Guía 6 1
Facultad: Ingeniería
Escuela: Electrónica
Asignatura: Administración de redes
Contenidos
Storm Control
Protected Ports – Private Edge VLANs
Port Blocking
Port Security
Objetivos Específicos
Materiales y Equipo
Procedimiento
Esquema de Conexiones
Bibliografía
Conectar la PC con el switch empleando el cable de consola.
Guía 1
PARTE I: Storm Control
Storm control previene que el tráfico de la LAN se vea afectado o interrumpido por tormentas de
broadcast, multicast o unicast en una de las interfaces físicas. Una tormenta LAN ocurre cuando
paquetes inundan la LAN, generando tráfico excesivo y degradando el desempeño de la red. Errores
en la implementación de protocols, configuraciones de red erróneas o usuarios atacando la red con
DoS pueden provocar una tormenta.
Storm Control (o supresión de tráfico) monitorea los paquetes que pasan de las interfaces al bus de
switching y determina si el paquete es unicast, multicast, o broadcast. El switch realiza conteo de
2 Administración de redes. Guía 6
storm-control {broadcast | multicast | unicast} level {level [level-low] | bps bps [bps-low] | pps pps
[pps-low]}
Level especifica el umbral máximo (rising threshold) para tráfico broadcast, multicast o unicast
como porcentaje del ancho de banda.
Bps especifica el umbral máximo en bits por segundo.
Pps especifica el umbral máximo en paquetes por segundo.
Luego se aplica el siguiente comando para especificar la acción a tomar cuando una tormenta es
detectada. Por defecto la acción realizada es la de filtrar el tráfico sin enviar traps.
1. Configure el puerto Fa0/1 para habilitar storm control para broadcast con un umbral de
20%.
2. Configure el Puerto Fa0/2 para habilitar storm control para multicast con un umbral máximo
de 100kbps y un umbral caída de 50kbps. En caso de detectar una tormenta se debe
generar un trap SNMP.
Switch#
Switch(config)#
Switch(config-if)#
Switch(config-if)#
Por razones de seguridad y protección de hosts de la red LAN o debido a la existencia de ciertas
aplicaciones se tienen requerimientos que ningún tipo de tráfico sea transmitido (forwarded) a nivel
de L2 entre puertos de un mismo switch de tal forma que un host no pueda ver el tráfico generado
por otro vecino. En tal ambiente, el uso de puertos protegidos asegura que no exista intercambio de
tráfico unicast, multicast o broadcast entre dichos puertos.
Puertos protegidos poseen las siguientes características:
Administración de redes. Guía 6 3
Un puerto protegido no transmite tráfico a ningún puerto que también es protegido. Tráfico de
datos no puede ser transmitido entre puertos protegidos en L2; solamente tráfico de control,
como paquetes PIM, pueden ser transmitidos debido a que estos paquetes son procesados por el
CPU y transmitidos via software. Todo el tráfico de datos que debe pasar entre 2 puertos
protegidos, debe hacerse por medio de un dispositivo L3.
Transmisión entre un puerto protegido y uno no protegido (publico) se hace de forma normal.
Por defecto, un switch inunda los paquetes con direcciones MAC destino desconocidas en todos los
puertos. Si tráfico multicast o unicast desconocido es enviado a un puerto protegido, pueden existir
problemas de seguridad. Para prevenir que tráfico unicast o multicast desconocido sea transmitidos
de un puerto a otro, se puede bloquear un puerto (protegido o publico) para que no inunde
paquetes unicast o multicast desconocidos a otros puertos.
Se puede utilizar port security para restringir tráfico entrante en una interface al limitar e identificar
las direcciones MAC de las estaciones que tienen acceso autorizado al puerto. Cuando se asignan
direcciones MAC seguras a un puerto asegurado, el puerto no transmite paquetes con direcciones
origen que no se encuentren en el grupo de direcciones predefinido. Si se limita el número de
direcciones MAC a uno y se asigna una dirección MAC única, el host asociado al puerto tiene
asegurado todo el ancho de banda de dicho puerto.
Si un puerto es configurado como seguro y el número máximo de direcciones MAC seguras es
alcanzado o cuando la dirección MAC de la estación que intenta tener acceso a la red es diferente
de las direcciones MAC configuradas como seguras, una violación de seguridad ocurre. También, si
una estación con dirección MAC segura configurada o aprendida en un puerto seguro intenta
acceder mediante otro puerto seguro, se marca una violación.
Se configura el número máximo de direcciones seguras permitidas en un puerto utilizando el
comando switchport port-security maximum value.
Un switch soporta los siguientes tipos de direcciones MAC seguras:
4 Administración de redes. Guía 6
Static secure MAC addresses: estas direcciones son configuradas manualmente utilizando el
comando switchport port-security mac-address mac-address. Estas direcciones son almacenadas
en la tabla de direcciones y se agregan el la configuración actual del equipo (running-
configuration).
Dynamic secure MAC addresses: estas direcciones son configuradas de forma dinámica y son
almacenadas únicamente en la tabla de direcciones y son removidas una vez se reinicia el switch.
Sticky secure MAC addresses: estas pueden ser aprendidas de forma dinámica o configuradas
manualmente, almacenadas en la tabla de direcciones y se agregan a la configuración actual del
equipo. Si estas direcciones son almacenadas en el archivo de configuración, cuando el switch
reinicia, la interface no requiere reconfigurar dinámicamente las direcciones.
Se puede configurar una interface para convertir las direcciones MAC dinámicas en direcciones
MAC sticky para que sean agregadas a la configuración actual del switch utilizando sticky
learning. Para habilitar sticky learning se emplea el comando switchport port-security mac-
address sticky. Al ejecutar este comando, la interface convierte todas las direcciones MAC
seguras dinámicas, incluyendo aquellas que fueron aprendidas de forma dinámica antes de
haber habilitado sticky learning. Todas las direcciones seguras sticky son añadidas a la
configuración actual del switch.
Si se deshabilita sticky learning, las direcciones MAC sticky son convertidas a direcciones
dinámicas seguras y son removidas de la configuración actual del switch.
3. Configure el Puerto FastEthernet0/5 con port security con un número máximo de direcciones
MAC seguras de 50.
4. Configure el Puerto FastEthernet0/6 con port security, configure direcciones MAC seguras de
forma manual para la vlan de datos y vlan de voz, configure un número máximo de 20
direcciones seguras en el puerto (10 para vlan de datos y 10 para vlan de voz).
Análisis de resultados
Presente un escenario o ejemplo en que pueda implementarse cada uno de estos mecanismos.
Guía 3
Guía 4
Bibliografía
http://cisco.biz/en/US/docs/ios/12_0t/12_0t1/feature/guide/Easyip2.html#wp24774
fía
Guía 3
Guía 4
fía
6 Administración de redes. Guía 6
Hoja de cotejo: 1
Docente: 1
Guía 6: Mecanismos para control de tráfico basado en
puertos Máquina No:
Alumno: MáquinaGL:
No:
Tema: Presentación
Alumno:
Docente : del programa Máquinaa No: Fecha:
GL:
Docente: GL:
EVALUACION
APLICACIÓN Del
DEL 40%
CONOCIMIENTO al
60%
ACTITUD
Del No tiene Actitud Tiene actitud
15% actitud propositiva y proactiva y
al proactiva. con sus
30% propuestas no propuestas
aplicables al son
contenido de concretas.
la guía.
TOTAL 100%