Administración de redes.

Guía 6 1

Facultad: Ingeniería
Escuela: Electrónica
Asignatura: Administración de redes

Tema: Mecanismos para control de tráfico basado en puertos

Contenidos

Storm Control
Protected Ports – Private Edge VLANs
Port Blocking
Port Security

Objetivos Específicos

Estudiar diferentes mecanismos disponibles para el control de tráfico basado en puertos.

Diferenciar escenarios en que se pueden utilizar los mecanismos para control de tráfico basado
en puertos.
Ejecutar procedimientos para la configuración de control de tráfico basado en puertos en un
switch Catalyst 2960.

Materiales y Equipo

1 Switch Cisco Catalyst 2960

1 PC con HyperTerminal o SecureCRT
1 Cables de Consola Cisco
1 Convertidores serial a USB
1 Cable UTP Cruzado

Procedimiento

Esquema de Conexiones
Bibliografía
Conectar la PC con el switch empleando el cable de consola.
Guía 1
PARTE I: Storm Control

Storm control previene que el tráfico de la LAN se vea afectado o interrumpido por tormentas de
broadcast, multicast o unicast en una de las interfaces físicas. Una tormenta LAN ocurre cuando
paquetes inundan la LAN, generando tráfico excesivo y degradando el desempeño de la red. Errores
en la implementación de protocols, configuraciones de red erróneas o usuarios atacando la red con
DoS pueden provocar una tormenta.
Storm Control (o supresión de tráfico) monitorea los paquetes que pasan de las interfaces al bus de
switching y determina si el paquete es unicast, multicast, o broadcast. El switch realiza conteo de
2 Administración de redes. Guía 6

los paquetes de un tipo específico recibidos en un intervalo de 1 segundo y luego compara el

número de paquetes con el umbral de nivel de supresión predefinido.
Con storm control, el puerto bloquea el tráfico cuando el umbral máximo ha sido alcanzado. El
puerto permanece bloqueado hasta que la tasa de tráfico cae por debajo del umbral mínimo (si se
ha especificado uno) y entonces transmite tráfico de forma normal. En general, entre más alto es el
umbral, la protección contra tormentas de broadcast es menos efectiva.

Storm control se configura ingresando al modo de configuración de interface y aplicando el

siguiente comando

storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps
[pps-low]}

Level especifica el umbral máximo (rising threshold) para tráfico broadcast, multicast o unicast
como porcentaje del ancho de banda.
Bps especifica el umbral máximo en bits por segundo.
Pps especifica el umbral máximo en paquetes por segundo.

Luego se aplica el siguiente comando para especificar la acción a tomar cuando una tormenta es
detectada. Por defecto la acción realizada es la de filtrar el tráfico sin enviar traps.

storm-control action {shutdown | trap}

Shutdown es utilizado para deshabilitar el Puerto (err-disable) durante la tormenta.

Trap es utilizado para generar un trap de SNMP cuando se detecta una tormenta.

1. Configure el puerto Fa0/1 para habilitar storm control para broadcast con un umbral de
20%.

Switch# configure terminal

Switch(config)# interface FastEthernet0/1
Switch(config-if)# storm-control broadcast level 20

2. Configure el Puerto Fa0/2 para habilitar storm control para multicast con un umbral máximo
de 100kbps y un umbral caída de 50kbps. En caso de detectar una tormenta se debe
generar un trap SNMP.

Switch#
Switch(config)#
Switch(config-if)#
Switch(config-if)#

PARTE II: Protected Ports – Private Edge VLANs

Por razones de seguridad y protección de hosts de la red LAN o debido a la existencia de ciertas
aplicaciones se tienen requerimientos que ningún tipo de tráfico sea transmitido (forwarded) a nivel
de L2 entre puertos de un mismo switch de tal forma que un host no pueda ver el tráfico generado
por otro vecino. En tal ambiente, el uso de puertos protegidos asegura que no exista intercambio de
tráfico unicast, multicast o broadcast entre dichos puertos.
Puertos protegidos poseen las siguientes características:
 Administración de redes. Guía 6 3

Un puerto protegido no transmite tráfico a ningún puerto que también es protegido. Tráfico de
datos no puede ser transmitido entre puertos protegidos en L2; solamente tráfico de control,
como paquetes PIM, pueden ser transmitidos debido a que estos paquetes son procesados por el
CPU y transmitidos via software. Todo el tráfico de datos que debe pasar entre 2 puertos
protegidos, debe hacerse por medio de un dispositivo L3.
Transmisión entre un puerto protegido y uno no protegido (publico) se hace de forma normal.

1. Configure el Puerto FastEthernet0/3 como puerto protegido:

Switch# configure terminal

Switch(config)# interface FastEthernet0/3
Switch(config-if)# switchport protected
Switch(config-if)# end

PARTE III: Port Blocking

Por defecto, un switch inunda los paquetes con direcciones MAC destino desconocidas en todos los
puertos. Si tráfico multicast o unicast desconocido es enviado a un puerto protegido, pueden existir
problemas de seguridad. Para prevenir que tráfico unicast o multicast desconocido sea transmitidos
de un puerto a otro, se puede bloquear un puerto (protegido o publico) para que no inunde
paquetes unicast o multicast desconocidos a otros puertos.

2. Configure la interface FastEthernet0/4 para bloquear inundaciones de multicast y unicast

desconocidas:

Switch# configure terminal

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# switchport block multicast
Switch(config-if)# switchport block unicast
Switch(config-if)# end

PARTE IV: Port Security

Se puede utilizar port security para restringir tráfico entrante en una interface al limitar e identificar
las direcciones MAC de las estaciones que tienen acceso autorizado al puerto. Cuando se asignan
direcciones MAC seguras a un puerto asegurado, el puerto no transmite paquetes con direcciones
origen que no se encuentren en el grupo de direcciones predefinido. Si se limita el número de
direcciones MAC a uno y se asigna una dirección MAC única, el host asociado al puerto tiene
asegurado todo el ancho de banda de dicho puerto.
Si un puerto es configurado como seguro y el número máximo de direcciones MAC seguras es
alcanzado o cuando la dirección MAC de la estación que intenta tener acceso a la red es diferente
de las direcciones MAC configuradas como seguras, una violación de seguridad ocurre. También, si
una estación con dirección MAC segura configurada o aprendida en un puerto seguro intenta
acceder mediante otro puerto seguro, se marca una violación.
Se configura el número máximo de direcciones seguras permitidas en un puerto utilizando el
comando switchport port-security maximum value.
Un switch soporta los siguientes tipos de direcciones MAC seguras:
4 Administración de redes. Guía 6

Static secure MAC addresses: estas direcciones son configuradas manualmente utilizando el
comando switchport port-security mac-address mac-address. Estas direcciones son almacenadas
en la tabla de direcciones y se agregan el la configuración actual del equipo (running-
configuration).
Dynamic secure MAC addresses: estas direcciones son configuradas de forma dinámica y son
almacenadas únicamente en la tabla de direcciones y son removidas una vez se reinicia el switch.
Sticky secure MAC addresses: estas pueden ser aprendidas de forma dinámica o configuradas
manualmente, almacenadas en la tabla de direcciones y se agregan a la configuración actual del
equipo. Si estas direcciones son almacenadas en el archivo de configuración, cuando el switch
reinicia, la interface no requiere reconfigurar dinámicamente las direcciones.

Se puede configurar una interface para convertir las direcciones MAC dinámicas en direcciones
MAC sticky para que sean agregadas a la configuración actual del switch utilizando sticky
learning. Para habilitar sticky learning se emplea el comando switchport port-security mac-
address sticky. Al ejecutar este comando, la interface convierte todas las direcciones MAC
seguras dinámicas, incluyendo aquellas que fueron aprendidas de forma dinámica antes de
haber habilitado sticky learning. Todas las direcciones seguras sticky son añadidas a la
configuración actual del switch.
Si se deshabilita sticky learning, las direcciones MAC sticky son convertidas a direcciones
dinámicas seguras y son removidas de la configuración actual del switch.

Se puede configurar una interface en tres modos de violación:

Protect: cuando el numero de direcciones MAC seguras alcanza el limite máximo permitido
en el puerto, paquetes con direcciones fuente desconocidas son descartados. No se envían
notificaciones que una violación de seguridad ha ocurrido.
Restrict: cuando el número de direcciones MAC alcanza el límite máximo permitido en el
puerto, los paquetes con direcciones fuente desconocidas son descartados. En este modo, se
envía notificación de que una violación de seguridad ha ocurrido. Un trap SNMP es enviado,
un mensaje syslog es creado y el contador de violaciones incrementa.
Shutdown: una violación de seguridad del puerto provoca que la interface sea deshabilitada
(err-disable) inmediatamente. Un trap SNMP es enviado, se crea un mensaje syslog y el
contador de violaciones incrementa. Este es el modo por defecto.

Para la configuración de port security se emplean los siguientes commandos:

Se configura el modo switchport de la interface:

switchport mode {access | trunk}

Se habilita port security en el puerto:

switchport port-security

Configurar el número máximo de direcciones MAC seguras permitidas. Puede especificarse el

número máximo por VLAN.
switchport port-security [maximum value [vlan {vlan-list | {access | voice}}]]

Configurar el modo de violación

switchport port-security violation {protect | restrict | shutdown}

Configurar las direcciones MAC seguras permitidas en el puerto. Si se configura un número

de direcciones menor al máximo permitido en el puerto, el remanente de direcciones puede
ser aprendidas de forma dinámica.
switchport port-security [mac-address mac-address [vlan {vlan-id | {access | voice}}]
 Administración de redes. Guía 6 5

Habilitar sticky learning en la interface:

switchport port-security mac-address sticky

Configurar una dirección MAC segura como dirección sticky:

switchport port-security mac-address sticky [mac-address | vlan {vlan-id | {access |
voice}}]

3. Configure el Puerto FastEthernet0/5 con port security con un número máximo de direcciones
MAC seguras de 50.

Switch(config)# interface gigabitethernet0/1

Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 50
Switch(config-if)# switchport port-security mac-address sticky

4. Configure el Puerto FastEthernet0/6 con port security, configure direcciones MAC seguras de
forma manual para la vlan de datos y vlan de voz, configure un número máximo de 20
direcciones seguras en el puerto (10 para vlan de datos y 10 para vlan de voz).

Switch(config)# interface FastEthernet0/1

Switch(config-if)# switchport access vlan 21
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 22
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 20
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security mac-address sticky address
Switch(config-if)# switchport port-security mac-address address
Switch(config-if)# switchport port-security mac-address sticky address vlan voice
Switch(config-if)# switchport port-security mac-address address vlan voice
Switch(config-if)# switchport port-security maximum 10 vlan access
Switch(config-if)# switchport port-security maximum 10 vlan voice

Análisis de resultados
Presente un escenario o ejemplo en que pueda implementarse cada uno de estos mecanismos.
Guía 3

Guía 4
Bibliografía

http://cisco.biz/en/US/docs/ios/12_0t/12_0t1/feature/guide/Easyip2.html#wp24774
fía
Guía 3

Guía 4

fía
6 Administración de redes. Guía 6

Hoja de cotejo: 1
Docente: 1
Guía 6: Mecanismos para control de tráfico basado en
puertos Máquina No:

Alumno: MáquinaGL:
No:

Tema: Presentación
Alumno:
Docente : del programa Máquinaa No: Fecha:
GL:

Docente: GL:

EVALUACION

% 1-4 5-7 8-10 Nota

CONOCIMIENTO Del Conocimiento Conocimiento Conocimiento

20 deficiente y explicación completo y
al de los incompleta de explicación
30% fundamentos los clara de los
teóricos fundamentos fundamentos
teóricos teóricos

APLICACIÓN Del
DEL 40%
CONOCIMIENTO al
60%

ACTITUD
Del No tiene Actitud Tiene actitud
15% actitud propositiva y proactiva y
al proactiva. con sus
30% propuestas no propuestas
aplicables al son
contenido de concretas.
la guía.
TOTAL 100%