Objetivo
- Parte 1: Configurar la seguridad de los puertos
- Parte 2: Verificar la seguridad de los puertos
Aspectos básicos
En esta actividad, usted va a configurar y verificar la seguridad del puerto en el switch. La seguridad del puerto le permite restringir el tráfico de entrada de un puerto al limitar las direcciones MAC que pueden enviar tráfico al puerto.
Paso 1: Configure la seguridad del puerto
A). Acceda a la línea de comandos de S1 y habilite la seguridad del puerto en los puertos Fast Ethernet 0/1 y 0/2.
S1(config)#interface range f0/1-2
S1(config-if-range)#switchport port-security
B). Establezca el máximo posible para que solo un dispositivo pueda acceder a los puertos Fast Ethernet ports 0/1 y 0/2.
S1(config-if-range)#switchport port-security maximum 1
C). Asegure los puertos para que la dirección MAC de un dispositivo se aprenda dinámicamente y se agregue a la configuración en ejecución.
S1(config-if-range)#switchport port-security mac-address sticky
D). Establezca el modo de infracción para que los puertos Fast Ethernet 0/1 y 0/2 no se deshabiliten cuando se produce una infracción, pero se genere una notificación de la violación de seguridad y se descarten los paquetes de origen desconocido.
S1(config-if-range)#switchport port-security violation restrict
E). Deshabilite todos los puertos restantes no utilizados. Use la palabra range para aplicar esta configuración a todos los puertos simultáneamente.
S1(config-if-range)#interface range f0/3 - 24 , g0/1 - 2
S1(config-if-range)#shutdown
Paso 2: Verifique la seguridad del puerto
A). Desde PC1, haga ping a PC2.
Pinging 10.10.10.11 with 32 bytes of data:
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.11:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
B). Verifique que la seguridad del puerto está habilitada y que las direcciones MAC de PC1 y PC2 se hayan agregado a la configuración en ejecución.
S1#show run | begin interface
interface FastEthernet0/1
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security mac-address sticky 00E0.B027.2245
interface FastEthernet0/2
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security mac-address sticky 0001.647C.697E
ip address 10.10.10.2 255.255.255.0
C). Use mostrar comandos de la seguridad del puerto para que se despliegue la información de la configuración.
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
--------------------------------------------------------------------
----------------------------------------------------------------------
S1#show port-security address
-------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
---- ----------- ---- ----- -------------
1 00E0.B027.2245 SecureSticky FastEthernet0/1 -
1 0001.647C.697E SecureSticky FastEthernet0/2 -
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
D). Conecte una computadora portátil (Laptop) intrusa a cualquier puerto del switch y observe que las luces de enlace sean rojas.

E). Habilite el puerto y verifique que la computadora portátil (Laptop) intrusa puede hacer ping a PC1 y PC2. Después de la verificación, apague el puerto conectado a la computadora portátil (Laptop) intrusa.
S1(config-if)#no shutdown
Pinging 10.10.10.10 with 32 bytes of data:
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Pinging 10.10.10.11 with 32 bytes of data:
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Reply from 10.10.10.11: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.11:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
F). Desconecte la PC2 y conecte la computadora portátil (Laptop) intrusa al puerto F0/2, que es el puerto al que se conectó originalmente PC2. Verifique que la computadora portátil (Laptop) intrusa no es capaz de hacer ping a PC1.
Confirmado, no puede hacer ping.
Pinging 10.10.10.10 with 32 bytes of data:
Ping statistics for 10.10.10.10:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
G). Muestra las violaciones de port security para el puerto al que está conectado la computadora portátil (Laptop) intrusa.
¿Cuántas violaciones han ocurrido?
1 Violación
S1#show port-security interface f0/2
Violation Mode : Restrict
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Configured MAC Addresses : 0
Last Source Address:Vlan : 0002.4A42.C51C:1
Security Violation Count : 1
H). Desconecte la computadora portátil (Laptop) intrusa y conecte la PC2. Verifique que PC2 puede hacer ping a PC1.
Efectivamente si
Pinging 10.10.10.10 with 32 bytes of data:
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Reply from 10.10.10.10: bytes=32 time<1ms TTL=128
Ping statistics for 10.10.10.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
¿Por qué la PC2 puede hacer ping a la PC1, pero la computadora portátil (Laptop) intrusa no puede?
La seguridad del puerto que se habilitó en el puerto solo permitió al dispositivo cuyo MAC estaba disponible en ese momento. En cambio la computadora portatil el MAC addres no se registro el S1.