Comandos Ccna

ARRANQUE EN EQUIPOS REALES
Cuando el equipo está configurado previamente y con contraseñas que no se conocen

SWITCH
Desconecte el switch, y luego de volver a conectar,
Ingresa al modo Boot Loader
presionar el botón mode por 20 segundos
switch: flash_init Ingresa a la memoria Flash
switch: rename flash: config.text flash: config2 Cambia el nombre de la configuración
switch: boot Reiniciar el equipo
Al finalizar el reinicio, borrar el nuevo archivo de configuración creado como config2, con lo siguiente:
SW# show flash Visualizar la memoria flash y su contenido
SW# delete config2 Borra el archivo de configuración creado
ROUTER
Desconecte el router y vuelva a conectarlo, y presione Alt+b
Ingresa al modo ROMMON
durante el reinicio
rommon 1 > confreg 0×2142 Cambia los parámetros de configuración
rommon 2 > boot Reinicia el router
Al finalizar el reinicio, ingresar normalmente al modo privilegiado con el comando enable
Carga la configuración de inicio en la configuración de
Router# copy startup-config running-config ejecución, asegurando que la configuración de inicio
original permanezca intacta.
Router(config)# enable secret cisco123 Restablece una contraseña de enable encriptada
Devuelve el registro de configuración a su valor
Router(config)# config-register 0x2102
original, asegurando que el router cargue la
Router(config)# exit
configuración de inicio durante la recarga siguiente
Router# copy running-config startup-config Guarda la configuración, con la nueva contraseña
Router# reload Reinicia el router
COMANDOS INICIALES
Deshabilita la traducción de nombre a dirección o DNS
(config)# no ip domain-lookup
loopback.
(config)# line con 0 Evita que los mensajes inesperados del equipo
(config-line)# logging synchronous interfieran en el editor de comandos
CONFIGURACIÓN PRINCIPAL
(config)# hostname R1 Cambia el nombre del equipo
(config)# banner motd $ No ingrese sin autorización $

O Coloca un mensaje al inicio, cundo se accede al
# equipo (mensaje de advertencia). motd: mensaje del
********************* día. Siempre tiene que iniciar y finalizar con un
No ingrese sin autorización símbolo
*********************
#
Configura la contraseña para el ingreso a EXEC
(config)# enable secret cisco
privilegiado. Tiene encriptación MD5
1
(config)# line con 0
(config-line)# password ccna
(config-line)# login
(config-line)# line aux 0 Solo para Router,
(config-line)# password ccna porque Switch no Configuración de contraseña para cada línea. La
tiene auxiliar contraseña tiene una encriptación débil, password 7.
login: activa la contraseña. Comando necesario.
(config-line)# line vty 0 15
(config-line)# password ccna
(config-line)# exit
(config)# service password-encryption Encripta las contraseñas de texto plano
CONFIGURACIÓN DE INTERFACES - IPv4

ROUTER
R(config)# interface g0/0
R(config-if)# description GW DE LAN-1 Configuración de una interfaz cualquiera, con
R(config-if)# ip add 192.168.10.1 255.255.255.0 descripción de la interfaz configurada
R(config-if)# no shut
R(config)# interface s0/0/0
R(config-if)# description SERIAL R1->R2 Configuración de una interfaz serial que es DCE y
R(config-if)# ip add 192.168.10.10 255.255.255.0 necesita configuración del clock rate. El clock rate
R(config-if)# clock rate 128000 generalmente tiene que estar en 128000
SWITCH
SW(config)# interface vlan 1
SW(config-if)# description SVI DE SW Configuración de la SVI.
SW(config-if)# ip add 192.168.10.2 255.255.255.0
SW(config-if)# no shut Configuración de la vlan de administración, por defecto
SW(config-if)# exit vlan 1. El Gateway es necesario configurar.
SW(config)# ip default-gateway 192.168.10.1
# show ip interface brief Muestra estado de las interfaces con direccionamiento
# show ip interface g0/0 Muestra estado de la interfaz con su direccionamiento
# show controller s0/0/0 Muestra el estado de la serial, y si es DCE o DTE
CONFIGURACIÓN IPv6
R(config-if)# description GW DE LAN-1
R(config-if)# ipv6 add 3000:123:ABC:100::1/64
Configuración de una interfaz del router con IPv6
R(config-if)# ipv6 add fe80::1 link-local
R(config-if)# exit
R(config)# ipv6 unicast-routing Convierte el router en router IPv6
# show ipv6 interface brief Muestra estado de las interfaces con direccionamiento
# show ipv6 interface g0/0 Muestra estado de la interfaz con su direccionamiento
GUARDAR Y RESPALDAR
# wr
Guardar, de cualquiera de las dos formas.
# copy running-config startup-config
2
startup-config
# copy o tftp Respaldo de la configuración en el servidor tftp.
running-config Se ingresa la dirección IP del servidor, y el nombre con
el que se va a guardar. El nombre por defecto está
Address or name of remote host [ ]? 192.168.0.10 entre corchetes.
Destination filename [R1-confg]? Andrea-startup
# copy tftp Respaldo de la información que está en el servidor tftp,

en una memoria del equipo.
Address or name of remote host [ ]? 192.168.0.10 Se ingresa la dir. IP del servidor, el nombre del archivo
Source filename [ ]? Andrea-startup guardado en el servidor, y el nombre con el que se va
Destination filename [ ]? Andrea-respaldo a guardar en el equipo.
BORRAR CONFIGURACIÓN
# erase startup-config
# delete vlan.dat Borrar la configuración del SWITCH en equipos reales.
# reload
# erase startup-config
Borrar la configuración del ROUTER en equipos reales.
# reload
SWITCH CAPA 3
SW(config)# ip routing Convierte el switch en capa 3(permite enrutamiento)
SW(config)# interface f0/10
Convierte el puerto en enrutado
SW(config-if)# no switchport
SW(config-if)# description GW DE LAN-1
Configura el puerto del switch como si fuera el gateway
SW(config-if)# ip add 192.168.10.1 255.255.255.0
de un router
SW(config-if)# no shutdown
SEGURIDAD BÁSICA
(config)# service password-encryption Encripta las contraseñas de texto plano
(config)# security password min-length 8 Limita la longitud mínima de ingreso de contraseña

Bloqueo de acceso por un determinado tiempo, luego
de una cantidad de intentos para ingresar durante un
(config)# login block-for 120 attempts 3 within 60
tiempo específico. Ej: bloqueo de acceso por 120
segundos, luego de 3 intentos dentro de 60 segundos.
Establece un tiempo máximo de inactividad cuando
(config)# line vty 0 15
está dentro del equipo. Ej: 2 min 30 segundos de
(config-line)# exec-timeout 2 30
inactividad
SSH
(config)# hostname R1
Configurar el nombre del equipo, la contraseña y el
(config)# enable secret cisco
nombre del dominio.
(config)# ip domain-name cisco.com
(config)# crypto key generate rsa Crea una llave RSA. Generalmente debe ser de
How many bits in the modulus [512]: 1024 tamaño 1024 o 2048
(config)# ip ssh version 2 Cambia la versión de SSH a la 2

Configura el tiempo de espera en segundos para
(config)# ip ssh time-out 30
validar el usuario
(config)# ip ssh authentication-retries 3 Configura el máximo de intentos para validar el usuario
secret
Crea una base de usuarios local
(config)# usename cisco o CCNA1234
Generalmente se usa secret
password
3
(config)# line vty 0 15
Configura las líneas vty para que usen ssh y no telnet.
(config-line)# transport input ssh
Inicia sesión local, para relacionar las líneas vty con la
(config-line)# login local
base de usuarios local
# show ip ssh Muestra la versión y configuración de SSH
# show ssh Muestra los equipos conectados
ssh –l [username] [dir. IP] Para ingresar al equipo por SSH desde el cmd.
VLANs
Para que exista comunicación es necesario que en todos los switch estén cradas las vlans.
SW(config)# vlan 10 Crea una vlan
SW(config-vlan)# name GERENCIA
Da un nombre a la vlan
SW(config-vlan)# exit
f0/1-10
SW(config)# int range o Ingresa a un rango de interfaces o puertos
f0/1-10, g0/1-2
SW(config-if-range)# switchport mode access Configura como modo de acceso los puertos
SW(config-if-range)# switchport access vlan 20 Asigna el rango de interfaces a una vlan
SW(config)# int range f0/1-10
Eliminar una vlan.
SW(config-if-range)# no switchport access vlan 20
Es necesario primero quitar las interfaces asignadas
SW(config-if-range)# exit
a la vlan, y luego eliminarla.
SW(config)# no vlan 20
# show vlan brief Muestra todas las vlans
# show vlan summary Muestra cuantas vlans han sido creadas
ENLACE TRUNCAL
Configura un enlace como truncal
SW(config-if-range)# switchport mode trunk
Crea una vlan nativa. El comando con nonegotiate es
SW(config-if-range)# switchport trunk native vlan 99
necesario poner para que no se caiga el enlace entre
SW(config-if-range)# switchport nonegotiate
varios switch
SW(config-if-range)# switchport trunk allowed vlan 10,20 Limita el paso de las vlans por el enlace truncal
SW(config-if-range)# switchport mode dynamic desirable Usar DTP (negociación) para iniciar un enlace troncal.
# show interface trunk Muestra los enlaces troncales
# show interface f0/1 switchport Muestra si la interfaz es de acceso o troncal
SEGURIDAD DE PUERTOS
Activa la seguridad de puertos en el rango de
SW(config-if-range)# switchport mode access
interfaces
SW(config-if-range)# switchport port-security
SW(config-if-range)# switchport port-security max 5 Limita el número de dir. MAC que acceden al puerto
Activa el tipo de violación:
- Protect: bloquea el puerto sin avisar sobre la violación
- Restrict: bloquea el puerto y avisa sobre la violación,
SW(config-if-range)# switchport port-security violation restrict
contabilizando las veces que hubo violación
- Shutdown: deshabilita el puerto y avisa sobre la
violación. Esta es la violación por defecto.
(config-if-range)# switchport port-security mac-address sticky Almacena las MAC en el running-config
(config-if-range)# switchport port-security mac-address Agregar de forma estática y manual una MAC a una
xxxx.xxxx.xxxx interfaz.
4
# show port-security Verifica que esté con seguridad de puertos
Verifica si la interfaz tiene seguridad de puertos, y si
# show port-security int f0/5
ha sido bloqueada por alguna violación
# show port-security address Muestra las direcciones MAC seguras
ESTADO DE PUERTOS (INTERFACES)
(config)# int f0/1
Activa o habilita un puerto
(config-if)# no shutdown
(config)# int f0/1
Desactiva o deshabilita un puerto
(config-if)# shutdown
(config)# int f0/1
Habilita un puerto después de haberlo bloqueado por
(config-if)# shutdown
una violación, o desactivado por algún error.
(config-if)# no shutdown
# show interface f0/1 status Muestra estado de interfaz (si se deshabilita por error)
# show interfaces Muestra estado de las interfaces y la dirección MAC
DESHABILITAR CDP
CDP es un protocolo exclusivo de Cisco utilizado para detectar otros dispositivos de Cisco conectados directamente
# no cdp run
Desactiva CDP, cualquiera de los 2 comandos.
# no cdp neighbors
R(config)# int range f0/3-10
Deshabilitar CDP en puertos deseados
R(config-if-range)# no cdp enable
# show cdp neighbors Muestra información de equipos CISCO conectados
NTP
Protocolo que se utiliza para sincronizar los relojes de las redes de datos de los sistemas de computación.
Configura NTP en el servidor con un número de capa,
R1(config)# ntp master 1 que es el que indica a cuántos saltos NTP se
encuentra un origen de hora autoritativo
R2(config)# ntp server 10.1.1.1 Configura NTP en el cliente y con la dir. IP del servidor
R2(config)# ntp server 10.1.1.1 key 15 Configura NTP en el cliente con un valor de llave
Muestra si NTP está funcionando y si se comunica
# show ntp associations
correctamente
# show ntp status Muestra información de NTP
DHCP SNOOPING
Permite determinar cuáles son los puertos de switch que pueden responder a solicitudes de DHCP (Puertos confiables)
SW(config)# ip dhcp snooping Activa DHCP Snooping
SW(config)# ip dhcp snooping vlan 10,20 Limita las vlans a implementar DHCP Snooping
SW(config)# int f0/1 Configura los puertos confiables donde están
SW(config-if)# ip dhcp snooping trust localizados los servidores DHCP reales
SW(config-if)# int f0/2 Configura puertos no confiables limitando el número
SW(config-if)# ip dhcp snooping limit rate 5 de peticiones DHCP
RUTA PREDETERMINADA
R(config)# ip route 0.0.0.0 0.0.0.0 10.10.1.1 Configura la ruta predeterminada. Al final va la
IPv4
dir. IP del siguiente salto, o la interfaz de salida.
R(config)# ip route 0.0.0.0 0.0.0.0 s0/0/0
R(config)# ipv6 route : :/0 2000:ABC:123:100::1/64 Configura la ruta IPv6 predeterminada. Al final
va la dir. IPv6 del siguiente salto, o la interfaz IPv6
R(config)# ipv6 route : :/0 s0/0/0 de salida.
5
RUTA ESTÁTICA
10.10.1.1 Configura la ruta de forma manual: dir. IP de la

R(config)# ip route 192.168.10.0 255.255.255.0 o red de destino y su máscara, y al final la dir. IP IPv4
s0/0/0 del siguiente salto, o la interfaz de salida
FC00::2 Configura ruta IPv6 de forma manual: dir. IPv6

R(config)# ipv6 route 2001:AB:ABC:10::/64 o de red de destino y su máscara, y al final dir. IP IPv6
s0/0/0 del siguiente salto, o la interfaz de salida
FLOTANTE
R(config)# ip route 192.168.10.0 255.255.255.0 10.10.1.1 10

Configura la ruta estática con una Distancia
IPv4
Administrativa.
R(config)# ip route 192.168.10.0 255.255.255.0 s0/0/0 10
R(config)# ipv6 route 2001:AB:ABC:10::/64 FC00::2 2

Configura la ruta IPv6 estática con una
IPv6
Distancia Administrativa.
R(config)# ipv6 route 2001:AB:ABC:10::/64 s0/0/0 2
COMPLETAMENTE ESPECIFICADA
R(config)# ip route 192.168.10.0 255.255.255.0 s0/0/0 Configura la ruta estática finalizando con la
IPv4
10.10.1.1 interfaz de salida y la dir IP del siguiente salto
Configura la ruta IPv6 estática finalizando con

R(config)# ipv6 route 2001:AB:ABC:10::/64 s0/0/0
la interfaz de salida y la dir IPv6 del siguiente IPv6
FC00::2
salto
ROUTER-ON-A-STICK
SWITCH
SW(config)# vlan 10
SW(config-vlan)# vlan 30
SW(config-vlan)# exit Creación de vlans en el switch
SW(config)# interface f0/5
SW(config-if)# switchport mode trunk
SW(config-if)# switchport trunk native vlan 90

Crea vlan nativa (no siempre necesario)
SW(config-if)# switchport nonegotiate
ROUTER
R(config)# interface g0/0.10
Enrutamiento entre VLANs:
R(config-subif)# encapsulation dot1Q 10 En la interfaz conectada, se crea subinterfaces según
R(config-subif)# ip add 172.17.10.1 255.255.255.0 las vlans ya creadas en el switch. Es necesario activar
R(config-subif)# interface g0/0.30 el protocolo dot1Q para las vlans con el comando
R(config-subif)# encapsulation dot1Q 30 encapsulation dot1Q [#vlan]. La subinterfaz y el
R(config-subif)# ip add 172.17.30.1 255.255.255.0 protocolo dot1Q deben tener el mismo número de vlan.
R(config-subif)# interface g0/0.90

R(config-subif)# encapsulation dot1Q 90 native Cuando se tiene creada una vlan nativa en el switch,
R(config-subif)# ip add 172.17.90.1 255.255.255.0 se coloca native a lado del número de vlan,
R(config-subif)# exit

Se debe activar la interfaz
R(config-if)# no shutdown
6
HTTP, HTTPS, CCP Y SDM
R(config)# ip http server Habilita servicio HTTP (puerto 80 de TCP)
R(config)# ip http secure-server Habilita servicio HTTPS (puerto 443 de TCP)
R(config)# username admin privilege 15 secret Crea usuario con privilegio en nivel de modo
adminpass1 privilegiado, y contraseña protegida MD5
RIP
RIPv2
R(config)# router rip Ingresa a la configuración RIP
R(config-router)# version 2 Cambia a la versión 2
R(config-router)# network 172.30.0.0
Declara las redes directamente conectada.
R(config-router)# network 10.0.0.0
R(config-router)# passive-interface g0/1 Evita actualizaciones RIP enviadas por esa interfaz
R(config-router)# no auto-summary Desactiva la sumarización automática
R(config-router)# default-information originate Redistribuye las rutas por defecto
# debug ip rip Examina actualizaciones RIP, mediante mensajes
# show ip protocols Para verificar si el protocolo fue configurado
RIPng
R(config)# ipv6 router rip Test1
R(config-if)# ipv6 rip Test1 enable
Configuración de RIPng (RIP en IPv6)
R(config-if)# interface s0/0/0
R(config-if)# ipv6 rip Test1 enable
R(config-if)# exit
R(config)# int s0/0/0 Redistribución de una ruta por defecto dentro de la
R(config-if)# ipv6 rip Test1 default-information originate interfaz.
# show ipv6 protocols Para verificar si el protocolo fue configurado
# show ipv6 rip Test1 Para verificar si el proceso RIP fue configurado.
OSPF
OSPFv2
Ingresa a la configuración OSPF.
R(config)# router ospf 1 El número de sistema autónomo puede o no ser el
mismo para todos los routers
Configura el ID del router, diferente para cada router. El
R(config-router)# router-id 11.11.11.11
ID más alto, es el que tiene mayor prioridad
R(config-router)# network 192.168.10.0 0.0.0.3 area 0 Declara las redes directamente conectadas con su
R(config-router)# network 192.168.20.0 0.0.0.3 area 0 correspondiente wildcard, y el área que se encuentran
R(config-router)# passive-interface g0/0.10 Evita que actualizaciones OSPF se envíen por esas
R(config-router)# passive-interface g0/0.20 interfaces; es decir pone las interfaces como pasivas.
Redistribuye la ruta por defecto. Para dar a conocer a

R(config-router)# default-information originate
los otros routers que tiene la ruta predeterminada.
Modificar la fórmula de cálculo de Costos. Para

cuando se usen interfaces de mayor ancho de banda
R(config-router)# auto-cost reference-bandwidth 10000
que 100Mbps. Si se cambia en un router, se debe
cambiar en todos los demás routers
7
R(config)# router ospf 1
R(config-router)# router-id 2.2.2.2 Configurar el ID del router OSPF.
Reload or use "clear ip ospf process" command, for this to Si el router ya tiene un ID y se quiere cambiar de ID, va
take effect a pedir reiniciar el proceso OSPF con el comando "clear
R(config-router)# end ip ospf process"
R# clear ip ospf process
R(config)# interface s0/0/0 Modifica el valor del ancho de banda, y por ende
R(config-if)# bandwidth 128 cambia el costo de la interfaz OSPF.
R(config)# int s0/0/1

Cambia el costo a un valor específico.
R(config-if)# ip ospf cost 1565
# show ip ospf Verifica el proceso OSPF
# show ip ospf neighbor Muestra los vecinos OSPF, cuando ya hay adyacencia
# show ip ospf interface Muestra información sobre las interfaces con OSPF
Muestra detalles de OSPF dentro de la interfaz, como
# show ip ospf interface g0/0
por ejemplo los timers.
# show ip route ospf Muestra la tabla de enrutamiento de OSPF
OSPFv3 (OSPF IPv6)
Convierte el router en router IPv6. Primordial para
R(config)# ipv6 unicast-routing
poder realizar OSPFv3.
Ingresa a la configuración OSPF.
R(config)# ipv6 router ospf 1
El número de sistema autónomo puede ser el mismo.
Configura el ID del router en formato IPv4. Este ID es
R(config-router)# router-id 1.1.1.1
diferente para cada router.
R(config-router)# passive-interface g0/0.10 Evita que actualizaciones OSPFv3 se envíen por esas
R(config-router)# passive-interface g0/0.20 interfaces; es decir pone las interfaces como pasivas.
Modificar la fórmula de cálculo de Costos. Para

R(config-router)# auto-cost reference-bandwidth 10000
cuando se usen interfaces de mayor ancho de banda
R(config-router)# exit
que 100Mbps. Se debe cambiar en todos los routers
R(config)# interface g0/0.10
R(config-subif)# ipv6 ospf 1 area 0
Habilitar las interfaces para OSPFv3
R(config.subif)# interface g0/0.10
R(config-subif)# ipv6 ospf 1 area 0

Poner todas las interfaces pasivas por defecto
R(config-router)# passive-interface default
# show ipv6 ospf Verifica el proceso OSPFv3
# show ipv6 ospf neighbor Muestra los vecinos OSPFv3
# show ipv6 ospf interface Muestra información sobre las interfaces con OSPFv3
Muestra detalles de OSPFv3 dentro de la interfaz,
# show ipv6 ospf interface g0/0
como por ejemplo los timers.
# show ipv6 route ospf Muestra la tabla de enrutamiento de OSPFv3
OSPF (otras configuraciones)
R(config)# int s0/0/0 Modifica los intervalos del tiempo de envío de los
R(config)# ip ospf hello-interval 5 mensajes Hello y del tiempo muerto. Para OSPFv3
R(config)# ip ospf dead-interval 20 cambia ip por ipv6
# show ip ospf int s0/0/0 | include Timer Para verificar los intervalos en una interfaz
8
AUTENTICACIÓN GLOBAL
R(config-router)# area 0 authentication message-digest Habilita la autenticación MD5 para OSPF dentro de un
área
R(config-router)# exit
R(config)# int g0/0

Configura la autenticación en la interfaz
R(config-if)# ip ospf message-digest-key 1 md5 cisco
AUTENTICACIÓN POR INTERFAZ

R(config)# int g0/0
R(config-if)# ip ospf message-digest-key 1 md5 cisco Configura y habilita la autenticación MD5 por interfaz.
R(config-if)# ip ospf authentication message-digest
ACL (LISTAS DE ACCESO)

Tiene por defecto como última regla una denegación implícita, por lo que por lo menos debe tener una regla permitir.
Las reglas van desde lo más específico a lo más general (a un prefijo más alto, es más específica; en orden: host,
red, sumarizada). Colocar log al final de la ACL, activa el mensaje de aviso de que existe una coincidencia en la lista.
La ACL Estándar filtra solo en base a la dir. IP de origen. Se implementa lo más cerca posible al destino
La ACL Extendida filtra en base a la dir. IP de origen y de destino, y a los puertos de origen y de destino. Se implementa
lo más cerca al origen.
Utiliza las acciones: remark  dar un comentario, permit  permitir, deny  denegar
ESTÁNDAR NUMERADA (IPv4)
remark
R(config)# access-list [#] permit [dir. IP origen] [wildcard]
deny
R(config)# access-list 1 remark BLOQUEO DE HOST-1 DE Describe la ACL.
VLAN 10 A SERVER El número de ACL va de 1-99/1300-1999.
host 172.16.0.130 Denegar un único equipo.
R(config)# access-list 1 deny o Se coloca la palabra host antes de la dir. IP, o después
172.16.0.130 0.0.0.0 de la dir. IP su wildcard.
R(config)# access-list 1 remark BLOQUEO VLAN 20 A

Denegar una red completa.
SERVER
Se coloca después de la dir. IP su wildcard.
R(config)# access-list 1 deny 172.16.0.0 0.0.0.127
R(config)# access-list 1 remark PERMITIR TODO LO DEMAS

Permitir todo lo demás, se coloca any
R(config)# access-list 1 permit any
R(config)# int f0/0 Se implementa a una interfaz de entrada o salida, lo

R(config-if)# ip access-group 1 out más cerca posible al destino
R(config)# no access-list 1 Elimina una ACL
ESTÁNDAR NOMBRADA (IPv4)
R(config)# ip access-list standard [nombre]
remark
R(config)# permit [dir. IP origen] [wildcard]
deny
R(config)# ip access-list standard CISCO1 Crea una ACL estándar nombrada
R(config-std-nacl)# remark PERMITE HOST-2 DE VLAN 10
A SERVER Permitir un único equipo o host.
R(config-std-nacl)# permit host 172.16.0.131
R(config-std-nacl)# remark PERMITE VLAN 20 A SERVER

Permitir una red completa
R(config-std-nacl)# deny 172.16.0.0 0.0.0.127
9
R(config-std-nacl)# remark BLOQUEAR TODO LO DEMAS
R(config-std-nacl)# deny any Denegar todo lo demás
R(config-std-nacl)# exit
R(config)# int s0/0/0 Se implementa a una interfaz de entrada o salida, lo

R(config-if)# ip access-group CISCO1 in más cerca posible al destino
R(config)# line vty 0 15

R(config-line)# pass CCNA2
R(config-line)# login
R(config-line)# exit
ACL estándar nombrada para bloquear el Acceso
R(config)# enable secret cisco1234
Remoto:
R(config)# ip access-list standard BLOQUEO-TELNET - Configura contraseñas de modo privilegiado y
para las líneas vty
R(config-std-nacl)# remark SOLO EL SERVER PUEDE TENER
- Crea una ACL nombrada
TELNET A R2
- Implementa a una interfaz de entrada o salida,
R(config-std-nacl)# permit host 172.16.0.162 lo más cerca posible al destino
R(config)# line vty 0 15

R(config-line)# access-class BLOQUEO-TELNET in
Las ACL nombradas se pueden editar:

R(config)# do show access-lists - Se visualiza las ACL configuradas
R(config)# ip access-list standard CISCO1 - Se puede eliminar una ACL solo con el número de
R(config-std-nacl)# no 50 regla que se le asignó. El orden va en saltos de 10.
R(config-std-nacl)# 35 permit 209.165.200.224 0.0.0.31 - Aumenta la nueva ACL poniéndole en orden con un
número de regla intermedio entre las ACL que están.
EXTENDIDA NUMERADA (IPv4)
El número de ACL va de 100-199/2000-2699

Los diferentes protocolos:
 TCP: para FTP (20, 21), SSH (22), TELNET (23), SMTP (25), HTTP (80), POP3 (110), IMAP (143), HTTPS (443)
 UDP: para DNS (53), DHCP (67, 68), TFTP (69)
 IP: para todo tipo de tráfico (todos los protocolos) IP e ICMP no
 ICMP: para PING (envío de mensaje ICMP, petición de eco y espera respuesta) usa [# Puerto]
Tipos de operador:
 ge: operador mayor e igual que (≥)
 gt : operador mayor que (>)
 eq: operador igual que (=)
 lt : operador menor que (<)
 ge: operador menor e igual que (≤)
tcp ge
remark udp gt
R(config)# access-list [#] permit ip [IP origen] [wildcard] [IP destino] [wildcard] eq [# Puerto]
deny icmp lt
le
R(config)# access-list 100 remark NINGUN HOST ACCEDE

AL SERVER POR HTTP SOLO POR HTTPS Denegar acceso por HTTP,
Puerto número 80, o www
R(config)#access-list 100 deny tcp any host 172.16.0.1 eq 80
R(config)# access-list 100 remark BLOQUEO PING DE VLAN

10 A SERVER Denegar el PING, utiliza el protocolo ICMP
R(config)# access-list 100 deny icmp 172.16.0.128
0.0.0.31 host 172.16.0.162
10
R(config)# access-list 100 remark PERMITIR TODO LO
DEMAS Permitir todo lo demás
R(config)# access-list 100 permit ip any any
R(config)# access-list 101 remark PERMITE TFTP DE

SERVER A VLAN 10 Permitir TFTP,
R(config)# access-list 101 permit udp host 172.16.0.162 Puerto número 69, o tftp
172.16.0.128 0.0.0.31 eq 69

R(config-if)# ip access-group 100 out Se implementa a una interfaz de entrada o salida, lo
más cerca al origen
R(config-if)# ip access-group 101 in
R(config)# no access-list 101 Elimina una ACL

EXTENDIDA NOMBRADA (IPv4)
R(config)# ip access-list extended [nombre]
tcp ge
remark udp gt
R(config-ext-nacl)# permit ip [IP origen] [wildcard] [IP destino] [wildcard] eq [# Puerto]
deny icmp lt
le
R(config)# ip access-list extended CISCO2 Crea una ACL extendida nombrada
R(config-ext-nacl)# remark PERMITE SSH DESDE TODO

HOST A SERVER Permitir acceso por SSH
Puerto número 22, o ssh
R(config-ext-nacl)# permit tcp any host 172.16.0.162 eq 22
R(config-ext-nacl)# remark BLOQUEO TODO TRÁFICO DE

VLAN 20 AL SERVER
Denegar todo tráfico (utiliza IP)
R(config-ext-nacl)# deny ip 172.16.0.0 0.0.0.127 host
172.16.0.162
R(config-ext-nacl)# remark ESTABLECE SOLO SESIONES

TCP DESDE EL SERVER A VLAN 10
Permitir (establecer) solo sesiones o paquetes TCP
R(config-ext-nacl)# permit tcp host 172.16.0.162
172.16.0.128 0.0.0.31 established
R(config-ext-nacl)# remark BLOQUEAR TODO LO DEMAS

R(config-ext-nacl)# deny ip any any Denegar todo lo demás
R(config-ext-nacl)# exit

R(config-if)# ip access-group CISCO2 in más cerca al origen
ACL EN IPv6 (EXTENDIDA NOMBRADA)

ACL IPv4 e IPv6 no pueden tener el mismo nombre.
Para un único equipo se coloca host antes de la dir. IPv6, y para una red completa se coloca su prefijo.
R(config)# ipv6 access-list [nombre]

tcp ge
remark udp gt
R(config-ipv6-acl)# permit ip [IPv6 origen/prefijo] [IPv6 destino/prefijo] eq [# Puerto]
deny icmp lt
le
11
R(config)# ipv6 access-list CISCO3 Crea una ACL IPv6 extendida nombrada
R(config-ipv6-acl)# remark NINGUN HOST HTTP A SERVER1

Denegar acceso por HTTP,
R(config-ipv6-acl)# deny tcp any host 2050:cd:cd:10::10
Puerto número 80, o www
eq 80
R(config-ipv6-acl)# remark SERVER1 NO PING A LAPTOP1 Denegar el PING, utiliza el protocolo ICMP
R(config-ipv6-acl)# deny icmp host 2050:cd:cd:A::10 host No necesita el operador ni el número de puerto, solo
2050:cd:cd:25::10 echo-request poner echo-request al final
R(config-ipv6-acl)# remark BLOQUEO SERVER1 A VLAN 20

R(config-ipv6-acl)# deny icmp host 2050:cd:cd:A::10 Denegar PING
2050:cd:cd:70::/64 echo-request
R(config-ipv6-acl)# remark PERMITIR TODO LO DEMAS

R(config-ipv6-acl)# permit ipv6 any any Permitir todo lo demás
R(config-ipv6-acl)# exit

R(config-if)# ipv6 traffic-filter CISCO3 in más cerca al origen
# show access-lists Muestra las ACL creadas: estándar, extendidas e IPv6

# show ip interface f0/1 Para verificar donde se implementó la ACL en la interfaz
# show access-lists 1 Verifica la ACL numerada configurada
# show access-lists CISCO2 Verifica la ACL nombrada configurada
# show ipv6 access-lists CISCO3 Verifica la ACL IPv6 nombrada configurada
# clear ipv6 access-list CISCO3 Limpia los contadores de coincidencia
DHCP
DHCPv4
R(config)# ip dhcp excluded-address 192.168.0.1

Excluye un rango de direcciones IP dentro de la red.
192.168.0.9
Crea un pool de DHCP.

R(config)# ip dhcp pool R1G1
Si existe varias VLANs se crea un pool para cada VLAN
Declara la red que va a ser asignada como
R(dhcp-config)# network 192.168.1.0 255.255.255.0
direccionamiento a los hosts
R(dhcp-config)# default-router 192.168.1.1 Define el gateway por defecto de la red.
R(dhcp-config)# dns-server 209.165.200.225 Asigna una dirección DNS de la red.
R(dhcp-config)# domain-name ccna-lab.com Asigna un nombre de dominio de la red.

R(dhcp-config)# lease 2 1 30 Reserva de una IP por un tiempo (días horas minutos)
Cuando el servidor DHCP está fuera de la red LAN:

- Ingresar al router y a la interfaz más cercana al
R2(config)# interface g0/0 host usuario
R2(config-if)# ip helper-address 192.168.2.254 - Hacer un puente para llegar a DHCP: utilizando la
dir. IP de la interfaz del servidor DHCP más
cercana al equipo que solicita DHCP.
# show ip dhcp pool Verifica que el pool reparte direcciones

# show ip dhcp conflict Muestra la dirección IP del conflicto
12
# show ip dhcp binding Muestra la dirección fijada al cliente del DHCP
# show ip dhcp server statistics Muestra la dirección IP estatica del Server DHCP
DHCPv6 SIN ESTADO – SLAAC

Sirve para tener DNS (Internet). Utiliza el modo Other. RS (Router Solicitation) se envía en multicast con FF02::2
R(config)# ipv6 dhcp pool SIN_ESTADO Crea un pool de DHCP IPv6.
R(config-dhcpv6)# dns-server 3005:1234:1234:ab::a Asigna una dirección DNS IPv6.
R(config-dhcpv6)# domain-name cisco.com
Se asigna un nombre de dominio al pool.
R(config-dhcpv6)# exit
R(config)# int f0/0

Se asigna el pool a la interfaz
R(config-subif)# ipv6 dhcp server SIN_ESTADO
Configura la dirección según dos modo que el equipo

puede utilizar, solo SLAAC o solo DHCP, según las
banderas M (Managed) y O (Other):
M= 0
O= 0 SLAAC
R(config-subif)# ipv6 nd other-config-flag
M= 0 DHCP sin estado: SLAAC asigna direcciones
O= 1 y DHCP únicamente el DNS.
M= 1 DHCP: las direcciones y otra información
se solicita del servidor DHCP.
SW(config)# interface vlan 1 Permite a la interfaz VLAN obtener una dirección IPv6
SW(config-if)# ipv6 address autoconfig a través de SLAAC.
DHCPv6 CON ESTADO

Casi no es utilizado, y packet tracer no soporta. Utiliza el modo Managed
R(config)# ipv6 dhcp pool CON_ESTADO Crea un pool de DHCP IPv6.
R(config-dhcpv6)# address prefix 2001:db8:acad:a::/64 Proporciona información de direccionamiento
R(config-dhcpv6)# dns-server 3005:1234:1234:ab::a Asigna una dirección DNS IPv6.
R(config-dhcpv6)# domain-name cisco.com

Se asigna un nombre de dominio al pool.
R(config-dhcpv6)# exit
R(config)# int f0/0

Se asigna el pool a la interfaz
R(config-subif)# ipv6 dhcp server CON_ESTADO
Configura la dirección según dos modo que el equipo

puede utilizar, solo SLAAC o solo DHCP, según las
banderas M (Managed) y O (Other):
M= 0
O= 0 SLAAC
R(config-subif)# ipv6 nd managed-config-flag
M= 0 DHCP sin estado: SLAAC asigna direcciones
O= 1 y DHCP únicamente el DNS
M= 1 DHCP: las direcciones y otra información
se solicita del servidor DHCP.
13
En IPv6, cuando el servidor DHCP está fuera de la red:
- Ingresar al router y a la interfaz más cercana al
R2(config)# interface g0/0 host usuario
R2(config-if)# ipv6 dhcp relay destination 2001:DB8:F:1::6 - Hacer un puente para llegar a DHCP: utilizando la
dir. IPv6 de la interfaz del servidor DHCP más
cercana al equipo que solicita DHCP.
# show ipv6 dhcp pool Verifica que el pool reparte direcciones

# show ipv6 dhcp conflict Muestra la dirección IPv6 del conflicto
# show ipv6 dhcp binding Muestra la dirección IPv6 fijada al cliente del DHCP
# show ipv6 dhcp server statistics Muestra la dirección IPv6 estatica del Server DHCP
NAT
Traduce las direcciones privadas a públicas para salir a internet. Se configura en el router de frontera.
Local: dirección antes de la traducción
Global: dirección después de la traducción
Interna: dirección de origen
Externa: dirección de destino
NAT ESTÁTICA
No hay ahorro de direcciones porque es una traducción de uno a uno. Se utiliza cuando hay servidores.
R(config)# ip nat inside source static 192.168.1.20
209.165.200.225 Configura el NAT estático:
- Establece la traducción entre una dir. IP privada y
una dir. IP pública.
R(config-if)# ip nat inside - Define la interfaz que va a la red interna, y la que
R(config-if)# interface s0/0/1 va a la red externa
R(config-if)# ip nat outside
R(config)# ip nat inside source static tcp 10.10.10.10 80 Configuración NAT estática con un número de puerto
64.102.139.2 80 TCP o UDP específico:
- Establece la traducción estática entre una
R(config)# interface s0/0/0 dirección local interna y puerto local, y una
R(config-if)# ip nat inside dirección global interna y un puerto global
R(config-if)# interface s0/0/1 - Define la interfaz que va a la red interna, y la que
R(config-if)# ip nat outside va a la red externa
NAT DINÁMICA
No hay ahorro de direcciones porque es una traducción de uno a uno, pero la dirección no es fija, debido a que se
escoge la primera dirección libre de un pool de direcciones.
Configura una ACL estándar que permita las
R(config)# access-list 1 permit 192.168.1.0 0.0.0.255
direcciones que se deben traducir
R(config)# ip nat pool PUBLIC_ACCESS 209.165.200.242
netmask 255.255.255.224 Define un conjunto de direcciones globales o públicas
209.165.200.254 que se deben usar para la traducción
prefix-lenght 27
Establece la traducción dinámica de origen

R(config)# ip nat inside source list 1 pool PUBLIC_ACCESS
relacionando la ACL con el pool.
R(config)# interface s0/0/0

R(config-if)# ip nat inside Define la interfaz que va a la red interna, y la que va a
R(config-if)# interface s0/0/1 la red externa
14
PAT (NAT CON SOBRECARGA)
Traducción de direcciones de puerto. Se maneja con sockets. Es el método más utilizado

NAT con sobrecarga sin definir un pool externo:
R(config)# ip nat inside source list 1 interface serial 0/0/1 - Configura una ACL estándar que permita las
overload direcciones que se deben traducir
R(config)# interface g0/1 - Establece la traducción PAT relacionando la ACL
con la interfaz de salida, y coloca al final overload
R(config-if)# ip nat inside
- Define la interfaz que va a la red interna, y la que

NAT con sobrecarga definiendo un pool externo:
R(config)# ip nat pool PUBLIC_ACCESS 209.165.200.242 - Configura una ACL estándar que permita las
209.165.200.254 netmask 255.255.255.224 direcciones que se deben traducir
- Define un conjunto de direcciones globales o
R(config)# ip nat inside source list 1 pool PUBLIC_ACCESS públicas que se deben usar para la traducción
overload - Establece la traducción dinámica de origen
R(config)# interface s0/0/0 relacionando la ACL con el pool, y coloca al final
overload
R(config-if)# ip nat inside
- Define la interfaz que va a la red interna, y la que
# show ip nat translations Verifica la traducción
Muestra los Hits de NAT o el número de traducciones,
# show ip nat statistics
y el número de direcciones que son asignadas del pool
# clear ip nat translation * Limpia la tabla de traducciones
# clear ip nat statistics Limpia las estadísticas
# debug ip nat Activa los mensajes de notificación. Si aparece en los
mensajes NAT* significa que NAT funciona
# undebug all correctamente
SPANNING TREE (PVST+)
Selecciona una vlan del switch como primaria, es decir
SW(config)# spanning-tree vlan 10 root primary
selecciona el switch como RB para una vlan
Selecciona una vlan del switch como secundaria, es

SW(config)# spanning-tree vlan 20 root secondary decir selecciona el switch como RB para una vlan si es
que falla el switch RB de la vlan del primary
Selecciona una vlan como primario, seteando una
SW(config)# spanning-tree vlan 10 priority 24576 prioridad menor que la por defecto de 32768, con
valores de saltos de 4096 en 4096.
SW(config)# int f0/1 Convierte los puertos del switch en edge port o
SW(config-if)# spanning-tree portfast portfast. NOTA: no cambiar en puertos troncales.
SW(config-if)# spanning-tree bpduguard enable Habilita la protección de puertos PortFast, BPDU guard
SW(config)# spanning-tree mode rapid-pvst Cambia al modo Rapid PVST+
SW(config)# int f0/1

Especifica que este link es de tipo punto a punto
SW(config-if)# spanning-tree link-type point-to-point
Para verificar la configuración de spanning tree, el
# show spanning-tree vlan 10
bridge id, si es que es root bridge, de una vlan
Para verificar la configuración de spanning tree, el
# show spanning-tree
bridge id, si es que es root bridge, de todas las vlans
15
HSRP
El número de grupo (num después del standby), y dirección IP virtual deben ser los mismos para el activo y pasivo
ROUTER ACTIVO
R1(config)# int f0/0.10 Configura la dirección IP física, sin olvidar activar

R1(config-subif)# encapsulation dot1Q 10 Dot1Q para la subinterfaz. La dir. IP puede ser
R1(config-subif)# ip add 192.168.10.2 255.255.255.192 cualquiera a partir de la 2da dirección útil.
R1(config-subif)# standby 1 ip 192.168.10.1 Asigna al router una dirección IP virtual HSRP.
R1(config-subif)# standby 1 priority 150 Configura una prioridad mayor a 100
Para que vuelva a ser router activo, cuando se habilita

R1(config-subif)# standby 1 preempt
de nuevo después de un fallo.
ROUTER STANDBY
R2(config)# int f0/0.10 Configura la dirección IP física, sin olvidar activar

R2(config-subif)# encapsulation dot1Q 10 Dot1Q para la subinterfaz. La dir. IP puede ser
cualquiera a partir de la 2da dirección útil, pero
R2(config-subif)# ip add 192.168.10.3 255.255.255.192 diferente a la ya utilizada en el router activo.
R1(config-subif)# standby 1 ip 192.168.10.1 Asigna al router una dirección IP virtual HSRP.
R(config)# int f0/1

Cambia la versión de HSRP a 1 o 2
R(config-if)# standby version 2
Para visualizar el estado del router, si es pasivo o

activo, las prioridades y MAC virtual según la versión
# show standby que se encuentre. NOTA: si el router configurado
como pasivo se muestra como activo, existe error en
la configuración del switch.
ETHERCHANNEL
LACP
Habilita el EtherChannel para un grupo de interfaces,
SW(config)# interface range f0/1 -2
volviéndole una sola interfaz identificada con un
SW(config-if-range)# channel-group 1 mode active
número. Para establecer EtherChannel SW1: Active,
SW2: Active o Passive
SW(config)# interface port-channel 1 Ingresa a la interfaz EtherChannel con el número
SW(config-if)# switchport mode trunk asignado, y se configura como troncal
PAgP
Habilita el EtherChannel para un grupo de interfaces,
SW(config)# interface range f0/1 -2
volviéndole una sola interfaz identificada con un
SW(config-if-range)# channel-group 1 mode desirable
número. Para establecer EtherChannel
SW1:Desirable, SW2: Desirable o Auto
SW(config)# interface port-channel 1 Ingresa a la interfaz EtherChannel con el número
SW(config-if)# switchport mode trunk asignado, y se configura como troncal
# show interface port-channel 1 Muestra el estado de la interfaz EtherCannel

# show etherchannel summary Muestra la información de cada port channel
Muestra la información sobre un específico port
# show etherchannel port-channel 1
channel
# show interface etherchannel Muestra el rol de la interfaz en el EtherChannel
# show interface trunk Muestra los enlaces truncales
16
VTP
MODO SERVIDOR
Permite crear, eliminar y editar VLANs, y pasar la información de vlan.dat al Switch cliente.
SW(config)# vtp mode server Configura el switch como servidor
SW(config)# vtp domain ESPE

Creación de un dominio en el servidor
SW(config)# vtp password cisco
MODO CLIENTE
No puede crear, eliminar ni editar VLANs, solo recibir la información de vlan.dat del Switch servidor
SW(config)# vtp mode client Configura el switch como cliente
SW(config)# vtp domain ESPE Habilita el paso de la información de la vlan.dat del

SW(config)# vtp password cisco switch servidor.
MODO TRANSPARENTE
Puede localmente crear, eliminar y editar VLANs, sin afectar a los demás switch. Reenvía avisos VTP recibidos de
otros switch
SW(config)# vtp mode transparent Configura el switch como transparente
Cambia de versión de VTP, únicamente cuando es

SW(config)# vtp versión 2 servidor. NOTA: la versión no es compatible, por lo que
todos los switch deben tener la misma versión
Muestra la información de VTP, incluido el número de
SW# show vtp status
revisión
SW# show vlan brief En el cliente, para revisar si las VLANs se pasaron
OSPF MULTIÁREA
OSPFv2
R(config-route)# router-id 1.1.1.1 Configuración de OSPF Multiárea IPv4, las redes
directamente conectadas con el área a la que
R(config-route)# network 192.168.10.0 0.0.0.63 area 10
pertenecen.
R(config-route)# network 10.10.10.0 0.0.0.3 area 0
OSPFv3
R(config-route)# router-id 1.1.1.1
R(config-route)# exit
R(config)# int g0/0 Configuración de OSPF Multiárea IPv6, las interfaces
conectadas con el área a la que pertenece cada una.
R(config-if)# ipv6 ospf 1 area 10
R(config-if)# ipv6 ospf 1 area 0

Configura la ruta sumarizada en el ABR
R(config-router)# area 1 range 10.10.10.0 255.255.252.0
Muestra información para OSPF de área simple y multiárea. Para OSPFv3 cambia ip por ipv6
# show ip ospf neighbors Muestra los vecinos OSPF
# show ip ospf Verifica el proceso OSPF
# show ip ospf interface Muestra información sobre las interfaces con OSPF
17
Muestra información específica de OSPF Multiárea. Para OSPFv3 cambia ip por ipv6
Muestra el estado global y por interfaz de los
# show protocols
protocolos configurados como OSPF
# show ip ospf interface brief Muestra un resumen de las interfaces con OSPF
# show ip route ospf Muestra la tabla de enrutamiento de OSPF
# show ip ospf database Muestra la base de datos OSPF
EIGRP
El número de sistema autónomo (número a lado de router eigrp) debe ser el mismo para todos los routers
EIGRP IPv4 (MODO RIP)
R1(config)# router eigrp 1
R1(config-router)# eigrp router-id 1.1.1.1
R1(config-router)# network 10.0.0.0 Configuración de EIGRP de la Forma 1: como se
R1(config-router)# network 192.168.10.0 configura RIP, con una red sumarizada.
R1(config-router)# no auto-summary Es necesario desactivar la auto sumarización
R1(config-router)# passive-interface lo0
R1(config-router)# exit
EIGRP IPv4 (MODO OSPF)

R2(config)# router eigrp 1
R2(config-router)# eigrp router-id 2.2.2.2
R2(config-router)# network 10.10.10.4 0.0.0.3 Configuración de EIGRP de la Forma 2: como se
R2(config-router)# network 10.10.10.8 0.0.0.3 configura OSPF, con cada red directamente conectada
R2(config-router)# network 192.168.20.0 0.0.0.255 y su wildcard, pero sin poner area.
R2(config-router)# no auto-summary Es necesario desactivar la auto sumarización
R2(config-router)# passive-interface lo0
R2(config-router)# exit
EIGRP IPv6
R(config)# ipv6 unicast-routing
R(config)# ipv6 router eigrp 1
R(config-router)# eigrp router-id 1.1.1.1
R(config-router)# passive-interface lo0
R(config-router)# no shutdown
R(config-router)# exit Configuración de EIGRP en IPv6.
R(config)# int g0/0 Es necesario activar con “no shutdown”
R(config-if)# ipv6 eigrp 1
R(config-if)# int g0/1
R(config-if)# int lo0
Configura la métrica de EIGRP:

k1: ancho de banda
R(config)# router eigrp 1 k2: carga
R(config-router)# metric weights tos k1 k2 k3 k4 k5 k3: retardo
k4: confiabilidad
k5: MTU
# debug eigrp fsm
Activa los mensajes eigrp debug
# undebug all
Muestra el estado de los protocolos configurados
# show protocols
como EIGRP. Verifica si está activa la autosumarización
18
# show ip eigrp neighbors Muestra los vecinos EIGRP
# show ip route eigrp Muestra la tabla de enrutamiento de EIGRP
# show ip eigrp topology Muestra el mejor camino según el algoritmo DUAL.
Muestra que RD<FD, y el estado. RD: Distancia
# show ip eigrp topology all-links
Reportada, FD: Distancia Factible
EIGRP (otras configuraciones)
IPv4
R(config-if)# ip summary-address eigrp 1 192.168.0.0 Configura una ruta sumarizada
255.255.252.0
R(config)# router eigrp 1 Para EIGRP, busca que todos conozcan la ruta por
R(config-router)# redistribute static defecto por la que deben salir a internet.
IPv6
R(config-if)# ipv6 summary-address eigrp 1 Configura una ruta sumarizada
2001:db8:acad::/48
R(config)# ipv6 router eigrp 1 Para EIGRP, busca que todos conozcan la ruta por
R(config-router)# redistribute static defecto por la que deben salir a internet.
R(config)# router eigrp 1 En algunos IOS es necesario colocar los parámetros de

R(config-router)# redistribute static metric 64 2000 255 1 la métrica de EIGRP para que conozcan la ruta por
1500 defecto. Parámetros en el orden: k1, k3, k4, k2, k5
R(config)# int s0/0/0 Se configura el porcentaje de ancho de banda de una

interfaz. EIGRP por defecto usa el 50% del ancho de
R(config-if)# ip bandwidth-percent eigrp 25
banda. Para IPv6, ip cambia por ipv6
R(config)# int s0/0/0 Modifica los intervalos del tiempo de envío de los
R(config-if)# ip hello-interval eigrp 1 60 mensajes Hello y del tiempo de espera. Para IPv6
R(config-if)# ip hold-time eigrp 1 180 cambia ip por ipv6
R(config)# router eigrp 1 Cuando hay balanceo de carga de igual costo, es

necesario limitar el número de caminos. Si se
R(config-router)# maximum-paths 1
configura con 1, el balanceo de carga se deshabilita
R(config)# key chain EIGRP_KEY
R(config-keychain)# key 1
R(config-keychain-key)# key-string cisco123
R(config-keychain-key)# exit Configura la Autenticación MD5 de EIGRP.
R(config-keychain)# exit Para IPv6, ip cambia por ipv6
R(config-if)# ip authentication mode eigrp 1 md5
R(config-if)#ip authentication key-chain eigrp 1 EIGRP_KEY
VPN
Red Privada Virtual: es una conexión cifrada entre redes privadas a través de una red pública. Se toma en cuenta
la dirección del tunnel para el enrutamiento dinámico. El número de tunnel puede ser igual en los dos equipos.
R1(config)# int tunnel 1 Crea una interfaz tunnel y asigna una dirección IP. Se
R1(config-if)# ip add 172.16.10.5 255.255.255.252 recomienda que el número de tunnel comience en 1.
R1(config-if)# tunnel source s0/0/0 Establece la interfaz origen para la terminal del tunnel
R1(config-if)# tunnel destination 10.10.10.5
Establece la dir. IP destino para la terminal del tunnel
R1(config-if)# exit
19
R1(config)# router ospf 1
Enruta dinámicamente con OSPF la red del tunnel
R1(config-router)# network 172.16.10.4 0.0.0.3 area 0
R2(config-if)# ip add 172.16.10.6 255.255.255.252 recomienda que el número de tunnel comience en 1
R2(config-if)# tunnel source s0/0/1 Establece la interfaz origen para la terminal del tunnel
R2(config-if)# tunnel destination 10.10.10.1 Establece la dir. IP destino para la terminal del tunnel
HDLC
R(config)# int serial 0/0/0 Configura la encapsulación HDLC, el cual se utiliza
R(config-if)# encapsulation hdlc para la conexión entre dos dispositivos CISCO
# show interface s0/0/0 Para verificar el tipo de encapsulación
PPP
R(config)# int serial 0/0/0 Habilita la encapsulación PPP, el cual se utiliza para la
R(config-if)# encapsulation ppp conexión entre dos dispositivos diferentes
Habilita el algoritmo:
predictor - Compress predictor: predice la próxima secuencia
R(config-if)# compress .de caracteres en una secuencia de datos.
stac - Compress stac: crea un diccionario con cadenas
redundantes y las reemplaza por cadenas cortas.
R(config-if)# ppp quality 80 Asegura que el enlace cumpla con el porcentaje de

requisito de calidad.
# show interfaces Muestra estadísticas para las interfaces configuradas
# show interface serial 0/0/0 Muestra información de la serial, incluyendo PPP
MULTILINK
Es como EtherChannel pero para PPP. Tiene un número de grupo que asigna al grupo de enlaces
Configura el enlace Multilink:
R(config)# int Multilink 1 - Crea la interfaz Multilink con un número de grupo
R(config-if)# ip add 192.0.2.9 255.255.255.224 - Asigna una dirección IP
R(config-if)# ppp multilink - Habilita el PPP Multilik
R(config-if)# ppp multilink group 1 - Une un enlace físico en una interfaz de grupo
multilink
Configura el enlace Multilink:
R(config-if)# interfaz serial 0/0/0 - Ingresa a la interfaz serial
R(config-if)# encapsulation ppp - Habilita la encapsulación PPP
R(config-if)# ppp multilink - Habilita el PPP Multilik
R(config-if)# ppp multilink group 1 - Une un enlace físico en una interfaz de grupo
multilink
# show ppp multilink Muestra información soblre la interfaz PPP Multilink
AUTENTICACIÓN CHAP
Crea un usuario y contraseña: el nombre de usuario
R1(config)# username R2 password cisco1234 tiene que ser el nombre del otro equipo, y la
contraseña debe ser la misma para los dos equipos.
R1(config)# int serial 0/0/0 Configura la autenticación CHAP:

R1(config-if)# encapsulation ppp - Ingresa a la interfaz serial
- Habilita la encapsulación PPP
R1(config-if)# ppp authentication chap - Habilita la autenticación chap
20
R2(config)# username R1 password cisco1234 tiene que ser el nombre del otro equipo, y la
R2(config)# int serial 0/0/1 Configura la autenticación CHAP:

R2(config-if)# ppp authentication chap - Habilita la autenticación chap
AUTENTICACIÓN PAP
R1(config)# username R2 password cisco tiene que ser el nombre del otro equipo, y la
R1(config)# int serial 0/0/0 Configura la autenticación PAP:

R1(config-if)# ppp authentication pap
- Habilita la autenticación pap
R1(config-if)# ppp pap sent–username R1 password cisco - Se autentica en un dispositivo remoto

R2(config)# username R1 password cisco tiene que ser el nombre del otro equipo, y la
R2(config)# int serial 0/0/1 Configura la autenticación PAP:

R2(config-if)# ppp authentication pap
- Habilita la autenticación pap
R2(config-if)# ppp pap sent–username R2 password cisco - Se autentica en un dispositivo remoto
# debug ppp authentication Activa los mensajes de autenticación PPP (CHAP y

# undebug all PAP)
FRAME RELAY (FR)

NUBE FR COMO SWITCH
Es una red Multiacceso (Topología en Estrella). Tiene problema con enrutamiento dinámico porque no soporta
broadcast o multicast. El DLCI (Data Link Connection Identifier) es el número que identifica un PVC, regularmente
está en el rango entre 0 -1023. Se recomienda que: DLCI R1 -->R2: 102; DLCI R2 -->R1: 201.
R1(config-router)# router-id 11.11.11.11 Enrutamiento OSPF.
R1(config-router)# network 200.10.10.0 0.0.0.255 area 0 Para solucionar el problema de enrutamiento, se
R1(config-router)#network 192.168.10.0 0.0.0.255 area 0 ingresa a la serial conectada a la nube de FR, y se
R1(config-router)#exit coloca el comando ip ospf network broadcast para que
R1(config)# int serial 0/0/0 funcione bien OSPF en FR.
R1(config-if)# ip ospf network broadcast
R1(config-if)# encapsulation frame-relay Habilita la encapsulación Frame Relay
R1(config-if)# no frame-relay inverse-arp Quita el ARP inverso. ARP inverso permite obtener la
dir. IP del otro equipo, teniendo la dir. Física
R1(config-if)# shutdown
Desactiva y Activa la interfaz
R1(config-if)# no shutdown
R1(config-if)# frame-relay map ip 200.10.10.2 102 Mapeo interno: dir. IP de R2, DLCI de R1->R2, y
broadcast broadcast al final
R1(config-if)# frame-relay map ip 200.10.10.3 103 Mapeo interno: dir. IP de R3, DLCI de R1->R3, y
broadcast broadcast al final
21
CONFIGURA LA NUBE FRAME RELAY:
R-FR(config)# frame-relay switching
1. Habilita el Frame Relay como Switch
R-FR(config)# interface serial 0/0/0 2. Configura el enlace R-FR -->R1:

 Ingresa a la interfaz serial conectada a R1
R-FR(config-if)# encapsulation frame-relay  Habilita la encapsulación Frame Relay
 Configura que la interfaz serial sea DCE, para
R-FR(config-if)# frame-relay intf-type dce asegurarse que el lado DCE de la serial esté
siempre conectada a la nube FR.
 Enrutamiento: DLCI de R1->R2, interfaz serial
R-FR(config-if)# frame-relay route 102 int s0/2/1 201 conectada a R2, y DLCI de R2->R1
R-FR(config-if)# interface serial 0/2/1 3. Configura el enlace R-FR -->R2:

R-FR(config-if)# frame-relay intf-type dce  Configura que la interfaz serial sea DCE
R-FR(config-if)# interface serial 0/0/1 4. Configura el enlace R-FR -->R3:

R-FR(config-if)# frame-relay intf-type dce  Configura que la interfaz serial sea DCE
SUBINTERFACES PUNTO A PUNTO
Es una red Punto a Punto. Se configura la nube FR como la forma anterior
R1(config)# interface serial 0/0/0 Ingresa a la interfaz serial conectada a la nube FR

R1(config-if)# encapsulation frame-relay
Habilita la encapsulación Frame Relay
R1(config-if)# exit
Ingresa a la subinterfaz dirigida a R3 con conexión
R1(config)# int s0/0/0.3 point-to-point
punto a punto.
R1(config-subif)# frame-relay interface-dlci 103 Configura el DLCI de R1->R3 en la subinterfaz
R1(config-fr-dlci)# ip add 200.10.10.1 255.255.255.252

R1(config-fr-dlci)# exit Configura la dirección IP de la subinterfaz
R1(config-subif)# exit
Ingresa a la subinterfaz dirigida a R2, es necesario

R1(config)#int s0/0/0.2 point-to-point
colocar al final point-to-point
R1(config-subif)#frame-relay interface-dlci 102 Configura el DLCI de R1->R2 en la subinterfaz
R1(config-fr-dlci)#ip add 200.10.10.9 255.255.255.252

R1(config-fr-dlci)# exit Configura la dirección IP de la subinterfaz
R1(config-subif)# exit
R1(config)# interface serial 0/0/0 Ingresa a la interfaz serial conectada a la nube FR, y la
R1(config-if)# no shut activa.
22
R(config)# interface serial 0/0/0
Cambia la encapsulación Frame Relay a IETF
R(config-if)# encapsulation frame-relay ietf
R(config)# interface serial 0/0/0 Cambia el tipo de LMI:

R(config-if)# encapsulation frame-relay - CISCO: se utiliza cuando toda la red es CISCO
- ANSI: el LMI es estándar
R(config-if)# frame-relay lmi-type ansi - Q393
Muestra las estadísticas de tráfico LMI entre el router
# show frame-relay lmi
y el Switch Frame Relay de todas las interfaces-
Muestra información del tráfico que pasa por el enlace
# show frame-relay pvc
FR y los DLCI configurados.
# show interface Muestra el tráfico, tipo de LMI y tipo de encapsulación
# show frame-relay map Muestra el mapeo de DLCI, y si es estático o dinámico
Refresca los datos del mapeo din+amico al eliminar la

# clear frame-relay inarp
información existente en la tabla de mapeo IARP
# debug frame-relay lmi
Activa los mensajes de intercambio LMI del router
# undebug all
PPPoE
R(config)# int dialer 1 Configura el cliente (CPE) para abrir sesión PPPoE:
- Crea interfaz dialer, interfaz virtual que inicia PPPoE
R(config-if)# dialer pool 1 - Especifica el pool de interfaces físicas a utilizar.
R(config-if)# encapsulation ppp - Indica al cliente que utilice una dirección IP
proporcionada por el servidor PPPoE.
R(config-if)# ip address negotiated - Modifica el MTU a 1492 para evitar
desfragmentación innecesaria, ya que PPP agrega
R(config-if)# mtu 1492 un encabezado de 8 bytes a la trama
R(config-if)# exit Los números en rojo deben ser iguales
R(config)# int f0/0 Configura la interfaz física para asociarla con la

interfaz dialer:
R(config-if)# no ip address - Ingresa a la interfaz física conectada al modem
- No asigna dirección IP.
R(config-if)# pppoe-client dial-pool-number 1 - Configura el cliente PPPoE especificando la dialer
- Modifica el MSS o carga útil a 1452 para evitar
R(config-if)# ip tcp adjust-mss 1452 desfragmentación innecesaria, ya que PPP agrega
un encabezado de 8 bytes al segmento
R(config-if)# no shutdown - Activa la interfaz
AUTENTICACIÓN PPPoE
R(config)# int dialer 2 Crea la interfaz dialer
R(config-if)# encapsulation ppp Habilita la encapsulación PPP
R(config-if)# ppp authentication chap callin Habilita la autenticación CHAP para equipos que no
son CISCO
R(config-if)# ppp chap hostname CCNA4 Especifican un nombre de usuario y password
R(config-if)# ppp chap password cisco alternativo que se utilizará para la autenticación
# show pppoe session Muestra información de la sesión activa de PPPoE: la

dir. MAC Ethernet local y remota de ambos routers
# show ip interface brief Muestra todas las interfaces incluyendo el Dialer
# show interface dialer 1 Para verificar el MTU y encapsulación PPP configurado
23
# show ip route Muestra las rutas incluidas las conectadas por Dialer
# debug ppp negotiation
Permite ver las transacciones de negociación PPP
# undebug all
BGP
Enrutamiento dinámico. Utiliza números de sistema autónomo reales en el rango de 64512 a 65534
eBGP: cuando el número de sistema autónomo (AS) es diferente entre los vecinos. BGP externo: une AS diferentes
iBGP: cuando el número de sistema autónomo (AS) es igual entre los vecinos. BGP interno: une AS iguales
R1(config)# router bgp 65001 Habilita BGP con el número de sistema autónomo
(#AS) de origen
R1(config-router)# neighbor 5.5.5.2 remote-as 65002 Establece la vecindad con la dirección IP y el #AS del
router vecino directamente conectado
Comparte la red para que el otro equipo llegue a él.
R1(config-router)# network 5.5.5.0 mask 255.255.255.224
(Opcional, depende desde que router desea compartir)
R1(config-router)# network 0.0.0.0 Comparte ruta por defecto (si es que es necesario)
(#AS) de origen
R2(config-router)#neighbor 200.10.10.6 remote-as 65003 Establece la vecindad con la dirección IP y el #AS del
(#AS) de origen
R3(config-router)# network 8.8.8.0 mask 255.255.255.0 Comparte la red para que el otro equipo llegue a él.
# show ip route Muestra las rutas, incluyendo la compartida por BGP

# show ip bgp Muestra las redes en la tabla BGP
# show ip bgp summary Muestra información y estado de sesoines BGP
# show ip bgp neighbors Muestra los routers vecinos conectador por BGP
# clear ip bgp * Resetea las sesiones BGP
GRE VPN
GRE: Generic Routing Encapsulation. Se toma en cuenta la dirección del tunnel para el enrutamiento dinámico. El
número de tunnel puede ser igual en los dos equipos.
R1(config-if)# ip add 192.168.2.1 255.255.255.0 recomienda que el número de tunnel comience en 1.
R1(config-if)# tunnel mode gre ip Especifica que el tunnel es GRE.
s0/0/0
R1(config-if)# tunnel source Establece la interfaz de origen o la dir. IP origen para la
terminal del tunnel
209.165.201.1
R1(config-if)# tunnel destination 209.165.201.2
Establece la dir. IP destino para la terminal del tunnel
R1(config-if)# exit
24
R2(config-if)# ip add 192.168.2.2 255.255.255.0 recomienda que el número de tunnel comience en 1
R2(config-if)# tunnel mode gre ip Especifica que el tunnel es GRE. (Comando Opcional)
R2(config-if)# tunnel source 209.165.201.2 Establece la interfaz origen para la terminal del tunnel
R2(config-if)# tunnel destination 209.165.201.1 Establece la dir. IP destino para la terminal del tunnel

# show ip interface brief Muestra todas las interfaces, incluyendo el Tunnel

# show ip ospf neighbor Para verificar la adyacencia OSPF
IPSec
Asegura la comunicación por IP entre dos routers. Los routers R1 y R2 se deben configurar con los mismos datos, a
excepción de la dir. IP del equipo par. Funciona junto a GRE, por lo que se debe primero realizar el tunnel GRE.
R1(config)# access-list 100 permit ip 192.168.10.0
0.0.0.255 any Crea una ACL extendida numerada con el tráfico
interesante, es decir el tráfico que se desea tener
R1(config)# access-list 100 permit ip 192.168.20.0
seguridad
0.0.0.255 any
Cofiguración del Edificio IPSec (CIA): Fase 1 IKE (Internet Key Exchange)
R1(config)# crypto isakmp policy 1 Crea una política para negociaciones, y se le da un
número cualquiera
Confidencialidad: Encripta mediante algoritmos: DES,
R1(config-isakmp.policy)# encription aes
3DES o AES. AES es el más seguro
Integridad: comprueba mediante algoritmos MD5 o
R1(config-isakmp.policy)# hash md5
SHA. SHA es el mejor algoritmo
Autenticación: autentica mediante PSK o RSA. PSK se
R1(config-isakmp.policy)# authentication psk realiza con la llave previamente compartida, RSA se
realiza a través de una entidad certificadora.
Diffie-Hellman: intercambia las llaves con un número

R1(config-isakmp.policy)# group 5
de grupo que puede ser 1,2 o 5. El mayor numero es el
R1(config-isakmp.policy)# exit
más seguro.
Especifica la clave previamente compartida y la dir. IP
R1(config)# crypto isakmp key cisco address 10.10.10.2 física del otro equipo, equipo par o vecino (No la del
tunnel).
Fase 2 IKE: Transformada
Crea la transformada para el cifrado de datos real.
R1(config)# crypto ipsec transform-set CCNA4_transfor
Configura un nombre y con el encabezado ESP que es
esp-aes esp-md5-hmac
más seguro y utiliza AES
Creación de Crypto Map
Crea la correspondiente criptografía con el mismo
R1(config)# crypto map CCNA4_crypto 1 ipsec-isakmp
número de la política
R1(config-crypto-map)# match address 100 Relaciona con la ACL
R1(config-crypto-map)# set transform-set CCNA4_transfor Relaciona con la transformada
Especifica la dir. IP física del otro equipo, del equipo
R1(config-crypto-map)# set peer 10.10.10.2
par o vecino (No la del tunnel)
25
Aplicar Crypto map en una interfaz
R1(config)# int f0/0.10 Ingresa a la interfaz externa
R1(config-if)# crypto map CCNA4_crypto Aplica el crypto map a la interfaz
# show crypto isakmp policy Muestra información de la política IKE configurada
# show crypto ipsec transform-set Muestra las políticas IPSec configuradas
# show crypto map Muestra los mapas de cifrado
SYSLOG
Los mensajes de syslog que generan los dispositivos de red se pueden recopilar y archivar en un servidor syslog,
para el monitoreo y control. Los mensajes se pueden marcar con la hora para analizar la secuencia de eventos; por
lo que es importante sincronizar el reloj con NTP. El software tftpd64 se utiliza para visualizar los mensajes syslog.
NTP
Configuración del Servidor o Maestro NTP:
R1(config)# do clock set 10:36:00 03 february 2017 - Establece la hora y fecha
- Configura como maestro al router especificando
R1(config)# ntp master 1
el número de capa, el cual indica a cuántos saltos
NTP se encuentra un origen de hora autoritativo
Configuración del Cliente NTP:
R2(config)# ntp server 10.10.10.1 - Configura el router como cliente, indicando la
dirección del servidor NTP
R2(config)# ntp update-calendar
- Establece que se actualice el calendario
periódicamente con la hora del servidor NTP
SYSLOG
R(config)# service timestamp log datetime msec Habilita las marcas de tiempo en milisegundos
R(config)# logging 192.168.1.3 Configura la dir. IP de destino del servidor syslog
Controla los mensajes que se envían al servidor syslog,
colocando un nivel que limita los mensajes de 0 hasta
ese nivel.
Nivel 0  E: Emergency
4 Nivel 1  A: Alert
R(config)# logging trap Nivel 2  C: Critical
warning Nivel 3  E: Error
Nivel 4  W: Warning
Nivel 5  N: Notification
Nivel 6  I: Informational
Nivel 7  D: Debugging
Configura la interfaz de origen para especificar que los
R(config)# logging source-interface g0/0
paquetes de syslog incluyen la dir. IP de esa interfaz
R(config)# interface loopback 0 Realiza algún proceso para ver los mensajes syslog de
ese proceso:
R(config-if)# shutdown  Crea una interfaz loopback
R(config-if)# no shutdown  Desactiva y activa la interfaz
# show logging Muestra los mensajes registrados en el syslog
# show logging Limpia el buffer del log
SNMP
Monitorea el tráfico existente en el router que se configura SNMP, mediante un host con el software de monitoreo
SNMPv2c (Router)
R(config)# ip access-list standard SNMP_v2c
Crea un access list especificando la dirección IP del
R(config-std-nacl)# permit host 192.168.10.12
equipo destino que tiene el software de monitoreo. Es
R(config-std-nacl)# exit opcional crear una ACL
26
R(config)# snmp-server host 192.168.10.12 version 2c Configura la versión, indicando la dir. IP del host
CCNA4 destino que tiene el software de monitoreo, la versión,
en este caso 2c, y la contraseña
Configura la cadena de acceso de comunidad para
permitir el acceso a SNMP, indicando la contraseña, el
estado de acceso, y puede relacionar la ACL, si se creó.
R(config)# snmp-server community CCNA4 rw SNMP_v2c
El estado de acceso puede ser:
- ro: read-only (solo lectura)
- rw: read-write (lectura escritura)
R(config)# snmp-server enable traps Habilita todos los Traps (alertas de notificaciones)
SNMPv2c (Switch)
SW(config)# snmp-server host 192.168.10.12 version 2c Configura la versión, indicando la dir. IP del host
CCNA4 destino que tiene el software de monitoreo, la versión,
en este caso 2c, y la contraseña
Configura la cadena de acceso de comunidad para
permitir el acceso a SNMP, indicando la contraseña, el
estado de acceso.
SW(config)# snmp-server community CCNA4 ro
El estado de acceso puede ser:
- ro: read-only (solo lectura)
- rw: read-write (lectura escritura)
# show snmp Muestra el estado de las comunicaciones SNMP
Muestra todas las cadenas de acceso de la comunidad
# show snmp community configuradas para habilitar el acceso a las entidades
SNMP.
SNMPv3
R(config)# ip access-list standard SNMP_v3
R(config-std-nacl)# permit host 192.168.10.12 Crea un access list especificando la dirección IP del
equipo destino que tiene el software de monitoreo
Configura una vista SNMP, que define la MIB que se va
a analizar.
- MIB es una variable con un código OID, que
determina el punto de partida que se va a
monitorear según un árbol OID:
 1.root, 1.2.home, 1.3.user, 1.2.4.var => código
R(config)# snmp-server view SNMP_VIEW iso included
OID: 1.2.4 es el punto de partida
 iso: indica que el “root” es punto de partida
- Included: indica que el monitoreo incluye el punto
de partida. (Opcional)
- Excluded: indica que el monitoreo excluye el punto
de partida (Opcional)
Configura un grupo SNMP
- Habilita la encriptación en versión 3
R(config)# snmp-server group SNMP_GROUP v3 priv read - Define si va a ser lectura o escritura. Configurar
SNMP_VIEW access SNMP_v3 siempre como lectura.
- Relaciona la vista
- Relaciona la ACL configurada.
Configura un usuario SNMP en versión 3:
- Relaciona el grupo SNMP
- Especifica la comprobación de la integridad con
algoritmo md5 o sha
R(config)# snmp-server user SNMP_USER SNMP_GROUP
- Establece la contraseña de autenticación
v3 auth sha cisco1234 priv aes 128 CCNA4
- Especifica la comprobación de la autenticación
con algoritmo des, 3des o aes
- Especifica el tamaño de bytes
- Establece la contraseña de encriptación
27
# show snmp group Muestra información de cada grupo SNMP en la red.
Muestra información sobre las características
# show snmp user SNMP_USER
configuradas de un usuario SNMP.
NETFLOW
R(config-if)# ip flow ingress Configura NetFlow, capturando los ingresos y egresos
de los paquetes de datos
R(config-if)# ip flow egress
Configura los datos de exportación, con la dirección IP
R(config)# ip flow-export Destination 192.168.10.3 9996
de destino y el puerto TCP o UDP
R(config)# ip flow-export version 9 Configura la versión de NetFlow
# show ip cache flow Muestra el volumen de tráfico
SPAN
Crea una sesión que monitorea un equipo de red conectado al switch, utilizando un host con Wireshark
SW(config)# monitor session 1 source f0/5 Configura el puerto de origen, puerto del switch
conectado al equipo que se desea monitorizar.
Configura el puerto de destino, puerto del switch
SW(config)# monitor session 1 destination f0/15 conectado al equipo desde donde se va a monitorizar
con wireshark
# show monitor Para verificar si se está ejecutando alguna sesión de

monitoreo SPAN en el dispositivo
QoS
Realiza la clasificación y marcaje en el equipo más cercano al origen del tráfico, o en el flujo de capa 2 y capa 3.
Determina el tipo de tráfico y se procede a marcar.
R(config)# access-list 1 permit 192.168.10.0 0.0.0.255 Crea una ACL con el tráfico interesante
Crea un mapa de clase para clasificar el tráfico de red
R(config)# class-map match-all GERENCIA-MAP - match-all: cumple todas las condiciones
- match-all: cumple con cualquier condición
R(config-cmap)# match access-group 1 Configura los criterios de coincidencia en base a la ACL

configurada
R(config-cmap)# match protocol http Identifica los protocolos de administración de red que
pueden ser recibidos. Activa NBAR (analizador de
R(config-cmap)#exit
tráfico IP) para marcar el tráfico como por ejemplo http.
R(config)# policy-map GERENCIA-POLICY Crea o modifica un mapa de políticas que se puede

vincular a una o más interfaces
R(config-pmap)# class GERENCIA-MAP Especifica el nombre del mapa de clase creado para
aplicar la acción.
Marca el valor de DSCP para paquetes dentro de una
clase de tráfico.
CS6  Routing
EF  Voice
AF41  Video Conferencing
R(config-pmap-c)# set ip dscp af41 CS4  Streaming Video
R(config-pmap-c)# exit AF31  Mission-Critical Data
R(config-pmap)# exit CS3  Call Signaling
AF21  Transactional Data
CS2  Network Management
AF11  Bulk Data
0  Best Effort
CS1  Scavenger
28
R(config)# int s0/0/0 Ingresa y aplica, de la salida o entrada, a la interfaz la
R(config-if)# service-policy output GERENCIA-POLICY política de servicio configurada
# show policy-map Muestra todos los mapas de políticas
Muetra todos los mapas de clase y sus criterios de
# show class-map
coincidencia
IP SLA
Permite el monitoreo activo, es decir cuando se está enviando paquetes. El número de IP SLA es el mismo del
cronograma. Se necesita implementar puntos de prueba (operación): Ping, Jitter, Traceroute. En este caso PING.
R(config)# ips sla 1 Crea una IP SLA
R(config-sla)# icmp-echo 192.168.1.5 Activa operación PING para el equipo destino, equipo
a monitorear
R(config-sla-operation)# frequency 30 Especifica la frecuencia con la que se realiza la
R(config-sla-operation)# exit operación.
Crea un cronograma de la operación. La duración es

R(config)# ip sla schedule [#] life [duración] start-time en segundos; en el inicio, el tiempo es en horas y
[inicio] minutos, y la fecha en mes y día.
Tiene varias opciones, por ejemplo:
 life forever start-time now  Hacer ping para siempre comenzando desde ahora
 life 3600 start-time 10:30  Hacer ping por 1 hora a las 10:30 el día 12 de
Feb 12 Febrero.
 life 3600 start-time 10:30  Hacer ping por 1 hora recurrentemente o
R(config)# ip sla schedule 1 recurring diariamente a las 10:30.
 life 3600 start-time 10:30  Hacer ping por 1 hora recurrentemente o
Feb 12 recurring diariamente a las 10:30 desde el 12 de Febrero.
 life 3600 start-time now  Hacer ping por 1 hora comenzando desde ahora y
pending almacenando información
# show ip sla application Muestra información acerca de la operación

especificada o punto de prueba.
Muestra valores de configuración (incluídos los
# show ip sla configuration
predeterminados) para la operación especificada
Muestra el estado operativo actual y las estadísticas
# show ip sla statistics
de la operación especificada
29
VISUALIZACIÓN
EN CMD
ssh –l [nombre usuario] [dir. IP del equipo] Ingresar a un equipo por SSH
arp –a Muestra la tabla ARP
arp –d * Elimina la tabla ARP actual
 route print Cualquiera de los 2 comandos muestra la tabla de
 netstat –r enrutamiento local
nslookup Para consultas manuales de servidores de nombres
ipconfig /displaydns Muestra todos los DNS almacenados
EN LÍNEA DE COMANDOS
# show ip interface brief Muestra estado de las interfaces con direccionamiento IPv4
# show ip interface g0/0 Muestra estado de la interfaz con su direccionamiento IPv4
# show ipv6 interface brief Muestra estado de las interfaces con direccionamiento IPv6
# show ipv6 interface g0/0 Muestra estado de la interfaz con su direccionamiento IPv6
# show controller s0/0/0 Muestra el estado de la serial, y si es DCE o DTE
# show version Muestra características de hardware y software
# show running-config Muestra la configuración actual
# show startup-config Muestra la configuración guardada
# show mac address table Muestra la tabla de direcciones MAC
# show ip route Muestra la tabla de enrutamiento IPv4
# show ipv6 route Muestra la tabla de enrutamiento IPv6
# show arp Muestra la tabla ARP
# show protocols Muestra los protocolos activos
# show cdp neighbors Muestra información de equipos CISCO conectados
# show file systems Muestra lista de archivos disponibles con permiso de lectura
# show vlan brief Muestra todas las VLANs
# show vlan summary Muestra cuantas VLANs han sido creadas
# show interfaces Muestra estado de las interfaces y la dirección MAC
# show interface f0/1 status Muestra estado de interfaz (si se deshabilita por error)
Muestra el estado de Auto-MDIX.
# show controllers ethernet-controller f0/1 phy | Auto-MDIX es una característica que ayuda a la interfaz
include Auto-MDIX detectar automáticamente el tipo de conexión de cable
requerido (directo o cruzado)
# show ip ssh Muestra la versión y configuración de SSH
# show ssh Muestra los equipos conectados
# show port-security Verifica si está con seguridad de puertos
Verifica si la interfaz tiene seguridad de puertos, y si ha sido
# show port-security int f0/5
bloqueada por alguna violación
# show port-security address Muestra las direcciones MAC seguras
# show flash Muestra todo el contenido de la memoria Flash
# show interface f0/1 switchport Muestra si la interfaz es de acceso o troncal
# show interface trunk Muestra los enlaces troncales
30

Comandos Ccna

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Comandos Ccna

Transféré par

Droits d'auteur :

Formats disponibles

ARRANQUE EN EQUIPOS REALES

Cuando el equipo está configurado previamente y con contraseñas que no se conocen

(config)# banner motd $ No ingrese sin autorización $

(config)# service password-encryption Encripta las contraseñas de texto plano

CONFIGURACIÓN DE INTERFACES - IPv4

# copy tftp Respaldo de la información que está en el servidor tftp,

(config)# service password-encryption Encripta las contraseñas de texto plano

(config)# security password min-length 8 Limita la longitud mínima de ingreso de contraseña

(config)# ip ssh version 2 Cambia la versión de SSH a la 2

10.10.1.1 Configura la ruta de forma manual: dir. IP de la

FC00::2 Configura ruta IPv6 de forma manual: dir. IPv6

R(config)# ip route 192.168.10.0 255.255.255.0 10.10.1.1 10

R(config)# ipv6 route 2001:AB:ABC:10::/64 FC00::2 2

Configura la ruta IPv6 estática finalizando con

SW(config-if)# switchport trunk native vlan 90

R(config-subif)# interface g0/0.90

R(config)# interface g0/0

Redistribuye la ruta por defecto. Para dar a conocer a

Modificar la fórmula de cálculo de Costos. Para

R(config)# int s0/0/1

Modificar la fórmula de cálculo de Costos. Para

R(config)# ipv6 router ospf 1

R(config)# int g0/0

AUTENTICACIÓN POR INTERFAZ

ACL (LISTAS DE ACCESO)

R(config)# access-list 1 remark BLOQUEO VLAN 20 A

R(config)# access-list 1 remark PERMITIR TODO LO DEMAS

R(config)# int f0/0 Se implementa a una interfaz de entrada o salida, lo

R(config-std-nacl)# remark PERMITE VLAN 20 A SERVER

R(config)# int s0/0/0 Se implementa a una interfaz de entrada o salida, lo

R(config)# line vty 0 15

R(config)# line vty 0 15

Las ACL nombradas se pueden editar:

EXTENDIDA NUMERADA (IPv4)

El número de ACL va de 100-199/2000-2699

R(config)# access-list 100 remark NINGUN HOST ACCEDE

R(config)# access-list 100 remark BLOQUEO PING DE VLAN

R(config)# access-list 101 remark PERMITE TFTP DE

R(config)# int s0/0/0

R(config)# no access-list 101 Elimina una ACL

R(config)# ip access-list extended CISCO2 Crea una ACL extendida nombrada

R(config-ext-nacl)# remark PERMITE SSH DESDE TODO

R(config-ext-nacl)# remark BLOQUEO TODO TRÁFICO DE

R(config-ext-nacl)# remark ESTABLECE SOLO SESIONES

R(config-ext-nacl)# remark BLOQUEAR TODO LO DEMAS

R(config)# int f0/1 Se implementa a una interfaz de entrada o salida, lo

ACL EN IPv6 (EXTENDIDA NOMBRADA)

R(config)# ipv6 access-list [nombre]

R(config-ipv6-acl)# remark NINGUN HOST HTTP A SERVER1

R(config-ipv6-acl)# remark BLOQUEO SERVER1 A VLAN 20

R(config-ipv6-acl)# remark PERMITIR TODO LO DEMAS

R(config)# int f0/1 Se implementa a una interfaz de entrada o salida, lo

# show access-lists Muestra las ACL creadas: estándar, extendidas e IPv6

R(config)# ip dhcp excluded-address 192.168.0.1

Crea un pool de DHCP.

R(dhcp-config)# default-router 192.168.1.1 Define el gateway por defecto de la red.

R(dhcp-config)# dns-server 209.165.200.225 Asigna una dirección DNS de la red.

R(dhcp-config)# domain-name ccna-lab.com Asigna un nombre de dominio de la red.

Cuando el servidor DHCP está fuera de la red LAN:

# show ip dhcp pool Verifica que el pool reparte direcciones

DHCPv6 SIN ESTADO – SLAAC

R(config)# int f0/0

Configura la dirección según dos modo que el equipo