11.6.1 – Packet Tracer – Configuration de la Sécurité de Commutateur

CCNA v7 #2
0

11.6.1 – Packet Tracer – Configuration de la Sécurité de Commutateur

Tableau de VLAN

Commutateur Numéro de VLAN Nom du VLAN Appartenances des ports Réseau
SW-1 10 Admin F0/1, F0/2 192.168.10.0/24
20 Commercial F0/10 192.168.20.0/24
99 Gestion F0/24 192.168.99.0/24
100 Natif G0/1, G0/2 Aucun
999 BlackHole Tous inutilisés Aucun
SW-2 10 Admin F0/1, F0/22 192.168.10.0/24
20 Ventes F0/10 192.168.20.0/24
99 Gestion F0/24 192.168.99.0/24
100 Natif Aucun Aucun
999 BlackHole Tous inutilisés Aucun

Objectifs

Partie 1 : Créer un trunc sécurisé.
Partie 2 : Sécuriser les ports du commutateur inutilisés.
Partie 3 :Mettre en œuvre La sécurité des Ports.
Partie 4 : Activer L’espionnage (snooping) DHCP.
Partie 5 : Configurer Rapid PVST+, PortFast et la protection BPDU.

Contexte

Vous améliorez la sécurité sur deux commutateurs d’accès dans un réseau partiellement configuré. Vous mettez en œuvre la gamme de mesure de sécurité qui a été présenté dans ce module selon les exigences ci-dessous. Notez que le routage a été configuré sur ce réseau, donc la connectivité entre les hôtes sur différents VLAN devrait fonctionner quand terminée.

Instructions

Étape 1: Créer un trunc sécurisé.

a. Connectez les ports G0/2 des deux commutateurs de couche d’accès.

b. Configurez les ports G0/1 et G0/2 comme truncs statiques sur les deux commutateurs.

c. Désactivez la négociation DTP sur les deux côtés de la liaison.

d. Créez le VLAN 100 et lui attribuez le nom Native sur les deux commutateurs.

e. Configurez tous les ports de trunc sur les deux commutateurs pour utiliser VLAN 100 comme VLAN natif.

SW-1 et SW-2

SW-1/SW-2(config)#interface range GigabitEthernet0/1 - 2

 
SW-1/SW-2(config-if-range)#switchport mode trunk
SW-1/SW-2(config-if-range)#switchport nonegotiate
SW-1/SW-2(config-if-range)#
SW-1/SW-2(config-if-range)#vlan 100
SW-1/SW-2(config-vlan)#name Native
SW-1/SW-2(config-vlan)#
SW-1/SW-2(config-vlan)#interface range GigabitEthernet0/1 - 2
SW-1/SW-2(config-if-range)#switchport trunk native vlan 100

Étape 2: Sécuriser Les Portes du Commutateur Inutilisés.

a. Désactivez tous les ports de commutateur inutilisés sur SW-1.

b. Sur SW1, créez le VLAN 999 et nommez-le BlackHole. Le nom configuré doit correspondre exactement à l’exigence.

c. Déplacez tous les ports de commutateur inutilisés vers le VLAN BlackHole.

SW-1(config)#interface range FastEthernet0/3-9, FastEthernet0/11-23
SW-1(config-if-range)#shutdown
SW-1(config-if-range)#exit

SW-1(config)#vlan 999
SW-1(config-vlan)#name BlackHole
SW-1(config-vlan)#exit

SW-1(config)#interface range FastEthernet0/3-9, FastEthernet0/11-23
SW-1(config-if-range)#switchport access vlan 999

Étape 3: Mettre en œuvre la sécurité des ports.

a. Activez la sécurité des ports sur tous les ports d’accès actifs du commutateur SW-1.

SW-1(config)#interface range FastEthernet0/1, FastEthernet0/2, FastEthernet0/10,FastEthernet0/24
SW-1(config-if-range)#switchport mode access
SW-1(config-if-range)#switchport port-security

b. Configurez les ports actifs pour permettre l’apprentissage d’un maximum de 4 adresses MAC sur les ports.

SW-1(config)#interface range FastEthernet0/1, FastEthernet0/2, FastEthernet0/10,FastEthernet0/24
SW-1(config-if-range)#switchport port-security maximum 4

c. Pour les ports F0 / 1 sur SW-1, configurez statiquement l’adresse MAC du PC à l’aide de la sécurité des ports.

SW-1(config)#interface FastEthernet0/1
SW-1(config-if)#switchport port-security mac-address 0010.11E8.3CBB

d. Configurez chaque port d’accès actif afin qu’il ajoute automatiquement les adresses MAC apprises sur le port à la configuration courante.

SW-1(config)#interface range FastEthernet0/1, FastEthernet0/2, FastEthernet0/10,FastEthernet0/24
SW-1(config-if-range)#switchport port-security mac-address sticky

e. Configurez le mode de violation de sécurité des ports pour abandonner les paquets des adresses MAC qui dépassent le maximum, générer une entrée Syslog, mais pas désactiver les ports.

SW-1(config)#interface range FastEthernet0/1, FastEthernet0/2, FastEthernet0/10,FastEthernet0/24
SW-1(config-if-range)#switchport port-security violation restrict

Étape 4: Configurer L’espionnage (snooping) DHCP

a. Configurez les portes trunc sur SW-1 comme des ports approuvés.

SW-1(config)#interface range GigabitEthernet0/1-2
SW-1(config-if-range)#ip dhcp snooping trust

b. Limitez les ports non approuvés sur SW-1 à cinq paquets DHCP par seconde.

SW-1(config)#interface range FastEthernet0/2, FastEthernet0/10,FastEthernet0/24
SW-1(config-if-range)#ip dhcp snooping limit rate 5

c. Sur SW-2, activez l’espionnage DHCP globalement pour les VLAN 10, 20 et 99.

SW-2(config)#ip dhcp snooping
SW-2(config)#ip dhcp snooping vlan 10,20,99

Remarque : La configuration d’espionnage (snooping) DHCP ne peut pas noter correctement dans Packet Tracer.

Étape 5: Configurer PortFast et la protection BPDU.

a. Activez PortFast sur tous les ports d’accès utilisés sur SW-1.

b. Activez la protection BPDU (BPDU Guard) sur tous les ports d’accès utilisés sur SW-1.

SW-1(config)#interface range FastEthernet0/1-2, FastEthernet0/10,FastEthernet0/24
SW-1(config-if-range)#spanning-tree portfast
SW-1(config-if-range)#spanning-tree bpduguard enable

c. Configurez SW-2 pour que tous les ports d’accès utilisent PortFast par défaut.

SW-2(config)#spanning-tree portfast default

Configuration des appareils :

Configuration SW1

enable
configure terminal
spanning-tree portfast default
interface FastEthernet0/1
ip dhcp snooping limit rate 5
switchport mode access
switchport port-security
switchport port-security maximum 4
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security mac-address 0010.11E8.3CBB
spanning-tree portfast
spanning-tree bpduguard enable

interface range FastEthernet0/2, FastEthernet0/10,FastEthernet0/24
ip dhcp snooping limit rate 5
switchport mode access
switchport port-security
switchport port-security maximum 4
switchport port-security mac-address sticky
switchport port-security violation restrict
spanning-tree portfast
spanning-tree bpduguard enable

interface range FastEthernet0/3-9, FastEthernet0/11-23
switchport access vlan 999
shutdown

interface range GigabitEthernet0/1-2
switchport trunk native vlan 100
ip dhcp snooping trust
switchport mode trunk
switchport nonegotiate
vlan 100
name Native
vlan 999
name BlackHole

Paramétrage SW-2

enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20,99
spanning-tree portfast default
interface GigabitEthernet0/1
switchport trunk native vlan 100
switchport mode trunk
switchport nonegotiate

interface GigabitEthernet0/2
switchport trunk native vlan 100
switchport mode trunk
switchport nonegotiate

vlan 100
name Native
Icon

11.6.1 - Packet Tracer - Configuration de la Sécurité de Commutateur .pka

1 file(s) 603.18 KB
Download
You might also like More from author
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments