Comparto lista de comandos para configurar la seguridad en los SWITCHES
Seguridad en los puertos |
| #configure terminal Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security habilita la seguridad en el puerto Switch(config-if)#switchport port-security maximun [numero] mac maximas a aprender, por defecto es (1) Switch(config-if) #switchport port-securíty mac-address xxxx.xxx mac asignada estaticamente Switch(config-if) #switchport port-securíty mac-address sticky activa el aprendizaje de la mac dinamica y la guarda en la config en ejecución Switch(config-if) #switchport port-securíty violation shutdown [restrict/ protect/shutdown] Switch#configure terminal Switch(config )#interface fa0/1 Switch(config-if) #switchport mode trunk Switch(config-if) #switchport nonegotiate desactiva DTP para que no haya negociacion de puertos Switch(config-if) #switchport trunk native vlan 99 cambiar la vlan 1 como nativa |
Habilitar portfast |
| S1#configure terminal Switch(config)#spanning-tree portfast default (habilita porfast en todas la interf de acceso) Switch(config)# spanning-tree portfast trunk (cuando el puerto lleva vlan a un server ESXI) Portfast por interface S1#configure terminal S1(config )#interf ace fa0/1 S1(config-if)#spanning-tree portfast |
Habilitar BPDU Guard (apaga un puerto en portfast al detercar bpdu) |
| S1#configure terminal Switch(config)#spanning-tree portfast bpduguard default (lo habilita de forma global) S1#configure terminal S1(config )#interface fa0/1 S1(config-if)#spanning-tree bpduguard enable |
|
DHCP snooping (permitir solo dhcp aprobado en el entorno) |
| #configure terminal Switch(config)#ip dhcp snooping activamos el servicio Switch(config)#ip dhcp snooping vlan 200 especificamos sobre que numeros de vlan trabajara Switch(config)#interface fastethernet 0/1 Switch(config-if)#ip dhcp snooping trust declaramos el puerto donde esta el servidor como confiable Switch(config)#interface fastethernet 0/5 -24 Switch(config-if)#ip dhcp snooping limit rate 6 en los puertos no confiables Limitamos al cantidad de mensajes de descubrimiento Switch(config-if)#exit |
Dymamic ARP Inspection |
| #configure terminal Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 200 Switch(config)#ip arp inspection vlan 200 Switch(config)#ip arp inspection validate src-mac dst-mac ip si se colocan separadas una sustituye a la anterior Switch(config)#interface fastethernet 0/24 Switch(config-if)#ip dhcp snooping trust Switch(config-if)#ip arp inspection trust |
CONFIGURACION SEGURIDAD EXPLICADO EN VIDEO
0 Comentarios