Académique Documents
Professionnel Documents
Culture Documents
(config)# line con 0 Evita que los mensajes inesperados del equipo
(config-line)# logging synchronous interfieran en el editor de comandos
CONFIGURACIÓN PRINCIPAL
(config)# hostname R1 Cambia el nombre del equipo
1
(config)# line con 0
(config-line)# password ccna
(config-line)# login
(config-line)# line aux 0 Solo para Router,
(config-line)# password ccna porque Switch no Configuración de contraseña para cada línea. La
tiene auxiliar contraseña tiene una encriptación débil, password 7.
(config-line)# login
login: activa la contraseña. Comando necesario.
(config-line)# line vty 0 15
(config-line)# password ccna
(config-line)# login
(config-line)# exit
GUARDAR Y RESPALDAR
# wr
Guardar, de cualquiera de las dos formas.
# copy running-config startup-config
2
startup-config
# copy o tftp Respaldo de la configuración en el servidor tftp.
running-config Se ingresa la dirección IP del servidor, y el nombre con
el que se va a guardar. El nombre por defecto está
Address or name of remote host [ ]? 192.168.0.10 entre corchetes.
Destination filename [R1-confg]? Andrea-startup
BORRAR CONFIGURACIÓN
# erase startup-config
# delete vlan.dat Borrar la configuración del SWITCH en equipos reales.
# reload
# erase startup-config
Borrar la configuración del ROUTER en equipos reales.
# reload
SWITCH CAPA 3
SW(config)# ip routing Convierte el switch en capa 3(permite enrutamiento)
SW(config)# interface f0/10
Convierte el puerto en enrutado
SW(config-if)# no switchport
SW(config-if)# description GW DE LAN-1
Configura el puerto del switch como si fuera el gateway
SW(config-if)# ip add 192.168.10.1 255.255.255.0
de un router
SW(config-if)# no shutdown
SEGURIDAD BÁSICA
3
(config)# line vty 0 15
Configura las líneas vty para que usen ssh y no telnet.
(config-line)# transport input ssh
Inicia sesión local, para relacionar las líneas vty con la
(config-line)# login local
base de usuarios local
# show ip ssh Muestra la versión y configuración de SSH
# show ssh Muestra los equipos conectados
ssh –l [username] [dir. IP] Para ingresar al equipo por SSH desde el cmd.
VLANs
Para que exista comunicación es necesario que en todos los switch estén cradas las vlans.
SW(config)# vlan 10 Crea una vlan
SW(config-vlan)# name GERENCIA
Da un nombre a la vlan
SW(config-vlan)# exit
f0/1-10
SW(config)# int range o Ingresa a un rango de interfaces o puertos
f0/1-10, g0/1-2
SW(config-if-range)# switchport mode access Configura como modo de acceso los puertos
SW(config-if-range)# switchport access vlan 20 Asigna el rango de interfaces a una vlan
SW(config)# int range f0/1-10
Eliminar una vlan.
SW(config-if-range)# no switchport access vlan 20
Es necesario primero quitar las interfaces asignadas
SW(config-if-range)# exit
a la vlan, y luego eliminarla.
SW(config)# no vlan 20
# show vlan brief Muestra todas las vlans
# show vlan summary Muestra cuantas vlans han sido creadas
ENLACE TRUNCAL
SW(config)# int range f0/1-2
Configura un enlace como truncal
SW(config-if-range)# switchport mode trunk
Crea una vlan nativa. El comando con nonegotiate es
SW(config-if-range)# switchport trunk native vlan 99
necesario poner para que no se caiga el enlace entre
SW(config-if-range)# switchport nonegotiate
varios switch
SW(config-if-range)# switchport trunk allowed vlan 10,20 Limita el paso de las vlans por el enlace truncal
SW(config-if-range)# switchport mode dynamic desirable Usar DTP (negociación) para iniciar un enlace troncal.
# show interface trunk Muestra los enlaces troncales
# show interface f0/1 switchport Muestra si la interfaz es de acceso o troncal
SEGURIDAD DE PUERTOS
SW(config)# int range f0/1-10
Activa la seguridad de puertos en el rango de
SW(config-if-range)# switchport mode access
interfaces
SW(config-if-range)# switchport port-security
SW(config-if-range)# switchport port-security max 5 Limita el número de dir. MAC que acceden al puerto
Activa el tipo de violación:
- Protect: bloquea el puerto sin avisar sobre la violación
- Restrict: bloquea el puerto y avisa sobre la violación,
SW(config-if-range)# switchport port-security violation restrict
contabilizando las veces que hubo violación
- Shutdown: deshabilita el puerto y avisa sobre la
violación. Esta es la violación por defecto.
(config-if-range)# switchport port-security mac-address sticky Almacena las MAC en el running-config
(config-if-range)# switchport port-security mac-address Agregar de forma estática y manual una MAC a una
xxxx.xxxx.xxxx interfaz.
4
# show port-security Verifica que esté con seguridad de puertos
Verifica si la interfaz tiene seguridad de puertos, y si
# show port-security int f0/5
ha sido bloqueada por alguna violación
# show port-security address Muestra las direcciones MAC seguras
ESTADO DE PUERTOS (INTERFACES)
(config)# int f0/1
Activa o habilita un puerto
(config-if)# no shutdown
(config)# int f0/1
Desactiva o deshabilita un puerto
(config-if)# shutdown
(config)# int f0/1
Habilita un puerto después de haberlo bloqueado por
(config-if)# shutdown
una violación, o desactivado por algún error.
(config-if)# no shutdown
# show interface f0/1 status Muestra estado de interfaz (si se deshabilita por error)
# show interfaces Muestra estado de las interfaces y la dirección MAC
DESHABILITAR CDP
CDP es un protocolo exclusivo de Cisco utilizado para detectar otros dispositivos de Cisco conectados directamente
# no cdp run
Desactiva CDP, cualquiera de los 2 comandos.
# no cdp neighbors
R(config)# int range f0/3-10
Deshabilitar CDP en puertos deseados
R(config-if-range)# no cdp enable
# show cdp neighbors Muestra información de equipos CISCO conectados
NTP
Protocolo que se utiliza para sincronizar los relojes de las redes de datos de los sistemas de computación.
Configura NTP en el servidor con un número de capa,
R1(config)# ntp master 1 que es el que indica a cuántos saltos NTP se
encuentra un origen de hora autoritativo
R2(config)# ntp server 10.1.1.1 Configura NTP en el cliente y con la dir. IP del servidor
R2(config)# ntp server 10.1.1.1 key 15 Configura NTP en el cliente con un valor de llave
Muestra si NTP está funcionando y si se comunica
# show ntp associations
correctamente
# show ntp status Muestra información de NTP
DHCP SNOOPING
Permite determinar cuáles son los puertos de switch que pueden responder a solicitudes de DHCP (Puertos confiables)
SW(config)# ip dhcp snooping Activa DHCP Snooping
SW(config)# ip dhcp snooping vlan 10,20 Limita las vlans a implementar DHCP Snooping
SW(config)# int f0/1 Configura los puertos confiables donde están
SW(config-if)# ip dhcp snooping trust localizados los servidores DHCP reales
SW(config-if)# int f0/2 Configura puertos no confiables limitando el número
SW(config-if)# ip dhcp snooping limit rate 5 de peticiones DHCP
RUTA PREDETERMINADA
R(config)# ip route 0.0.0.0 0.0.0.0 10.10.1.1 Configura la ruta predeterminada. Al final va la
IPv4
dir. IP del siguiente salto, o la interfaz de salida.
R(config)# ip route 0.0.0.0 0.0.0.0 s0/0/0
R(config)# ipv6 route : :/0 2000:ABC:123:100::1/64 Configura la ruta IPv6 predeterminada. Al final
va la dir. IPv6 del siguiente salto, o la interfaz IPv6
R(config)# ipv6 route : :/0 s0/0/0 de salida.
5
RUTA ESTÁTICA
FLOTANTE
COMPLETAMENTE ESPECIFICADA
R(config)# ip route 192.168.10.0 255.255.255.0 s0/0/0 Configura la ruta estática finalizando con la
IPv4
10.10.1.1 interfaz de salida y la dir IP del siguiente salto
ROUTER
R(config)# interface g0/0.10
Enrutamiento entre VLANs:
R(config-subif)# encapsulation dot1Q 10 En la interfaz conectada, se crea subinterfaces según
R(config-subif)# ip add 172.17.10.1 255.255.255.0 las vlans ya creadas en el switch. Es necesario activar
R(config-subif)# interface g0/0.30 el protocolo dot1Q para las vlans con el comando
R(config-subif)# encapsulation dot1Q 30 encapsulation dot1Q [#vlan]. La subinterfaz y el
R(config-subif)# ip add 172.17.30.1 255.255.255.0 protocolo dot1Q deben tener el mismo número de vlan.
6
HTTP, HTTPS, CCP Y SDM
R(config)# ip http server Habilita servicio HTTP (puerto 80 de TCP)
R(config)# ip http secure-server Habilita servicio HTTPS (puerto 443 de TCP)
R(config)# username admin privilege 15 secret Crea usuario con privilegio en nivel de modo
adminpass1 privilegiado, y contraseña protegida MD5
RIP
RIPv2
R(config)# router rip Ingresa a la configuración RIP
R(config-router)# version 2 Cambia a la versión 2
R(config-router)# network 172.30.0.0
Declara las redes directamente conectada.
R(config-router)# network 10.0.0.0
R(config-router)# passive-interface g0/1 Evita actualizaciones RIP enviadas por esa interfaz
R(config-router)# no auto-summary Desactiva la sumarización automática
R(config-router)# default-information originate Redistribuye las rutas por defecto
# debug ip rip Examina actualizaciones RIP, mediante mensajes
# show ip protocols Para verificar si el protocolo fue configurado
RIPng
R(config)# ipv6 router rip Test1
R(config)# interface g0/1
R(config-if)# ipv6 rip Test1 enable
Configuración de RIPng (RIP en IPv6)
R(config-if)# interface s0/0/0
R(config-if)# ipv6 rip Test1 enable
R(config-if)# exit
R(config)# int s0/0/0 Redistribución de una ruta por defecto dentro de la
R(config-if)# ipv6 rip Test1 default-information originate interfaz.
# show ipv6 protocols Para verificar si el protocolo fue configurado
# show ipv6 rip Test1 Para verificar si el proceso RIP fue configurado.
OSPF
OSPFv2
Ingresa a la configuración OSPF.
R(config)# router ospf 1 El número de sistema autónomo puede o no ser el
mismo para todos los routers
Configura el ID del router, diferente para cada router. El
R(config-router)# router-id 11.11.11.11
ID más alto, es el que tiene mayor prioridad
R(config-router)# network 192.168.10.0 0.0.0.3 area 0 Declara las redes directamente conectadas con su
R(config-router)# network 192.168.20.0 0.0.0.3 area 0 correspondiente wildcard, y el área que se encuentran
R(config-router)# passive-interface g0/0.10 Evita que actualizaciones OSPF se envíen por esas
R(config-router)# passive-interface g0/0.20 interfaces; es decir pone las interfaces como pasivas.
7
R(config)# router ospf 1
R(config-router)# router-id 2.2.2.2 Configurar el ID del router OSPF.
Reload or use "clear ip ospf process" command, for this to Si el router ya tiene un ID y se quiere cambiar de ID, va
take effect a pedir reiniciar el proceso OSPF con el comando "clear
R(config-router)# end ip ospf process"
R# clear ip ospf process
R(config)# interface s0/0/0 Modifica el valor del ancho de banda, y por ende
R(config-if)# bandwidth 128 cambia el costo de la interfaz OSPF.
# show ip ospf int s0/0/0 | include Timer Para verificar los intervalos en una interfaz
8
AUTENTICACIÓN GLOBAL
R(config)# router ospf 2
R(config-router)# area 0 authentication message-digest Habilita la autenticación MD5 para OSPF dentro de un
área
R(config-router)# exit
9
R(config-std-nacl)# remark BLOQUEAR TODO LO DEMAS
R(config-std-nacl)# deny any Denegar todo lo demás
R(config-std-nacl)# exit
tcp ge
remark udp gt
R(config)# access-list [#] permit ip [IP origen] [wildcard] [IP destino] [wildcard] eq [# Puerto]
deny icmp lt
le
10
R(config)# access-list 100 remark PERMITIR TODO LO
DEMAS Permitir todo lo demás
R(config)# access-list 100 permit ip any any
11
R(config)# ipv6 access-list CISCO3 Crea una ACL IPv6 extendida nombrada
R(config-ipv6-acl)# remark SERVER1 NO PING A LAPTOP1 Denegar el PING, utiliza el protocolo ICMP
R(config-ipv6-acl)# deny icmp host 2050:cd:cd:A::10 host No necesita el operador ni el número de puerto, solo
2050:cd:cd:25::10 echo-request poner echo-request al final
12
# show ip dhcp binding Muestra la dirección fijada al cliente del DHCP
# show ip dhcp server statistics Muestra la dirección IP estatica del Server DHCP
SW(config)# interface vlan 1 Permite a la interfaz VLAN obtener una dirección IPv6
SW(config-if)# ipv6 address autoconfig a través de SLAAC.
13
En IPv6, cuando el servidor DHCP está fuera de la red:
- Ingresar al router y a la interfaz más cercana al
R2(config)# interface g0/0 host usuario
R2(config-if)# ipv6 dhcp relay destination 2001:DB8:F:1::6 - Hacer un puente para llegar a DHCP: utilizando la
dir. IPv6 de la interfaz del servidor DHCP más
cercana al equipo que solicita DHCP.
R(config)# ip nat inside source static tcp 10.10.10.10 80 Configuración NAT estática con un número de puerto
64.102.139.2 80 TCP o UDP específico:
- Establece la traducción estática entre una
R(config)# interface s0/0/0 dirección local interna y puerto local, y una
R(config-if)# ip nat inside dirección global interna y un puerto global
R(config-if)# interface s0/0/1 - Define la interfaz que va a la red interna, y la que
R(config-if)# ip nat outside va a la red externa
NAT DINÁMICA
No hay ahorro de direcciones porque es una traducción de uno a uno, pero la dirección no es fija, debido a que se
escoge la primera dirección libre de un pool de direcciones.
Configura una ACL estándar que permita las
R(config)# access-list 1 permit 192.168.1.0 0.0.0.255
direcciones que se deben traducir
R(config)# ip nat pool PUBLIC_ACCESS 209.165.200.242
netmask 255.255.255.224 Define un conjunto de direcciones globales o públicas
209.165.200.254 que se deben usar para la traducción
prefix-lenght 27
14
PAT (NAT CON SOBRECARGA)
SW(config-if)# spanning-tree bpduguard enable Habilita la protección de puertos PortFast, BPDU guard
15
HSRP
El número de grupo (num después del standby), y dirección IP virtual deben ser los mismos para el activo y pasivo
ROUTER ACTIVO
ETHERCHANNEL
LACP
Habilita el EtherChannel para un grupo de interfaces,
SW(config)# interface range f0/1 -2
volviéndole una sola interfaz identificada con un
SW(config-if-range)# channel-group 1 mode active
número. Para establecer EtherChannel SW1: Active,
SW(config-if-range)# exit
SW2: Active o Passive
SW(config)# interface port-channel 1 Ingresa a la interfaz EtherChannel con el número
SW(config-if)# switchport mode trunk asignado, y se configura como troncal
PAgP
Habilita el EtherChannel para un grupo de interfaces,
SW(config)# interface range f0/1 -2
volviéndole una sola interfaz identificada con un
SW(config-if-range)# channel-group 1 mode desirable
número. Para establecer EtherChannel
SW(config-if-range)# exit
SW1:Desirable, SW2: Desirable o Auto
SW(config)# interface port-channel 1 Ingresa a la interfaz EtherChannel con el número
SW(config-if)# switchport mode trunk asignado, y se configura como troncal
16
VTP
MODO SERVIDOR
Permite crear, eliminar y editar VLANs, y pasar la información de vlan.dat al Switch cliente.
MODO CLIENTE
No puede crear, eliminar ni editar VLANs, solo recibir la información de vlan.dat del Switch servidor
MODO TRANSPARENTE
Puede localmente crear, eliminar y editar VLANs, sin afectar a los demás switch. Reenvía avisos VTP recibidos de
otros switch
SW(config)# vtp mode transparent Configura el switch como transparente
OSPFv3
R(config)# ipv6 router ospf 1
R(config-route)# router-id 1.1.1.1
R(config-route)# exit
R(config)# int g0/0 Configuración de OSPF Multiárea IPv6, las interfaces
conectadas con el área a la que pertenece cada una.
R(config-if)# ipv6 ospf 1 area 10
R(config)# int s0/0/0
R(config-if)# ipv6 ospf 1 area 0
Muestra información para OSPF de área simple y multiárea. Para OSPFv3 cambia ip por ipv6
# show ip ospf neighbors Muestra los vecinos OSPF
# show ip ospf Verifica el proceso OSPF
# show ip ospf interface Muestra información sobre las interfaces con OSPF
17
Muestra información específica de OSPF Multiárea. Para OSPFv3 cambia ip por ipv6
Muestra el estado global y por interfaz de los
# show protocols
protocolos configurados como OSPF
# show ip ospf interface brief Muestra un resumen de las interfaces con OSPF
# show ip route ospf Muestra la tabla de enrutamiento de OSPF
# show ip ospf database Muestra la base de datos OSPF
EIGRP
El número de sistema autónomo (número a lado de router eigrp) debe ser el mismo para todos los routers
EIGRP IPv4 (MODO RIP)
R1(config)# router eigrp 1
R1(config-router)# eigrp router-id 1.1.1.1
R1(config-router)# network 10.0.0.0 Configuración de EIGRP de la Forma 1: como se
R1(config-router)# network 192.168.10.0 configura RIP, con una red sumarizada.
R1(config-router)# no auto-summary Es necesario desactivar la auto sumarización
R1(config-router)# passive-interface lo0
R1(config-router)# exit
18
# show ip eigrp neighbors Muestra los vecinos EIGRP
# show ip route eigrp Muestra la tabla de enrutamiento de EIGRP
# show ip eigrp topology Muestra el mejor camino según el algoritmo DUAL.
Muestra que RD<FD, y el estado. RD: Distancia
# show ip eigrp topology all-links
Reportada, FD: Distancia Factible
EIGRP (otras configuraciones)
IPv4
R(config)# int s0/0/0
R(config-if)# ip summary-address eigrp 1 192.168.0.0 Configura una ruta sumarizada
255.255.252.0
R(config)# router eigrp 1 Para EIGRP, busca que todos conozcan la ruta por
R(config-router)# redistribute static defecto por la que deben salir a internet.
IPv6
R(config)# int s0/0/0
R(config-if)# ipv6 summary-address eigrp 1 Configura una ruta sumarizada
2001:db8:acad::/48
R(config)# ipv6 router eigrp 1 Para EIGRP, busca que todos conozcan la ruta por
R(config-router)# redistribute static defecto por la que deben salir a internet.
VPN
Red Privada Virtual: es una conexión cifrada entre redes privadas a través de una red pública. Se toma en cuenta
la dirección del tunnel para el enrutamiento dinámico. El número de tunnel puede ser igual en los dos equipos.
R1(config)# int tunnel 1 Crea una interfaz tunnel y asigna una dirección IP. Se
R1(config-if)# ip add 172.16.10.5 255.255.255.252 recomienda que el número de tunnel comience en 1.
R1(config-if)# tunnel source s0/0/0 Establece la interfaz origen para la terminal del tunnel
R1(config-if)# tunnel destination 10.10.10.5
Establece la dir. IP destino para la terminal del tunnel
R1(config-if)# exit
19
R1(config)# router ospf 1
Enruta dinámicamente con OSPF la red del tunnel
R1(config-router)# network 172.16.10.4 0.0.0.3 area 0
R2(config)# int tunnel 1 Crea una interfaz tunnel y asigna una dirección IP. Se
R2(config-if)# ip add 172.16.10.6 255.255.255.252 recomienda que el número de tunnel comience en 1
R2(config-if)# tunnel source s0/0/1 Establece la interfaz origen para la terminal del tunnel
R2(config-if)# tunnel destination 10.10.10.1 Establece la dir. IP destino para la terminal del tunnel
R2(config)# router ospf 1
Enruta dinámicamente con OSPF la red del tunnel
R2(config-router)# network 172.16.10.4 0.0.0.3 area 0
HDLC
R(config)# int serial 0/0/0 Configura la encapsulación HDLC, el cual se utiliza
R(config-if)# encapsulation hdlc para la conexión entre dos dispositivos CISCO
# show interface s0/0/0 Para verificar el tipo de encapsulación
PPP
R(config)# int serial 0/0/0 Habilita la encapsulación PPP, el cual se utiliza para la
R(config-if)# encapsulation ppp conexión entre dos dispositivos diferentes
Habilita el algoritmo:
predictor - Compress predictor: predice la próxima secuencia
R(config-if)# compress .de caracteres en una secuencia de datos.
stac - Compress stac: crea un diccionario con cadenas
redundantes y las reemplaza por cadenas cortas.
20
Crea un usuario y contraseña: el nombre de usuario
R2(config)# username R1 password cisco1234 tiene que ser el nombre del otro equipo, y la
contraseña debe ser la misma para los dos equipos.
R1(config-if)# no frame-relay inverse-arp Quita el ARP inverso. ARP inverso permite obtener la
dir. IP del otro equipo, teniendo la dir. Física
R1(config-if)# shutdown
Desactiva y Activa la interfaz
R1(config-if)# no shutdown
R1(config-if)# frame-relay map ip 200.10.10.2 102 Mapeo interno: dir. IP de R2, DLCI de R1->R2, y
broadcast broadcast al final
R1(config-if)# frame-relay map ip 200.10.10.3 103 Mapeo interno: dir. IP de R3, DLCI de R1->R3, y
broadcast broadcast al final
21
CONFIGURA LA NUBE FRAME RELAY:
R-FR(config)# frame-relay switching
1. Habilita el Frame Relay como Switch
R1(config)# interface serial 0/0/0 Ingresa a la interfaz serial conectada a la nube FR, y la
R1(config-if)# no shut activa.
22
R(config)# interface serial 0/0/0
Cambia la encapsulación Frame Relay a IETF
R(config-if)# encapsulation frame-relay ietf
PPPoE
R(config)# int dialer 1 Configura el cliente (CPE) para abrir sesión PPPoE:
- Crea interfaz dialer, interfaz virtual que inicia PPPoE
R(config-if)# dialer pool 1 - Especifica el pool de interfaces físicas a utilizar.
- Habilita la encapsulación PPP
R(config-if)# encapsulation ppp - Indica al cliente que utilice una dirección IP
proporcionada por el servidor PPPoE.
R(config-if)# ip address negotiated - Modifica el MTU a 1492 para evitar
desfragmentación innecesaria, ya que PPP agrega
R(config-if)# mtu 1492 un encabezado de 8 bytes a la trama
R(config-if)# exit Los números en rojo deben ser iguales
AUTENTICACIÓN PPPoE
R(config)# int dialer 2 Crea la interfaz dialer
R(config-if)# encapsulation ppp Habilita la encapsulación PPP
R(config-if)# ppp authentication chap callin Habilita la autenticación CHAP para equipos que no
son CISCO
R(config-if)# ppp chap hostname CCNA4 Especifican un nombre de usuario y password
R(config-if)# ppp chap password cisco alternativo que se utilizará para la autenticación
23
# show ip route Muestra las rutas incluidas las conectadas por Dialer
# debug ppp negotiation
Permite ver las transacciones de negociación PPP
# undebug all
BGP
Enrutamiento dinámico. Utiliza números de sistema autónomo reales en el rango de 64512 a 65534
eBGP: cuando el número de sistema autónomo (AS) es diferente entre los vecinos. BGP externo: une AS diferentes
iBGP: cuando el número de sistema autónomo (AS) es igual entre los vecinos. BGP interno: une AS iguales
R1(config)# router bgp 65001 Habilita BGP con el número de sistema autónomo
(#AS) de origen
R1(config-router)# neighbor 5.5.5.2 remote-as 65002 Establece la vecindad con la dirección IP y el #AS del
router vecino directamente conectado
Comparte la red para que el otro equipo llegue a él.
R1(config-router)# network 5.5.5.0 mask 255.255.255.224
(Opcional, depende desde que router desea compartir)
R1(config-router)# network 0.0.0.0 Comparte ruta por defecto (si es que es necesario)
R2(config)# router bgp 65002 Habilita BGP con el número de sistema autónomo
(#AS) de origen
R2(config-router)# neighbor 5.5.5.1 remote-as 65001 Establece la vecindad con la dirección IP y el #AS del
router vecino directamente conectado
R2(config-router)#neighbor 200.10.10.6 remote-as 65003 Establece la vecindad con la dirección IP y el #AS del
router vecino directamente conectado
R3(config)# router bgp 65003 Habilita BGP con el número de sistema autónomo
(#AS) de origen
R3(config-router)# neighbor 5.5.5.2 remote-as 65002 Establece la vecindad con la dirección IP y el #AS del
router vecino directamente conectado
R3(config-router)# network 8.8.8.0 mask 255.255.255.0 Comparte la red para que el otro equipo llegue a él.
# show ip bgp neighbors Muestra los routers vecinos conectador por BGP
# clear ip bgp * Resetea las sesiones BGP
GRE VPN
GRE: Generic Routing Encapsulation. Se toma en cuenta la dirección del tunnel para el enrutamiento dinámico. El
número de tunnel puede ser igual en los dos equipos.
R1(config)# int tunnel 1 Crea una interfaz tunnel y asigna una dirección IP. Se
R1(config-if)# ip add 192.168.2.1 255.255.255.0 recomienda que el número de tunnel comience en 1.
R1(config-if)# tunnel mode gre ip Especifica que el tunnel es GRE.
s0/0/0
R1(config-if)# tunnel source Establece la interfaz de origen o la dir. IP origen para la
terminal del tunnel
209.165.201.1
R1(config-if)# tunnel destination 209.165.201.2
Establece la dir. IP destino para la terminal del tunnel
R1(config-if)# exit
24
R1(config)# router ospf 1
Enruta dinámicamente con OSPF la red del tunnel
R1(config-router)# network 192.168.2.0 0.0.0.255 area 0
R2(config)# int tunnel 1 Crea una interfaz tunnel y asigna una dirección IP. Se
R2(config-if)# ip add 192.168.2.2 255.255.255.0 recomienda que el número de tunnel comience en 1
R2(config-if)# tunnel mode gre ip Especifica que el tunnel es GRE. (Comando Opcional)
R2(config-if)# tunnel source 209.165.201.2 Establece la interfaz origen para la terminal del tunnel
R2(config-if)# tunnel destination 209.165.201.1 Establece la dir. IP destino para la terminal del tunnel
IPSec
Asegura la comunicación por IP entre dos routers. Los routers R1 y R2 se deben configurar con los mismos datos, a
excepción de la dir. IP del equipo par. Funciona junto a GRE, por lo que se debe primero realizar el tunnel GRE.
R1(config)# access-list 100 permit ip 192.168.10.0
0.0.0.255 any Crea una ACL extendida numerada con el tráfico
interesante, es decir el tráfico que se desea tener
R1(config)# access-list 100 permit ip 192.168.20.0
seguridad
0.0.0.255 any
Cofiguración del Edificio IPSec (CIA): Fase 1 IKE (Internet Key Exchange)
R1(config)# crypto isakmp policy 1 Crea una política para negociaciones, y se le da un
número cualquiera
Confidencialidad: Encripta mediante algoritmos: DES,
R1(config-isakmp.policy)# encription aes
3DES o AES. AES es el más seguro
Integridad: comprueba mediante algoritmos MD5 o
R1(config-isakmp.policy)# hash md5
SHA. SHA es el mejor algoritmo
Autenticación: autentica mediante PSK o RSA. PSK se
R1(config-isakmp.policy)# authentication psk realiza con la llave previamente compartida, RSA se
realiza a través de una entidad certificadora.
25
Aplicar Crypto map en una interfaz
R1(config)# int f0/0.10 Ingresa a la interfaz externa
R1(config-if)# crypto map CCNA4_crypto Aplica el crypto map a la interfaz
# show crypto isakmp policy Muestra información de la política IKE configurada
# show crypto ipsec transform-set Muestra las políticas IPSec configuradas
# show crypto map Muestra los mapas de cifrado
SYSLOG
Los mensajes de syslog que generan los dispositivos de red se pueden recopilar y archivar en un servidor syslog,
para el monitoreo y control. Los mensajes se pueden marcar con la hora para analizar la secuencia de eventos; por
lo que es importante sincronizar el reloj con NTP. El software tftpd64 se utiliza para visualizar los mensajes syslog.
NTP
Configuración del Servidor o Maestro NTP:
R1(config)# do clock set 10:36:00 03 february 2017 - Establece la hora y fecha
- Configura como maestro al router especificando
R1(config)# ntp master 1
el número de capa, el cual indica a cuántos saltos
NTP se encuentra un origen de hora autoritativo
Configuración del Cliente NTP:
R2(config)# ntp server 10.10.10.1 - Configura el router como cliente, indicando la
dirección del servidor NTP
R2(config)# ntp update-calendar
- Establece que se actualice el calendario
periódicamente con la hora del servidor NTP
SYSLOG
R(config)# service timestamp log datetime msec Habilita las marcas de tiempo en milisegundos
R(config)# logging 192.168.1.3 Configura la dir. IP de destino del servidor syslog
Controla los mensajes que se envían al servidor syslog,
colocando un nivel que limita los mensajes de 0 hasta
ese nivel.
Nivel 0 E: Emergency
4 Nivel 1 A: Alert
R(config)# logging trap Nivel 2 C: Critical
warning Nivel 3 E: Error
Nivel 4 W: Warning
Nivel 5 N: Notification
Nivel 6 I: Informational
Nivel 7 D: Debugging
Configura la interfaz de origen para especificar que los
R(config)# logging source-interface g0/0
paquetes de syslog incluyen la dir. IP de esa interfaz
R(config)# interface loopback 0 Realiza algún proceso para ver los mensajes syslog de
ese proceso:
R(config-if)# shutdown Crea una interfaz loopback
R(config-if)# no shutdown Desactiva y activa la interfaz
# show logging Muestra los mensajes registrados en el syslog
# show logging Limpia el buffer del log
SNMP
Monitorea el tráfico existente en el router que se configura SNMP, mediante un host con el software de monitoreo
SNMPv2c (Router)
R(config)# ip access-list standard SNMP_v2c
Crea un access list especificando la dirección IP del
R(config-std-nacl)# permit host 192.168.10.12
equipo destino que tiene el software de monitoreo. Es
R(config-std-nacl)# exit opcional crear una ACL
26
R(config)# snmp-server host 192.168.10.12 version 2c Configura la versión, indicando la dir. IP del host
CCNA4 destino que tiene el software de monitoreo, la versión,
en este caso 2c, y la contraseña
Configura la cadena de acceso de comunidad para
permitir el acceso a SNMP, indicando la contraseña, el
estado de acceso, y puede relacionar la ACL, si se creó.
R(config)# snmp-server community CCNA4 rw SNMP_v2c
El estado de acceso puede ser:
- ro: read-only (solo lectura)
- rw: read-write (lectura escritura)
R(config)# snmp-server enable traps Habilita todos los Traps (alertas de notificaciones)
SNMPv2c (Switch)
SW(config)# snmp-server host 192.168.10.12 version 2c Configura la versión, indicando la dir. IP del host
CCNA4 destino que tiene el software de monitoreo, la versión,
en este caso 2c, y la contraseña
Configura la cadena de acceso de comunidad para
permitir el acceso a SNMP, indicando la contraseña, el
estado de acceso.
SW(config)# snmp-server community CCNA4 ro
El estado de acceso puede ser:
- ro: read-only (solo lectura)
- rw: read-write (lectura escritura)
# show snmp Muestra el estado de las comunicaciones SNMP
Muestra todas las cadenas de acceso de la comunidad
# show snmp community configuradas para habilitar el acceso a las entidades
SNMP.
SNMPv3
R(config)# ip access-list standard SNMP_v3
R(config-std-nacl)# permit host 192.168.10.12 Crea un access list especificando la dirección IP del
equipo destino que tiene el software de monitoreo
R(config-std-nacl)# exit
Configura una vista SNMP, que define la MIB que se va
a analizar.
- MIB es una variable con un código OID, que
determina el punto de partida que se va a
monitorear según un árbol OID:
1.root, 1.2.home, 1.3.user, 1.2.4.var => código
R(config)# snmp-server view SNMP_VIEW iso included
OID: 1.2.4 es el punto de partida
iso: indica que el “root” es punto de partida
- Included: indica que el monitoreo incluye el punto
de partida. (Opcional)
- Excluded: indica que el monitoreo excluye el punto
de partida (Opcional)
Configura un grupo SNMP
- Habilita la encriptación en versión 3
R(config)# snmp-server group SNMP_GROUP v3 priv read - Define si va a ser lectura o escritura. Configurar
SNMP_VIEW access SNMP_v3 siempre como lectura.
- Relaciona la vista
- Relaciona la ACL configurada.
Configura un usuario SNMP en versión 3:
- Relaciona el grupo SNMP
- Especifica la comprobación de la integridad con
algoritmo md5 o sha
R(config)# snmp-server user SNMP_USER SNMP_GROUP
- Establece la contraseña de autenticación
v3 auth sha cisco1234 priv aes 128 CCNA4
- Especifica la comprobación de la autenticación
con algoritmo des, 3des o aes
- Especifica el tamaño de bytes
- Establece la contraseña de encriptación
27
# show snmp group Muestra información de cada grupo SNMP en la red.
Muestra información sobre las características
# show snmp user SNMP_USER
configuradas de un usuario SNMP.
NETFLOW
R(config)# int s0/0/0
R(config-if)# ip flow ingress Configura NetFlow, capturando los ingresos y egresos
de los paquetes de datos
R(config-if)# ip flow egress
Configura los datos de exportación, con la dirección IP
R(config)# ip flow-export Destination 192.168.10.3 9996
de destino y el puerto TCP o UDP
R(config)# ip flow-export version 9 Configura la versión de NetFlow
# show ip cache flow Muestra el volumen de tráfico
SPAN
Crea una sesión que monitorea un equipo de red conectado al switch, utilizando un host con Wireshark
SW(config)# monitor session 1 source f0/5 Configura el puerto de origen, puerto del switch
conectado al equipo que se desea monitorizar.
Configura el puerto de destino, puerto del switch
SW(config)# monitor session 1 destination f0/15 conectado al equipo desde donde se va a monitorizar
con wireshark
28
R(config)# int s0/0/0 Ingresa y aplica, de la salida o entrada, a la interfaz la
R(config-if)# service-policy output GERENCIA-POLICY política de servicio configurada
# show policy-map Muestra todos los mapas de políticas
Muetra todos los mapas de clase y sus criterios de
# show class-map
coincidencia
IP SLA
Permite el monitoreo activo, es decir cuando se está enviando paquetes. El número de IP SLA es el mismo del
cronograma. Se necesita implementar puntos de prueba (operación): Ping, Jitter, Traceroute. En este caso PING.
R(config)# ips sla 1 Crea una IP SLA
R(config-sla)# icmp-echo 192.168.1.5 Activa operación PING para el equipo destino, equipo
a monitorear
R(config-sla-operation)# frequency 30 Especifica la frecuencia con la que se realiza la
R(config-sla-operation)# exit operación.
29
VISUALIZACIÓN
EN CMD
ssh –l [nombre usuario] [dir. IP del equipo] Ingresar a un equipo por SSH
arp –a Muestra la tabla ARP
arp –d * Elimina la tabla ARP actual
route print Cualquiera de los 2 comandos muestra la tabla de
netstat –r enrutamiento local
nslookup Para consultas manuales de servidores de nombres
ipconfig /displaydns Muestra todos los DNS almacenados
EN LÍNEA DE COMANDOS
# show ip interface brief Muestra estado de las interfaces con direccionamiento IPv4
# show ip interface g0/0 Muestra estado de la interfaz con su direccionamiento IPv4
# show ipv6 interface brief Muestra estado de las interfaces con direccionamiento IPv6
# show ipv6 interface g0/0 Muestra estado de la interfaz con su direccionamiento IPv6
# show controller s0/0/0 Muestra el estado de la serial, y si es DCE o DTE
# show version Muestra características de hardware y software
# show running-config Muestra la configuración actual
# show startup-config Muestra la configuración guardada
# show mac address table Muestra la tabla de direcciones MAC
# show ip route Muestra la tabla de enrutamiento IPv4
# show ipv6 route Muestra la tabla de enrutamiento IPv6
# show arp Muestra la tabla ARP
# show protocols Muestra los protocolos activos
# show cdp neighbors Muestra información de equipos CISCO conectados
# show file systems Muestra lista de archivos disponibles con permiso de lectura
# show vlan brief Muestra todas las VLANs
# show vlan summary Muestra cuantas VLANs han sido creadas
# show interfaces Muestra estado de las interfaces y la dirección MAC
# show interface f0/1 status Muestra estado de interfaz (si se deshabilita por error)
Muestra el estado de Auto-MDIX.
# show controllers ethernet-controller f0/1 phy | Auto-MDIX es una característica que ayuda a la interfaz
include Auto-MDIX detectar automáticamente el tipo de conexión de cable
requerido (directo o cruzado)
# show ip ssh Muestra la versión y configuración de SSH
# show ssh Muestra los equipos conectados
# show port-security Verifica si está con seguridad de puertos
Verifica si la interfaz tiene seguridad de puertos, y si ha sido
# show port-security int f0/5
bloqueada por alguna violación
# show port-security address Muestra las direcciones MAC seguras
# show flash Muestra todo el contenido de la memoria Flash
# show interface f0/1 switchport Muestra si la interfaz es de acceso o troncal
# show interface trunk Muestra los enlaces troncales
30