Dac Con Labs 8 09 Lacp Ipb Gvlan

LABORATORIOS DE CONFIGURACIN CONECTIVIDAD N 8
Administracin y Configuracin de Switches Configuraciones Nivel Avanzado
8vo Laboratorio: Configuraciones Bsicas

LACP IP-MAC-Port Binding Guest VLAN
Tiempo estimado: 90 minutos Objetivo: El laboratorio N 8 tiene la finalidad de familiarizar al alumno con el concepto de LACP, Link Aggregation Protocol, Equipo: 2 computadores con sistema operativo instalado y consola activa. 2 Switch layer 2 2 cables de consola
Los laboratorios que se efectuarn a continuacin tienen la finalidad de presentar caractersticas avanzadas de los switches DLink utilizando diferentes funciones, protocolos y estndares de comunicacin. Para los diferentes laboratorios se utiliza el mismo esquema global de conexiones, destacando en cada uno de los laboratorios la funcionalidad a probar. Los equipos utilizados en los laboratorios pertenecen a la familia DGS-36xx y DGS-34xx . Las configuraciones a efectuar permiten probar lo siguiente: Uso de protocolos de redundancia: LACP Seguridad: IP-MAC-Port Binding Control de acceso: 802.1x Guest VLan
8.1 Configuracin LACP
Configurar los equipos con la topologa descrita en el diagrama, efectuando las configuraciones necesarias y verificar que se cumple el manejo de las caractersticas de los protocolos involucrados en la conectividad. Efectuar configuraciones de LACP verificando la activacin del protocolo.
8.1 Topologa de Red para LACP

Distributed Layer DGS-36xx ( L3-1-1 )
VLAN EdgePC EdgeIPTV EdgeVOIP VID 11 12 13 Tag ports 21-22 21-22 21-22 Untag ports 14 58 9 - 12 Multicast Client Internet
1-4
5-8 9 - 12
VIOP
LACP Access Layer
DGS-34xx ( L2-1-1 )
1-4
9 - 12 5-8
Internet Multicast Client
VIOP
8.1 Configuracin de Switch 1

# Reset de Dispositivo reset config # Nombre de Dispositivo config command_prompt L3-1-1 # VLAN create vlan EdgePC tag 11 create vlan EdgeIPTV tag 12 create vlan EdgeVOIP tag 13 # IPIF config ipif System ipaddress 10.90.90.11/24 create ipif EdgePC 192.168.11.253/24 EdgePC create ipif EdgeIPTV 192.168.12.253/24 EdgeIPTV create ipif EdgeVOIP 192.168.13.253/24 EdgeVOIP # VLAN Port config vlan EdgePC add tagged 21-22 config vlan EdgeIPTV add tagged 21-22 config vlan EdgeVOIP add tagged 21-22 config vlan default delete 1-12 config vlan EdgePC add untagged 1-4 config vlan EdgeIPTV add untagged 5-8 config vlan EdgeVOIP add untagged 9-12 # Descripcin de Puertos config ports 21-22 description Conn_L2-1-1_P21-22 # Link aggregation create link_aggregation group_id 1 type lacp config lacp_port 21-22 mode active config link_aggregation group_id 1 master_port 21 ports 21-22 state enable Config link_aggregation algorithm ip_source save
8.1 Configuracin de Switch 2

# Reset de Dispositivo reset config # Nombre de Dispositivo config command_prompt L2-1-1 # Descripcion de Puertos config ports 21-22 description Conn_L3-1-1_P21-22 config ports 1-4 description EdgePC config ports 5-8 description EdgeIPTV config ports 9-12 description EdgeVOIP # Link aggregation create link_aggregation group_id 1 type lacp config link_aggregation group_id 1 master_port 21 ports 21-22 state enable config lacp_port 21-22 mode passive Config link_aggregation algorithm ip_destination save
# VLAN create vlan EdgePC tag 11 create vlan EdgeIPTV tag 12 create vlan EdgeVOIP tag 13
# Mgmt IP config ipif System ipaddress 10.90.90.13/24
# VLAN Port connection config vlan EdgePC add tagged 21-22 config vlan EdgeIPTV add tagged 21-22 config vlan EdgeVOIP add tagged 21-22 config vlan default delete 1-12 config vlan EdgePC add untagged 1-4 config vlan EdgeIPTV add untagged 5-8 config vlan EdgeVOIP add untagged 9-12
8.2 IP MAC Port Binding
Configurar los equipos con la topologa descrita en el diagrama y verificar que se cumple el manejo de las caractersticas seguridad involucradas en la conectividad. Verificar que los equipos conectados puedan tener acceso a la red cuando este en una conexin valida y que no lo pueda hacer cuando cambie.
8.2 IP MAC Port Binding

DES-34XX Puertos IP-MAC Port Binding habilitados
Puerto 1
Puerto 10
Puerto 25
PC Cliente 1 IP: 192.168.0.10 MAC: 00-C0-9F-86-C2-5C
PC Cliente 2 Falsa IP:192.168.0.10

Falsa MAC: 00-C0-9F-86-C2-5C
Servidor
IP:192.168.0.20 MAC: 00-1F-3B-76-6D-09
1. Crear una entrada IP/MAC de PC1 2. Configurar Puertos 1-10 para habilitar IP-MAC Port Binding
Configuracin IP-MAC Port Binding modo ARP

:: Crear un registro IP-MAC Port Binding (192.168.0.10/ 00-C0-9F-86-C2-5C) ::
Ejemplo de comando: create address_binding ip_mac ipaddress 192.168.0.10 mac_address 00-C0-9F-86-C2-5C ports 1-10 mode arp Configurar una regla IP-MAC Port Binding config address_binding ip_mac ports 1-10 state enable Habilitar puertos activos
:: Para observar la configuracin IP-MAC Port Binding ::

show address_binding ip_mac show address_binding ports DGS-34XX:4#show address_binding ip_mac Command: show address_binding ip_mac ACL_mode : Disabled Trap/Log : Disabled Enabled ports: IP Address MAC Address Ports Mode ------------------ ----------------------- --------- -----------192.168.0.10 00-C0-9F-86-C2-5C 1-10 ARP Total entries : 1
Configuracin IP-MAC Port Binding modo ACL

:: Crear un registro IP-MAC Port Binding (192.168.0.10/ 00-C0-9F-86-C2-5C) ::
Ejemplo de comando: enable address_binding acl_mode Habilita IP-MAC Port Binding modo ACL create address_binding ip_mac ipaddress 192.168.0.10 mac_address 00-15-F2-A9-0B-C2 ports 1 mode acl Configurar una regla IP-MAC Port Binding config address_binding ip_mac ports 1-10 state enable Habilitar puertos activos
:: Para observar la configuracin IP-MAC Port Binding ::

show address_binding ip_mac show address_binding ports DGS-34XX:4#show address_binding ip_mac Command: show address_binding ip_mac ACL_mode : Disabled Trap/Log : Disabled Enabled ports: IP Address MAC Address Ports Mode ------------------ ----------------------- --------- -----------192.168.0.10 00-C0-9F-86-C2-5C 1-10 ACL Total entries : 1
Ejemplo de configuracin IP-MAC Port Binding

DGS-34XX:4#show address_binding blocked Command: show address_binding blocked VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- ------------------------------1 default 00-C0-9F-86-C2-5C 1 BlockByAddrBind Total entries : 1
:: Para borrar el registro de puertos bloqueados ::

Ejemplo de comando: delete address_binding blocked all Borra todos registros de los puertos bloqueados
delete address_binding blocked vlan <vlan_name> Borra registros de puertos bloquedos por nombre de VLAN
:: Para observar la informacin de puertos bloqueados::

show address_binding blocked
Ejemplo de configuracin IP - MAC Port Binding

DGS-34XX:4#enable address_binding trap_log Command: enable address_binding trap_log
Habilite IP-MAC port binding trap log.

Despues que un PC es bloqueado, puede ver un registro en el log del switch. Ejemplo de comando:
enable address_binding trap_log
DGS-34XX:4#show address_binding blocked Command: show address_binding blocked VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------1 default 00-C0-9F-86-C2-5C 1 BlockByAddrBind Total entries : 1 DGS-34XX:4#show log Command: show log Index Time Log Text ----- ------------------- ---------------------------------------------------3 00000 days 00:09:31 Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.0.10, MAC: 00C0-9F-86-C2-5C, port: 1) 2 00000 days 00:09:27 Port 1 link up, 100Mbps FULL duplex 1 00000 days 00:09:20 Port 1 link down
Borrar un registro IP-MAC port record del

switch Ejemplo de comando:
delete address_binding ip_mac ipaddress 192.168.0.10 mac_address aa-bb-cc-dd-ee-ff
8.3 802.1X - Guest VLAN
Configurar los equipos con la topologa descrita en el diagrama y verificar que se cumple el manejo de las caractersticas seguridad involucradas en la conectividad. Verificar que los equipos conectados se validen con el servidor Radius y puedan tener acceso a la red cuando sean validados y que no lo pueda hacer cuando si no se validan.
802.1x Guest VLAN

1. 802.1x 2. 802.1x + guest vlan
Guest vlan
X
Cliente 1
Ser movido a la vlan designada

Cliente 2 Cliente 3 Servidor FTP Servidor Radius
3. Despus de autenticacin
1. Los miembros de Guest VLAN pueden comunicarse incluso si no han pasado la autenticacin 802.1x. 2. Un miembro de Guest VLAN puede cambiarse a la VLAN destino basado en los atributos definidos en el servidor Radius cuando pase la autenticacin 802.1x.
(Guest vlan solo puede soportar 802.1x por puerto, no soporta 802.1x basado en mac)
Ejemplo 802.1x Guest VLAN

Autenticacin 802.1x fallida:
Servidor de R&D (Confidencial) 802.1x con Guest VLAN habilitado en puertos 13-24 Servidor Win2003 RADIUS DI-804 DHCP Server y Gateway a Internet
Internet
DGS-34XX
Con acceso limitado
Vlan 10 (Guest Vlan)
Miembro RD Cliente 802.1x cliente WinXP
Puertos Guest Vlan habilitados Vlan 20
Autenticacin Negada Si un visitante falla en la autenticacin 802.1x, se mantendr en la Guest VLAN (VLAN 10) donde tiene atributos limitados.
Ejemplo 802.1x Guest VLAN:

Autenticacin 802.1x exitosa:
Servidor R&D (Confidencial) Servidor Win2003 RADIUS DI-804 Servidor DHCP y Gateway a Internet
Internet
DGS-34XX
Miembro RD 802.1x cliente WinXP
Cliente (Consultor)
Asignacin Dinmica de VLAN
Vlan 10 (Guest Vlan) Puerto habilitado con Guest Vlan Vlan 20
Autenticacin validada Si el la identificacin del cliente (ej.: consultor RD) cumple la poltica y entrega el nombre/password correcta , ese cliente ser aceptado y puesto en la VLAN destino(VLAN 20) => Asignacin Dinmica de VLAN
Configuracin 802.1x Guest VLAN

1. Configuracin Switch
## CrearVLANs v10 & v20 ## reset config vlan default delete 1-28 create vlan v10 tag 10 config vlan v10 add untagged 13-28 create vlan v20 tag 20 config vlan v20 add untagged 1-12 config ipif System ipaddress 192.168.0.1/24 vlan v10 2. Habilitar 802.1x & Guest vlan 1. Crear 2 VLANs V10 & V20
## Habilitar 802.1x & guest vlan ## enable 802.1x create 802.1x guest_vlan v10 config 802.1x guest_vlan ports 13-24 state enable ## Configurar autenticador ## config 802.1x capability ports 13-24 authenticator config radius add 1 192.168.0.10 key 123456 default
3. Configurar puertas 13 a 24 para ser atutenticadores 4. Configurar Servidor Radius
client.conf
Agregar el contenido al archivo client.conf: Para proceso de autenticacin Switch y Radius
Free Radius Configuracin para Windows
Version 1.1.5-r0.0.3 #client 192.168.0.0/24 { # secret = testing123-1 users.conf # shortname = private-network-1 #} Agregar el contenido al archivo users.conf : # Para proceso de autenticacin Switch y Radius ##----------------------------------------------------------------## client 192.168.0.0/24 { rfc3580 User-Password == "demo" secret = 123456 Tunnel-Type = "VLAN", shortname = Dlink Tunnel-Medium-Type = "IEEE-802", } Tunnel-Private-Group-Id = "1", ##----------------------------------------------------------------## Reply-Message = "Hello, %u" client 192.168.0.0/16 { ##----------- Dlink-Guest VLAN TEST START -------------## secret = testing123 shortname = private-network-1 test User-Password == "test" } Tunnel-Type = "VLAN",
Tunnel-Medium-Type = "IEEE-802", Tunnel-Private-Group-Id = "20", ##----------- Dlink-Guest VLAN TEST END --------------## # # This is a complete entry for "steve". Note that there is no Fall-Through # entry so that no DEFAULT entry will be used, and the user will NOT
C:\FreeRADIUS.net\etc\raddb
Verificando la configuracin 802.1x Guest VLAN:

DGS-34XX:admin# show 802.1x auth_configuration Command: show 802.1x auth_configuration 802.1X : Enabled Authentication Mode : Port_Based Authentication Protocol : Radius_Eap Port number : 1 Capability : None AdminCrlDir : Both OpenCrlDir : Both Port Control : Auto QuietPeriod : 60 sec TxPeriod : 30 sec SuppTimeout : 30 sec ServerTimeout : 30 sec MaxReq : 2 times ReAuthPeriod : 3600 sec ReAuthenticate : Disabled DGS-34XX:admin# show 802.1x guest_vlan Command: show 802.1x guest_vlan Guest VLAN Setting ----------------------------------------------------------Guest VLAN : v10 Enable Guest VLAN ports: 13-24
DGS-34XX:admin# show radius Command: show radius Index IP Address Auth-Port Acct-Port Status Key ----- ---------------- --------- --------- --------------- ----------1 192.168.1.100 1812 1813 Active 123456 Total Entries:1
Antes de que la puerta 15 (donde se conecto la visita) pase la autenticacin 802.1x Guest VLAN
DGS-34XX:admin# show vlan Command: show vlan VID :1 VLAN Name : default VLAN TYPE : static Advertisement : Enabled Member ports : Static ports : Current Untagged ports : Static Untagged ports : VID : 10 VLAN Name : v10 VLAN TYPE : static Advertisement : Disabled Member ports : 13-28 Static ports : 13-28 Current Untagged ports : 13-28 Static Untagged ports : 13-28 VID : 20 VLAN Name : v20 VLAN TYPE : static Advertisement : Disabled Member ports : 1-12 Static ports : 1-12 Current Untagged ports : 1-12 Static Untagged ports : 1-12 DGS-34XX:admin# show 802.1x auth_state Command: show 802.1x auth_state Port -----1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Auth PAE State Backend State Port Status -------------- ------------- -----------ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized Disconnected Idle Unauthorized Disconnected Idle Unauthorized Connecting Idle Unauthorized
Antes de que el cliente pase o falle la autenticacin 802.1x , la puerta 15 permanecer en la Guest VLAN (Vlan por defecto en este escenario), donde tiene atributos limitados de acceso a Internet y servidor WEB/FTP en Guest VLAN.
Despus que la puerta 15 pase la autenticacin 802.1x

Command: show vlan VID :1 VLAN Name : default VLAN TYPE : static Advertisement : Enabled Member ports : Static ports : Current Untagged ports : Static Untagged ports : VID : 10 VLAN Name : v10 VLAN TYPE : static Advertisement : Disabled Member ports : 13-14,16-28 Static ports : 13-14,16-28 Current Untagged ports : 13-14,16-28 Static Untagged ports : 13-14,16-28 VID : 20 VLAN Name : v20 VLAN TYPE : static Advertisement : Disabled Member ports : 1-12,15 Static ports : 1-12,15 Current Untagged ports : 1-12,15 Static Untagged ports : 1-12,15 DGS-34XX:admin#show 802.1x auth_state Command: show 802.1x auth_state Port -----1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Auth PAE State Backend State Port Status -------------- ------------- -----------ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized ForceAuth Success Authorized Disconnected Idle Unauthorized Disconnected Idle Unauthorized Authenticated Idle Authorized
La puerta 15 es asignada dinmicamente a la VLAN 20 despus de pasar la autenticacin 802.1X , y tiene permiso para acceder al servidor de informacin confidencial.
Building Networks for People

Dac Con Labs 8 09 Lacp Ipb Gvlan

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Dac Con Labs 8 09 Lacp Ipb Gvlan

Caricato da

Copyright:

Formati disponibili

LABORATORIOS DE CONFIGURACIN CONECTIVIDAD N 8

Administracin y Configuracin de Switches Configuraciones Nivel Avanzado

8vo Laboratorio: Configuraciones Bsicas

8.1 Configuracin LACP

8.1 Topologa de Red para LACP

LACP Access Layer

Internet Multicast Client

8.1 Configuracin de Switch 1

8.1 Configuracin de Switch 2

8.2 IP MAC Port Binding

8.2 IP MAC Port Binding

PC Cliente 1 IP: 192.168.0.10 MAC: 00-C0-9F-86-C2-5C

PC Cliente 2 Falsa IP:192.168.0.10

Configuracin IP-MAC Port Binding modo ARP

:: Para observar la configuracin IP-MAC Port Binding ::

Configuracin IP-MAC Port Binding modo ACL

:: Para observar la configuracin IP-MAC Port Binding ::

Ejemplo de configuracin IP-MAC Port Binding

:: Para borrar el registro de puertos bloqueados ::

:: Para observar la informacin de puertos bloqueados::

Ejemplo de configuracin IP - MAC Port Binding

Habilite IP-MAC port binding trap log.

Borrar un registro IP-MAC port record del

8.3 802.1X - Guest VLAN

802.1x Guest VLAN

Ser movido a la vlan designada

Ejemplo 802.1x Guest VLAN

Miembro RD Cliente 802.1x cliente WinXP

Puertos Guest Vlan habilitados Vlan 20

Ejemplo 802.1x Guest VLAN:

Miembro RD 802.1x cliente WinXP

Asignacin Dinmica de VLAN

Vlan 10 (Guest Vlan) Puerto habilitado con Guest Vlan Vlan 20

Configuracin 802.1x Guest VLAN

3. Configurar puertas 13 a 24 para ser atutenticadores 4. Configurar Servidor Radius

Free Radius Configuracin para Windows

Verificando la configuracin 802.1x Guest VLAN:

Despus que la puerta 15 pase la autenticacin 802.1x

Building Networks for People

Potrebbero piacerti anche