In questo intervento vi propongo per la prima volta un laboratorio Packet Tracer da realizzare, ovvero una topologia pronta realizzata con il simulatore di rete Packet Tracer di Cisco, valida per iniziare a familiarizzare con IOS e configurazioni semplici.

In questo laboratorio vediamo come configurare al meglio il Port-Security, che consente all’amministratore di rete di prevenire accessi non autorizzati dai device di livello accesso, ovvero gli switch di piano che offrono connettività finale agli utenti.

L’attività scaricabile a questo indirizzo, e’ commentata step by step in questo mio articolo. Clicca subito sotto per continuare a leggere la notizia…

Task 1: Visionare la configurazione predefinita.

Fase 1. Verificare la configurazione delle VLAN e trunking sugli switch

• a. Sui tre switch, accedere alla modalità privilegiata EXEC utilizzando la console cisco password e la password segreta classe.
• b. Dalla modalità privileged EXEC, digitare show interfaces trunk e show interface switchport.

Osservazione: lo switch S1 ha porte F0 / 1 e F0 / 2 configurate come 802.1Q trunk.Su S2, F0 port 0 / 1 è una porta 802.1Q trunk. Su S3,F0 port 0 / 2 è una porta 802.1Q trunk. La VLAN nativa è la 99 per tutte le porte trunk.

• c. Eseguire il comando show vlan per verificare il database VLAN.

Osservazione: VLAN 10 (docenti / personale), 20 (studenti), 30(ospite), e 99 (gestione) sono configurati in treswitch: VLAN 1 VLAN di default su ogni switch.

S1 VLAN 1: tutte le porte, tranne per F0 porte trunk / 1 e F0 / 2.

• S2 VLAN 1: F0/2-5 porte, G1/1-2.
• S2 VLAN 10: porte F0/11-17
• S2 VLAN 20: porteF0/18-24
• S2 VLAN 30: porteF0/6-10
• S3 VLAN 1: F0 porte / 1, F0/3-5, G1/1-2
• S3 VLAN 10: porte F0/18-24
• S3 VLAN 20: porteF0/11-17
• S3 VLAN 30: porteF0/6-10

Fase 2. Verificare la configurazione di VTP sugli switch.

Dalla modalità EXEC privileged sugli switch layer di accesso,il comando VTP mostra lo stato della modalità VTP e informazioni relative alle VLAN.

Osservazione: S1 è un server VTP. S2 è un client VTP. S3 è in modalità VTP trasparente. Le VLAN configurate su S1 sono correttamente propagato a S2.

Fase 3. Verificare IEEE 802.1D Spanning-Tree.

• a. Da ogni switch, digitare show spanning-tree
• b. Verificare che tutti gli switch stiano eseguendo IEEE 802.1D Spanning-Tree.
• c. Verificare che S1 sia il root bridge per le VLAN 1-1.001.

Osservazione: Tutti gli switch stanno eseguendo lo spanning-tree IEEE 802.1D. S1 è il root bridge dell’ albero per la topologia.

Task 2: Configurare Port-Security.

Fase 1. Port-SecurityAttiva S2 e applicare un numero massimo di mac-address utilizzabili su quell’interfaccia

• a. Per abilitare la Port-Securitysu S2, entrare in modalità interfaccia per la porta F0/6 e digitare switchport port-security.
• b. Ripetere il passaggio 1.a. sulle porte F0/11 e F0/18 di S2.
• c. Sulle porte F0 / 6, F0/11, e F0/18 di S2, digitare il comando switchport port-security maximum 1.
• d. Digitare il comando eseguito show in modalità privileged EXEC per vedere l’effetto del passaggio 2.a.

Osservazione: Il comando switchport port-security maximum 1. 1 non sembra sotto la F0 interface / 6, F0/11, e F0/18. Questo perché il massimo predefinito per la portasicurezza su una interfaccia è 1. Il comando switchport port-security maximum # viene visualizzato solo se il valore è superiore a 1.

• e. Ripetere i passaggi d sui porteF0 / 6, F0/11, e F0/18 di S3 switch.

Fase 2. Configurare l’apprendimento dinamico per la Port-Security e verificarne il funzionamento.

• a. Sulle porte F0 / 6, F0/11, e F0/18 di S2 e S3, digitare la porta switchport port-security mac-address sticky. Eseguire il comando sh run per visualizzare la finale configurazione sia S2 e S3.
• b. Fare clic su PC6. PC6 è attualmente collegato a Fa0 / 6 su S3. Dal prompt dei comandi su PC6, eseguire il comando ping 172.17.30.23. Questo ping PC3, che è collegato a Fa0 / 6 in S2. Il ping deve essere successo.
• c. Su S2 e S3, digitare il comando show run per vedere se qualcosa è cambiato nella produzione.

Osservazione: In S2, la voce “switchport port-security mac-address sticky 0001.C7CA.E31C “appare ora sotto la configurazione per F0 / 6. Sulla S3, la voce “switchport port-security mac-address 0030.A3A5.A8C2 sticky “ora appare sotto la configurazione per F0/ 6.

• d. Su S3, entra nel show port-security interface fa0/6.

Osservazione: la Port-Securityè attivato, porta-stato è secure-up, count violazione della sicurezza è pari a 0.

Fase 3. Osservare cosa succede quando una violazione della sicurezza si verifica.

• a. Fare clic sul pulsante rosso x sulla parte destra della la finestra di PT. Questo vi permetterà di eliminare una connessione nella topologia. X il luogo attraverso la connessione tra PC6 e S3 e clicca. La connessione dovrebbe scomparire.
• b. Dal prompt dei comandi di TestPC digitare il comando ping 172.17.30.23. Il ping dovrebbe fallire.
• c. Su S3, entra nel porto comando show port-security interface fa0/6.

Osservazione: la Port-Securityè attivato, count violation della sicurezza è pari a 1.

• e. Eliminare la connessione tra TestPC e S3. Inserire un nuovo collegamento tra PC6 e S3 con Fa0 porto / 6.Ricordo che una volta che una porta è spento a causa della sicurezza violazione, la porta deve essere amministrativamente arresto e riattivato per portare la porta di nuovo online. Il Fa0 / 6 su S3, il comando no shutdown.
• f. Dal prompt dei comandi su PC6, digitare il comando ping 172.17.30.23. Il ping dovrebbe riuscire. Su S3, il rilascio del porto comando show-Fa0 interfaccia di sicurezza / 6. Lo status di la porta dovrebbe tornare alla normalità.

Termine dell’attività.

Nei prossimi post vedremo altri laboratori e spiegazioni teoriche di altri protocolli per livelli CCENT-CCNA.