14 9 11-packet-tracer---layer-2-vlan-security_pt-BR

Prévia do material em texto

© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 3 www.netacad.com 
Rastreador de pacotes - Segurança VLAN da camada 2 
Objetivos 
 Conecte um novo link redundante entre switches. 
 Permita o entroncamento e configure a segurança no novo link de tronco entre Switches. 
 Crie uma nova VLAN de gerenciamento e anexe um PC de gerenciamento a essa VLAN. 
 Implemente um ACL para impedir que usuários externos acessem a VLANde gerenciamento. 
Histórico/Cenário 
A rede de uma empresa está configurada atualmente usando duas VLANs separadas: VLAN 5 e VLAN 10. 
Além disso, todas as portas de tronco são configuradas com VLAN nativo 15. Um administrador de rede quer 
adicionar um link redundante entre o interruptor SW-1 e SW-2. O link deve ter entroncamento ativado e todos 
os requisitos de segurança devem estar em vigor. 
Além disso, o administrador de rede quer conectar um PC de gerenciamento para alternar SW-A. O 
administrador gostaria de permitir que o PC de gerenciamento conecte a todos os switches e ao roteador, 
mas não quer que nenhum outro dispositivo conecte ao PC de gerenciamento ou aos switches. O 
administrador gostaria de criar um novo VLAN 20 para fins de gerenciamento. 
Todos os dispositivos foram pré-configurados com: 
o Enable secret password: ciscoenpa55 
o Console passeord: ciscoconpa55 
o SSH username and password: SSHadmin / ciscosshpa55 
Instruções 
Parte 1: Verificar a conectividade 
Etapa 1: Verifique a conectividade entre C2 (VLAN 10) e C3 (VLAN 10). 
Etapa 2: Verifique a conectividade entre C2 (VLAN 10) e D1 (VLAN 5). 
Nota: Se usando o pacote GUI simples PDU, seja certo sibilar duas vezes para permitir ARP. 
Parte 2: Criar um link redundante entre SW-1 e SW-2 
Etapa 1: Conecte SW-1 e SW-2. 
Usando um cabo crossover, conecte a porta F0/23 em SW-1 à porta F0/23 em SW-2. 
Etapa 2: Permita o entroncamento, incluindo todos os mecanismos de segurança de tronco no 
link entre SW-1 e SW-2. 
O entroncamento já foi configurado em todas as interfaces de tronco pré-existentes. O novo link deve ser 
configurado para entroncamento, incluindo todos os mecanismos de segurança de tronco. Em SW-1 e SW-2, 
defina a porta como tronco, atribua VLAN nativo 15 à porta de tronco e desabilite a negociação automática. 
 
Rastreador de pacotes - Segurança VLAN da camada 2 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 3 www.netacad.com 
Parte 3: Permita o VLAN 20 como uma VLANde gerenciamento 
O administrador de rede deseja acessar todos os dispositivos de switch e roteamento usando um PC de 
gerenciamento. Para fins de segurança, o administrador quer assegurar-se de que todos os dispositivos 
gerenciados estejam em uma VLANseparada. 
Etapa 1: Permita uma VLAN de gerenciamento (VLAN 20) em SW-A. 
a. Permita o VLAN 20 em SW-A. 
 
b. Crie uma interface VLAN 20 e atribua um endereço IP de Um ou Mais Servidores Cisco ICM NT dentro 
da rede 192.168.20.0/24. 
 
Etapa 2: Permita a mesma VLAN de gerenciamento em todos os switches restantes. 
a. Crie a VLAN de gerenciamento em todos os switches: SW-B, SW-1, SW-2e Central. 
 
b. Crie uma interface VLAN 20 em todos os switches e atribua um endereço IP de Um ou Mais Servidores 
Cisco ICM NT dentro da rede 192.168.20.0/24. 
 
Etapa 3: Conecte e configure o PC de gerenciamento. 
Conecte o PC de gerenciamento à porta SW-AF0/1 e assegure-se de que esteja atribuído um endereço IP 
disponível dentro da rede 192.168.20.0/24. 
Etapa 4: No SW-A, assegure-se de que o PC de gerenciamento seja parte do VLAN 20. 
A interface F0/1 deve ser parte do VLAN 20. 
 
Etapa 5: Verifique a conectividade do PC de gerenciamento a todos os switches. 
O PC de gerenciamento deve poder sibilar SW-A, SW-B, SW-1, SW-2e Central. 
Parte 4: Habilite o PC de gerenciamento para acessar o roteador R1 
Etapa 1: Permita uma nova subinterface no roteador R1. 
a. Crie a subinterface g0/0.3 e defina o encapsulamento ao dot1q 20 para explicar o VLAN 20. 
 
b. Atribua um endereço IP dentro da rede 192.168.20.0/24. 
 
Etapa 2: Verifique a conectividade entre o PC de gerenciamento e o R1. 
Certifique-se de configurar o gateway padrão no PC de gerenciamento para permitir a conectividade. 
Etapa 3: Enable security. 
Quando o PC de gerenciamento deve poder alcançar o roteador, nenhum outro PC deve poder alcançar a 
VLANde gerenciamento. 
Rastreador de pacotes - Segurança VLAN da camada 2 
© 2015 - 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 3 www.netacad.com 
a. Crie um ACL que permita somente o PC de gerenciamento alcançar o roteador. 
 
 
b. Aplique a ACL à (s) interface (s) apropriada (s). 
 
Nota: Há maneiras múltiplas em que um ACL pode ser criado para realizar a segurança necessária. Por esse 
motivo, a classificação nessa parte da atividade é baseada nos requisitos de conectividade corretos. O PC 
de gerenciamento deve ser capaz de se conectar a todos os switches e ao roteador. Todos os outros PCs 
não devem poder conectar a nenhum dispositivo dentro da VLAN de gerenciamento. 
Etapa 4: Verifique a segurança. 
a. Verifique somente o PC de gerenciamento pode alcançar o roteador. Use o SSH para alcançar o R1 com 
nome de usuário SSHAdmin e senha ciscosshpa55. 
PC> ssh -l SSHAdmin 192.168.20.100 
b. A partir do PC de gerenciamento, ping SW-A, SW-Be R1. 
Pergunta: 
Os pings foram bem-sucedidos? Explique. 
Digite suas respostas. 
 
c. De D1, execute o ping para o PC de gerenciamento. Os pings foram bem-sucedidos? Explique. 
Digite suas respostas aqui. 
 
Etapa 5: Verifique os resultados. 
O percentual de conclusão deve ser 100%. Clique em Check Resultss para ver o feedback e a verificação 
de quais componentes necessários foram concluídos. 
Se todos os componentes parecem estar corretos e a atividade ainda mostra incompleta, poderia ser devido 
aos testes de conectividade que verificam a operação ACL.