Grupo39 ABE2

GUÍA ÚNICA PARA EL DESARROLLO DEL COMPONENTE PRÁCTICO DEL
CURSO LAN
UNIDAD 1 - PASO 3 - COMPONENTE PRÁCTICO
Presentado a:
Edwin Jose Basto Maldonado
Entregado por:
Angela Riveros Manrique

Código: 1024484406
Grupo: 2150520_39
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
20/03/2024
BOGOTA
INTRODUCCIÓN
En esta actividad, se configura el protocolo de enrutamiento OSPFv2 en dos
routers conectados por un enlace punto a punto. OSPFv2 es un protocolo de
enrutamiento de estado de enlace que permite a los routers intercambiar
información sobre la topología de la red y calcular las mejores rutas hacia los
destinos.
Link de acceso a los archivos
https://unadvirtualedu-my.sharepoint.com/:f:/g/personal/
anriverosm_unadvirtual_edu_co/EjH_I-sJdq5PlooBxx--NwEBHgZ0cOoqKjPY8-
Pc4l5JGQ?e=876w8W
2.4.11 Packet Tracer - Modify Single-Area OSPFv2 - ILM
Tabla de asignación de direcciones
Máscara de Puerta de enlace
Dispositivo Interfaz Dirección IPv4
subred predeterminada
R1 G0/0 172.16.1.1 255.255.255.0 N/D
R1
S0/0/0 172.16.3.1 255.255.255.252 N/D
R1
S0/0/1 192.168.10.5 255.255.255.252 N/D
R2 G0/0 172.16.2.1 255.255.255.0 N/D
R2
S0/0/0 172.16.3.2 255.255.255.252 N/D
R2
S0/0/1 192.168.10.9 255.255.255.252 N/D
R2
S0/1/0 209.165.200.225 255.255.255.224 N/D
R3 G0/0 192.168.1.1 255.255.255.0 N/D
R3
S0/0/0 192.168.10.6 255.255.255.252 N/D
R3
S0/0/1 192.168.10.10 255.255.255.252 N/D
PC1 NIC 172.16.1.2 255.255.255.0 172.16.1.1

PC2 NIC 172.16.2.2 255.255.255.0 172.16.2.1
PC3 NIC 192.168.1.2 255.255.255.0 192.168.1.1
Servidor web NIC 64.100.1.2 255.255.255.0 64.100.1.1
Objetivos
Parte 1. Modificar la configuración predeterminada de OSPF
Parte 2. Verificar la conectividad
Situación
En esta actividad, OSPF ya está configurado y todos las terminales tienen en este
momento conectividad total. Modificará la configuración predeterminada de routing de
OSPF mediante la modificación de los temporizadores de saludo y de inactividad, y el
ajuste del ancho de banda de un enlace. Luego, verificará que se restaure la conectividad
total para todos los terminales.
Instrucciones
Parte 1: Modificar la configuración predeterminada de OSPF

Paso 1: Probar la conectividad entre todas las terminales.
Antes de modificar la configuración de OSPF, verifique que todas las PC pueden hacer
ping en el servidor web y entre sí.
Figura 1. Comprobación por ping
Se realiza la validación a través de ping para el PC 1, PC2 y el Web Server

comprobando que existe conectividad
Paso 2: Ajustar los temporizadores de saludo y tiempo muerto entre el R1 y el

R2.
a. Introduzca los siguientes comandos en el R1.
Abrir la ventana de configuración
R1(config)# interface s0/0/0

R1(config-if)# ip ospf hello-interval 15
R1 (config-if) # ip ospf dead-intervalo 60
b. Después de un corto período de tiempo, la conexión OSPF con R2 fallara, como se
muestra en la salida del router..
00:02:40: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from FULL to
DOWN, Neighbor Down: Dead timer expired
00:02:40: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from FULL to

DOWN, Neighbor Down: Interface down or detached
Ambos lados de la conexión deben tener los mismos valores de temporizador para
mantener la adyacencia. Identifique la interfaz en R2 que está conectada a R1. Ajuste
los temporizadores en la interfaz R2 para que coincidan con la configuración en R1.
R2(config)# interface s0/0/0
R2(config-if)# ip ospf hello-interval 15
R2(config-if)# ip ospf dead-interval 60
Después de un breve período de tiempo, debería ver un mensaje de estado que indica
que se ha restablecido la adyacencia OSPF.
00:21:52: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.10.5 on Serial0/0/0 from
LOADING to FULL, Loading Done
Figura 2. Configuración saludo y tiempo muerto entre el R1 y el R2
Una vez realizada la configuración se puede evidenciar el mensaje de estado que

indica que se ha restablecido la adyacencia OSPF
Paso 3: Ajustar la configuración del ancho de banda en el R1.

a. Rastree la ruta entre la PC1 y el servidor web ubicado en 64.100.1.2. Observe que la
ruta desde la PC1 hasta 64.100.1.2 se dirige por medio del R2. OSPF prefiere la ruta
de menor costo.
C:\ > tracert 64.100.1.2
Tracing route to 64.100.1.2 over a maximum of 30 hops:
1 ms 0 ms 8 ms 172.16.1.1
2 0 ms 1 ms 0 ms 172.16.3.2
3 1 ms 9 ms 2 ms 209.165.200.226
4 * 1 ms 0 ms 64.100.1.2
Trace complete.
Figura 3. Tracert 64.100.1.2
Se realiza el comando de seguimiento en donde se realiza tracert al este servidor y

observado que va a la puerta de enlace predeterminada y luego va a 172.16.3.2
b. En la interfaz serial 0/0/0 de R1, establezca el ancho de banda en 64Kb/s. Esto no

cambia la velocidad del puerto real, solo la métrica que el proceso OSPF en el R1
utilizará para calcular las mejores rutas.
R1(config-if)# bandwidth 64
Figura 4. R1(config-if)# bandwidth 64

c. Rastree la ruta entre la PC1 y el servidor web ubicado en 64.100.1.2. Observe que la
ruta desde la PC1 hasta 64.100.1.2 es redirige por medio del R2. OSPF prefiere la ruta
de menor costo.
C:\ > tracert 64.100.1.2
Tracing route to 64.100.1.2 over a maximum of 30 hops:
1 ms 0 ms 3 ms 172.16.1.1
2 8 ms 1 ms 1 ms 192.168.10.6
3 2 ms 0 ms 2 ms 172.16.3.2
4 2 ms 3 ms 1 ms 209.165.200.226
5 2 ms 11 ms 11 ms 64.100.1.2
Trace complete.
Figura 5. Tracert 64.100.1.2
Se puede observar los detalles empezando con la pueta de enlace predeterminada

luego la ip que pertenece al pc luego la ip enrutador del r3 luego la del r2 luego la de
internet y finalmente la del servidor
Cerrar la ventana de configuración
Parte 2: Verificar la conectividad

Verifique que todas las PC puedan hacer ping al servidor web y entre sí.
Fin del documento
Scripts de respuesta
Router R1
interface s0/0/0
ip ospf hello-interval 15
ip ospf dead-interval 60
bandwidth 64
Router R2
interface s0/0/0
ip ospf hello-interval 15
ip ospf dead-interval 60
Figura 6. Comprobación de conectividad
2.5.3 Packet Tracer - Propagate a Default Route in OSPFv2 - ILM

Gateway
Dispositivo Interfaz Dirección IPv4 Máscara de subred
predeterminado
R1 G0/0 172.16.1.1 255.255.255.0 N/D
R1
S0/0/0 172.16.3.1 255.255.255.252 N/D
R1
S0/0/1 192.168.10.5 255.255.255.252 N/D
R2 G0/0 172.16.2.1 255.255.255.0 N/D
R2
S0/0/0 172.16.3.2 255.255.255.252 N/D
R2
S0/0/1 192.168.10.9 255.255.255.252 N/D
R2
S0/1/0 209.165.200.225 255.255.255.224 N/D
R3 G0/0 192.168.1.1 255.255.255.0 N/D
R3
S0/0/0 192.168.10.6 255.255.255.252 N/D
R3
S0/0/1 192.168.10.10 255.255.255.252 N/D
PC1 NIC 172.16.1.2 255.255.255.0 172.16.1.1

PC2 NIC 172.16.2.2 255.255.255.0 172.16.2.1
PC3 NIC 192.168.1.2 255.255.255.0 192.168.1.1
Servidor web NIC 64.100.1.2 255.255.255.0 64.100.1.1
Objetivos
Parte 1. Propagar una ruta predeterminada
Aspectos básicos
En esta actividad, configurará una ruta predeterminada IPv4 a Internet y realizará la
propagación de esa ruta predeterminada a otros routers OSPF. A continuación, verificará
que la ruta predeterminada figure en las tablas de enrutamiento corriente abajo y que los
hosts ahora puedan acceder al servidor web en Internet.
Instrucciones
Parte 1: Propagar una ruta predeterminada

Paso 1: Probar la conectividad al servidor web
a. Desde PC1, PC2 y PC3, intente hacer ping a la dirección IP del servidor Web
64.100.1.2.

Preguntas:
¿Alguno de los pings tuvo éxito? No.

¿Qué mensaje recibió y qué dispositivo emitió el mensaje? Destination host
unreachable
b. Examine las tablas de enrutamiento en los routers R1, R2 y R3.
Pregunta:
¿Qué instrucción está presente en las tablas de enrutamiento que indica que los pings
al servidor Web fallarán? Falta la configuración de la puerta de enlace
Figura 8. Tablas de enrutamiento en los routers R1, R2 y R3
Paso 2: Configurar una ruta predeterminada en el R2.

Configure el R2 con una ruta predeterminada conectada directamente a Internet.
R2(config)# ip route 0.0.0.0 0.0.0.0 Serial0/1/0
Nota: El router dará una advertencia de que si esta interfaz no es una conexión punto a
punto, puede afectar el rendimiento. Puede ignorar esta advertencia porque es una
conexión punto a punto.
Paso 3: Propagar la ruta en OSPF.

Configure OSPF para propagar la ruta predeterminada en las actualizaciones de
enrutamiento OSPF.
R2(config)# router ospf 1
R2(config-router)# default-information originate
Figura 9. Configuración R2
La configuración que está en R2 propaga la ruta predeterminada a R1 y a R3 usando

el proceso OSPF
Paso 4: Examinar las tablas de enrutamiento del R1 y el R3.

Examine las tablas de enrutamiento en el R1 y el R3 para verificar que la ruta se haya
propagado.
R1> show ip route
<output omitted>
Gateway of last resort is 172.16.3.2 to network 0.0.0.0
<output omitted>
O*E2 0.0.0.0/0 [110/1] via 172.16.3.2, 0:00:08, Serial0/0/0
!-------------------
R3> show ip route
<output omitted>
Gateway of last resort is 192.168.10.9 to network 0.0.0.0
<output omitted>
O*E2 0.0.0.0/0 [110/1] via 192.168.10.9, 0:08:15, Serial0/0/1
Cerrar la ventana de con
Figura 10. Tabla de enrutamiento del R1
Se puede observar que la ruta predeterminada se aprende usando OSPF

Verify that PC1, PC2, and PC3 can ping the web server.
Fin del documento
Scripts de respuesta
Router R2
enable
config terminal
ip route 0.0.0.0 0.0.0.0 Serial0/1/0
router ospf 1
default-information originate
5.2.7 Packet Tracer - Configure and Modify Standard

IPv4 ACLs – ILM

Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
R1 G0/0/0 192.168.10.1 255.255.255.0 N/D
R1
G0/0/1 192.168.20.1 255.255.255.0 N/D
R1
S0/1/0 (DCE) 10.1.1.1 255.255.255.252 N/D
empresarial S0/1/0 10.1.1.2 255.255.255.252 N/D
empresarial
S0/1/1 (DCE) 10.2.2.2 255.255.255.252 N/D
empresarial
S0/2/1 209.165.200.225 255.255.255.224 N/D
R3 G0/0/0 192.168.30.1 255.255.255.0 N/D
R3
G0/0/1 192.168.40.1 255.255.255.0 N/D
R3
/1/1 10.2.2.1 255.255.255.252 N/D
S1 VLAN 1 192.168.10.11 255.255.255.0 192.168.10.1

S2 VLAN 1 192.168.20.11 255.255.255.0 192.168.20.1
S3 VLAN 1 192.168.30.11 255.255.255.0 192.168.30.1
S4 VLAN 1 192.168.40.11 255.255.255.0 192.168.40.1
PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1
PC-B NIC 192.168.20.3 255.255.255.0 192.168.20.1
PC-C NIC 192.168.30.3 255.255.255.0 192.168.30.1
PC-D NIC 192.168.40.3 255.255.255.0 192.168.40.1
Objetivos
Parte 2: Configurar y verificar las ACL estándar numeradas y nombradas
Parte 3: Modificar una ACL estándar
Antecedentes / Escenario
La seguridad de la red y el control del flujo de tráfico son cuestiones importantes al diseñar
y administrar redes IP. La capacidad para configurar reglas apropiadas para filtrar los
paquetes, sobre la base de las políticas de seguridad establecidas, es una aptitud valiosa.
En este laboratorio, configurará reglas de filtrado para dos ubicaciones comerciales que
están representadas por R1 y R3. La administración estableció algunas políticas de acceso
entre las redes LAN ubicadas en el R1 y el R3, que usted debe implementar. El router Edge
que se encuentra entre R1 y R3 ha sido proporcionado por el ISP no tendrá ninguna ACL
colocada en él. No se le permitiría ningún acceso administrativo al enrutador Edge porque
solo puede controlar y administrar su propio equipo.
Instrucciones

En la parte 1, se comprueba la conectividad entre dispositivos.
Nota: Es muy importante probar si la conectividad funciona antes de configurar y aplicar
listas de acceso. Desea asegurarse de que su red funciona correctamente antes de
comenzar a filtrar el tráfico.
Preguntas:
Desde PC-A, ping PC-C y PC-D. ¿Tus ping fueron exitosos? Sí
Figura 12. Prueba de ping de PC-A a PC-C y PC-D

Se puede observar que existe comunicación entre PC-A a PC-C y PC-D y comprobándolo a
través del Ping
Desde R1, ping PC-C y PC-D. ¿Tus ping fueron exitosos? Sí
Figura 13. Prueba de ping de R1 a PC-C y PC-D
Se puede observar que existe comunicación entre R1 a PC-C y PC-D y comprobándolo a

través del Ping
Desde PC-C, ping PC-A y PC-B. ¿Tus ping fueron exitosos? Sí
Figura 14. Prueba de ping de PC-C a PC-A y PC-B
Se puede observar que existe comunicación entre PC a PC-A y PC-B y comprobándolo a

través del Ping
Desde R3, ping PC-A y PC-B. ¿Tus ping fueron exitosos? Sí

Figura 15. Prueba de ping de R3 a PC-A y PC-B
Se puede observar que existe comunicación entre R3 a PC-A y PC-B y comprobándolo a través
del Ping
¿Todos los equipos pueden hacer ping al servidor en 209.165.200.254? Sí
Figura 16. Prueba de ping al servidor 209.165.200.254
Parte 2: Configurar y verificar ACL estándar numeradas y con

nombre
Paso 1: Configurar una ACL estándar numerada
Las ACL estándar filtran el tráfico únicamente sobre la base de la dirección IP de origen.
Una práctica recomendada típica para las ACL estándar es configurar y aplicar la ACL lo
más cerca posible del destino. Para la primera lista de acceso en esta actividad, cree una
ACL numerada estándar que permita el tráfico de todos los hosts en la red 192.168.10.0/24
y todos los hosts en la red 192.168.20.0/24 para acceder a todos los hosts en
192.168.30.0/24 red. La política de seguridad también establece que debe existir una
denegación explícita de cualquier entrada de control de acceso (ACE), también
conocida como una declaración de ACL, al final de todas las ACL.
Preguntas:
¿Qué máscara wildcard usaría para permitir que todos los hosts en la red 192.168.10.0/24
accedan a la red 192.168.30.0/24?0.0.0.255
Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL?
R3
¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría?
G0/0/0. La ACL debe aplicarse en sentido de salida. Los estudiantes pueden responder con
la colocación de la ACL en la interfaz S0/1/1 en R3 entrando. ¡Enfatice que esto también
bloquearía efectivamente que las LAN en R1 lleguen a la red 192.168.40.0/24!
a. Configure la ACL en el R3. Use 1 como el número de lista de acceso.
R3(config)# access-list 1 remark Allow R1 LANs Access
R3(config)# access-list 1 permit 192.168.10.0 0.0.0.255
R3(config)# access-list 1 permit 192.168.20.0 0.0.0.255
R3(config)# access-list 1 deny any
b. Aplique la ACL a la interfaz apropiada en el sentido correcto.
R3 (config) # interface g0/0/0
R3(config-if)# ip access-group 1 out
Figura 17. Paso 1: Configuración de una ACL
c. Verifique una ACL numerada.

El uso de varios comandos show puede ayudarlo a verificar tanto la sintaxis como la
ubicación de sus ACL en su router.
Preguntas:
¿Qué comando usaría para ver la lista de acceso 1 en su totalidad, con todas las ACE?
show access-list
¿Qué comando usaría para ver dónde se aplicó la lista de acceso y en qué sentido?
show ip interface g0/0/0
1) En R3, emita el comando show access-lists 1.
R3# show access-list 1
Standard IP access list 1
permit 192.168.10.0, wildcard bits 0.0.0.255
permit 192.168.20.0, wildcard bits 0.0.0.255
deny any
2) En R3, emita el comando show ip interface g0/0/0.
R3# show ip interface g0/0/0
GigabitEthernet0/0/0 is up, line protocol is up (connected)
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is 1
Inbound access list is not set
<Output omitted>
Figura 18. Paso 1: Configuración de una ACL
Preguntas:
3) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.10.0/24 acceda a
la red 192.168.30.0/24.
Desde el símbolo del sistema en la PC-A, haga ping a la dirección IP de la PC-C.
¿Fueron correctos los pings?. Sí
Figura 19. Ping PC-A a PC-C
Se puede observa el trafico de red al realiza ping del PC-A al PC-C
la red 192.168.30.0/24.
Desde la consola del sistema de la PC-B, haga ping a la dirección IP de la PC-C.
¿Fueron correctos los pings? Sí
Figura 20. Ping PC-B a PC-C
Se puede observa el trafico de red al realiza ping del PC-B al PC-C
5) ¿Deben tener éxito los pings de PC-D a PC-C? Ping de PC-D a PC-C para verificar
su respuesta.
Figura 21. Ping PC-D a PC-C
No se genera el ping por la configuración de la lista de control de acceso, por lo que se ve esta
funcionando de manera correcta.
d. Desde la petición de entrada del R1, vuelva a hacer ping a la dirección IP de la PC-C.
R1# ping 192.168.30.3
Pregunta:
¿El ping se realizó correctamente? Explique.

Los intentos de ping no tuvieron éxito. Al ejecutar el comando ping desde el router, se
utiliza la interfaz más próxima al destino como la dirección de origen. En este caso, la
dirección de origen de los pings fue 10.1.1.1. Sin embargo, la lista de acceso en el
router R3 solamente autoriza el acceso desde las redes 192.168.10.0/24 y
192.168.20.0/24
Figura 22. R1# Ping 192.168.30.3
e. Emita el comando show access-lists 1 nuevamente. Tenga en cuenta que el resultado
del comando muestra información sobre el número de veces que cada ACE ha
coincidido con el tráfico que alcanzó la interfaz Gigabit Ethernet 0/0/0.
R3# show access list 1
permit 192.168.10.0 0.0.0.255 (4 match(es))
permit 192.168.20.0 0.0.0.255 (4 match(es))
deny any (4 match(es))
Figura 23. R3# Show Access List 1
Paso 2: Configurar una ACL estándar con nombre

Cree una ACL estándar con nombre que se ajuste a la siguiente política: permitir que el
tráfico de todos los hosts en la red 192.168.40.0/24 tenga acceso a todos los hosts en la
red 192.168.10.0/24. Además, solo debe permitir el acceso del host PC-C a la red
192.168.10.0/24. El nombre de esta lista de acceso debe ser BRANCH-OFFICE-POLICY.
Preguntas:
Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL?
R1
¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría?
a. Cree la ACL estándar con nombre BRANCH-OFFICE-POLICY en el R1.
R1(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# permit host 192.168.30.3
R1(config-std-nacl)# permit 192.168.40.0 0.0.0.255
R1(config-std-nacl)# end
R1#
*Feb 15 15:56:55.707: %SYS-5-CONFIG_I: Configured from console by console
Pregunta:
Mira el primer ACE en la lista de acceso. ¿Cuál es otra forma de escribir esto? permit
192.168.30.3 0.0.0.0.
b. Aplique la ACL a la interfaz apropiada en el sentido correcto.
R1# config t
R1(config)# interface g0/0/0
R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out
c. Verifique una ACL con nombre.
1) En el R1, emita el comando show access-lists.
R1# show access-lists
Standard IP access list BRANCH-OFFICE-POLICY
10 permit host 192.168.30.3
20 permit 192.168.40.0 0.0.0.255
Pregunta:
¿Hay alguna diferencia entre esta ACL en R1 y la ACL en R3? Si es así, ¿cuál es?
No hay una línea que niegue explícitamente la entraga de acceso presente y se
puede mostrar a través del comando show access-lists
Figura 24. R1 y R3 Show Access List
2) En R1, emita el comando show ip interface g0/0/0 para verificar que la ACL esté
configurada en la interfaz.
R1# show ip interface g0/0/0
GigabitEthernet0/0/0 is up, line protocol is up (connected)
Internet address is 192.168.10.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is BRANCH-OFFICE-POLICY
Inbound access list is not set
<Output omitted>
Figura 25. Show IP interface g0/0/0
Pregunta:
Probar la ACL. Desde la consola del sistema en la PC-C, haga ping a la dirección
IP de la PC-A. ¿Fueron exitosos los pings? Sí
Figura 26. Prueba de ping de PC-C a PC-A
Se puede observar que existe comunicación entre PC-C a PC-A y comprobándolo a través del
Ping
3) Pruebe la ACL para asegurarse de que solo el host PC-C tenga acceso a la red
192.168.10.0/24. Debe hacer un ping extendido y utilizar la dirección G0/0/0 en R3
como su fuente. Haga ping a la dirección IP de la PC-A.
R3# ping
Protocol [ip]:
Target IP address: 192.168.10.3
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.30.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:
Packet sent with a source address of 192.168.30.1
U.U.U
Pregunta:
¿Fueron correctos los pings? No
Figura 27. Prueba de ACL
la red 192.168.10.0/24. Desde la consola del sistema de la PC-D, haga ping a la
dirección IP de la PC-A.
Pregunta:
¿Fueron correctos los pings? Sí
Figura 28. Prueba de ping de PC-D a PC-A
Se puede observar que existe comunicación entre PC-D a PC-A y comprobándolo a través del
Ping
ntana de configuración
Parte 3: Modificar una ACL estándar
En el ámbito empresarial, es común que las políticas de seguridad cambien. Por este
motivo, quizá sea necesario modificar las ACL. En la Parte 3, cambiará una de las ACL que
configuró anteriormente para que coincida con una nueva política de administración que se
está implementando.
Intente hacer ping al servidor en 209.165.200.254 desde PC-A. Observe que el ping no se
realiza correctamente. La ACL en R1 está bloqueando el tráfico de Internet para que
regrese a PC-A. Esto se debe a que la dirección de origen de los paquetes que se
devuelven no está en el intervalo de direcciones permitidas.
La gerencia ha decidido que el tráfico que regresa de la red 209.165.200.224/27 debe tener
acceso completo a la red 192.168.10.0/24. La administración también quiere que las ACL
en todos los enrutadores sigan reglas consistentes. Se debe colocar una ACE deny any al
final de todas las ACL. Debe modificar la ACL BRANCH-OFFICE-POLICY.
Agregará dos líneas adicionales a esta ACL. Hay dos formas de hacer esto:
OPCIÓN 1: Emita un comando no ip access-list standard BRANCH-OFFICE-POLICY en
el modo de configuración global. Esto eliminaría la ACL del router. Dependiendo del IOS
del enrutador, ocurriría uno de los siguientes escenarios: se cancelaría todo el filtrado de
paquetes y se permitirían todos los paquetes a través del enrutador; o, debido a que no
eliminó el comando ip access-group de la interfaz G0 / 1, el filtrado todavía está en su
lugar. Independientemente de lo que suceda, una vez que la ACL ya no esté, puede volver
a escribir toda la ACL o cortarla y pegarla con un editor de texto.
OPCIÓN 2: Puede modificar las ACL en su lugar agregando o eliminando líneas
específicas dentro de la propia ACL. Esto puede ser útil, especialmente con las ACL que
son largas. Al volver a escribir toda la ACL, o al cortarla y pegarla, se pueden producir
errores con facilidad. La modificación de las líneas específicas dentro de la ACL se logra
fácilmente.
Para esta actividad, use la Opción 2.
Paso 1: Modificar una ACL estándar con nombre

a. Desde R1, emita el comando show access-lists.

10 permit 192.168.30.3 (8 matches)
20 permit 192.168.40.0 0.0.0.255 (5 matches)
b. Agregue dos líneas adicionales al final de la ACL. En el modo de configuración global,
modifique la ACL BRANCH-OFFICE-POLICY.
R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31
R1 (config-std-nacl) # 40 deny any
R1(config-std-nacl)# end
c. Verifique la ACL.
1) En el R1, emita el comando show access-lists.
10 permit 192.168.30.3 (8 matches)
20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches)
30 permit 209.165.200.224, wildcard bits 0.0.0.31
40 deny any:
¿Debe aplicar la ACL BRANCH-OFFICE-POLICY a la interfaz G0/1 en el R1?
No, el comando ip access-group BRANCH-OFFICE-POLICY out todavía está
implementado en G0/1.
Figura 29. Modificación ACL
2) Pruebe la ACL para ver si permite que el tráfico del acceso a la red
209.165.200.224/27 regrese a la red 192.168.10.0/24. Desde PC-A, realice un ping
al servidor en 209.165.200.254.
¿Fueron correctos os pings? Sí
Cerrar la ventana de configu
Figura 30. Prueba de ping al servidor

ración
Preguntas de reflexión
1. Como puede observar, las ACL estándar son muy eficaces y funcionan muy bien. ¿Por qué
tendría la necesidad de usar ACL extendidas?
Las ACL estándar se limitan a filtrar según la dirección de origen y carecen de
granularidad, ya que permiten o niegan todo tipo de protocolos y servicios. Por otro lado,
las ACL extendidas, aunque más complejas de configurar, resultan apropiadas para
entornos de red más complejos, donde se requiere permitir el tráfico a través de ciertos
puertos de Capa 4 mientras se bloquea el acceso a otros. Además, es recomendable
aplicar las ACL estándar lo más cerca posible del destino para evitar que el tráfico
innecesario ocupe ancho de banda de red, mientras que las ACL extendidas pueden
bloquear el tráfico más cerca de su origen, evitando así que llegue al destino donde se
bloquearía
2. Normalmente se requiere más tipeo cuando se usa una ACL con nombre en lugar de una
ACL numerada. ¿Por qué elegiría ACL con nombre en vez de ACL numeradas?
Facilidad de mantenimiento: Las ACL con nombre proporcionan una mejor comprensión de
su propósito y función, lo que facilita el mantenimiento y la administración de la red a largo
plazo. Los nombres descriptivos pueden ayudar a identificar rápidamente el propósito de
cada ACL, lo que simplifica las tareas de depuración y modificación.
Claridad y legibilidad: Los nombres de las ACL pueden reflejar claramente su función, lo
que facilita su comprensión para los administradores de red y otros miembros del equipo.
Esto puede ser especialmente útil en entornos con múltiples ACL y políticas complejas de
seguridad.
Flexibilidad: Las ACL con nombre permiten una mayor flexibilidad en términos de agregar,
modificar o eliminar reglas sin tener que renumerar toda la lista. Esto puede ser
particularmente útil en redes grandes o en constante cambio, donde la reorganización de
las ACL numeradas puede ser tediosa y propensa a errores.
Fin del documento
Scripts de respuestas
Router R1
enable
configure terminal
ip access-list standard BRANCH-OFFICE-POLICY
permit host 192.168.30.3
permit 192.168.40.0 0.0.0.255
interface g0/0/0
ip access-group BRANCH-OFFICE-POLICY out
ip access-list standard BRANCH-OFFICE-POLICY
30 permit 209.165.200.224 0.0.0.31
40 deny any
end
Router R3
enable
configure terminal
access-list 1 remark Allow R1 LANs Access
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 1 deny any
interface g0/0/0
ip access-group 1 out
end
5.4.12 Packet Tracer - Configure Extended IPv4 ACLs -

Scenario 1 - ILM
Dispositivo Interfaz Dirección IP subred predeterminada
R1 G0/0 172.22.34.65 255.255.255.224 N/D

R1
G0/1 172.22.34.97 255.255.255.240 N/D
R1
G0/2 172.22.34.1 255.255.255.192 N/D
Servidor NIC 172.22.34.62 255.255.255.192 172.22.34.1
PC1 NIC 172.22.34.66 255.255.255.224 172.22.34.65
PC2 NIC 172.22.34.98 255.255.255.240 172.22.34.97
Objetivos
Parte 1: Configure, aplique y verifique una ACL extendida numerada
Parte 2: Configure, Aplique y Verifique una ACL extendida con nombre
Antecedentes / Escenario
Dos empleados necesitan acceder a los servicios que proporciona el servidor. La PC1 solo
necesita acceso FTP, mientras que la PC2 solo necesita acceso web. Configurar ACL
extendidas: escenario 1
Instrucciones
Parte 1: Configure, Aplique y Verifique una ACL extendida numerada

Paso 1: Configure una ACL para permitir FTP e ICMP desde PC1 LAN.
a. Desde el modo de configuración global en el R1, introduzca el siguiente comando para
determinar el primer número válido para una lista de acceso extendida.
R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
b. Agregue 100 al comando, seguido de un signo de interrogación.
R1(config)# access-list 100 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
c. Para permitir el tráfico FTP, introduzca permit, seguido de un signo de interrogación.
R1(config)# access-list 100 permit ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
d. Cuando se configura y aplica, esta ACL debe permitir FTP e ICMP. ICMP aparece en la
lista anterior, pero FTP no. Esto se debe a que FTP es un protocolo de capa de
aplicación que utiliza TCP en la capa de transporte. Ingrese TCP para refinar aún más
la ayuda de ACL.
R1(config)# access-list 100 permit tcp ?
A.B.C.D Source address
any Any source host
host A single source host
e. La dirección de origen puede representar un único dispositivo, como PC1, mediante la
palabra clave host y, a continuación, la dirección IP de PC1. El uso de la palabra clave
any permite cualquier host en cualquier red. El filtrado también se puede realizar
mediante una dirección de red. En este caso, es cualquier host que tiene una dirección
que pertenece a la red 172.22.34.64/27. Ingrese esta dirección de red, seguida de un
signo de interrogación.
R1(config)# access-list 100 permit tcp 172.22.34.64 ?
A.B.C.D Source wildcard bits
Figura 31. Configuración ACL
f. Calcule la máscara comodín determinando el opuesto binario de la máscara de

subred / 27.
1111111111111111111111.11100000 = 255.255.255.224
00000000.00000000.00000000.000 = 11111 0.0.0.31
g. Introduzca la máscara wildcard, seguida de un signo de interrogación.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?
A.B.C.D Destination address
any Any destination host
eq Match only packets on a given port number
gt Match only packets with a greater port number
host A single destination host
lt Match only packets with a lower port number
neq Match only packets not on a given port number
range Match only packets in the range of port numbers
h. Configure la dirección de destino. En este escenario, estamos filtrando el tráfico para
un único destino, que es el servidor. Introduzca la palabra clave host seguida de la
dirección IP del servidor.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ?
dscp Match packets with given dscp value
eq Match only packets on a given port number
established established
gt Match only packets with a greater port number
lt Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
range Match only packets in the range of port numbers
<cr>
i. Observe que una de las opciones es <cr> (retorno de carro). Es decir, puede presionar
la tecla Enter, y la instrucción permitiría todo el tráfico TCP. Sin embargo, solo se
permite el tráfico FTP. Por lo tanto, introduzca la palabra clave eq, seguida de un signo
de interrogación para mostrar las opciones disponibles. Luego, ingrese ftp y presione la
tecla Enter.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ?
<0-65535> Port number
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
telnet Telnet (23)
www World Wide Web (HTTP, 80)
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq
ftp
j. Cree una segunda instrucción de lista de acceso para permitir el tráfico ICMP (ping,
etcétera) desde la PC1 al Servidor. Observe que el número de la lista de acceso es el
mismo y que no es necesario detallar un tipo específico de tráfico ICMP.
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
k. El resto del tráfico se deniega de manera predeterminada.
l. Ejecute el comando show access-list y verifique que access list 100 contenga las
instrucciones correctas. Observe que la declaración deny any any no aparece al final
de la lista de acceso. La ejecución predeterminada de una lista de acceso es que si un
paquete no coincide con una sentencia de la lista de acceso, no se permite a través de
la interfaz.
R1#show access-lists
Extended IP access list 100
10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
Paso 2: Aplique la ACL a la interfaz correcta para filtrar el tráfico.

Desde la perspectiva de R1, el tráfico al que se aplica ACL 100 es entrante desde la red
conectada a la interfaz Gigabit Ethernet 0/0. Ingrese al modo de configuración de interfaz y
aplique la ACL.
Nota: En una red operativa real, no es una buena práctica aplicar una lista de acceso no
probada a una interfaz activa.
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group 100 in
Paso 3: Verifique la implementación de la ACL.

Haga ping de la PC1 al Servidor. Si los pings no se realizan correctamente, verifique las
direcciones IP antes de continuar.
Figura 33. Prueba De Ping
Dada las configuraciones realizadas nos permite realizar ping para poder validar la conexión
hacia el servidor
Desde la PC1, acceda mediante FTP al Servidor. Tanto el nombre de usuario como la
contraseña son cisco.
PC> ftp 172.22.34.62
Salga del servicio FTP.
ftp> quit
Cierre la ventana de configuración
Ping de PC1 a PC2. El host de destino no debería ser accesible, porque la ACL no permitía
explícitamente el tráfico.
Figura 34. FTP

Parte 2: Configure, Apliqye y Verifique una ACL extendida con
nombre
Paso 1: Configure una ACL para permitir el acceso HTTP e ICMP desde la PC2
LAN.
a. Las ACL con nombre comienzan con la palabra clave ip. Desde el modo de
configuración global del R1, introduzca el siguiente comando, seguido por un signo de
interrogación.
Abra la ventana de configuración
R1(config)# ip access-list ?
extended Extended Access List
standard Standard Access List
b. Puede configurar ACL estándar y extendidas con nombre. Esta lista de acceso filtra
tanto las direcciones IP de origen como de destino, por lo tanto, debe ser extendida.
Introduzca HTTP_ONLY como nombre. (Para la puntuación Packet Tracer, el nombre
distingue entre mayúsculas y minúsculas y las sentencias de lista de acceso deben ser
el orden correcto.)
R1(config)# ip access-list extended HTTP_ONLY
c. El indicador de comandos cambia. Ahora está en el modo de configuración de ACL
extendida con nombre. Todos los dispositivos en la LAN de la PC2 necesitan acceso
TCP. Introduzca la dirección de red, seguida de un signo de interrogación.
R1(config-ext-nacl)# permit tcp 172.22.34.96 ?
A.B.C.D Source wildcard bits
d. Otra manera de calcular el valor de una wildcard es restar la máscara de subred a
255.255.255.255.
255.255.255.255
- 255.255.255.240
-----------------
= 0. 0. 0. 15
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15
e. Para finalizar la instrucción, especifique la dirección del servidor como hizo en la
parte 1 y filtre el tráfico www.
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
f. Cree una segunda instrucción de lista de acceso para permitir el tráfico ICMP (ping,
etcétera) desde la PC2 al Servidor. Nota: la petición de entrada se mantiene igual, y
no es necesario detallar un tipo específico de tráfico ICMP.
R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
g. El resto del tráfico se deniega de manera predeterminada. Salga del modo de
configuración de ACL con nombre extendido.
h. Ejecute el comando show access-list y verifique que access list HTTP_ONLY
contenga las instrucciones correctas.
Extended IP access list 100
10 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
20 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
Extended IP access list HTTP_ONLY
10 permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
20 permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
Paso 2: Aplique la ACL a la interfaz correcta para filtrar el tráfico.

Desde la perspectiva de R1el tráfico al que se aplica la lista de acceso HTTP_ONLY es
entrante desde la red conectada a la interfaz Gigabit Ethernet 0/1. Ingrese al modo de
configuración de interfaz y aplique la ACL.
Nota: En una red operativa real, no es una buena práctica aplicar una lista de acceso no
probada a una interfaz activa. Debe evitarse si es posible.
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group HTTP_ONLY in
Paso 3: Verifique la implementación de la ACL.

a. Haga ping desde la PC2 al servidor. Si el ping no tiene éxito, verifique las direcciones
IP antes de continuar.
b. Desde la PC2, abra un navegador web e ingrese la dirección IP del servidor. Debe
mostrarse la página web del servidor.
c. Desde la PC2, acceda mediante FTP al Servidor. La conexión debería fallar. Si no es
así, solucione los problemas de las sentencias de lista de acceso y las configuraciones
de grupo de acceso en las interfaces.
Figura 37. Comprobación Ping
Figura 38. Comprobación Navegador Web
Figura 39. Comprobación FTP
Fin del documento
Scripts de Respuesta
Router R1
enable
configure terminal
access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
interface gigabitEthernet 0/0
ip access-group 100 in
ip access-list extended HTTP_ONLY
permit tcp 172.22.34.96 0.0.0.15
permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
interface gigabitEthernet 0/1
ip access-group HTTP_ONLY in
2.2.13 Packet Tracer - Point-to-Point Single-Area

OSPFv2 Configuration – ILM

Dispositivo Interfaz Dirección IP Máscara de subred
R1 G0/0/0 192.168.10.1 /24
R1
S0/1/0 10.1.1.1 /30
R1
S0/1/1 10.1.1.5 /30
R2 G0/0/0 192.168.20.1 /24
R2
S0/1/0 10.1.1.2 /30
R2
S0/1/1 10.1.1.9 /30
R3 G0/0/0 192.168.30.1 /24
R3
S0/1/0 10.1.1.10 /30
R3
S0/1/1 10.1.1.6 /30
PC1 NIC 192.168.10.10 /24
PC2 NIC 192.168.20.10 /24
PC3 NIC 192.168.30.10 /24
Objetivos
Parte 1: Configure los router IDs.
Parte 2: Configure las redes para el enrutamiento OSPF.
Parte 3: Configure las Interfaces Pasivas.
Parte 4: Verifique la configuración OSPF.
Aspectos básicos
En esta actividad, activará el enrutamiento OSPF mediante instrucciones de red y wildcard
mask, configurará el enrutamiento OSPF en interfaces y utilizará máscaras cuádruple cero
de instrucciones de red. Además, configurará router IDs explícitos e interfaces pasivas.
Instrucciones
Parte 1: Configure los router IDs.
a. Inicie el proceso de enrutamiento OSPF en los tres routers. Use el process ID 10.
Router(config)# router ospf process-id

b. Utilice el comando router-id para establecer los identificadores OSPF de los tres routers
de la siguiente manera
 R1: 1.1.1.1
 R2: 2.2.2.2
 R3: 3.3.3.3
Use el siguiente comando:
Router(config-router) # router-id rid
R1(config-router)# router-id 1.1.1.1


Figura 40. Configuración Router R1, R2 y R3
Se realiza la configuración OSPF y de los respectivos ID en cada uno de los routers con el fin
de establecer una identificación en cada uno de ellos

Parte 2: Configure las redes para el enrutamiento OSPF.
Paso 1: Configure las redes para el enrutamiento OSPF mediante comandos de

red y wildcard mask.
Preguntas:
¿Cuántas instrucciones se requieren para configurar OSPF para enrutar todas las redes
conectadas al router R1? Viendo la topología son 3 vemos desde el R1 que va a Lan 1
g0/0/0 luego la que la al R2 y de allí al R3
La LAN conectada al router R1 tiene una máscara /24. ¿Cuál es el equivalente de esta
máscara en la representación decimal con puntos? 255.255.255.0
Reste la máscara de subred decimal con puntos de 255.255.255.255. ¿Cuál es el
resultado? 0.0.0.255
¿Cuál es el equivalente decimal con puntos de la máscara de subred /30? 255.255.255.252
Resta la representación decimal con puntos de la máscara /30 de 255.255.255.255. ¿Cuál
es el resultado? 0.0.0.3
a. Configure el proceso de enrutamiento en R1 con las instrucciones de red y las wildcard
masks necesarias para activar el enrutamiento OSPF para todas las redes conectadas.
Los valores de instrucción de red deben ser las direcciones de red o subred de las
redes configuradas.
Router(config-router)# network network-address wildcard-mask area area-id

b. Compruebe que OSPF se ha configurado correctamente mostrando la configuración en
ejecución. Si encuentra un error, elimine la sentencia network utilizando el comando no
y vuelva a configurarla.
R1(config-router)# network 192.168.10.0 0.0.0.255 area 0
R1(config-router)#network 10.1.1.4 0.0.0.3 area 0
Figura 41. Configuración Enrutamiento
Se ejecuta comando para detectar que ip tenemos conectada y posteriormente se realiza la

configuración network correspondiente
Paso 2: Configure redes para el enrutamiento OSPF mediante direcciones IP de
interfaz y máscaras cuádruple cero.
En el router R2, configure OSPF mediante comandos de red con las direcciones IP de las
interfaces y máscaras cuádruple cero. La sintaxis del comando network es la misma que se
utilizó anteriormente.
R2(config-router) # network 10.1.1.2 0.0.0.0 area 0
R2 (config-router) # network 10.1.1.9 0.0.0.0 area 0
Figura 42. Configuración Enrutamiento R2
Se ejecuta comando para detectar que ip tenemos conectada y posteriormente se realiza la

configuración network correspondiente
Paso 3: Configurar el enrutamiento OSPF en las interfaces del router

En el router R3, configure las interfaces requeridas con OSPF.
Pregunta:
¿Qué interfaces en R3 deben configurarse con OSPF?

Escriba sus respuestas aquí.
G0/0/0, S0/1/0, S0/1/1
Configure cada interfaz usando la sintaxis de comandos que se muestra a continuación:
Router(config-if)# ip ospf process-id area area area id
R3(config # interface GigabitEthernet0/0/0

R3 (config-if) # ip ospf 10 área 0
R3(config-if) # interface Serial0/1/0
R3(config-if)# ip ospf 10 area 0
R3(config-if) # interface Serial0/1/1
R3(config-if)# ip ospf 10 area 0
Figura 43. Configuración Enrutamiento R3
Se valida la conexiones de R3 y se configuran las interfaces con OSPF, se ejecuta comando

para su comprobación
Parte 3: Configuración de interfaces pasivas

OSPF enviará su tráfico de protocolo fuera de todas las interfaces que participan en el
proceso OSPF. En los vínculos que no están configurados para otras redes, como LAN,
este tráfico innecesario consume recursos. El comando pasive-interface evitará que el
proceso OSPF envíe tráfico de protocolo de enrutamiento innecesario fuera de interfaces
LAN.
Pregunta:
¿Qué interfaces en R1, R2 y R3 son interfaces LAN? G0/0/0 en los tres routers.
Configure el proceso OSPF en cada uno de los tres routers con el comando pasive-
interface .
Router(config-router)#passive-interface interface

R1(config-router)# passive interface GigabitEthernet0/0/0

R2 (config-router) # passive interface GigabitEthernet0/0/0
R3 (config) # router ospf 10

R3 (config-router) # passive interface GigabitEthernet0/0/0
Figura 44. Configuración Interfaces Pasivas
Se establece la configuración en R1,R2 y R3 de las interfaces pasivas con el comando pasive-

interface
Parte 4: Verifique la configuración OSPF

Utilice los comandos show para verificar la configuración de la red y la interfaz pasiva del
proceso OSPF en cada router.
Figura 45. Configuración Interfaces Pasivas

Se realiza el comando de verificación y se puede comprobar la configuración de cada unos de
los routers según lo establecido en la tabla de direccionamiento
Fin del documento
Guiones de respuestas
Router R1
enable
configure terminal
router ospf 10
router-id 1.1.1.1
network 192.168.10.0 0.0.0.255 area 0
network 10.1.1.0 0.0.0.3 area 0
network 10.1.1.4 0.0.0.3 area 0
passive-interface g0/0/0
end
Router R2
enable
configure terminal
router ospf 10
router-id 2.2.2.2
network 192.168.20.1 0.0.0.0 area 0
network 10.1.1.2 0.0.0.0 area 0
network 10.1.1.9 0.0.0.0 area 0
end
Router R3
enable
configure terminal
router ospf 10
router-id 3.3.3.3
interface GigabitEthernet0/0/0
ip ospf 10 area 0
interface Serial0/1/0
ip ospf 10 area 0
interface Serial0/1/1
ip ospf 10 area 0
router ospf 10
end
2.3.11 Packet Tracer - Determine the DR and BDR – ILM

Dispositivo Interfaz Dirección IP Máscara de subred
RA G0/0 192.168.1.1 255.255.255.0

RA
Lo0 192.168.31.11 255.255.255.255
RB G0/0 192.168.1.2 255.255.255.0
RB
Lo0 192.168.31.22 255.255.255.255
RC G0/0 192.168.1.3 255.255.255.0
RC
Lo0 192.168.31.33 255.255.255.255
Objetivos
Parte 1. Examinar las funciones cambiantes del DR y el BDR
Parte 2. Modificar la prioridad OSPF y forzar las elecciones
Situación
En esta actividad, examinará las funciones del DR y el BDR, y verá el cambio de las
funciones cuando hay un cambio en la red. Luego, modificará la prioridad para controlar las
funciones y forzará una nueva elección. Por último, verificará que los routers estén
desempeñando la función deseada.
Instrucciones
Parte 1: Examinar las funciones cambiantes del DR y el BDR

Paso 1: Esperar hasta que las luces de enlace de color ámbar cambien a color
verde.
Cuando abra por primera vez el archivo en Packet Tracer, es posible que advierta que las
luces de enlace que corresponden al switch son de color ámbar. Estas luces de enlace
permanecerán en ámbar durante 50 segundos mientras que el protocolo STP en el switch
se segura que uno de los routers no sea otro switch. O bien, haga clic en Fast Forward
Time (Adelantar el tiempo) para eludir este proceso.
Paso 2: Verificar los estados actuales de los vecinos OSPF.

Use el comando correcto en cada router para examinar el DR y el BDR actuales. Si un
router muestra FULL/DROTHER significa que el router no es un DR o un BDR.
RA# show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface

192.168.31.33 2 FULL/DR 00:00:35 192.168.1.3 GigabitEthernet0/0
192.168.31.22 1 FULL/BDR 00:00:35 192.168.1.2 GigabitEthernet0/0
RB# show ip ospf neighbor

192.168.31.11 1 FULL/DROTHER 00:00:36 192.168.1.1 GigabiteThernet0/0
RC# show ip ospf neighbor

192.168.31.11 1 FULL/DROTHER 00:00:39 192.168.1.1 GigabitEthernet0/0
192.168.31.22 1 FULL/BDR 00:00:38 192.168.1.2 GigabitEthernet0/0
Figura 46. Comando Show Ip Ospf Neighbor
Preguntas:
¿Qué router es el DR? RC

¿Qué router es el BDR? RB
¿Cuál es el estado OSPF del router RA? DROTHER
Escriba
Paso 3: Activar la depuración de adyacencias OSPF IP.

Se puede controlar el proceso de elección del DR y el BDR con un comando debug. En el
RA y el RB, ingrese el siguiente comando.
RA# debug ip ospf adj
RB# debug ip ospf adj
Figura 47. Comando Debug Ip Ospf Adj

Se realiza el comando debug ip ospf adj y se evidencia como se activa en RA y RB
Paso 4: Deshabilitar la interfaz Gigabit Ethernet 0/0 en el RC.

a. Utilice el comando shutdown para desactivar el enlace entre RC y el switch para que
cambien los roles.
b. Espere unos 30 segundos para que los temporizadores de tiempo muerto caduquen en
el RA y el RB.
Pregunta:
De acuerdo con los resultados del comando debug, ¿cuál router se eligió como DR y
cuál como BDR? El RB ahora es el DR, y el RA ahora es el BDR.
Figura 48. Deshabilitar la interfaz Gigabit
Se ejecuta el comando shutdown en RC generando que el nuevo DR sea 192.168.31.22 y el

BRD sea 192.168.31.11
Paso 5: Restaurar la interfaz Gigabit Ethernet 0/0 en el RC.

a. Vuelva a habilitar el enlace entre el RC y el switch.
b. Espere hasta que se produzcan las nuevas elecciones de DR/BDR.
Pregunta:
¿Cambiaron las funciones del DR y el BDR? Explique.

No, porque OSPF no actualiza el DR/BDR cuando los existentes están activos.
c. Verifique las asignaciones DR y BDR utilizando el comando show ip ospf neighbor en
el router RC .
RC# show ip ospf neighbor

192.168.31.11 1 FULL/BDR 00:00:34 192.168.1.1 GigabiteThernet0/0
Nota: si el comando show ip ospf neighbor no devuelve RB como DR y RA como

BDR, desactive la depuración en RA y RB con el comando undebug all vuelva a
intentar los pasos 4 y 5.
Figura 49. Restaurar la interfaz Gigabit
Antes de habilitar la interface de RC se deshabilita la interfaz de RB y RA y se realiza a través

del comando undebug all, una vez realizada la gestión en RC se aplica el comando shutdown
Paso 6: Deshabilite la interfaz GigabitEthernet 0/0 en RB.

a. Deshabilite el enlace entre el RB y el switch para que cambien las funciones.
b. Espere unos 30 segundos para que los temporizadores de tiempo de espera caduquen
en el RA y el RC.
Pregunta:
De acuerdo con los resultados del comando debug ejecutado en el RA, ¿cuál router se
eligió como DR y cuál como BDR? RC ahora es el BDR y RA es el DR. RA era el BDR,
cuando el DR falló (RB) se convirtió en el DR.
Figura 50. Deshabilitación de la interfaz
Se deshabilita RB a través del comando shutdown y se valida en RA como quedo DR y BDR
Paso 7: Restaure la interfaz GigabitEthernet0/0 en RB.

a. Vuelva a habilitar el enlace entre el RB y el switch.
Pregunta:
Espere hasta que se produzcan las nuevas elecciones de DR/BDR. ¿Cambiaron las
funciones del DR y el BDR? Explique. No se produjo ningún cambio en las funciones
debido a que tanto el DR como el BDR actuales permanecen activos. Un router con un
ID de router superior que se conecte a la red no tomará el papel de BDR a menos que
el BDR actual falle.
b. Use el comando show ip ospf interface en el router RC.

Pregunta:
¿Cuál es el estado del router RC ahora? BDR

Figura 51. Comando show ip ospf interface

Paso 8: Desactivar la depuración.
Introduzca el comando undebug all en el RA y el RB para deshabilitar la depuración.
Figura 52. Comando Undebug All
Parte 2: Modificar la prioridad OSPF y forzar las elecciones

Paso 1: Configurar las prioridades OSPF en cada router.
a. Para cambiar el DR y el BDR, use el comando ip ospf priority para configurar el
puerto GigabitEthernet 0/0 de cada router con las siguientes prioridades de interfaz
OSPF:
 RA: 200
 RB: 100
 RC: 1 (This is the default priority)
RA(config)# interface g0/0

RA(config-if)# ip ospf priority 200
b. Establezca la prioridad en el router RB y RC .
RB(config)# interface g0/0
RB(config-if)# ip ospf priority 100
RC (config) # interface g0/0

RC(config-if)# ip ospf priority 1
Paso 2: Fuerza una elección restableciendo el proceso OSPF en los routers.

Comenzando con RA del router, ejecute el proceso clear ip ospf en cada router para
restablecer el proceso OSPF.
Paso 3: Verifique si las elecciones del DR y el BDR se realizaron correctamente.

Espere el tiempo suficiente para que OSPF converja y para que se produzca la elección de
DR/BDR. Esto puede tomar unos minutos. Haga clic en Fast Forward Time (Adelantar el
tiempo) para acelerar el proceso.
Pregunta:
Segun el resultado del comando show ip ospf neighbor en los routers, ¿cual router ahora
es DR y cual router ahora es BDR? El RA ahora es el DR, y el RB ahora es el BDR.
Nota: Si los routers no eligen el DR y el BDR correctos después de establecer las

prioridades OSPF, intente reiniciar Packet Tracer.
Fin del documento
Figura 53. Verificación de elecciones
5.1.8 Packet Tracer - Configure Numbered Standard

IPv4 ACLs - ILM
Dispositivo Interfaz Dirección IP subred predeterminado
R1 G0/0 192.168.10.1 255.255.255.0 N/D

N/D
R1
G0/1 192.168.11.1 255.255.255.0
N/D
R1
S0/0/0 10.1.1.1 255.255.255.252
N/D
R1
S0/0/1 10.3.3.1 255.255.255.252
R2 G0/0 192.168.20.1 255.255.255.0 N/D
N/D
R2
S0/0/0 10.1.1.2 255.255.255.252
N/D
R2
S0/0/1 10.2.2.1 255.255.255.252
R3 G0/0 192.168.30.1 255.255.255.0 N/D
N/D
R3
S0/0/0 10.3.3.2 255.255.255.252
R3
S0/0/1 10.2.2.2 255.255.255.252 N/D
PC1 NIC 192.168.10.10 255.255.255.0 192.168.10.1

PC2 NIC 192.168.11.10 255.255.255.0 192.168.11.1
PC3 NIC 192.168.30.10 255.255.255.0 192.168.30.1
Servidor Web NIC 192.168.20.254 255.255.255.0 192.168.20.1
Objetivos
Parte 1: planificar una implementación de ACL
Parte 2: configurar, aplicar y verificar una ACL estándar
Aspectos básicos/situación
Las listas de control de acceso (ACL) estándar son scripts de configuración del router que
controlan si un router permite o deniega paquetes según la dirección de origen. Esta
actividad se concentra en definir criterios de filtrado, configurar ACL estándar, aplicar ACL
a interfaces de router y verificar y evaluar la implementación de la ACL. Los routers ya
están configurados, incluidas las direcciones IP y el enrutamiento del Protocolo de
Enrutamiento de la Puerta de Enlace Interior Mejorado (EIGRP).
Instrucciones
Parte 1: Planifique una implementación de ACL

Paso 1: Investigue la configuración actual de red.
Antes de aplicar cualquier ACL a una red, es importante confirmar que tenga conectividad
completa. Elija una computadora y haga ping a otros dispositivos en la red para verificar
que la red tenga plena conectividad. Debería poder hacer ping correctamente a todos los
dispositivos.
Se realiza una prueba de conectividad y se realiza las validaciones desde PC 1 a través de

ping
Paso 2: Evalúe dos políticas de red y planificar las implementaciones de ACL.

a. Las siguientes políticas de red se implementan en R2
 La red 192.168.11.0/24 no tiene permiso para acceder al servidor web en la
red 192.168.20.0/24.
 Se permite el resto de los tipos de acceso.
Para restringir el acceso de la red 192.168.11.0/24 al servidor web en 192.168.20.254
sin interferir con otro tráfico, se debe crear una ACL en el R2. La lista de acceso se
debe colocar en la interfaz de salida hacia el servidor web. Se debe crear una
segunda regla en el R2 para permitir el resto del tráfico.
b. Las siguientes políticas de red se implementan en R3:
 La red 192.168.10.0/24 no tiene permiso para comunicarse con la red
192.168.30.0/24.
 Se permite el resto de los tipos de acceso.
Para restringir el acceso de la red 192.168.10.0/24 a la red 192.168.30/24 sin interferir
con otro tráfico, se debe crear una lista de acceso en el R3. La ACL se debe colocar en
la interfaz de salida hacia la PC3. Se debe crear una segunda regla en el R3 para
permitir el resto del tráfico.
Figura 55. Aplicación De Políticas
Parte 2: Configure, aplique y verifique una ACL estándar

Paso 1: Configure y aplique una ACL estándar numerada en el R2.
a. Cree una ACL con el número 1 en R2 con una instrucción que deniegue el acceso a la
red 192.168.20.0/24 desde la red 192.168.11.0/24.
R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255
b. De manera predeterminada, las listas de acceso deniegan todo el tráfico que no
coincide con ninguna regla. Para permitir el resto del tráfico, configure la siguiente
instrucción:
R2(config)# access-list 1 permit any
c. Antes de aplicar una lista de acceso a una interfaz para filtrar el tráfico, se recomienda
revisar el contenido de la lista de acceso para verificar que filtrará el tráfico como se
esperaba.
10 deny 192.168.11.0 0.0.0.255
20 permit any
d. Para que la ACL realmente filtre el tráfico, se debe aplicar a alguna operación del
router. Aplique la ACL colocándola para el tráfico saliente en la interfaz GigabitEthernet
0/0. Nota: En una red operativa real, no es una buena práctica aplicar una lista de
acceso no probada a una interfaz activa.
R2(config)# interface GigabitEthernet0/0
Paso 2: Configure y aplique una ACL estándar numerada en el R3.

a. Cree una ACL con el número 1 en R3 con una instrucción que deniegue el acceso a la
red 192.168.30.0/24 desde la red de la PC1 (192.168.10.0/24).
R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255
b. De manera predeterminada, las ACL deniegan todo el tráfico que no coincide con
ninguna regla. Para permitir el resto del tráfico, cree una segunda regla para la ACL 1.
R3(config)# access-list 1 permit any
c. Compruebe que la lista de acceso está configurada correctamente.
10 deny 192.168.10.0 0.0.0.255
20 permit any
d. Aplique la ACL colocándola para el tráfico saliente en la interfaz GigabitEthernet 0/0.
R3(config)# interface GigabitEthernet0/0
Paso 3: Verifique la configuración y la funcionalidad de la ACL.

a. Introduzca el comando show run o show ip interface gigabitethernet 0/0 para
verificar la colocación de las ACL.
Figura 54. Comando Show Run
b. Una vez colocadas las dos ACL, el tráfico de la red se restringe según las políticas
detalladas en la Parte 1. Utilice las siguientes pruebas para verificar las
implementaciones de ACL:
 Un ping de 192.168.10.10 a 192.168.11.10 se realiza correctamente.
 Un ping de 192.168.11.10 a 192.168.20.254 falla.
 Un ping de 192.168.10.10 a 192.168.30.10 falla.
c. Ejecute de nuevo el comando show access-lists en los routers R2 y R3. Debería ver
un resultado que indica el número de paquetes que han coincidido con cada línea de la
lista de acceso. Nota: El número de coincidencias mostradas para sus routers puede
ser diferente, debido al número de pings que se envían y reciben.
10 deny 192.168.11.0 0.0.0.255 (4 match(es))
20 permit any (8 match(es))

10 deny 192.168.10.0 0.0.0.255 (4 match(es))
20 permit any (8 match(es))
Cierre la ventana de configuración
Fin del documento
Scripts de Configuraciones
Router R2
enable
configure terminal
interface GigabitEthernet0/0
access-list 1 deny 192.168.11.0 0.0.0.255
access-list 1 permit any
end
Router R3
enable
configure terminal
interface GigabitEthernet0/0
access-list 1 deny 192.168.10.0 0.0.0.255
access-list 1 permit any
end
CONCLUSIONES
Las actividades son ejemplos de cómo se puede usar Cisco Packet Tracer para
aprender sobre redes y configuración de routers. Packet Tracer es una
herramienta valiosa para estudiantes, profesionales de redes y cualquier
persona que quiera aprender más sobre cómo funcionan las redes.
BIBLIOGRAFÍA
Cisco. (2020). Conceptos de OSPF v2 de área única. Redes empresariales,

Seguridad y Automatización. https://contenthub.netacad.com/ensa/1.0.1
Cisco. (2020). Configuración de OSPFv2 de área única. Redes empresariales,
Cisco. (2020). Conceptos de seguridad en redes. Redes empresariales,
Cisco. (2020). Conceptos de ACL. Redes empresariales, Seguridad y
Automatización. https://contenthub.netacad.com/ensa/4.0.1
Cisco. (2020). Configuración de ACL para IPv4. Redes empresariales,
Cisco. (2020). NAT para IPv4. Redes empresariales, Seguridad y
Automatización. https://contenthub.netacad.com/ensa/6.0.1

Grupo39 ABE2

Cargado por

Copyright:

Formatos disponibles

Grupo39 ABE2

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Grupo39 ABE2

Cargado por

Copyright:

Formatos disponibles

GUÍA ÚNICA PARA EL DESARROLLO DEL COMPONENTE PRÁCTICO DEL

UNIDAD 1 - PASO 3 - COMPONENTE PRÁCTICO

Edwin Jose Basto Maldonado

Angela Riveros Manrique

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

Link de acceso a los archivos

R1 G0/0 172.16.1.1 255.255.255.0 N/D

R2 G0/0 172.16.2.1 255.255.255.0 N/D

R3 G0/0 192.168.1.1 255.255.255.0 N/D

PC1 NIC 172.16.1.2 255.255.255.0 172.16.1.1

Parte 1: Modificar la configuración predeterminada de OSPF

Se realiza la validación a través de ping para el PC 1, PC2 y el Web Server

Paso 2: Ajustar los temporizadores de saludo y tiempo muerto entre el R1 y el

R1(config)# interface s0/0/0

00:02:40: %OSPF-5-ADJCHG: Process 1, Nbr 209.165.200.225 on Serial0/0/0 from FULL to

Figura 2. Configuración saludo y tiempo muerto entre el R1 y el R2

Una vez realizada la configuración se puede evidenciar el mensaje de estado que

Paso 3: Ajustar la configuración del ancho de banda en el R1.

Tracing route to 64.100.1.2 over a maximum of 30 hops:

Se realiza el comando de seguimiento en donde se realiza tracert al este servidor y

b. En la interfaz serial 0/0/0 de R1, establezca el ancho de banda en 64Kb/s. Esto no

Figura 4. R1(config-if)# bandwidth 64

Tracing route to 64.100.1.2 over a maximum of 30 hops:

Figura 5. Tracert 64.100.1.2

Se puede observar los detalles empezando con la pueta de enlace predeterminada

Parte 2: Verificar la conectividad

2.5.3 Packet Tracer - Propagate a Default Route in OSPFv2 - ILM

Tabla de asignación de direcciones

R1 G0/0 172.16.1.1 255.255.255.0 N/D

R2 G0/0 172.16.2.1 255.255.255.0 N/D

R3 G0/0 192.168.1.1 255.255.255.0 N/D

PC1 NIC 172.16.1.2 255.255.255.0 172.16.1.1

Parte 1: Propagar una ruta predeterminada

Figura 7. Comprobación de conectividad

¿Alguno de los pings tuvo éxito? No.

Figura 8. Tablas de enrutamiento en los routers R1, R2 y R3

Paso 2: Configurar una ruta predeterminada en el R2.

Paso 3: Propagar la ruta en OSPF.

La configuración que está en R2 propaga la ruta predeterminada a R1 y a R3 usando

Paso 4: Examinar las tablas de enrutamiento del R1 y el R3.

Se puede observar que la ruta predeterminada se aprende usando OSPF

Parte 2: Verificar la conectividad

5.2.7 Packet Tracer - Configure and Modify Standard

Tabla de asignación de direcciones

R1 G0/0/0 192.168.10.1 255.255.255.0 N/D

empresarial S0/1/0 10.1.1.2 255.255.255.252 N/D

R3 G0/0/0 192.168.30.1 255.255.255.0 N/D

S1 VLAN 1 192.168.10.11 255.255.255.0 192.168.10.1

Parte 1: Verificar la conectividad

Desde PC-A, ping PC-C y PC-D. ¿Tus ping fueron exitosos? Sí

Figura 12. Prueba de ping de PC-A a PC-C y PC-D

Desde R1, ping PC-C y PC-D. ¿Tus ping fueron exitosos? Sí

Figura 13. Prueba de ping de R1 a PC-C y PC-D

Se puede observar que existe comunicación entre R1 a PC-C y PC-D y comprobándolo a

Desde PC-C, ping PC-A y PC-B. ¿Tus ping fueron exitosos? Sí

Figura 14. Prueba de ping de PC-C a PC-A y PC-B

Se puede observar que existe comunicación entre PC a PC-A y PC-B y comprobándolo a

Desde R3, ping PC-A y PC-B. ¿Tus ping fueron exitosos? Sí