UNIVERSIDADE DE CABO VERDE

FACULDADE DE CIÊNCIAS E TECNOLOGIA

Coordenação do Grupo Disciplinar de Física, Eletrotecnia e Energia
Redes de Computadores

Trabalho Prático 1
Lab 2 – Configurações Básicas do Switch

Objetivo:
Parte 1: Configure a topologia
Parte 2: Configurações básicas do dispositivo de rede e verificação de conetividade
Parte 3: Configure e Verifique o acesso SSH no S1
• Configure o acesso SSH
• Verifique a configuração SSH
• Modifique os parâmetros SSH
Parte 4: Configure e Verifique questões de segurança no S1
• Configure e verifique segurança geral
• Configure e Verifique port security

Cenário

Neste laboratório, seguirá algumas práticas recomendadas para configurar recursos de segurança
em switches LAN. Só permitirá sessões SSH e HTTPS. Também configurará e verificará a
segurança da porta para bloquear qualquer dispositivo com um endereço MAC não reconhecido
pelo switch. Use Router Cisco 1941.

Topologia

Tabela de endereços

Parte 2: Configure as Configurações básicas do dispositivo e verifique a conectividade

Faça as configurações básicas no router, switch e PC. Consulte a Topologia e Endereçamento
tabela no início deste laboratório para nomes de dispositivos e informações de endereço.
Etapa 1: Configure um endereço IP no PC-A.
Etapa 2: Efetue as configurações básicas em R1.
a) Configure o nome do dispositivo.
b) Desativar DNS lookup.
c) Configure o endereço IP da interface, conforme mostrado na tabela de endereçamento.
d) Atribua a pgre como password do modo EXEC privilegiado.
e) Atribua cisco como a password da consola e vty e ative o login.
f) Encriptar as passwords de texto simples.
g) Guarde as configurações.
 UNIVERSIDADE DE CABO VERDE
FACULDADE DE CIÊNCIAS E TECNOLOGIA
Coordenação do Grupo Disciplinar de Física, Eletrotecnia e Energia
Redes de Computadores

Etapa 3: Realize as configurações básicas no S1.

Uma boa prática de segurança é atribuir o endereço IP de gestão do switch a uma VLAN
diferente da VLAN 1 (ou qualquer outra VLAN de dados com users finais). Nesta etapa, você
criará a VLAN 99 no switch e atribuirá uma Endereço de IP.
a) Configure o nome do dispositivo.
b) Desativar DNS lookup.
c) Atribua pgre como a password do modo EXEC privilegiado.
d) Atribua cisco como a password da consola e vty e, habilite o login.
e) Configure um default gateway para S1 usando o endereço IP de R1.
f) Encriptar as passwords de texto simples.
g) Guarde as configurações.

h) Criar VLAN 99 no switch e dar nome de Gestão

i) Configurar as Portas F0/5 e F0/6 para VLAN 99 no switch.
j) Verifique a conetividade entre todos os dispositivos

Parte 3: Configure e Verifique o acesso SSH no S1

Etapa 1: Configure SSH access on S1.

Ative SSH no S1. Crie o domain name como LabRcom.com.

S1(config)# ip domain-name LabRcom.com
Crie uma base de dados de utilizador local para usar ao conectar-se ao switch via SSH. O
utilizador deve ter acesso ao nível administrativo.
Nota: A password usada aqui não é uma senha forte. É apenas usado para fins do
laboratório.

S1(config)# username admin privilege 15 secret sshadmin

Configure a entrada de transporte para as linhas vty para permitir apenas conexões SSH
e use a base de dados local para autenticação.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit

Gerar uma crypto key RSA usando um módulo de 1024 bits.

S1(config)# crypto key generate rsa
The name for the keys will be: S1.LabRcom.com
How many bits in the modulus [512]: 1024
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 3 seconds)
S1(config)#
S1(config)# end

Verifique a configuração SSH

S1# show ip ssh

Etapa 2: Verifique a configuração no SSH.

Abre uma conexão SSH para o S1. User admin e password sshadmin
C:\>SSH -l admin 172.16.99.11
 UNIVERSIDADE DE CABO VERDE
FACULDADE DE CIÊNCIAS E TECNOLOGIA
Coordenação do Grupo Disciplinar de Física, Eletrotecnia e Energia
Redes de Computadores

Etapa 3: Modifique a configuração SSH no S1.

Modifique a configuração default SSH

S1(config)# ip ssh time-out 75
S1(config)# ip ssh authentication-retries 2
S1# show ip ssh

Parte 4: Configure e Verifique questões de segurança no S1

Na Parte 4, deve desligar portas não utilizadas e determinados serviços executados no

switch e configurar a segurança da porta com base em endereços MAC. Os switchs
podem estar sujeitos a ataques de overflow da tabela de endereços MAC, ataques de
falsificação(spoofing) de MAC e ligações não autorizadas para as portas do switch.
Configurará a segurança da porta para limitar a número de endereços MAC que podem
ser aprendidos numa porta de comutação e desativar a porta se esse número for
excedido.

Etapa 1: Configuração geral dos recursos de segurança no S1.

a) Verifique as portas que estão UP

S1# show ip interface brief
b) Desative todas as portas que não estão UP
S1(config)# interface range f0/1 – 4
S1(config-if-range)# shutdown
S1(config-if-range)# interface range f0/7 – 24
S1(config-if-range)# shutdown
S1(config-if-range)# interface range g0/1 – 2
S1(config-if-range)# shutdown
S1(config-if-range)# end
S1#

c) MAC address do g/1 do R1

R1# show interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Hardware is CN Gigabit Ethernet, address is xxxx.xxxx.xxxx (bia
xxxx.xxxx.xxxx)

d) MAC address do f0/5 e f0/6 do S1

S1# show mac address-table

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports

----- ----- ----------- -------- -----

99 zzzz.zzzz.zzzz DYNAMIC Fa0/5

99 yyyy.yyyy.yyyy DYNAMIC Fa0/6
 UNIVERSIDADE DE CABO VERDE
FACULDADE DE CIÊNCIAS E TECNOLOGIA
Coordenação do Grupo Disciplinar de Física, Eletrotecnia e Energia
Redes de Computadores

e) Interface que liga ao S1 ao R1

S1(config)# interface f0/5

Faz Shut down a porta.

S1(config-if)# shutdown
Ative o port security no F0/5.
S1(config-if)# switchport port-security
f) Configure de forma estática o MAC address do R1 G0/1
S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx
(xxxx.xxxx.xxxx é o MAC address atual da interface G0/1 router)

g) Ative a porta do switch.

S1(config-if)# no shutdown
S1(config-if)# end

h) Verifique o port security no F0/5 do S1 usando o comando show port-security interface

S1# show port-security interface f0/5

i) A partir do command prompt do R1, ping PC-A para verificar a conectividade.

R1# ping 172.16.99.3

j) Irá agora violar a segurança alterando o MAC address na interface do router.

R1# config t
R1(config)# interface g0/1
R1(config-if)# shutdown

k) Configure o novo MAC address para a interface, usando aaaa.bbbb.cccc como MAC
address.
R1(config-if)# mac-address aaaa.bbbb.cccc

l) Pode ver na consola do S1 varias msg indicando violação de segurança.

m) Ative a interface G0/1 no R1.
R1(config-if)# no shutdown

Faz o teste de conectividade a partir do R1 EXEC mode, para PC-A. Tiveste

sucesso? Sim ou Não? Justifique!

n) Verifique a port security no Switch

S1# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/5 1 1 1 Shutdown
----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192

S1# show port-security interface f0/5

Port Security : Enabled
Port Status : Secure-shutdown
 UNIVERSIDADE DE CABO VERDE
FACULDADE DE CIÊNCIAS E TECNOLOGIA
Coordenação do Grupo Disciplinar de Física, Eletrotecnia e Energia
Redes de Computadores

Violation Mode : Shutdown

Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : aaaa.bbbb.cccc:99
Security Violation Count : 1

S1# show interface f0/5

FastEthernet0/5 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet, address is zzzz.zzzz.zzzz (bia zzzz.zzzz.zzzz)
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
<output omitted>

S1# show port-security address

Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
99 zzzz.zzzz.zzzz SecureConfigured Fa0/5 -
-----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192

o) No router, faz shut down a interface G0/1, remove o hard-coded MAC address do
router, e re-ative a interface G0/1.
R1(config-if)# shutdown
R1(config-if)# no mac-address aaaa.bbbb.cccc
R1(config-if)# no shutdown
R1(config-if)# end

Faz ping do R1 para PC-A - 172.16.99.3. Não teras sucesso porque a interface
f0/5 continua down e com err - disabled.

S1# show interface f0/5

FastEthernet0/5 is down, line protocol is down (err-disabled)
…..
p) Apague o erro na f0/5 do S1
S1# config t
S1(config)# interface f0/5
S1(config-if)# shutdown
S1(config-if)# no shutdown

S1# show interface f0/5

FastEthernet0/5 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0023.5d59.9185 (bia 0023.5d59.9185)
 UNIVERSIDADE DE CABO VERDE
FACULDADE DE CIÊNCIAS E TECNOLOGIA
Coordenação do Grupo Disciplinar de Física, Eletrotecnia e Energia
Redes de Computadores

MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,

reliability 255/255, txload 1/255, rxload 1/255
p. Faz o teste de novo

Questões
1. Porque que deves ativar a port security num switch?

2. Porque que uma porta que não está a ser usada no switch deve ser
desabilitada?