Cartilla2 v5 v1 Definitiva
Cartilla2 v5 v1 Definitiva
Cartilla2 v5 v1 Definitiva
Objetivos:
Que el alumno pueda refrescar conceptos de CCNA1.
2 Cuales de los siguientes hosts son miembros de redes que pueden ser enrutadas a través de INTERNET?
(Elija tres)
A. 10.172.13.65
B. 172.16.223.125
C. 172.64.12.29
D. 192.168.23.252
E. 198.234.12.95
F. 212.193.48.254
3 Su ISP le ha asignado un espacio completo de clase B. Usted deberá armar 300 subredes que puedan
soportar 50 hosts cada una.
Cuales son las 2 subredes que safistacen tal requisito?
A. 255.255.255.0
B. 255.255.255.128
C. 255.255.252.0
D. 255.255.255.224
E. 255.255.255.192
F. 255.255.248.0
A. 172.16.1.64
B. 172.16.1.80
C. 172.16.2.80
D. 172.16.2.64
E. 172.16.2.127
F. 172.16.2.128
G. Ninguna de las anteriores
5 Deberá a partir de la siguiente dirección 200.24.5.0 armar 6 subredes de al menos 12 hosts cada una.
Indique:
Objetivos:
Determinar el número de modelo de un switch Ethernet y cuáles son sus interfaces físicas (puertos).
Identificar los cables, conexiones y dispositivos que se pueden conectar al switch
Verificar y/o modificar los parámetros de configuración de HyperTerminal
Conectarse al switch como su consola utilizando el PC e HyperTerminal.
Información básica:
En esta práctica de laboratorio examinará un Switch Ethernet Cisco serie Catalyst 2960 y lo comparará con
otro de la seria 2950, a fin de reunir información acerca de sus características físicas y empezar a apreciar
la función de los switches en una red. Usted determinará el número de modelo y características de un
switch específico incluyendo cuáles son las interfaces existentes y cuáles son el cableado y los dispositivos
con los que están conectadas.
Los switches Ethernet están disponibles en varias velocidades incluyendo 10Mbps (Ethernet estándar),
100Mbps (Fast Ethernet) y 1000Mbps (Gigabit Ethernet). Muchos de los switches más modernos poseen un
servidor web (HTTP) incorporado y también se pueden manejar a través de su dirección IP utilizando un
PC y una interfaz de navegador como Netscape o Internet Explorer. La capacidad para comprender y
configurar switches es esencial para el soporte de la red.
3. ¿Puede ver algún puerto de consola? (S/N) ¿A cuál de los puertos de la terminal de consola (estación de
trabajo de PC) está conectado?
4. ¿Qué tipo de cable es el cable de consola (roll-over, de conexión cruzada o de conexión directa)?
6. ¿Cuál es la cantidad total de puertos en la parte delantera del switch para la conexión de estaciones de trabajo,
servidores, routers, hubs u otros switches?
13. ¿Qué tipo de luces indicadoras (LED) se encuentran en la parte delantera del switch?
4
14. ¿Qué botón se encuentra en la parte delantera del switch?¿Para qué se usa?
Objetivos:
Explorar los menúes de la Interfaz del usuario de la consola de administración del switch.
Determinar el número de modelo del switch y la dirección MAC
Documentar las opciones primarias del menú de interfaz del usuario
Utilizar los menúes de la Consola de Administración para ver / configurar los valores de dirección
IP del switch.
Documentar las opciones del menú de configuración de la dirección IP.
Información básica:
Esta práctica de laboratorio ayudará a desarrollar una comprensión básica de la administración del switch
Ethernet y lo ayudará a prepararse para las lecciones de conmutación más avanzadas como las VLAN.
Trabajará con la Interfaz de Líneas de Comandos (CLI) del Switch 2950 o 2960, para configurar algunas
opciones de conmutación básicas. La administración del switch se puede realizar a través de una interfaz
administrada con menúes como la Consola de Administración o a través de una interfaz de línea de
comando (CLI) como con la mayoría de los routers, o por la Interfaz de Administración Web.
En esta práctica de laboratorio, se conectará a través de la consola con el switch y podrá ver las opciones de
menú disponibles con el menú de interfaz del usuario a fin de familiarizarse con los distintos tipos de
configuraciones y acciones que se pueden realizar al configurar el switch. También deberá establecer la
dirección IP del switch utilizando la Consola de administración y usar la función Panel de Control / Redes
de la estación de trabajo para verificar que las configuraciones de dirección IP sean compatibles con la
dirección IP del switch. Es fundamental familiarizarse con los switches y su administración para lograr un
soporte exitoso de las redes Ethernet actuales.
Paso 1- Conectar la estación de trabajo al puerto de consola del switch y active el switch
Espere unos pocos minutos para que el switch arranque y aparecerá un prompt similar al de la línea de
comandos del Router Cisco. Este ejercicio le ayudará a familiarizarse con los distintos comandos
disponibles.
1. ¿Cuál es la forma del Prompt inicial? Comparado con el Router Cisco ¿a qué modo se parece?
6. ¿Cuál es la MAC?
5. Ingrese el comando show interface ¿qué muestra como salida la línea de comandos?
7. Ingrese al modo configuración interface del switch mediante el comando interface f0/1 (La “f significa
que el puerto es un puerto fast ethernet, el “0” indica el módulo de hardware en el que está el puerto
- va de 0 a 2 – y la barra es para indicarle el número de puerto – de 1 a 24 o de 1 a 12, según la
cantidad de puertos del dispositivo)
9. El switch Catalyst 2950 considera a las VLAN´s como interfaces, por lo cual, cuando se desea
asignarle al switch una dirección IP, se le asigna a la VLAN de administración, que por defecto es la
1.
En el modo de configuración global (config t) ingrese el comando interface VLAN 1.
6
10. Utilice el comando IP para configurarle la dirección ip al switch, la máscara y el gateway. (utilice la ayuda
si lo necesita).
NOTA: la configuración del Gateway por defecto del switch catalyst 2950 se hace desde el modo de
configuración global, con la opción IP default_gateway)
11. Configure una estación de trabajo con configuraciones de red TCP/IP que sean compatibles con la
dirección IP del switch y la dirección (E1) de la interfaz del router Asegúrese de establecer la dirección IP
de la estación de trabajo, la máscara de subred y el gateway por defecto (interfaz del router cercano).
Dirección IP:
Máscara de subred:
Objetivos:
a. Conecte la pc a un hub que se encuentra entre los dispositivos del laboratorio. Realice lo mismo con el switch.
Ademas conecte una segunda pc a otro de los puertos del switch. En esta segunda pc usted deberá ejecutar el
wireshark para verificar el tipo de tráfico.
Verifique conectividad entre la pc y el switch correspondiente. Para ello realice un ping a la ip que configuró en la
vlan 1.
b. Configure las líneas vty en el switch para realizar el acceso al mismo. Utilice la línea de comando o el PUTTY
para ejecutar el telnet al switch.
c. Verifique en wireshark.
d. Seleccione todo el trafico TELNET y en el menú Analyze seleccione Follow TCP stream. Alli podrá verificar que
la contraseña se encuentra en texto plano
Paso 2 Conectarse al switch a través del protocolo SSH
b. Configure SSH en el switch para realizar el acceso al mismo. Utilice PUTTY para ejecutar el SSH al switch.
8
c. Verifique en wireshark.
d. Seleccione todo el trafico SSH y en el menú Analyze seleccione Follow TCP stream. Alli podrá verificar que la
contraseña se encuentra encriptada.
Objetivos:
Switch#show mac-address-table
Switch#show mac-address-table ?
d. ¿Cuántas son?
Switch#show mac-address-table
Switch#clear mac-address-table ?
Switch#show mac-address-table
d. La tabla no ha cambiado todavía, haga ping a la dirección IP del switch desde los hosts conectados, dos veces en
cada uno, y repita el Paso 7.
Switch#show mac-address-table
Paso 12 Hacer una lista con las opciones de seguridad del puerto
a. Determine las opciones para establecer la seguridad del puerto en la interfaz FastEthernet 0/4. Tipee switchport
port security ? desde el prompt de configuración de la interfaz para el puerto FastEthernet 0/4, como sigue:
a. Para activar la seguridad de puertos, es necesario que los puertos se encuentren en modo “access”.
b. En la interfaz Ethernet 0/4 configure el conteo MAC de máxima seguridad del puerto a 1, de la siguiente forma:
11
c. Conecte su PC al puerto ethernet 0/4 del switch. Para generar algo de tráfico puede ser necesario hacer ping a la
dirección del switch con la opción –n 50. Por ejemplo ping 192.168.1.2 –n 50, donde 50 es la cantidad de pings
enviados.
Verifique a traves del comando show port-security address si el switch aprendio la mac de la pc desde la que se
realizo el ping.
b. Desde esta PC en Fast Ethernet 0/8 haga ping a la dirección del switch con el parámetrro –n 50.
Switch#show mac-address-table
b. Desde esta PC en Fast Ethernet 0/8 haga ping a la dirección del switch con el parámetrro –n 50.
Switch#show mac-address-table
b. Nótese que Fast Ethernet 0/4 es segura. No obstante, esa seguridad deberá aplicarse a la máquina en el puerto 0/8,
ya que ésta es la máquina que fue desplazada del puerto 0/4. Quite la seguridad del puerto de la interfaz Fast
Ethernet 0/4, como sigue:
c. Aplique la seguridad del puerto con un maximum 1 a la interfaz Fast Ethernet 0/8 y agregue el parámetro
violation shutdown:
Nota: El parametro sticky asume como segura la mac que se encuentra conectada al puerto en ese momento
Verifique a traves del comando show port-security interface fastEthernet 0/8 la configuracion ingresada
Switch#clear mac-address-table
Switch#show mac-address-table
b. ¿Pueden todas las PCs aún hacer ping exitosamente entre sí?
d. Desconecte la PC del puerto f0/8 y conecte otra PC ¿el switch deshabilitó el puerto?
Para la mayoría de los laboratorios de CCNA 3 y CCNA 4 es necesario comenzar con un switch no configurado. El
uso de un switch con una configuración existente puede producir resultados impredecibles. Estas instrucciones
permiten la preparación del switch antes de llevar a cabo el laboratorio para que opciones de configuración
anteriores no interfieran. El siguiente es un procedimiento para despejar configuraciones anteriores y comenzar con
un switch sin configurar.
Objetivos:
Crear y mantener VLANs en un Switch ethernet CISCO Catalyst 2950/2960 utilizando la interface de
línea de comando (CLI).
Información básica:
Las VLANs permiten la segmentación (de forma lógica) de una red, ya sea por función, grupo o aplicación,
independientemente de la ubicación física de los usuarios. Todas las estaciones de trabajo que se encuentren en la
misma red IP deben asociarse a una misma VLAN. La asignación de los miembros a una VLAN, en el switch, se
realiza manualmente, asignando cada interface a la VLAN correspondiente. A este procedimiento se lo conoce como
VLAN estática o basada en interface. El procedimiento básico de creación y mantenimiento de VLANs ethernet en
los Switchs Catalyst 2950/2960 son:
Switch#show vlan
VLAN Name Status Ports
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddidefault active
1003 tokenringdefault active
1004 fddinetdefault active
1005 trnetdefault active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Remote SPAN VLANs
Primary Secondary Type Ports
Observe que los VLAN ID, nombres, tipos asociados a la VLAN y todos los puertos están asignados
automáticamnte a la VLAN 1.
Switch#config terminal
Switch(config)#interface FastEthernet 0/1
Switch#(configif)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dynamic Set trunking mode to dynamically negotiate access or trunk mode
16
trunk Set trunking mode to TRUNK unconditionally
Switch#config terminal
Switch(config)#interface FastEthernet 0/1
Switch(configif)#switchport mode trunk
Switch(configif)#^Z
Con el commando show vlan se puede observer el efecto causado. Los puertos configurados para una VLAN en
particular se pueden observar en la VLAN correspondiente, pero los que se encuentran en modo Trunk no aparecen.
El comando show interfaces switchport presenta un lista detallada de los puertos del switch con sus
correspondientes modos.
Switch#show interfaces switchport
! ----------
Name: Fa0/24
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative privatevlan hostassociation: none
Administrative privatevlan mapping: none
Operational privatevlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 21001
Protected: false
Voice VLAN: none (Inactive)
Appliance trust: none
Name: Gi0/1
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative privatevlan hostassociation: none
Administrative privatevlan mapping: none
Operational privatevlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 21001
Protected: false
Voice VLAN: none (Inactive)
Appliance trust: none
! ------------------
Utilizando el comando show running-config vemos que los puertos configurados como puertos “dynamic
desirable” no aprecerán identificados en la salida del comando, pero los puertos configurados específicamente de
otra forma aparecen como:
interface FastEthernet0/1
switchport mode trunk
interface FastEthernet0/2
switchport mode trunk
interface FastEthernet0/3
interface FastEthernet0/4
17
Paso3 – Crear VLAN asignando puertos.
La creación de VLANs se puede hacer de dos fomras. Una es asignar un puerto auna VLAN que no existe; de esta
forma el switch Catalyst creará la VLAN y asignará el puerto. Otra forma, es crear la VLAN sin asignarle ningún
puerto desde el modo configuración de VLAN. Los Catalyst 2950 y 2960 poseeen el comando range para asignar
múltiples puertos a una misma VLAN. Por defecto, la VLAN de administración es la VLAN 1 y todos los puertos
se encuentran automáticamente asignados a ella en modo access (si no fuera de ese modo, utilice el comando
switchport mode access para setear el modo de los puertos). Por lo tanto, la VLAN 1 no es necesario crearla, y
tampoco es posible borrarla. Cree las VLANs 10 y 20 y asigne los puertos 5 al 8, ala primera, y 9 al 10 a la última.
Utilice el comando range para asignar los puertos 5 al 8 a la VLAN 10.
Switch#config terminal
Switch(config)#interface range FastEthernet 0/5 – 8
Switch(configifrange)#switchport mode access
Switch(configifrange)#switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
Switch(configifrange)#^z
La VLAN 10 fue creada al mismo tiempo que los puertos 5 al 8 eran asignados. Con el comando show vlan
verifique el resultado.
Switch#show vlan
VLAN Name Status Ports
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
1002 fddidefault active
1003 tokenringdefault active
1004 fddinetdefault active
1005 trnetdefault active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 0 0
10 enet 100010 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Observe que la VLAN 10 no ha sido nombrada y pero el switch automáticamente le asignó por defecto el nombre
VLAN0010.
Switch#vlan database
Switch(vlan)#
Switch(vlan)#?
VLAN database editing buffer manipulation commands:
abort Exit mode without applying the changes
apply Apply current changes and bump revision number
exit Apply changes, bump revision number, and exit mode
no Negate a command or set its defaults
reset Abandon current changes and reread current database
18
show Show database information
vlan Add, delete, or modify values associated with a single VLAN
vtp Perform VTP administrative functions.
Switch(vlan)#vlan 20
VLAN 20 added:
Name: VLAN0020
Switch(vlan)#
La VLAN es creada inmediatamente con el nombre por defecto. Para remover una VLAN utilice el siguiente
comando:
Switch(vlan)#no vlan 20
Es necesario asignarle puertos a la VLAN 20. Salga del modo de configuración de VLAN y entre al modo de
configuración de interface. Utilice el comando range para asignar los puertos 9 y 10 a la VLAN 20.
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#
Switch#config terminal
Switch(config)#interface range FastEthernet 0/9 , FastEthernet 0/10
Switch(configifrange)#switchport access vlan 20
Switch(configifrange)#^z
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 0 0
10 enet 100010 1500 0 0
20 enet 100020 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Switch#vlan database
Switch(vlan)#?
VLAN database editing buffer manipulation commands:
abort Exit mode without applying the changes
apply Apply current changes and bump revision number
exit Apply changes, bump revision number, and exit mode
19
no Negate a command or set its defaults
reset Abandon current changes and reread current database
show Show database information
vlan Add, delete, or modify values associated with a single VLAN
vtp Perform VTP administrative functions.
Utilice la opción para nomrar o renombrar una VLAN. Por ejemplo renombre la VLAN 20 como RRHH.
Switch(vlan)#vlan 20 name RRHH
VLAN 20 modified:
Name: RRHH
Switch(vlan)#
Switch(vlan)#show ?
changes Show the changes to the database since modification began (or since 'reset')
current Show the database installed when modification began (or since 'reset')
proposed Show the database as it would be modified if applied <cr>
Switch(vlan)#abort
Aborting….
Switch#
Utilice el comando show running-config y revise los puertos que fueron asigandos a las VLAN 10 y 20:
!
interface FastEthernet0/1
interface FastEthernet0/2
interface FastEthernet0/3
interface FastEthernet0/4
interface FastEthernet0/5
switchport access vlan 10
interface FastEthernet0/6
switchport access vlan 10
interface FastEthernet0/7
switchport access vlan 10
interface FastEthernet0/8
switchport access vlan 10
interface FastEthernet0/9
switchport access vlan 20
interface FastEthernet0/10
switchport access vlan 20
interface FastEthernet0/11
!
Los puertos asignados a la VLAN 1 no estan indicados porque por defecto todos los puertos están en la VLAN 1. El
tráfico entre VLANs debe ser enrutado.
2. Ahora tome el puerto Ethernet de la Estación de trabajo 2 del switch y conéctelo a uno de los puertos en VLAN
20. Haga ping nuevamente a cada estación de trabajo. ¿El ping fue exitoso? ¿Por qué o por qué no?
20
Paso7 - Elimine la configuración actual y deje el laboratorio en condiciones para el siguiente curso.
La información de las VLANs no se guarda en la NVRAM por lo cual es necesario borrar el archivo VLAN.DAT de
la Flash mediante el comando delete flash:vlan.dat o delete vlan.dat en modo privilegiado.
Switch#delete flash:vlan.dat
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch#
Switch#erase startupconfig
Erasing the nvram filesystem will remove all files! Continue? [confirm]
[OK]
Erase of nvram: complete
Switch#
Ahora puede reiniciar el equipo mediante el commando reload (recuerde no grabar cuando le avisa que la
configuración ha cambiado, ya que volvería a guardar el startup-config).
Switch#reload
System configuration has been modified. Save? [yes/no]: n
Proceed with reload? [confirm]
21
TRABAJO PRÁCTICO 5 – CCNA2
VLAN MultiSwitch
Objetivos:
Usar la CLI para configurar VLAN de administración de los switchs Cisco Catalyst 2950/2960
Verificar los valores de red de las estaciones de trabajo para verificar la compatibilidad con valores de los
switch
Crear una nueva VLAN, nombrarla y desplazar puertos miembro a ella.
Probar la funcionalidad de las VLAN desplazando una estación de trabajo de una VLAN a otra
Habilitar el enlace troncal (enlace interswitch) en puertos troncales para los dos switchs
Crear una VLAN nativa diferente de la VLAN 1 y probar su funcionalidad
Información básica:
Accederá la CLI en el Switch Catalyst 2950/2960, para ver las opciones disponibles para administrar las VLAN y
verificará la configuración actual de la VLAN. Realizará un enlace troncal entre switchs y configurará una VLAN
Nativa. Al administrar un switch, el dominio de administración siempre es VLAN 1. La estación de trabajo del
administrador de red debe tener acceso a un puerto en el dominio de administración VLAN 1. Todos los puertos son
asignados a VLAN 1 por defecto y en los enlaces troncales, la VLAN 1 atraviesa todo el troncal debido a que no se
encuentra etiquetada (untagged). Como no se puede forzar su etiquetado, se elimina del enlace troncal y se elije una
nueva VLAN para administrar los equipos. Para garantizar su traslado por toda la red, es que se la define como no
etiquetada (untagged). A esta nueva VLAN se la denomina VLAN Nativa y es posible una sólo VLAN Nativa por
enlace troncal.
Switch#config terminal
Switch(config)#hostname SwitchA
SwitchA(config)#enable secret class
SwitchA(config)#line con 0
SwitchA(configline)#password cisco
SwitchA(configline)#login
SwitchA(configline)#line vty 0 15
SwitchA(configline)#password cisco
SwitchA(configline)#login
SwitchA(configline)#interface vlan 1
SwitchA(configif)#ip address 10.1.1.250 255.255.255.0
SwitchA(configif)#no shutdown
SwitchA(configif)#^Z
Switch#config terminal
Switch(config)#hostname SwitchB
SwitchB(config)#enable secret class
SwitchB(config)#line con 0
SwitchB(configline)#password cisco
SwitchB(configline)#login
SwitchB(configline)#line vty 0 15
SwitchB(configline)#password cisco
SwitchB(configline)#login
SwitchB(configline)#interface vlan 1
SwitchB(configif)#ip address 10.1.1.251 255.255.255.0
22
SwitchB(configif)#no shutdown
SwitchB(configif)#^Z
Paso 2 – Revisión de la configuración por defecto.
Utilice el comando show interfaces FastEthernet 0/1 switchport en ambos Switchs para ver la configuración de
interface por defecto. El siguiente es un ejemplo de salida posible del comando:
SwitchA#show interfaces FastEthernet 0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: down
Administrative Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative privatevlan hostassociation: none
Administrative privatevlan mapping: none
Operational privatevlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 21001
Protected: false
Voice VLAN: none (Inactive)
Appliance trust: none
5. Si no se encuentra seteado en modo trunk por defecto, utilice le commando switchpor mode trunk para hacerlo.
SwitchA#show vlan
VLAN Name Status Ports
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24
1002 fddidefault active
1003 tokenringdefault active
1004 fddinetdefault active
1005 trnetdefault active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
23
Remote SPAN VLANs
Primary Secondary Type Ports
Existe otras formas de verificar la configuración de VTP, por ejemplo, utilice el comando show vtp counters.
SwitchA#show vtp counters
VTP statistics:
Summary advertisements received : 20
Subset advertisements received : 4
Request advertisements received : 2
Summary advertisements transmitted : 16
Subset advertisements transmitted : 6
Request advertisements transmitted : 0
Number of config revision errors : 0
Number of config digest errors : 0
Number of V1 summary errors : 0
VTP pruning statistics:
Trunk Join Transmitted Join Received Summary advts received from
nonpruningcapable device
Fa0/11 0 1 0
Fa0/12 0 1 0
Cuando la autonegociación se encuentra activa, los switch automáticamente se conectan en modo trunk. Otra forma
de saber si hay configurados puertos en modo trunk es utilizando el comando show interfaces trunk:
SwitchA#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 desirable 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 14094
Port Vlans allowed and active in management domain
Fa0/1 1
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1
Los puertos f0/1 de ambos switchs han sido asignados como trunk y esto se ha podido verificar con los comandos
show vlan, show interfaces FastEthernet 0/XX switchport, y show interfaces trunk. A continuación se puede
observar la configuración total mediane el comando show running-config.
SwitchA#show runningconfig
Building configuration...
Current configuration : 1594 bytes
!
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
!
El estado de los enlaces troncales aparecerá en los puertos correspondientes luego de que se configure manualmente
o que hayan tomado dicho estado por autonegociación.
SwitchA#show vlan
VLAN Name Status Ports
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/11
Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24
10 Admin active Fa0/5, Fa0/6, Fa0/7, Fa0/8
20 Comercial active Fa0/9, Fa0/10
1002 fddidefault active
1003 tokenringdefault active
1004 fddinetdefault active
1005 trnetdefault active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
1 enet 100001 1500 0 0
10 enet 100010 1500 0 0
20 enet 100020 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 srb 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Remote SPAN VLANs
Primary Secondary Type Ports
Si volvemos a conectar la PC al puerto f0/2 y hacemos un ping al switch correspondiente, ¿logramos llegar? ¿Y al
otro switch?
Mediante los comandos show interfaces trunk e interfaces FastEthernet0/1 switchport se puede observer la
nueva configuración. La salida del comando show running-config mostrará la configuración final.
SwitchA#show runningconfig
Building configuration...
Current configuration : 1879 bytes
!
-------------------------------------
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk native vlan 20
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface FastEthernet0/5
switchport access vlan 10
!
interface FastEthernet0/6
switchport access vlan 10
!
interface FastEthernet0/7
switchport access vlan 10
!
interface FastEthernet0/8
switchport access vlan 10
!
interface FastEthernet0/9
switchport access vlan 20
!
interface FastEthernet0/10
switchport access vlan 20
!
26
VLAN
1
VLAN
A 10
Fa0/
2
Fa0/ VLAN
1 20
Fa0/
Fa0/ 1
B 2 VLAN
VLAN
20
1
VLAN
10
Información básica:
En esta práctica de laboratorio, trabajará con otros miembros del grupo para diseñar una topología de red de 5
routers y un esquema de direccionamiento IP. Debe obtener un esquema de direccionamiento IP adecuado
configurando los distintos router con múltiples subredes. Luego creará rutas estáticas entre los routers.
PRIMERA PARTE
Paso 1 - Revisar la topología física de la red.
Utilizando la topología de la red presentada al final del práctico, conteste las siguientes preguntas para que sean
de ayuda en la planificación:
Nombre /
Máscara deGateway por
modelo delInterfaz Dirección IP
subred defecto
dispositivo
¿Cuál de las interfaces requiere que se establezca la velocidad del reloj?¿Por qué?
Paso 4 – Configurar las Interfaces las interfaces del Router según la información de la tabla anteriror.
28
Utilizando la tabla anterior configure cada interfaz del dispositivo o intervalo de dispositivos (hosts) que
requieran una dirección IP.
SEGUNDA PARTE
Objetivos:
Información básica:
En esta práctica de laboratorio usted configurará rutas estaticas entre los distintos routers para garantizar la
conectividad entre las LAN. Las rutas estáticas son rutas que hacen que los paquetes se desplacen entre un
origen y un destino a través de una ruta determinada. Generalmente son definidas manualmente por un
administrador de red. Las actualizaciones de enrutamiento no se envían a través de un enlace si sólo se
encuentran definidas por una ruta estática, por lo tanto, conservan el ancho de banda. Otra aplicación para una
ruta estática es la seguridad ya que el enrutamiento dinámico tiende a revelar todo lo que conoce acerca de una
red. A veces, las rutas estáticas se utilizan para sitios remotos y para probar un enlace determinado o una serie
de routers de la internetwork.
Explicación: Deberá utilizar el comando enable para entrar al modo EXEC privilegiado.
Información básica:
En esta práctica de laboratorio se trabaja con redes de área local virtuales Ethernet (VLAN) combinando las
funcionalidades de los switchs y de los routers para conmutar equipos entre VLAN´s. Las VLAN se pueden
usar para separar grupos de usuarios según la función en lugar de la ubicación física. Normalmente todos los
puertos de un switch se encuentran en la misma VLAN 1 por defecto. Un administrador de red puede crear
VLAN adicionales y trasladar algunos puertos a esas VLAN para crear grupos aislados de usuarios, sin importar
su ubicación física; no obstante, en muchas ocaciones, existen equipos que deben superar las barreras de las
31
VLAN de capa 2 (por ejemplo, el caso de los gerentes de distintas áreas de una empresa). Esto crea un problema
para el administrador de la red, ya que no es posible administrar estos casos sin evitar desperdiciar puertos de
los switchs de los IDF. Para ello se utilizan routers que vinculen ciertos equipos en una VLAN con otros de otra
VLAN. A esta funcionalidad se la denomina (Router-on-stick)
El router CISCO posee la capacidad de aceptar más de una dirección IP en cada puerto ethernet. A través de esta
facilidad, entonces podemos generar una comunicación entre los dispositivos de una VLAN con otros de otra,
independientemente de la restricción del puerto al que están conectadas.
Accederá mediante CLI del Switch CISCO, para ver las opciones disponibles para administrar las VLAN y
verificará la configuración actual de la VLAN. También hará Telnet para acceder al switch y verificará algunos
valores. También trasladará la conexión de una VLAN a otra para determinar los alcances del "Dominio de
administración". Al administrar un switch, el dominio de administración siempre es VLAN 1. La estación de
trabajo del administrador de red debe tener acceso a un puerto en el dominio de administración VLAN 1. Todos
los puertos son asignados a VLAN 1 por defecto.
Esta práctica de laboratorio también ayudará a demostrar cómo las VLAN se pueden usar para separar el tráfico
y reducir los dominios de broadcast.
Paso 1 - Acceder al switch de LAN a través de la consola y realizar la configuración inicial del laboratorio.
1. Desconecte todos los cables del switch y borre la configuración anterior y la información de VLAN, luego
reinicie el equipo, conecte los cables según el diagrama adjunto en el práctico y configure ambos switchs con la
misma configuración básica siguiente:
Switch>enable
Switch#configure terminal
Switch(config)#hostname Switch1
Switch(config)#enable secret class
Switch1(config)#line console 0
Switch1(configline)#password cisco
Switch1(configline)#login
Switch1(configline)#exit
Switch1(config)#interface f0/11
Switch1(configifrange)#switchport mode trunk
Switch1(configifrange)#exit
Switch1(config)#interface f0/1
Switch1(configif)#switchport mode trunk
2. Verifique que no existan VLANs asignadas a los puertos de ningún switch salvo la VLAN 1.
2. Pruebe la conectividad entre los switchs mediante el uso del comando ping.
32
Paso 3 – Configurar la conexión entre los Routers.
1. Configure los router ISP y Gateway de tal forma de garantizar el enrutamiento. Deberá crear rutas estaticas y rutas
por defecto.
2. Configure la loopback en el router ISP para simular una ruta
2. Se debe crear una subinterface para cada VLAN con el encapsulameinto 802.1q y asignarle un IP diferente a cada
una de ellas:
Gateway#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Gateway(config)#interface FastEthernet 0/0
Gateway(config-if)#no shut
Gateway(config)#interface fastethernet 0/0.1
Gateway(config-subif)#description Management VLAN 1
Gateway(config-subif)#encapsulation dot1q 1 native ****** SOLO RELEASE 12.1(3)T o
superior
Gateway(config-subif)#ip address 172.16.1.1 255.255.255.0
Gateway(config-subif)#interface fastethernet 0/0.100
Gateway(config-subif)#description Admin VLAN 100
Gateway(config-subif)#encapsulation dot1q 100
Gateway(config-subif)#ip address 172.16.100.1 255.255.255.0
Gateway(config-subif)#interface fastethernet 0/0.200
Gateway(config-subif)#description Comercial VLAN 200
Gateway(config-subif)#encapsulation dot1q 200
Gateway(config-subif)#ip address 172.16.200.1 255.255.255.0
Gateway(config-subif)#end
4. Utilice el comando show cdp neighbor detail para verificar que el switch1 es un vecino.
Informacion Básica
Las VLAN dividen dominios de transmisión en un entorno LAN. Siempre que los host en una VLAN necesitan
comunicarse con host en otra VLAN, debe enrutarse el tráfico entre ellos. Esto se denomina ruteo interVLAN.
En switches Catalyst, se logra al crear interfaces de Capa 3 (interfaces virtuales conmutadas [SVI]). Este
documento proporciona los pasos de configuración y solución de problemas que se aplican a esta capacidad.
Nota: En este documento se utiliza la simulación en packet tracert de un Catalyst 3550 como ejemplo. Sin
embargo, los conceptos también se pueden aplicar a otros switches de capa 3 que ejecuten Cisco IOS® (por
ejemplo, Catalyst 3560, 3750, Catalyst 4500/4000 con Sup II+ o posterior, o bien Catalyst 6500/6000 que
ejecuten el software del sistema Cisco IOS).
34
L3(config)#ip routing
Compruebe el comando show running-configuration. Verifique si ip routing está habilitado. Si el comando está
activado, aparece en la parte superior de la salida.
hostname Switch
!
!
ip subnet-zero
ip routing
!
vtp domain Cisco
vtp mode transparent
Paso 4 - Configure las interfaces VLAN con la dirección IP que se ha identificado en el paso 3
Configuración ip para la vlan 2:
L3#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
L3 (config)#interface Vlan2
L3 (config-if)#ip address 192.168.2.1 255.255.255.0
L3 (config-if)#no shutdown
Repita este proceso para todas las VLAN que se han identificado en el paso 3
Objetivos:
Esta trabajo de laboratorio sirve para practicar las siguientes tareas:
Repasar las características y capacidades de las listas de control de acceso (ACL) IP estándares y
extendidas.
Desarrollar ACLs estándares y extendidas para permitir/denegar tráfico específico o protocolos
específicos.
Aplicar las ACL IP a una interfaz de router.
Probar las ACLs para determinar si se lograron los resultados deseados.
Eliminar las ACLs de una interfaz de router.
Eliminar las ACLs de un router.
Información básica:
En esta parte de la práctica de laboratorio se trabaja con Listas de Control de Acceso Estándar (ACL)
para regular el tráfico que se permite pasar a través de un router según el origen, ya sea un host
específico (normalmente una estación de trabajo o servidor) o una red completa (cualquier host o
servidor en esa red). Una ACL estándar es una herramienta simple y efectiva para controlar qué
paquetes pueden pasar a través de un router desde una red a otra. Las ACL estándar son una forma
básica de control con capacidades limitadas. Pueden filtrar (permitir o denegar) paquetes que salen
de o entran a una interfaz de router utilizando sólo la dirección IP de la red o host origen. Por lo tanto,
se deben aplicar cerca de la dirección destino, ya que dicha dirección no se puede especificar.
Cuando se aplica una ACL IP estándar, ésta filtra (permite o deniega) todo el conjunto de protocolo IP
(IP, TCP, SMTP, HTTP, Telnet etc.) por lo que, en caso de necesitarse un filtrado parcial, por ejemplo
tráfico telnet o tráfico web se deben crear ACLs extendidas.
Estos son los pasos necesarios para usar las ACL de forma efectiva:
En esta primera parte del laboratorio se desarrollan, aplican y prueban ACLs IP estándares.
accesslist list# {permit / deny} source IP address [wildcard mask] [log]
(NOTA: Se puede usar cualquier número de 1 a 99 y 1300 a 1999 para una ACL IP estándar
Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante).
A diferencia de lo que sucede con la ACL estándar, las extendidas permiten especificar hacia dónde se
dirige el tráfico y con ésta característica, se puede bloquear o permitir un tráfico mucho más específico:
sólo tráfico que proviene del host pero se dirige a una red en particular o a otro host en particular o sólo
el tráfico de una red que se dirige a otra red en particular o cierto tipo de tráfico (por ejemplo la
navegación Web). El truco se logra con el hecho de permitir comparar las direcciones destino de los
paquetes contra la ACL, no sólo las direcciones origen, y el tipo de protocolo de transporte o aplicación
incluido en el paquete.
Es decir, una ACL está compuesta por un conjunto de reglas, todas con el mismo identificador, donde
cada regla era una línea compuesta por una acción y una condición que el paquete debe cumplir para
aplicarle la acción (permitir o denegar). Las condiciones en las ACLs estándares están compuestas por
una dirección de referencia y una wildcard que dice qué bits de la dirección origen de los paquetes se
deben comparar con la dirección de referencia; en las ACLs extendidas, se especifican dos pares de
direcciones de referencia/wildcard, un par para la dirección origen de los paquetes y otro par para la
dirección destino de los mismos. De igual manera, se identifica el tipo de protocolo de capa 3 o superior,
que se pretende filtrar.
Finalmente, una ACL extendida posee control tanto del destino como del origen del tráfico, por ello
debe colocarse lo más cercano al origen posible a fin de evitar tráfico innecesario. En esta segunda
parte del laboratorio se desarrollan, aplican y prueban ACLs IP extendidas, usando el mismo equema
de laboratorio que para la ACLs estándares.
43
Objetivos:
Configurar un router con el Protocolo de Configuración Dinámica del Host (DHCP) para asignar
direcciones dinámicamente a los hosts conectados.
Se agregará la capacidad para que las estaciones de trabajo obtengan direcciones DHCP remotamente.
Información Básica:
Esta práctica de laboratorio se ocupa de la configuración de un Router CISCO serie 2600 para el
establecimiento de un servidor DHCP capaz de proveerle direccionamiento a todas las LAN de la
empresa.
Supongamos una empresa que posee 2 edificios en los cuales se concentran las 2 LAN que
poseen, en el EDIFICIO 1 utilizan 172.31.0.0 y en el EDIFICIO 2 usan 192.168.123.0 como
direccionamiento IP. Desde el edificio 1 se establece la conexión con el ISP como se puede ver en el
gráfico. El acceso a Internet lo simularemos a través de una interfaz loopback en el router ISP con la
dirección 200.0.0.0. Los enlaces punto a punto entre los routers ISP – edificio 1 y edificio 1 – edificio
2 utilizan la dirección 172.16.0.0, a la cual deberán subnetear para eficientizar el uso de direcciones.
Además estos enlaces utilizarán rutas estáticas para su conexión.
Una vez hecho esto, verifique que posea conectividad entre todos los routers.
Edificio1(config)# ip dhcp pool Edificio1
Edificio1(configdhcp)# network 172.31.0.0 255.255.0.0
Edificio1(configdhcp)# defaultrouter 172.31.0.1
Edificio1(configdhcp)# dnsserver 172.31.0.2
Edificio1(configdhcp)# domainname cisco.com
Edificio1(configdhcp)# netbiosnameserver 172.31.0.10
Edificio1(config)# ip dhcp pool Edificio2
Edificio1(configdhcp)# network 192.168.123.0 255.255.255.0
Edificio1(configdhcp)# defaultrouter 192.168.123.1
Edificio1(configdhcp)# dnsserver 192.168.123.2
Edificio1(configdhcp)# domainname cisco.com
Edificio1(configdhcp)# netbiosnameserver 192.168.123.10
C. Excluir del pool de direcciones aquellas que no se podrían entregar a usuarios. Por lo general se
excluyen las direcciones que son Enlace por defecto, Servidores DNS, Servidor de nombre de
dominio, etc.
47
Excluir las direcciones 172.31.0.1 a 172.31.0.10 para el Edificio 1 y desde 192.168.123.1 hasta
192.168.123.10 para el Edificio 2
Edificio1(configdhcp)#ip dhcp excludedaddress 172.31.0.1 172.31.0.10
Edificio1(configdhcp)#ip dhcp excludedaddress 192.168.123.1
192.168.123.10
A. En cada estación de trabajo de la subred directamente conectada, configure las propiedades de TCP/IP para
que la estación de trabajo obtenga la dirección IP y la dirección del servidor del Sistema de Nombres de
Dominio (DNS) del servidor DHCP. Una vez cambiada y guardada la configuración, reinicie la estación de
trabajo.
B. Para confirmar la información sobre la configuración de TCP/IP en cada host utilice Inicio > Ejecutar >
winipcfg. Si ejecuta Windows 2000, verifique utilizando ipconfig en una ventana DOS.
A. Desde el router Edificio1, pueden apreciarse las conexiones para los hosts. Para ver las conexiones, utilice
el comando show ip dhcp binding en el prompt del modo privilegiado EXEC.
A. Repita los pasos 3.A y 3.B utilizando una estación de trabajo conectada a la LAN del router Edificio2.
3.A. En cada estación de trabajo de la subred directamente conectada, configure las propiedades de
TCP/IP para que la estación de trabajo obtenga la dirección IP y la dirección del servidor del Sistema
de Nombres de Dominio (DNS) del servidor DHCP. Una vez cambiada y guardada la configuración,
reinicie la estación de trabajo.
3.B. Para confirmar la información sobre la configuración de TCP/IP en cada host utilice Inicio >
Ejecutar > winipcfg. Si ejecuta Windows 2000, verifique utilizando ipconfig en una ventana DOS.
A. Configure el router del Edificio 2 mediante el comando ip helper-address para habilitar el envío de
broadcasts, como paquetes unicast, al servidor específico. Este comando debe configurarse en la interfaz
LAN del router remoto para que DHCP funcione:
Edificio2(config)#interface fastethernet 0
Edificio2(configif)#ip helperaddress 172.31.0.1
D. Si no hay ninguna dirección IP, efectúe la detección de problemas de las configuraciones de la estación de
trabajo y el router y repita el Paso 11.
A. Desde el router campus, pueden apreciarse las conexiones para los hosts. Para ver las conexiones, utilice el
comando show ip dhcp binding en el prompt del modo privilegiado EXEC.
Objetivo
Configure la traducción estática Traducción de Direcciones de Red (NAT) para proporcionar un
acceso exterior confiable a tres servidores de la compañía.
Información Básica
Cuando la Agencia de Viajes Internacional (AVI) expandió y actualizó su red, se eligió utilizar las direcciones privadas
192.168.0.0 /24 y NAT para manejar la conectividad con el mundo exterior. Para asegurar las direcciones IP exteriores de su ISP,
la AVI debe pagar una tarifa mensual por dirección IP. La AVI ha pedido establecer una serie de prototipos que demostrarían las
capacidades de NAT para cumplir con los requisitos de la AVI. La compañía espera poder arreglárselas con 14 direcciones IP
reales, 42.0.0.48 /28. Por una variedad de razones incluyendo preocupaciones respecto a la seguridad, la compañía desea ocultar
la red interna al exterior.
Paso 1
Construya y configure la red de acuerdo al diagrama. Esta configuración requiere el uso de la subred cero, por lo cual es
necesario introducir el comando ip subnet-zero , dependiendo de la versión del IOS que se esté utilizando. Configure
SanJose1 para que utilice una ruta por defecto a ISP1, tal como se muestra:
SanJose1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.5
El Host A representa a uno de los servidores compartidos propuestos que serán parte de una LAN Ethernet conectada a SanJose1.
El Host B representa a un usuario de la red de AVI.
Paso 2
Verifique las configuraciones mediante el comando show running-config .
Verifique que SanJose1 pueda hacer ping a la interfaz serie de ISP1, 10.0.0.5, y que ISP1 pueda hacer ping a la interfaz serie
de SanJose1, 10.0.0.6.
En este momento, ISP1 no puede hacer ping a ninguna estación de trabajo o la interfaz Fast Ethernet de SanJose1, 192.168.0.1.
1. Ambas estaciones de trabajo pueden hacer ping entre sí y con 10.0.0.6, pero no puede hacer ping a 10.0.0.5. ¿Por qué falla
el último ping ?
De hecho, la solicitud de ping deberá estar llegando a 10.0.0.5. Puesto que ISP1 no tiene ninguna entrada en su tabla de
enrutamiento para 192.168.0.0 /24, ISP1 no puede responder. Continúe una ruta estática para resolver este problema en el Paso 7.
Paso 3
SanJose1 es el router fronterizo donde se configurará NAT. El router estará traduciendo las direcciones locales interiores a las
direcciones globales interiores, convirtiendo esencialmente las direcciones privadas interiores en direcciones públicas legales
para su uso en la Internet.
En SanJose1, cree traducciones estáticas entre las direcciones locales interiores, los servidores a ser compartidos y las direcciones
globales interiores utilizando los siguientes comandos:
SanJose1(config)#ip nat inside source static 192.168.0.20 42.0.0.49
SanJose1(config)#ip nat inside source static 192.168.0.21 42.0.0.50
SanJose1(config)#ip nat inside source static 192.168.0.22 42.0.0.51
2. Si es necesaria una traducción estática para un cuarto servidor, 192.168.0.6, ¿cuál sería el comando apropiado?
Paso 4
A continuación, especifique una interfaz en SanJose1 a ser utilizada dentro de los hosts de la red que requieren una traducción de
direcciones:
SanJose1(config)#interface fastethernet0/0
SanJose1(config-if)#ip nat inside
Especifique también una interfaz a utilizar como interfaz NAT exterior:
SanJose1(config)#interface serial0/0
SanJose1(config-if)#ip nat outside
Paso 5
Para ver las traducciones, utilice el comando show ip nat translations . Los resultados deberían tener un aspecto similar
al siguiente:
SanJose1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
---- 42.0.0.49 192.168.0.20 ---------------- -----------------
---- 42.0.0.50 192.168.0.21 ---------------- -----------------
50
---- 42.0.0.51 192.168.0.22 ---------------- -----------------
Utilice el comando show ip nat statistics para ver qué actividad NAT ha tenido lugar. Los resultados deberían tener un aspecto
similar al siguiente:
SanJose1#show ip nat statistics
Total active translations: 3 (3 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
FastEthernet0/0
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
SanJose1#
Paso 6
Desde el Host A, haga ping a 10.0.0.5, la interfaz serie de ISP1. Los pings aún deberían fallar porque ISP1 no tiene ninguna
ruta para 192.168.0.0 /24 en su tabla de enrutamiento.
Regrese a la conexión de la consola de SanJose1 y tipee show ip nat statistics , como se muestra a continuación:
SanJose1#show ip nat statistics
Total active translations: 3 (3 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
FastEthernet0/0
Hits: 4 Misses: 0
Expired translations: 0
Dynamic mappings:
Los hits suman 4 como se muestra ahora. Esto indica que la traducción se efectuó incluso aunque no se proporcionó ninguna
respuesta. Recuerde que las respuestas ping no se envían porque ISP1 no tiene una ruta de vuelta a SanJose1. Ahora es tiempo
de remediar esto.
Paso 7
En ISP1, configure la siguiente ruta estática según las direcciones globales utilizadas por SanJose1 para NAT:
ISP1(config)#ip route 42.0.0.48 255.255.255.240 10.0.0.6
La máscara de subred define el pool de direcciones IP como 42.0.0.48 /28.
Ahora debería ser posible hacer ping exitosamente a 42.0.0.51. Que es la dirección traducida del servidor compartido,
192.168.0.22.
El comando show ip route confirma que la ruta estática esté presente, como se muestra aquí:
ISP1#show ip route
Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile,
B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* - candidate default, U – per-user static route, o - ODR
P – periodic downloaded static route
Gateway of last resort is not set
42.0.0.0/28 is subnetted, 1 subnets
S 42.0.0.48 [1/0] via 10.0.0.6
10.0.0.0/30 is subnetted, 2 subnets
C 10.0.1.0 is directly connected, Loopback0/0
C 10.0.0.4 is directly connected, Serial0/0
Paso 8
Desde el Host A, haga ping al router ISP1 en 10.0.0.5. Este ping debería ahora tener éxito. También debería ser posible hacer
ping a la dirección de loopback de ISP1, 10.0.1.2.
Desde la conexión de consola a SanJose1, emita el comando show ip nat statistics y observe las estadísticas. La
cantidad de hits debería ser mucho mayor que antes.
Pruebe el comando show ip nat translations verbose . Los resultados deberían ser similares a los siguientes:
SanJose1#show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
51
--- 42.0.0.49 192.168.0.20 --------- ---------
create 00:40:25, use 00:40:25,
flags:
static, use_count: 0
- - - 42.0.0.50 192.168.0.21 --------- ---------
create 00:40:25, use 00:40:25,
flags:
static, use_count: 0
- - - 42.0.0.51 192.168.0.22 --------- ---------
create 00:40:25, use 00:06:46,
flags:
static, use_count: 0
Nota: la opción verbose incluye información acerca de cuán recientemente se utilizó cada traducción.
Paso 9
Desde SanJose1, utilice el comando show ip nat statistics y tome nota de la cantidad de hits. Desde el Host B, haga
ping tanto a 10.0.0.5 como a 10.0.1.2.
3. Ambos deberían fallar. ¿Por qué?
Desde SanJose1, emita el comando show ip nat statistics nuevamente y fíjese en que la cantidad de hits no ha cambiado.
El problema es que NAT no tradujo la dirección IP del Host B, 192.168.0.20, a una de las direcciones globales. El comando
show ip nat translations debería confirmar esto.
Una traducción estática para el Host B, que representa al usuario de una LAN, no ha sido configurada. Una traducción estática
podría configurarse rápidamente para este único usuario final. No obstante, configurar una traducción estática para cada usuario
de la LAN podría ser una tarea enorme, que resultaría en cientos de comandos de configuración. NAT dinámica permite la
configuración del router para asignar las direcciones globales dinámicamente, según sea necesario. Mientras que la traducción
estática puede ser apropiada para los servidores, la traducción dinámica se utiliza casi siempre con las estaciones de usuarios
finales.
Objetivo
Configurar NAT dinámica para proporcionar a los usuarios direccionados privadamente un acceso a
recursos exteriores.
Información Básica
La AVI está deseando limitar el acceso de los usuarios a la Internet y a otros recursos exteriores limitando la cantidad de
conexiones. Efectúe un prototipo de la traducción dinámica básica para averiguar si cumplirá con los objetivos de la AVI.
Paso 1
Defina un pool de direcciones globales a ser adjudicadas por el proceso de NAT dinámica. Emita el siguiente comando en
SanJose1:
SanJose1(config)#ip nat pool MYNATPOOL 42.0.0.48 42.0.0.55
netmask255.255.255.240
El nombre MYNATPOOL es el nombre del pool de direcciones. No obstante, otra palabra puede elegirse. El primer 42.0.0.48 del
comando es la primera dirección IP del pool. El segundo 42.0.0.55 es la última dirección IP del pool.
A continuación, configure una lista de acceso estándar para definir qué direcciones de origen interior pueden traducirse. Puesto
que cualquier usuario está traduciendo en la red AVI, utilice el siguiente comando:
SanJose1(config)#access-list 2 permit 192.168.0.0 0.0.0.255
Para establecer una traducción dinámica del origen, vincule la lista de acceso al nombre del pool NAT, como se muestra a
continuación:
SanJose1(config)#ip nat inside source list 2 pool MYNATPOOL
Finalmente, especifique una interfaz en SanJose1 a ser utilizada por los hosts interiores de la red que requieran una traducción de
direcciones:
SanJose1(config)#interface fastethernet0/0 SanJose1(config-if)#ip nat inside
También especifique una interfaz a utilizar como interfaz NAT exterior:
SanJose1(config)#interface serial0/0 SanJose1(config-if)#ip nat outside
Paso 3
En SanJose1, introduzca el comando show ip nat translations , que no debería arrojar ningún resultado. A diferencia de
las traducciones estáticas, que son permanentes y siempre permanecen en la tabla de traducciones, las traducciones dinámicas
sólo se asignan según son necesarias, y sólo aparecen cuando están activas.
Desde el Host A, haga ping a las direcciones IP serie y loopback de ISP1. Ambos pings deberían funcionar. Detecte y
resuelva problemas de ser necesario.
52
Emita el comando show ip nat translations en SanJose1 nuevamente. Esto debería obtener ahora una única traducción
para esa estación de trabajo. El resultado podría semejarse al siguiente:
SanJose1#show ip nat trans
Pro Inside global Inside local Outside local Outside global
- - - 42.0.0.50 192.168.0.21 - - - - - - - - - ---------
Paso 4
Emita el comando show ip nat translations verbose y examine el resultado:
SanJose1#show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
--- 42.0.0.50 192.168.0.21 - - - - - - - - - ---------
create 00:13:18, use 00:13:06, left 23:46:53,
flags: none, use_count: 0
1. De acuerdo al resultado de este comando, ¿cuánto tiempo queda antes de que se venza el tiempo de la traducción dinámica?
El valor de tiempo vencido por defecto para las traducciones NAT dinámicas es de 24 horas. Esto significa que la segunda
estación de trabajo tendrá que esperar hasta el día siguiente antes de poder asignarle la dirección.
A continuación, emita el comando show ip nat statistics . Nótese que éste resume la información sobre la traducción,
muestra el pool de direcciones globales e indica que sólo una dirección ha sido adjudicada, o traducida, como se muestra a
continuación:
SanJose1#show ip nat statistics
Total active translations: 1 (0 static, 1dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
FastEthernet0/0
Hits: 45 Misses: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
access-list 2 pool MYNATPOOL refcount 1
pool MYNATPOOL: netmask 255.255.255.240
start 42.0.0.55 end 42.0.0.55
type generic, total addresses 2, allocated 1 (100%), misses 4
Para cambiar el valor de tiempo vencido de NAT por defecto de 24 horas, 86.400 segundos, a 120 segundos, emita el siguiente
comando:
SanJose1(config)#ip nat translation timeout 120
Despeje la adjudicación de direcciones existente antes de que el nuevo temporizador pueda tomar efecto. Tipee clear ip nat
translation * para despejar inmediatamente la tabla de traducciones.
Ahora, desde el Host B, intente hacer ping a cualquiera de las interfaces de ISP1 nuevamente. El ping debería tener éxito.
Utilice los comandos show ip nat translations y show ip nat translations verbose para confirmar la
traducción y para ver que las nuevas traducciones expiren en dos minutos.
Objetivo
Configurar NAT dinámica con sobrecarga.
Información Básica
Parece que las traducciones NAT dinámicas básicas serán demasiado limitadas y engorrosas como para cumplir con las
necesidades de la AVI. Modifique el prototipo para utilizar la función de sobrecarga.
Paso 1
En el último ejercicio, se vio un pool de direcciones IP globales ‘reales’ que puede utilizarse para proporcionar a los hosts
interiormente direccionados acceso a la Internet y otros recursos exteriores. No obstante, en la implementación previa, cada
dirección global podría adjudicarse a sólo un host por vez.
La más potente funcionalidad de NAT es la sobrecarga de direcciones, o traducción de direcciones de puerto (PAT). La
sobrecarga permite que múltiples direcciones interiores se mapeen a una única dirección global. Con PAT, literalmente cientos de
nodos direccionados privadamente pueden acceder a la Internet utilizando sólo una dirección global. El router NAT mantiene un
registro de las diferentes conversaciones mapeando números de puerto TCP y UDP.
Configure la sobrecarga de direcciones en SanJose1 mediante el siguiente comando:
SanJose1(config)#ip nat inside source list 2 pool MYNATPOOL overload
Una vez configurada la función de sobrecarga, haga ping a ambas interfaces de ISP1, 10.0.1.2 y 10.0.0.5, desde el Host A. Los
pings deberían tener éxito. A continuación, emita el comando show ip nat translations :
53
SanJose1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.0.5:1536 10.0.0.5:1536
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.1.2:1536 10.0.1.2:1536
Además de rastrear las direcciones IP traducidas, la tabla de traducciones también registra los números de puerto utilizados.
Nótese también que la primera columna, Pro, muestra el protocolo utilizado.
Ahora observe el resultado del comando show ip nat translation verbose :
Nota: el tiempo vencido para estas traducciones dinámicas sobrecargadas de ICMP es de 60 segundos. Nótese también que cada
sesión tiene su propio temporizador de tiempo vencido. La nueva actividad sólo vuelve a cero el temporizador de una sesión
específica. Para ver el resultado en el router, puede ser necesario volver a hacer ping .
Desde el prompt MS-DOS del Host A, emita rápidamente los siguientes comandos y luego regrese a la consola de SanJose1 para
emitir el comando show ip nat translation . Los comandos deben efectuarse rápidamente debido al tiempo vencido de
60 segundos:
HostA:\>ping 10.0.0.5
HostA:\>telnet 10.0.0.5 (No haga login. Regrese a la ventana de comandos)
HostA:\>ftp: 10.0.0.5 (Fallará. No se preocupe)
Nota: para salir del programa FTP de Windows, tipee bye y presione Enter.
Una vez iniciadas estas tres sesiones, el resultado del comando show ip nat translation deberá tener un aspecto similar a
lo siguiente:
SanJose1#show ip nat translation
Pro Inside global Inside local Outside local Outside global
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.0.5:1536 10.0.0.5:1536
tcp 42.0.0.49:1095 192.168.0.21:1095 10.0.0.5:21 10.0.0.5:21
tcp 42.0.0.49:1094 192.168.0.21:1094 10.0.0.5:23 10.0.0.5:23
Aunque el router NAT tenga un pool de ocho direcciones IP con las cuales trabajar, elige continuar utilizando el 42.0.0.55 para
ambas estaciones de trabajo. El Cisco IOS continuará sobrecargando la primera dirección del pool hasta que haya alcanzado su
límite y después se moverá a la segunda dirección, etcétera.
Paso 3
En este paso, examine los valores de tiempo vencido en más detalle. Desde el Host A, inicie sesiones FTP y HTTP con ISP1 en
10.0.0.5. Puesto que ISP1 no está configurado como servidor FTP ni servidor de la Web, ambas sesiones fallarán.
HostA:\>ftp: 10.0.0.5
Para abrir una sesión HTTP, tipee la dirección IP de ISP1 en el campo para el URL de la ventana de un explorador de la Web.
Una vez intentadas las sesiones tanto FTP como HTTP, utilice el comando show ip nat translation verbose y
examine las entradas de tiempo restante, como se muestra a continuación:
SanJose1#show ip nat translation verbose
Pro Inside global Inside local Outside local Outside global
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.0.5:1536 10.0.0.5:1536
create 00:00:29, use 00:00:26, left 00:00:33,
flags:
extended, use_count: 0
tcp 42.0.0.49:1114 192.168.0.21:1114 10.0.0.5:21 10.0.0.5:21
create 00:
flags:
extended, timing-out, use_count: 0
tcp 42.0.0.49:1113 192.168.0.21:1113 10.0.0.5:23 10.0.0.5:23
create 00:00:22, use 00:00:22, left 23:59:37,
54
flags:
extended, use_count: 0
tcp 42.0.0.49:1115 192.168.0.21:1115 10.0.0.5:80 10.0.0.5:80
create 00:00:12, use 00:00:11, left 23:59:48,
flags:
extended, use_count: 0
Nótese que algunas de las transacciones TCP están utilizando un temporizador de tiempo vencido de 24 horas. Para ver los otros
temporizadores que pueden configurarse, utilice el comando ip nat translation ? en modo de configuración global, tal
como se muestra a continuación:
SanJose1(config)#ip nat translation ?
dns-timeout Specify timeout for NAT DNS flows
finrst-timeout Specify timeout for NAT TCP flows after a FIN or RST
icmp-timeout Specify timeout for NAT ICMP flows
max-entries Specify maximum number of NAT entries
port-timeout Specify timeout for NAT TCP/UDP port specific flows
syn-timeout Specify timeout for NAT TCP flows after a SYN and no
further data
tcp-timeout Specify timeout for NAT TCP flows
timeout Specify timeout for dynamic NAT translations
udp-timeout Specify timeout for NAT UDP flows
Las opciones de tiempo vencido reales varían según la versión del IOS. Los valores por defecto para algunos de los tiempos más
comunes son:
dns-timeout Sesión DNS, dura 60 segundos
finrst-timeout Sesión TCP después de un FIN o RST / fin de la sesión, dura 60 segundos
icmp-timeout Sesión ICMP, dura 60 segundos
tcp-timeout Sesión de puerto TCP, dura 86.400 segundos o 24 horas
timeout Traducciones NAT dinámicas, dura 86.400 segundos o 24 horas
udp-timeout Sesión de puerto UDP, dura 300 segundos o 5 minutos
El temporizador finrst-timeout se asegura de que las sesiones TCP cierren el puerto relacionados 60 segundos después de la
secuencia de terminación TCP.
Las sesiones de NAT dinámica sólo pueden ser iniciadas por un host interno. No es posible iniciar una traducción NAT desde el
exterior de la red. Hasta cierto punto, esto agrega un nivel de seguridad a la red interior. También puede ayudar a explicar por qué
el temporizador de tiempo vencido dinámico para las sesiones de sobrecarga es tan corto. La sesión permanece abierta sólo lo
suficiente como para asegurarse de que respuestas legítimas como páginas Web, sesiones FTP y TFTP y mensajes ICMP puedan
entrar.
Los hosts exteriores pueden hacer ping de las traducciones NAT estáticas en cualquier momento, mientras el host esté activo.
Esto es así para que los servidores Web, FTP, TFTP, DNS y otros tipos de servidores puedan compartirse con el mundo exterior.
Con NAT dinámica no configurada para sobrecarga, la traducción permanece activa durante 24 horas. Esto podría permitir que un
host exterior intente acceder a la traducción y por lo tanto al host. Pero con la opción de sobrecarga, el host exterior tiene que
poder recrear la dirección IP NAT más el número de puerto. Por lo tanto, esto reduce la probabilidad de que un host no deseado
obtenga acceso al sistema.
Paso 4
Para ver el proceso de traducción real y detectar problemas de NAT, es posible utilizar el comando debug ip nat y sus
opciones relacionadas.
Recuerde que como con todos los comandos debug , esto puede afectar serialmente el desempeño del router de producción y
deberá utilizarse con precaución. El comando undebug all desactiva todo debugging .
En SanJose1, utilice el comando debug ip nat para activar la funcionalidad debug.
Desde A, haga ping a la interfaz serie de ISP1, 10.0.0.5, y observe las traducciones según se las muestra a continuación:
SanJose1#debug ip nat IP NAT debugging is on
06:37:40: NAT: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [63]
06:37:40: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [63]
06:37:41: NAT*: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [64]
06:37:41: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [64]
06:37:42: NAT*: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [65]
06:37:42: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [65]
06:37:43: NAT*: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [66]
06:37:43: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [66]
06:38:43: NAT: expiring 42.0.0.49 (192.168.0.21) icmp 1536 (1536)
55