque um dos portos 
de uma topologia fisicamente redundante (não necessariamente o porto de bloqueio STP) não recebe mais o 
BPDS STP. Ter todas as portas no estado de encaminhamento resultarão no encaminhamento de loops. Se 
uma porta habilitada com loopguard parar de ouvir BPDUs da porta designada no segmento, ele entra no 
estado inconsistente em loop em vez de transição para o estado de encaminhamento. Loop inconsistente é 
basicamente bloqueando, e nenhum tráfego é encaminhado. Quando a porta detecta BPDUs novamente, ele 
automaticamente se recupera, voltando para o estado de bloqueio. 
a. Guarda de loop deve ser aplicada a portas não designadas. Portanto, o comando global pode ser 
configurado em interruptores não root. 
S2(config)# spanning-tree loopguard default 
b. Verifique a configuração do loopguard. 
S2# show spanning-tree summary 
Switch is in pvst mode 
 
Extended system ID is enabled 
Portfast Default is disabled 
PortFast BPDU Guard Default is disabled 
Portfast BPDU Filter Default is disabled 
Loopguard Default is enabled 
EtherChannel misconfig guard is enabled 
UplinkFast is disabled 
BackboneFast is disabled 
Configured Pathcost method used is short 
 
Name Blocking Listening Learning Forwarding STP Active 
------------------------------ -------------------------------------------------------
--------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
---------- 
VLAN0001 0 0 0 3 3 
------------------------------ -------------------------------------------------------
--------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------
--------- 
Close configuration window 
Parte 4: Configurar segurança da porta e desativar portas não usadas 
Os switches podem ser sujeitos a uma tabela de CAM, também conhecida como uma tabela de endereços 
MAC, overflow, ataques de falsificação de Mac e conexões não autorizadas para alternar as portas. Nesta 
tarefa, você configurará a segurança da porta para limitar o número de endereços MAC que podem ser 
aprendidos em uma porta do switch e desativar a porta se esse número for excedido. 
Etapa 1: Registre o endereço MAC R1 g0 / 0/1. 
Do R1 CLI, use o comando show interface e registre o endereço MAC da interface. 
Abrir a janela de configuração 
R1# show interfaces g0/0/1 
GigabitEthernet0/1 está ativa; o protocolo de linha está ativo 
 Hardware is CN Gigabit Ethernet, address is fc99.4775.c3e1 (bia fc99.4775.c3e1) 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 11 de 17 www.netacad.com 
 Internet address is 192.168.1.1/24 
 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, 
 reliability 255/255, txload 1/255, rxload 1/255 
 Encapsulation ARPA, loopback not set 
 Keepalive set (10 sec) 
 Full Duplex, 100Mbps,media type is RJ45 
<Output Omitted> 
Pergunta: 
Qual é o endereço MAC da interface R1 g0 / 0/1? 
Digite suas respostas aqui. 
 
Etapa 2: Configure a segurança de porta básica. 
Este procedimento deve ser realizado em todas as portas de acesso que estão em uso. A porta S1 F0 / 5 é 
mostrada aqui como exemplo. 
a. A partir do S1 CLI, insira o modo de configuração da interface para a porta que se conecta ao roteador 
(Ethernet rápido 0/5). 
S1(config)# interface f0/5 
b. Desligue a porta do interruptor. 
S1(config-if)# shutdown 
c. Ativar segurança da porta na porta. 
S1(config-if)# switchport port-security 
Nota: Uma porta de switch deve ser configurada como uma porta de acesso para ativar a segurança da 
porta. 
Nota: Inserir apenas o comando switchport port-security define o máximo de endereços MAC para 1 e 
a ação de violação ao shutdown. Os comandos switchport port-security maximum e switchport 
port-security violation podem ser utilizados para alterar o comportamento padrão. 
d. Configure uma entrada estática para o endereço MAC da interface R1 G0 / 0/1 gravada na etapa 1. 
S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx 
Nota: xxxx.xxxx.xxxx é o endereço MAC real da interface G0 / 0/1 do roteador. 
Nota: Você também pode usar o comando switchport port-security mac-address sticky para adicionar 
todos os endereços MAC seguros que são aprendidos dinamicamente em uma porta (até o conjunto 
máximo) à configuração de execução do switch. 
e. Habilite a porta do switch. 
S1(config-if)# no shutdown 
Etapa 3: Verifique a segurança da porta no S1 F0 / 5. 
a. No S1, emita o comando show port-security para verificar se a segurança da porta foi configurada no 
S1 F0 / 5. 
S1# show port-security interface f0/5 
Port Security : Enabled 
Port Status : Secure-up 
Violation Mode : Shutdown 
Aging Time : 0 mins 
Aging Type : Absolute 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 12 de 17 www.netacad.com 
SecureStatic Address Aging : Disabled 
Maximum MAC Addresses : 1 
Total MAC Addresses : 1 
Configured MAC Addresses : 1 
Sticky MAC Addresses : 0 
Last Source Address:Vlan : 0000.0000.0000:0 
Security Violation Count : 0 
Perguntas: 
Qual é a contagem de violação de segurança? 
Digite suas respostas aqui. 
0 
Qual é o status da porta F0 / 5? 
Digite suas respostas aqui. 
 
Qual é o último endereço de fonte e VLAN? 
Digite suas respostas aqui. 
 
b. Do R1 CLI, ping ping-a para verificar a conectividade. Isso também garante que o endereço MAC R1 G0 
/ 0/1 seja aprendido pelo comutador. 
R1# ping 192.168.1.10 
c. Agora, viole a segurança alterando o endereço MAC na interface do roteador. Digite o modo de 
configuração da interface para o Fast Ethernet 0/1. Configure um endereço MAC para a interface na 
interface, usando aaaa.bbb.ccc como o endereço. 
R1(config)# interface g0/0/1 
R1(config-if)# mac-address aaaa.bbbb.cccc 
R1(config-if)# end 
Nota: Você também pode alterar o endereço MAC do PC anexo ao S1 F0 / 6 e obter resultados 
semelhantes aos mostrados aqui. 
Pergunta: 
Do R1 CLI, ping ping-a.O ping foi bem sucedido? Explique. 
Digite suas respostas aqui. 
 
d. No console S1, observe as mensagens quando a porta F0 / 5 detecta o endereço MAC de violação. 
*Jan 14 01:34:39.750: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/5, 
putting Fa0/5 in err-disable state 
*Jan 14 01:34:39.750: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, 
caused by MAC address aaaa.bbbb.cccc on port FastEthernet0/5. 
*Jan 14 01:34:40.756: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, 
changed state to down 
*Jan 14 01:34:41.755: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down 
e. No switch, use o comando show port-security para verificar se a segurança da porta foi violada. 
S1# show port-security 
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action 
 (Count) (Count) (Count) 
-------------------------------------------------------------------- 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 13 de 17 www.netacad.com 
 Fa0/5 1 1 1 Shutdown 
---------------------------------------------------------------------- 
Total Addresses in System (excluding one mac per port) : 0 
Max Addresses limit in System (excluding one mac per port) : 8192 
 
S1# show port-security interface f0/5 
Port Security : Enabled 
Port Status : Secure-shutdown 
Violation Mode : Shutdown 
Aging Time : 0 mins 
Aging Type : Absolute 
SecureStatic Address Aging : Disabled 
Maximum MAC Addresses : 1 
Total MAC Addresses : 1 
Configured MAC Addresses : 1 
Sticky MAC Addresses : 0 
Last Source Address:Vlan : aaaa.bbbb.cccc:1 
Security Violation Count : 1 
 
S1# show port-security address 
Secure Mac Address Table 
----------------------------------------------------------------------------- 
Vlan Mac Address Type Ports Remaining Age 
 (mins) 
---- ----------- ---- ----- ------------- 
 1 fc99.4775.c3e1 SecureConfigured Fa0/5 - 
----------------------------------------------------------------------------- 
Total Addresses in System (excluding one mac per port) : 0 
Max Addresses limit in System (excluding one mac per port) : 8192 
f. Remova o endereço MAC codificado pelo roteador e reative a interface G0 / 0/1. 
R1 (configuração) # interface g0/0/1 
R1(config-if)# no mac-address aaaa.bbbb.cccc 
Nota: Isso irá restaurar o endereço MAC da interface GigabitEthernet original. 
Pergunta: 
De R1, tente ping o PC-A novamente em 192.168.1.10. O ping obteve sucesso? Explique. 
Digite suas respostas aqui. 
 
Etapa 4: Limpe o status de erro da F0/5 do S1. 
a. No console S1, limpe o erro e reative a porta usando os comandos mostrados no exemplo. Isso alterará 
o status da porta do Secure-Shutdown para Secure-Up. 
S1(config)# interface f0/5 
S1(config-if)# shutdown 
S1(config-if)# no shutdown 
Nota: Isso pressupõe que o dispositivo / interface com o endereço MAC de violação foi removido e 
substituído pela configuração do dispositivo / interface original. 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 14 de 17 www.netacad.com 
b. De R1, ping pc-a novamente. Você deve ter sucesso desta vez. 
R1# ping 192.168.1.10 
Etapa 5: Remova a segurança da porta básica no S1 F0 / 5. 
No console S1, remova a segurança da porta em F0 / 5. Este procedimento também pode ser usado para 
reativar a porta, mas os comandos de port security devem ser reconfigurados. 
S1(config)# interface f0/5 
S1(config-if)# no switchport port-security 
S1(config-if)# no switchport port-security mac-address fc99.4775.c3e1 
Você também pode usar os seguintes comandos para redefinir a interface para suas configurações padrão: 
S1(config)# default interface f0/5 
S1(config)# interface f0/5 
Nota: Esse comando de default interface também requer que você reconfigure a porta como uma porta 
de acesso para reativar os comandos de segurança. 
Etapa 6: (Opcional) Configure a Segurança da porta para VoIP. 
Este exemplo mostra uma configuração típica de segurança de porta para uma porta de voz. Três endereços 
MAC são permitidos e devem ser aprendidos dinamicamente. Um endereço MAC é para o telefone IP, um é 
para o switch, e um é para o PC conectado ao telefone IP. Violações deste resultado da política no porto 
sendo desligado. O tempo limite do envelhecimento dos endereços MAC aprendidos é definido para duas 
horas. 
O exemplo a seguir exibe a portaS2 F0 / 18: 
S2(config)# interface f0/18 
S2(config-if)# switchport mode access 
S2(config-if)# switchport port-security 
S2(config-if)# switchport port-security maximum 3 
S2(config-if)# switchport port-security violation shutdown 
S2(config-if)# switchport port-security aging time 120 
Etapa 7: Desativar portas não utilizadas no S1 e S2. 
Como medida de segurança adicional, desative portas que não estão sendo usadas no interruptor. 
a. Portas F0 / 1, F0 / 5 e F0 / 6 são usadas em S1. As restantes portas Ethernet rápidas e as duas portas 
Gigabit Ethernet serão desligadas. 
S1(config)# interface range f0/2 - 4 
S1(config-if-range)#shutdown 
S1(config-if-range)# interface range f0/7 - 24 
S1(config-if-range)#shutdown 
S1(config-if-range)# interface range g0/1 - 2 
S1(config-if-range)#shutdown 
b. As portas F0 / 1 e F0 / 18 são usadas no S2. As restantes portas Ethernet rápidas e as portas Gigabit 
Ethernet serão desligadas. 
S2(config)# interface range f0/2 – 17, f0/19 – 24, g0/1 - 2 
S2(config-if-range)# shutdown 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 15 de 17 www.netacad.com 
Etapa 8: Mova portas ativas para uma VLAN diferente da VLAN padrão 1. 
Como uma medida de segurança adicional, você pode mover todas as portas ativas do usuário final e portas 
do roteador para uma VLAN diferente do VLAN 1 padrão em ambos os switches. 
a. Configure um novo VLAN para usuários em cada interruptor usando os seguintes comandos: 
S1(config)# vlan 20 
S1(config-vlan)# name Users 
 
S2(config)# vlan 20 
S2(config-vlan)# name Users 
b. Adicione os portos ativos ativos ativos (não-tronco) à nova VLAN. 
S1(config)# interface f0/6 
S1(config-if-range)# switchport access vlan 20 
 
S2(config)# interface f0/18 
S2(config-if)# switchport access vlan 20 
Nota: Isso impedirá a comunicação entre os hosts do usuário final e o endereço IP do VLAN do 
gerenciamento do switch, atualmente VLAN 1. O switch ainda pode ser acessado e configurado usando 
a conexão do console. 
Nota: Para fornecer acesso SSH ao switch, uma porta específica pode ser designada como porta de 
gerenciamento e adicionada à VLAN 1 com uma estação de trabalho de gerenciamento específica 
anexada. Uma solução mais elaborada é criar um novo VLAN para gerenciamento de comutador (ou 
usar o tronco nativo VLAN 99) existente e configurar uma sub-rede separada para a VLANs de 
gerenciamento e usuário. 
Etapa 9: Configure uma porta com o recurso de borda PVLAN. 
Alguns aplicativos exigem que nenhum tráfego seja encaminhado na camada 2 entre as portas no mesmo 
switch para que um vizinho não vê o tráfego gerado por outro vizinho. Em tal ambiente, o uso do recurso de 
borda privada VLAN (PVLAN), também conhecido como portas protegidas, garante que não haja troca de 
tráfego unicast, transmissão ou multicast entre essas portas no switch. O recurso PVLAN Edge só pode ser 
implementado para portas no mesmo switch e é localmente significativo. 
Por exemplo, para evitar o tráfego entre o PC-A host em S1 (porta F0 / 6) e um host em outra porta S1 (por 
exemplo, porta F0 / 7, que foi desligada anteriormente), você pode usar o comando switchport protected 
para ativar o recurso PVLAN Edge nessas duas portas. Use o comando no switchport protected de 
configuração de interface para desativar a porta protegida. 
a. Configure o recurso de borda PVLAN no modo de configuração de interface usando os seguintes 
comandos: 
S1(config)# interface f0/6 
S1(config-if)# switchport protected 
S1(config-if)# interface f0/7 
S1(config-if)# switchport protected 
S1(config-if)#no shut 
S1(config-if)#end 
b. Verifique se o recurso PVLAN EDGE (porta protegida) é ativada em F0 / 6. 
S1# show interfaces f0/6 switchport 
Name: Fa0/6 
Switchport: Enabled 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 16 de 17 www.netacad.com 
Administrative Mode: dynamic auto 
Operational Mode: static access 
Administrative Trunking Encapsulation: dot1q 
Negotiation of Trunking: On 
Access Mode VLAN: 20 (Users) 
Trunking Native Mode VLAN: 1 (default) 
Administrative Native VLAN tagging: enabled 
Voice VLAN: none 
Administrative private-vlan host-association: none 
Administrative private-vlan mapping: none 
Administrative private-vlan trunk native VLAN: none 
Administrative private-vlan trunk Native VLAN tagging: enabled 
Administrative private-vlan trunk encapsulation: dot1q 
Administrative private-vlan trunk normal VLANs: none 
Administrative private-vlan trunk private VLANs: none 
Operational private-vlan: none 
Trunking VLANs Enabled: ALL 
Pruning VLANs Enabled: 2-1001 
Capture Mode Disabled 
Capture VLANs Allowed: ALL 
 
Protected: true 
Unknown unicast blocked: disabled 
Unknown multicast blocked: disabled 
Appliance trust: none 
c. Desativar a porta protegida em interfaces F0 / 6 e F0 / 7 usando os seguintes comandos: 
S1(config)# interface range f0/6 - 7 
S1(config-if-range)# no switchport protected 
Fechar janela de configuração 
Tabela de resumo das interfaces dos roteadores 
Modelo do 
roteador Interface Ethernet 1 Interface Ethernet 2 Interface serial 1 Interface serial 2 
1900 
Gigabit Ethernet 0/0 
(G0/0) 
Gigabit Ethernet 0/1 
(G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 
2900 
Gigabit Ethernet 0/0 
(G0/0) 
Gigabit Ethernet 0/1 
(G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 
4221 
Gigabit Ethernet 0/0/0 
(G0/0/0) 
Gigabit Ethernet 0/0/1 
(G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 
4300 
Gigabit Ethernet 0/0/0 
(G0/0/0) 
Gigabit Ethernet 0/0/1 
(G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 
Linha em branco, sem informações adicionais 
Nota: Para descobrir como o roteador está configurado, consulte as interfaces para identificar o tipo de roteador 
e quantas interfaces o roteador possui. Não há como listar efetivamente todas as combinações de configurações 
para cada classe de roteador. Esta tabela inclui identificadores para as combinações possíveis de Ethernet e 
Interfaces seriais no dispositivo. Esse tabela não inclui nenhum outro tipo de interface, embora um roteador 
específico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. A string entre parênteses 
é a abreviatura legal que pode ser usada no comando do Cisco IOS para representar a interface. 
Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a 
Segurança STP 
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 17 de 17 www.netacad.com