Baixe o app para aproveitar ainda mais
Prévia do material em texto
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 3 www.netacad.com Rastreador de pacotes - Segurança VLAN da camada 2 Objetivos Conecte um novo link redundante entre switches. Permita o entroncamento e configure a segurança no novo link de tronco entre Switches. Crie uma nova VLAN de gerenciamento e anexe um PC de gerenciamento a essa VLAN. Implemente um ACL para impedir que usuários externos acessem a VLANde gerenciamento. Histórico/Cenário A rede de uma empresa está configurada atualmente usando duas VLANs separadas: VLAN 5 e VLAN 10. Além disso, todas as portas de tronco são configuradas com VLAN nativo 15. Um administrador de rede quer adicionar um link redundante entre o interruptor SW-1 e SW-2. O link deve ter entroncamento ativado e todos os requisitos de segurança devem estar em vigor. Além disso, o administrador de rede quer conectar um PC de gerenciamento para alternar SW-A. O administrador gostaria de permitir que o PC de gerenciamento conecte a todos os switches e ao roteador, mas não quer que nenhum outro dispositivo conecte ao PC de gerenciamento ou aos switches. O administrador gostaria de criar um novo VLAN 20 para fins de gerenciamento. Todos os dispositivos foram pré-configurados com: o Enable secret password: ciscoenpa55 o Console passeord: ciscoconpa55 o SSH username and password: SSHadmin / ciscosshpa55 Instruções Parte 1: Verificar a conectividade Etapa 1: Verifique a conectividade entre C2 (VLAN 10) e C3 (VLAN 10). Etapa 2: Verifique a conectividade entre C2 (VLAN 10) e D1 (VLAN 5). Nota: Se usando o pacote GUI simples PDU, seja certo sibilar duas vezes para permitir ARP. Parte 2: Criar um link redundante entre SW-1 e SW-2 Etapa 1: Conecte SW-1 e SW-2. Usando um cabo crossover, conecte a porta F0/23 em SW-1 à porta F0/23 em SW-2. Etapa 2: Permita o entroncamento, incluindo todos os mecanismos de segurança de tronco no link entre SW-1 e SW-2. O entroncamento já foi configurado em todas as interfaces de tronco pré-existentes. O novo link deve ser configurado para entroncamento, incluindo todos os mecanismos de segurança de tronco. Em SW-1 e SW-2, defina a porta como tronco, atribua VLAN nativo 15 à porta de tronco e desabilite a negociação automática. Rastreador de pacotes - Segurança VLAN da camada 2 © 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 3 www.netacad.com Parte 3: Permita o VLAN 20 como uma VLANde gerenciamento O administrador de rede deseja acessar todos os dispositivos de switch e roteamento usando um PC de gerenciamento. Para fins de segurança, o administrador quer assegurar-se de que todos os dispositivos gerenciados estejam em uma VLANseparada. Etapa 1: Permita uma VLAN de gerenciamento (VLAN 20) em SW-A. a. Permita o VLAN 20 em SW-A. b. Crie uma interface VLAN 20 e atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT dentro da rede 192.168.20.0/24. Etapa 2: Permita a mesma VLAN de gerenciamento em todos os switches restantes. a. Crie a VLAN de gerenciamento em todos os switches: SW-B, SW-1, SW-2e Central. b. Crie uma interface VLAN 20 em todos os switches e atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT dentro da rede 192.168.20.0/24. Etapa 3: Conecte e configure o PC de gerenciamento. Conecte o PC de gerenciamento à porta SW-AF0/1 e assegure-se de que esteja atribuído um endereço IP disponível dentro da rede 192.168.20.0/24. Etapa 4: No SW-A, assegure-se de que o PC de gerenciamento seja parte do VLAN 20. A interface F0/1 deve ser parte do VLAN 20. Etapa 5: Verifique a conectividade do PC de gerenciamento a todos os switches. O PC de gerenciamento deve poder sibilar SW-A, SW-B, SW-1, SW-2e Central. Parte 4: Habilite o PC de gerenciamento para acessar o roteador R1 Etapa 1: Permita uma nova subinterface no roteador R1. a. Crie a subinterface g0/0.3 e defina o encapsulamento ao dot1q 20 para explicar o VLAN 20. b. Atribua um endereço IP dentro da rede 192.168.20.0/24. Etapa 2: Verifique a conectividade entre o PC de gerenciamento e o R1. Certifique-se de configurar o gateway padrão no PC de gerenciamento para permitir a conectividade. Etapa 3: Enable security. Quando o PC de gerenciamento deve poder alcançar o roteador, nenhum outro PC deve poder alcançar a VLANde gerenciamento. Rastreador de pacotes - Segurança VLAN da camada 2 © 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 3 www.netacad.com a. Crie um ACL que permita somente o PC de gerenciamento alcançar o roteador. b. Aplique a ACL à (s) interface (s) apropriada (s). Nota: Há maneiras múltiplas em que um ACL pode ser criado para realizar a segurança necessária. Por esse motivo, a classificação nessa parte da atividade é baseada nos requisitos de conectividade corretos. O PC de gerenciamento deve ser capaz de se conectar a todos os switches e ao roteador. Todos os outros PCs não devem poder conectar a nenhum dispositivo dentro da VLAN de gerenciamento. Etapa 4: Verifique a segurança. a. Verifique somente o PC de gerenciamento pode alcançar o roteador. Use o SSH para alcançar o R1 com nome de usuário SSHAdmin e senha ciscosshpa55. PC> ssh -l SSHAdmin 192.168.20.100 b. A partir do PC de gerenciamento, ping SW-A, SW-Be R1. Pergunta: Os pings foram bem-sucedidos? Explique. Digite suas respostas. c. De D1, execute o ping para o PC de gerenciamento. Os pings foram bem-sucedidos? Explique. Digite suas respostas aqui. Etapa 5: Verifique os resultados. O percentual de conclusão deve ser 100%. Clique em Check Resultss para ver o feedback e a verificação de quais componentes necessários foram concluídos. Se todos os componentes parecem estar corretos e a atividade ainda mostra incompleta, poderia ser devido aos testes de conectividade que verificam a operação ACL.
Compartilhar