Cartilla2 v5 v1 Definitiva

GUÍA DE PRÁCTICOS CCNA-2 v5
Centro de Capacitación Gabriel

Taborin - Córdoba
2
TRABAJO PRÁCTICO 1 – CCNA2
Nivelatorio Subneteo CCNA2
Objetivos:
 Que el alumno pueda refrescar conceptos de CCNA1.
1 Cuál es el rango de direcciones privadas definidas en el RFC 1918?

(Seleccione todas las aplicables)
A. 0.0.0.0 hasta 255.255.255

B. 10.0.0.0 hasta 10.255.255.255
C. 172.16.0.0 hasta 172.16.255.255
D. 172.16.0.0 hasta 172.31.255.255
E. 127.0.0.0. hasta 127.255.255.255
F. 192.168.0.0 hasta 192.168.255.255
G. 224.0.0.0 hasta 239.255.255.255
2 Cuales de los siguientes hosts son miembros de redes que pueden ser enrutadas a través de INTERNET?
(Elija tres)
A. 10.172.13.65
B. 172.16.223.125
C. 172.64.12.29
D. 192.168.23.252
E. 198.234.12.95
F. 212.193.48.254
3 Su ISP le ha asignado un espacio completo de clase B. Usted deberá armar 300 subredes que puedan
soportar 50 hosts cada una.
Cuales son las 2 subredes que safistacen tal requisito?
A. 255.255.255.0
B. 255.255.255.128
C. 255.255.252.0
D. 255.255.255.224
E. 255.255.255.192
F. 255.255.248.0
4 Un administrador de red ha subneteado la red 172.16.0.0 usando la mascara de subred 255.255.255.192.

Accidentalmente ha duplicado la dirección IP 172.16.2.121 en 2 equipos de la misma subred.
De acuerdo a los datos proporcionados, cual es la IP que podría asignarse en reemplazo de la duplicada?
A. 172.16.1.64
B. 172.16.1.80
C. 172.16.2.80
D. 172.16.2.64
E. 172.16.2.127
F. 172.16.2.128
G. Ninguna de las anteriores
5 Deberá a partir de la siguiente dirección 200.24.5.0 armar 6 subredes de al menos 12 hosts cada una.
Indique:
A. Dirección de Red de primera y quinta subred

B. Dirección de Broadcast de tercera y cuarta subred.
C. Primer host utilizable de segunda Subred
3
Configuración de Switch
PRIMERA PARTE: Exploración Física del Switch
Objetivos:
 Determinar el número de modelo de un switch Ethernet y cuáles son sus interfaces físicas (puertos).
 Identificar los cables, conexiones y dispositivos que se pueden conectar al switch
 Verificar y/o modificar los parámetros de configuración de HyperTerminal
 Conectarse al switch como su consola utilizando el PC e HyperTerminal.
Información básica:
En esta práctica de laboratorio examinará un Switch Ethernet Cisco serie Catalyst 2960 y lo comparará con
otro de la seria 2950, a fin de reunir información acerca de sus características físicas y empezar a apreciar
la función de los switches en una red. Usted determinará el número de modelo y características de un
switch específico incluyendo cuáles son las interfaces existentes y cuáles son el cableado y los dispositivos
con los que están conectadas.
Los switches Ethernet están disponibles en varias velocidades incluyendo 10Mbps (Ethernet estándar),
100Mbps (Fast Ethernet) y 1000Mbps (Gigabit Ethernet). Muchos de los switches más modernos poseen un
servidor web (HTTP) incorporado y también se pueden manejar a través de su dirección IP utilizando un
PC y una interfaz de navegador como Netscape o Internet Explorer. La capacidad para comprender y
configurar switches es esencial para el soporte de la red.
Paso 1 - Examinar los switches de LAN adelante y atrás.

Conteste las siguientes preguntas para cada modelo de switch.
1. ¿Cuál es la estructura del laboratorio del Semestre 3? (dibuje un gráfico)
2. ¿En qué tipo de switch se encuentra ud. ahora?
3. ¿Puede ver algún puerto de consola? (S/N) ¿A cuál de los puertos de la terminal de consola (estación de
trabajo de PC) está conectado?
4. ¿Qué tipo de cable es el cable de consola (roll-over, de conexión cruzada o de conexión directa)?
5. ¿Existe un conmutador de ENCENDIDO/APAGADO de la energía eléctrica? (S/N) ¿Cómo se hace para

encender el switch?
6. ¿Cuál es la cantidad total de puertos en la parte delantera del switch para la conexión de estaciones de trabajo,
servidores, routers, hubs u otros switches?
7. ¿De cuántos puertos Fast Ethernet se compone el switch?
8. ¿Son puertos de interconexión? ¿Cómo lo puede comprobar?
9. ¿Qué tipo(s) de conector(es) se utilizan?
10. ¿De cuántos puertos Giga Ethernet se compone el switch?
11. ¿Son puertos de interconexión? ¿Cómo lo puede comprobar?
12. ¿Qué tipo(s) de conector(es) se utilizan?
13. ¿Qué tipo de luces indicadoras (LED) se encuentran en la parte delantera del switch?
4
14. ¿Qué botón se encuentra en la parte delantera del switch?¿Para qué se usa?
Paso 2 - Revisión de la configuración del programa HyperTerminal de la estación de trabajo.

Haga clic en Inicio/Programas/Accesorios/Comunicaciones y luego en HyperTerminal. Haga doble clic en
el icono que se ha definido para el acceso por consola al switch y luego haga clic en Propiedades. El
nombre del icono puede ser cisco.ht o algún nombre similar. Si no existe ningún icono, puede crearlo
utilizando los parámetros que aparecen en las respuestas de la planilla de trabajo. En la pantalla
Propiedades, haga clic en la ficha Número de teléfono y luego haga clic en el botón Configurar. Complete
la siguiente tabla con la información que se suministra.
Opción de configuración Configuración(es) actual(es)

Puerto COM
Bits por segundo
Bits de datos
Paridad
Bits de parada
Control de flujo
SEGUNDA PARTE: Interfaz de Líneas de Comandos (CLI) Switch Catalyst.
Objetivos:
 Explorar los menúes de la Interfaz del usuario de la consola de administración del switch.
 Determinar el número de modelo del switch y la dirección MAC
 Documentar las opciones primarias del menú de interfaz del usuario
 Utilizar los menúes de la Consola de Administración para ver / configurar los valores de dirección
IP del switch.
 Documentar las opciones del menú de configuración de la dirección IP.
Esta práctica de laboratorio ayudará a desarrollar una comprensión básica de la administración del switch
Ethernet y lo ayudará a prepararse para las lecciones de conmutación más avanzadas como las VLAN.
Trabajará con la Interfaz de Líneas de Comandos (CLI) del Switch 2950 o 2960, para configurar algunas
opciones de conmutación básicas. La administración del switch se puede realizar a través de una interfaz
administrada con menúes como la Consola de Administración o a través de una interfaz de línea de
comando (CLI) como con la mayoría de los routers, o por la Interfaz de Administración Web.
En esta práctica de laboratorio, se conectará a través de la consola con el switch y podrá ver las opciones de
menú disponibles con el menú de interfaz del usuario a fin de familiarizarse con los distintos tipos de
configuraciones y acciones que se pueden realizar al configurar el switch. También deberá establecer la
dirección IP del switch utilizando la Consola de administración y usar la función Panel de Control / Redes
de la estación de trabajo para verificar que las configuraciones de dirección IP sean compatibles con la
dirección IP del switch. Es fundamental familiarizarse con los switches y su administración para lograr un
soporte exitoso de las redes Ethernet actuales.
Paso 1- Conectar la estación de trabajo al puerto de consola del switch y active el switch
Espere unos pocos minutos para que el switch arranque y aparecerá un prompt similar al de la línea de
comandos del Router Cisco. Este ejercicio le ayudará a familiarizarse con los distintos comandos
disponibles.
1. ¿Cuál es la forma del Prompt inicial? Comparado con el Router Cisco ¿a qué modo se parece?
2. Ejecute el comando show ? ¿qué le muestra la lista de comandos?

5
Paso 2- Modo Usuario

Ejecute el comando show version y responda las siguiente preguntas.
1. ¿Cuál es el número de modelo del switch?
2. ¿Cuál es el número de serie del switch?
3. ¿De dónde obtiene el IOS el Switch?
4. ¿Cuáles son los tamaños Ram y NVRAM?
5. ¿Cuántas interfaces tiene?
6. ¿Cuál es la MAC?
7. ¿Cuál es el número de registro?
Paso 3- Modo Privilegiado

Ejecute el comando enable y coloque como password CLASS (cuando el shitch lo pida)
1. Ejecute el comnado show ? ¿qué le muestra la línea de comandos?
Paso 4- Utilizar la línea de comandos para configurar el acceso IP.

La dirección IP del switch se puede utilizar para hacer Ping o Telnet al switch. No se requiere asignar una
dirección IP a un switch pero se recomienda para la administración de un switch remoto. En algunos
switches más modernos la dirección IP se puede utilizar para acceder al switch utilizando la interfaz de
administración del navegador basado en Web. Cuando se administra un switch, el "dominio de
administración" es siempre VLAN 1. Todos los puertos se asignan a VLAN 1 por defecto.
1. Ingrese el comando show vlan.
2. ¿Cuantas vlan existen?
3. ¿Cuál es la vlan de administración?
4. ¿Qué puertos pertenecen a la Vlan de administración?
5. Ingrese el comando show interface ¿qué muestra como salida la línea de comandos?
6. Ingrese al modo de configuración global del switch (configure terminal)
7. Ingrese al modo configuración interface del switch mediante el comando interface f0/1 (La “f significa
que el puerto es un puerto fast ethernet, el “0” indica el módulo de hardware en el que está el puerto
- va de 0 a 2 – y la barra es para indicarle el número de puerto – de 1 a 24 o de 1 a 12, según la
cantidad de puertos del dispositivo)
8. Ejecute el comnado ? y observe las opciones que se pueden configurar en la interface.
9. El switch Catalyst 2950 considera a las VLAN´s como interfaces, por lo cual, cuando se desea
asignarle al switch una dirección IP, se le asigna a la VLAN de administración, que por defecto es la
1.
En el modo de configuración global (config t) ingrese el comando interface VLAN 1.
6
10. Utilice el comando IP para configurarle la dirección ip al switch, la máscara y el gateway. (utilice la ayuda
si lo necesita).
NOTA: la configuración del Gateway por defecto del switch catalyst 2950 se hace desde el modo de
configuración global, con la opción IP default_gateway)
11. Configure una estación de trabajo con configuraciones de red TCP/IP que sean compatibles con la
dirección IP del switch y la dirección (E1) de la interfaz del router Asegúrese de establecer la dirección IP
de la estación de trabajo, la máscara de subred y el gateway por defecto (interfaz del router cercano).
Dirección IP:
Máscara de subred:
Gateway por defecto:

7
Configuración de Switch (continuación)
TERCERA PARTE Acceso al Switch via TELNET y SSH
Objetivos:
 Configurar TELNET y SSH en switch.

 Verificar enóio de contraseñas en texto plano (TELNET) y encriptadas (SSH)
Paso 1 Conectarse al switch a través del protocolo TELNET
a. Conecte la pc a un hub que se encuentra entre los dispositivos del laboratorio. Realice lo mismo con el switch.
Ademas conecte una segunda pc a otro de los puertos del switch. En esta segunda pc usted deberá ejecutar el
wireshark para verificar el tipo de tráfico.
Verifique conectividad entre la pc y el switch correspondiente. Para ello realice un ping a la ip que configuró en la
vlan 1.
b. Configure las líneas vty en el switch para realizar el acceso al mismo. Utilice la línea de comando o el PUTTY
para ejecutar el telnet al switch.
c. Verifique en wireshark.
d. Seleccione todo el trafico TELNET y en el menú Analyze seleccione Follow TCP stream. Alli podrá verificar que
la contraseña se encuentra en texto plano
Paso 2 Conectarse al switch a través del protocolo SSH
b. Configure SSH en el switch para realizar el acceso al mismo. Utilice PUTTY para ejecutar el SSH al switch.
8
c. Verifique en wireshark.
d. Seleccione todo el trafico SSH y en el menú Analyze seleccione Follow TCP stream. Alli podrá verificar que la
contraseña se encuentra encriptada.
CUARTA PARTE Manejo de Seguridad y de la Tabla de direcciones MAC
Objetivos:
 Administrar la tabla MAC del switch.

 Desplazar una PC de un puerto de switch a otro y agregar una nueva PC al switch.
 Desplazar una PC de un puerto de switch a otro y agregar una nueva PC al switch.
Paso 1 Registrar las direcciones MAC del host

a. Determine y registre las direcciones de capa 2 de las tarjetas de interfaz de red de su PC.
Si utiliza Windows XP, verifique utilizando Inicio > Ejecutar > cmd > ipconfig /all.
Paso 2 Determinar las direcciones MAC que ha aprendido el switch

a. Para determinar qué direcciones MAC ha aprendido el switch utilice el comando show mac-address-table de la
siguiente manera en el prompt del modo privilegiado EXEC:
Switch#show mac-address-table
b. ¿Cuántas direcciones dinámicas hay?
c. ¿Cuántas direcciones MAC totales hay?
d. ¿Por qué hay más direcciones MAC que puertos en el switch?
e. ¿Cuántas direcciones han sido definidas por el usuario?

f. ¿Coinciden las direcciones MAC con las direcciones MAC del host?
9
Paso 3 Determinar las opciones de show MAC table
a. Para determinar las opciones que tiene el comando show mac-address-table utilice la opción ? de la siguiente
forma:
Switch#show mac-address-table ?
b. ¿Cuántas opciones están disponibles para el comando show mac-address-table?
c. Muestre sólo las tablas de direcciones MAC que se aprendieron dinámicamente.
d. ¿Cuántas son?
Paso 4 Despejar la tabla de direcciones MAC

Para quitar las direcciones MAC existentes utilice el comando clear mac-address-table desde el prompt del modo
privilegiado EXEC como sigue:
Switch#clear mac-address-table dynamic
Paso 5 Verificar los resultados

a. Verifique que la mac-address-table se haya despejado, tal como sigue:
b. ¿Cuántas direcciones MAC totales hay ahora?
c. ¿Por qué hay tantas?
d. ¿Cuántas direcciones dinámicas hay?
Paso 6 Determinar las opciones de clear MAC table

a. Para determinar las opciones disponibles utilice el comando clear mac-address-table ? en el prompt del modo
privilegiado EXEC, de la siguiente forma:
Switch#clear mac-address-table ?
b. ¿Cuántas opciones hay?
c. ¿En qué circunstancias se utilizarían estas opciones?
Paso 7 Examinar nuevamente la tabla MAC

a. Observe nuevamente la tabla MAC utilizando el comando show mac-address-table en el prompt del modo
privilegiado EXEC tal como sigue:
b. ¿Cuántas direcciones dinámicas hay?
c. ¿Por qué cambió esto desde la última muestra?
d. La tabla no ha cambiado todavía, haga ping a la dirección IP del switch desde los hosts conectados, dos veces en
cada uno, y repita el Paso 7.
Paso 8 Configurar una dirección MAC estática

Limpie la tabla de direcciones mac con el comando clear mac-address-table. Luego, configure una dirección MAC
estática en la interfaz Fast Ethernet 0/4, tal como sigue:
Nota: utilice la dirección MAC 00e0.2917.1884 a modo de ejemplo.

10
Switch(config)#mac-address-table static 00e0.2917.1884 vlan 1 interface fastethernet 0/4

a. Introduzca lo siguiente para verificar las entradas de mac-address-table.
b. ¿Cuántas direcciones MAC totales hay ahora?
c. ¿Cuántas direcciones estáticas hay?
Paso 10 Quitar la entrada MAC estática

Puede ser necesario revertir la entrada static mac-address-table. Para hacerlo, entre al modo de configuración y
revierta el comando colocando un no en frente de la cadena entera de comandos, de la siguiente forma:
Nota: la dirección MAC 00e0.2917.1884 se utiliza solamente en el enunciado de ejemplo.
Switch(config)#no mac-address-table static 00e0.2917.1884 vlan 1 fastEthernet 0/4

a. Introduzca lo siguiente para verificar que la dirección MAC estática fue despejada:
Switch#show mac-address-table static
b. ¿Cuántas direcciones MAC estáticas en total hay ahora?
Paso 12 Hacer una lista con las opciones de seguridad del puerto
a. Determine las opciones para establecer la seguridad del puerto en la interfaz FastEthernet 0/4. Tipee switchport
port security ? desde el prompt de configuración de la interfaz para el puerto FastEthernet 0/4, como sigue:
Switch (config)# interface fastethernet 0/4

Switch (config-if)# switchport port-security ?
..aging.........Port-security aging commands
..mac-address...Secure mac address
..maximum.......Max secure addresses
..violation.....Security violation mode
 switchport port-security maximum [cant MAC permitidas]
Esta opción permite definir el número de direcciones MAC que está permitido que se conecten a través de
la interfaz del swtich. El número máximo de direcciones permitidas por puerto es 132.
Esta configuración limita la posibilidad de ataque de seguridad por inundación de la tabla CAM del switch.
 switchport port-security violation [shutdown restrict protect]

Este comando establece la acción que tomará el switch en caso de que se supere el número de direcciones
MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al
Administrador o permitir exclusivamente el tráfico de la MAC que se registró inicialmente.
 switchport port-security mac-address [MAC address]

Esta opción permite definir manualmente la dirección MAC que se permite conectar a través de ese puerto,
o dejar que la aprenda dinámicamente.
Paso 13 Limitar la cantidad de hosts en cada puerto
a. Para activar la seguridad de puertos, es necesario que los puertos se encuentren en modo “access”.
b. En la interfaz Ethernet 0/4 configure el conteo MAC de máxima seguridad del puerto a 1, de la siguiente forma:
11

Switch (config-if)# switchport mode access
Switch (config-if)# switchport port-security
Switch (config-if)# switchport port-security maximum 1
c. Conecte su PC al puerto ethernet 0/4 del switch. Para generar algo de tráfico puede ser necesario hacer ping a la
dirección del switch con la opción –n 50. Por ejemplo ping 192.168.1.2 –n 50, donde 50 es la cantidad de pings
enviados.
Verifique a traves del comando show port-security address si el switch aprendio la mac de la pc desde la que se
realizo el ping.
Switch # show port-security address
Secure Mac Address Table

-------------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0060.2FA3.2119 DynamicConfigured FastEthernet0/1 -
------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 1024
Paso 14 Desplazar el host

a. Tome la PC que se había conectado previamente al Ethernet 0/4 y conéctela a Fast Ethernet 0/8. La PC ha sido
desplazada a una nueva ubicación. Ésta podría ser otra VLAN pero en este caso todos los puertos del switch se
encuentran en la VLAN 1 y en la misma red.
b. Desde esta PC en Fast Ethernet 0/8 haga ping a la dirección del switch con el parámetrro –n 50.
c. ¿Tuvo éxito el ping?
d. ¿Por qué o por qué no?
e. Introduzca lo siguiente para mostrar la mac-address-table.
f. Registre las observaciones acerca del resultado mostrado.
Paso 15 Despejar la tabla MAC

a. Introduzca lo siguiente para despejar la mac-address-table:
Nota: esto destrabará la seguridad de las direcciones MAC y permitirá registrar una nueva dirección.
Switch#clear mac-address-table dynamic
b. Desde esta PC en Fast Ethernet 0/8 haga ping a la dirección del switch con el parámetrro –n 50.
c. ¿Tuvo éxito el ping?
d. De no ser así, efectúe la detección de problemas según sea necesario.
Paso 16 Cambiar las configuraciones de seguridad
a. Introduzca lo siguiente para mostrar la mac-address-table:

12
b. Nótese que Fast Ethernet 0/4 es segura. No obstante, esa seguridad deberá aplicarse a la máquina en el puerto 0/8,
ya que ésta es la máquina que fue desplazada del puerto 0/4. Quite la seguridad del puerto de la interfaz Fast
Ethernet 0/4, como sigue:
Switch(config)#interface fastethernet 0/4

Switch(config-if)# no switchport port-security maximun 1
Switch(config-if)#shutdown
Switch(config-if)#no shutdown
c. Aplique la seguridad del puerto con un maximum 1 a la interfaz Fast Ethernet 0/8 y agregue el parámetro
violation shutdown:

Switch (config-if)# switchport mode access
Switch (config-if)# switchport port-security
Switch (config-if)# switchport port-security mac-address sticky
Switch (config-if)# switchport port-security maximum 1
Switch (config-if)# switchport port-security violation shutdown
Nota: El parametro sticky asume como segura la mac que se encuentra conectada al puerto en ese momento
Verifique a traves del comando show port-security interface fastEthernet 0/8 la configuracion ingresada
Switch#show port-security interface fastEthernet 0/8
Port Security : Enabled

Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses :1
Total MAC Addresses :1
Configured MAC Addresses :0
Sticky MAC Addresses :0
Last Source Address:Vlan : 0002.4A86.E96C:1
Security Violation Count :0
d. Introduzca lo siguiente para despejar la mac-address-table.
Nota: también podrían haberse despejado entradas individuales.
Switch#clear mac-address-table

a. Verificar que se ha despejado la tabla de direcciones MAC.
b. ¿Pueden todas las PCs aún hacer ping exitosamente entre sí?
c. De no ser así, efectúe la detección de problemas en el switch y las PCs.
d. Desconecte la PC del puerto f0/8 y conecte otra PC ¿el switch deshabilitó el puerto?
Paso 18 Borrado y Recarga del Switch

13
Para la mayoría de los laboratorios de CCNA 3 y CCNA 4 es necesario comenzar con un switch no configurado. El
uso de un switch con una configuración existente puede producir resultados impredecibles. Estas instrucciones
permiten la preparación del switch antes de llevar a cabo el laboratorio para que opciones de configuración
anteriores no interfieran. El siguiente es un procedimiento para despejar configuraciones anteriores y comenzar con
un switch sin configurar.
1. Entre al modo privilegiado EXEC tipeando enable.

Si se le pide una contraseña, introduzca class (si no funciona, pregúntele al instructor).
Switch>enable
2. Quite el archivo de información de la base de datos de la VLAN.

Switch#delete flash:vlan.dat
Delete filename [vlan.dat]?[Enter]
Delete flash:vlan.dat? [confirm] [Enter]
Si no existía ningún archivo VLAN, se muestra este mensaje.
%Error deleting flash:vlan.dat (No such file or directory)
3. Quite el archivo de configuración de inicio de la NVRAM.

Switch#erase startup-config
El prompt de la línea de respuesta será:
Erasing the nvram filesystem will remove all files! Continue?
[confirm]
Presione Enter para confirmar.
La respuesta deberá ser:
Erase of nvram: complete
4. Verifique que se haya borrado la información sobre la VLAN.

Verifique que se la configuración de la VLAN se haya borrado en el Paso 2 utilizando el comando show vlan. Si
información previa sobre la configuración de la VLAN (que no sea la VLAN 1 de administración por defecto) aún
está presente, será necesario pasar por el ciclo de reencendido (reinicio del hardware) en lugar de emitir el comando
reload. Para pasar por el ciclo de reencendido del switch, quite el cable de alimentación de la parte posterior del
switch o desenchúfelo. Luego vuelva a enchufarlo.
Si la información sobre la VLAN se borró con éxito en el Paso 2, diríjase al Paso 5 y reinicie el switch utilizando el
comando reload.
5. Reinicio del software (utilizando el comando reload).

Nota: este paso no es necesario si el switch se reiniciara utilizando el método del ciclo de reencendido.
a. En el modo privilegiado EXEC introduzca el comando reload.

Switch(config)#reload
System configuration has been modified. Save? [yes/no]:
b. Tipee n y luego presione Enter.
Proceed with reload? [confirm] [Enter]
La primera línea de la respuesta será:
Reload requested by console.
Una vez recargado el switch, el prompt de la línea será:
Would you like to enter the initial configuration dialog? [yes/no]:
c. Tipee n y luego presione Enter.
Press RETURN to get started! [Enter]
14
15
TRABAJO PRACTICO 4 – CCNA2
Creación de VLAN´s
Objetivos:
 Crear y mantener VLANs en un Switch ethernet CISCO Catalyst 2950/2960 utilizando la interface de
línea de comando (CLI).
Las VLANs permiten la segmentación (de forma lógica) de una red, ya sea por función, grupo o aplicación,
independientemente de la ubicación física de los usuarios. Todas las estaciones de trabajo que se encuentren en la
misma red IP deben asociarse a una misma VLAN. La asignación de los miembros a una VLAN, en el switch, se
realiza manualmente, asignando cada interface a la VLAN correspondiente. A este procedimiento se lo conoce como
VLAN estática o basada en interface. El procedimiento básico de creación y mantenimiento de VLANs ethernet en
los Switchs Catalyst 2950/2960 son:
Paso1 - Verificar la configuración inicial del Switch.

Elija un switch 2950 o 2960. Note que los Catalyst 2960 poseen ports gigabit ethernet, mientras que los 2950 son
todos fast ethernet. Asegúrese que no exista configuración anterior. Utilice el comando show vlan para determinar el
estado del switch. La siguiente salida pertenece a un 2960.
Switch#show vlan
VLAN Name Status Ports

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddidefault active
1003 tokenringdefault active
1004 fddinetdefault active
1005 trnetdefault active
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2

1 enet 100001 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Remote SPAN VLANs

Primary Secondary Type Ports

Observe que los VLAN ID, nombres, tipos asociados a la VLAN y todos los puertos están asignados
automáticamnte a la VLAN 1.
Paso2 – Cambio de modo de las interfaces.

Con la CLI del switch utilice el commando switchport mode ? aplicado a la interface FastEthernet 0/1. El modo de
puerto de todos los puertos se encuentran seteados en “dynamic desirable” por defecto. Esto significa que el puerto
puede pasar de un estado “link” a “trunk link” al activarse.
Switch#config terminal
Switch(config)#interface FastEthernet 0/1
Switch#(configif)#switchport mode ?
access Set trunking mode to ACCESS unconditionally
dynamic Set trunking mode to dynamically negotiate access or trunk mode
16
trunk Set trunking mode to TRUNK unconditionally
El commando para setear un puerto en modo trunk es el siguiente:
Switch(config)#interface FastEthernet 0/1
Switch(configif)#switchport mode trunk
Switch(configif)#^Z
Con el commando show vlan se puede observer el efecto causado. Los puertos configurados para una VLAN en
particular se pueden observar en la VLAN correspondiente, pero los que se encuentran en modo Trunk no aparecen.
El comando show interfaces switchport presenta un lista detallada de los puertos del switch con sus
correspondientes modos.
Switch#show interfaces switchport
! ----------
Name: Fa0/24
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative privatevlan hostassociation: none
Administrative privatevlan mapping: none
Operational privatevlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 21001
Protected: false
Voice VLAN: none (Inactive)
Appliance trust: none
Name: Gi0/1
Switchport: Enabled
Operational Mode: down
Protected: false
! ------------------
Utilizando el comando show running-config vemos que los puertos configurados como puertos “dynamic
desirable” no aprecerán identificados en la salida del comando, pero los puertos configurados específicamente de
otra forma aparecen como:
interface FastEthernet0/1
switchport mode trunk
switchport mode trunk
17
Paso3 – Crear VLAN asignando puertos.
La creación de VLANs se puede hacer de dos fomras. Una es asignar un puerto auna VLAN que no existe; de esta
forma el switch Catalyst creará la VLAN y asignará el puerto. Otra forma, es crear la VLAN sin asignarle ningún
puerto desde el modo configuración de VLAN. Los Catalyst 2950 y 2960 poseeen el comando range para asignar
múltiples puertos a una misma VLAN. Por defecto, la VLAN de administración es la VLAN 1 y todos los puertos
se encuentran automáticamente asignados a ella en modo access (si no fuera de ese modo, utilice el comando
switchport mode access para setear el modo de los puertos). Por lo tanto, la VLAN 1 no es necesario crearla, y
tampoco es posible borrarla. Cree las VLANs 10 y 20 y asigne los puertos 5 al 8, ala primera, y 9 al 10 a la última.
Utilice el comando range para asignar los puertos 5 al 8 a la VLAN 10.
Switch(config)#interface range FastEthernet 0/5 – 8
Switch(configifrange)#switchport mode access
Switch(configifrange)#switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
Switch(configifrange)#^z
La VLAN 10 fue creada al mismo tiempo que los puertos 5 al 8 eran asignados. Con el comando show vlan
verifique el resultado.
Switch#show vlan

Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active Fa0/5, Fa0/6, Fa0/7, Fa0/8

1 enet 100001 1500 0 0
10 enet 100010 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Observe que la VLAN 10 no ha sido nombrada y pero el switch automáticamente le asignó por defecto el nombre
VLAN0010.
Paso4 – Crear VLANs en modo configuración de VLANs.

Para crear una VLAN sin asignarel puertos, se cebe entrar al modo “configuración de VLAN” desde el modo
privilegiado de la siguiente manera:
Switch#vlan database
Switch(vlan)#
Utilizando el símbolo de ayuda
Switch(vlan)#?
VLAN database editing buffer manipulation commands:
abort Exit mode without applying the changes
apply Apply current changes and bump revision number
exit Apply changes, bump revision number, and exit mode
no Negate a command or set its defaults
reset Abandon current changes and reread current database
18
show Show database information
vlan Add, delete, or modify values associated with a single VLAN
vtp Perform VTP administrative functions.
Cree la VLAN 20.
Switch(vlan)#vlan 20
VLAN 20 added:
Name: VLAN0020
Switch(vlan)#
La VLAN es creada inmediatamente con el nombre por defecto. Para remover una VLAN utilice el siguiente
comando:
Switch(vlan)#no vlan 20
Es necesario asignarle puertos a la VLAN 20. Salga del modo de configuración de VLAN y entre al modo de
configuración de interface. Utilice el comando range para asignar los puertos 9 y 10 a la VLAN 20.
Switch(vlan)#exit
APPLY completed.
Exiting....
Switch#
Switch(config)#interface range FastEthernet 0/9 , FastEthernet 0/10
Switch(configifrange)#switchport access vlan 20
Switch(configifrange)#^z
Utilice el comando show vlan para observer el resultado.

Switch#show vlan

Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 VLAN0010 active Fa0/5, Fa0/6, Fa0/7, Fa0/8
20 VLAN0020 active Fa0/9, Fa0/10

1 enet 100001 1500 0 0
10 enet 100010 1500 0 0
20 enet 100020 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Paso5 – Modificar parámetros de la VLAN.

Vuelva al modo de configuración de VLAN y utilice el commando de ayuda:
Switch#vlan database
Switch(vlan)#?
VLAN database editing buffer manipulation commands:
abort Exit mode without applying the changes
apply Apply current changes and bump revision number
exit Apply changes, bump revision number, and exit mode
19
no Negate a command or set its defaults
reset Abandon current changes and reread current database
show Show database information
vlan Add, delete, or modify values associated with a single VLAN
vtp Perform VTP administrative functions.
Utilice la opción para nomrar o renombrar una VLAN. Por ejemplo renombre la VLAN 20 como RRHH.
Switch(vlan)#vlan 20 name RRHH
VLAN 20 modified:
Name: RRHH
Switch(vlan)#
El comando show permitirá observer los distintos parámetros de configuración.
Switch(vlan)#show ?
changes Show the changes to the database since modification began (or since 'reset')
current Show the database installed when modification began (or since 'reset')
proposed Show the database as it would be modified if applied <cr>
Utilice la opción abort para volver a modo privilegiado:
Switch(vlan)#abort
Aborting….
Switch#
Utilice el comando show running-config y revise los puertos que fueron asigandos a las VLAN 10 y 20:
!
switchport access vlan 10
!
Los puertos asignados a la VLAN 1 no estan indicados porque por defecto todos los puertos están en la VLAN 1. El
tráfico entre VLANs debe ser enrutado.
Paso 6 - Probar la funcionalidad de las 2 VLAN.

Para ver la VLAN en acción, configure dos estaciones de trabajo y verifique que las direcciones IP se
encuentren en la misma subred . Reinicie los computadores según sea necesario.
Desde la Estación de trabajo 1, conecte el cable de Ethernet desde la tarjeta NIC a un puerto de la VLAN 10 en
el switch. Desde la Estación de trabajo 2, conecte el cable de Ethernet desde la tarjeta NIC a un puerto en la
misma VLAN en el switch.
1. Emita un ping a cada estación de trabajo. ¿El ping fue exitoso?
2. Ahora tome el puerto Ethernet de la Estación de trabajo 2 del switch y conéctelo a uno de los puertos en VLAN
20. Haga ping nuevamente a cada estación de trabajo. ¿El ping fue exitoso? ¿Por qué o por qué no?
20
Paso7 - Elimine la configuración actual y deje el laboratorio en condiciones para el siguiente curso.
La información de las VLANs no se guarda en la NVRAM por lo cual es necesario borrar el archivo VLAN.DAT de
la Flash mediante el comando delete flash:vlan.dat o delete vlan.dat en modo privilegiado.
Switch#delete flash:vlan.dat
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch#
El comando erase startup-config remueve el resto de la configuración.
Switch#erase startupconfig
Erasing the nvram filesystem will remove all files! Continue? [confirm]
[OK]
Erase of nvram: complete
Switch#
Ahora puede reiniciar el equipo mediante el commando reload (recuerde no grabar cuando le avisa que la
configuración ha cambiado, ya que volvería a guardar el startup-config).
Switch#reload
System configuration has been modified. Save? [yes/no]: n
Proceed with reload? [confirm]
21
VLAN MultiSwitch
Objetivos:
 Usar la CLI para configurar VLAN de administración de los switchs Cisco Catalyst 2950/2960
 Verificar los valores de red de las estaciones de trabajo para verificar la compatibilidad con valores de los
switch
 Crear una nueva VLAN, nombrarla y desplazar puertos miembro a ella.
 Probar la funcionalidad de las VLAN desplazando una estación de trabajo de una VLAN a otra
 Habilitar el enlace troncal (enlace interswitch) en puertos troncales para los dos switchs
 Crear una VLAN nativa diferente de la VLAN 1 y probar su funcionalidad
Accederá la CLI en el Switch Catalyst 2950/2960, para ver las opciones disponibles para administrar las VLAN y
verificará la configuración actual de la VLAN. Realizará un enlace troncal entre switchs y configurará una VLAN
Nativa. Al administrar un switch, el dominio de administración siempre es VLAN 1. La estación de trabajo del
administrador de red debe tener acceso a un puerto en el dominio de administración VLAN 1. Todos los puertos son
asignados a VLAN 1 por defecto y en los enlaces troncales, la VLAN 1 atraviesa todo el troncal debido a que no se
encuentra etiquetada (untagged). Como no se puede forzar su etiquetado, se elimina del enlace troncal y se elije una
nueva VLAN para administrar los equipos. Para garantizar su traslado por toda la red, es que se la define como no
etiquetada (untagged). A esta nueva VLAN se la denomina VLAN Nativa y es posible una sólo VLAN Nativa por
enlace troncal.
Paso 1 - Acceder al switch de LAN a través de la consola.

Desconecte todos los cables del switch y borre la configuración anterior y la información de VLAN, luego reinicie el
equipo, conecte los cables según el diagrama incluido en el práctico y siga los pasos de configuración siguientes:
1. Configure los dos switchs como SwitchA y SwitchB respectivamente.

2. Configure el enable secret “class” la password de la consola y las vty como “cisco”.
3. Asigne una dirección IP a la VLAN de administración (VLAN 1 por defecto) y habilítela con el comando de
modo configuración de interface no shutdown.
A continuación se ejemplifica la configuración solicitada.
Switch(config)#hostname SwitchA
SwitchA(config)#enable secret class
SwitchA(config)#line con 0
SwitchA(configline)#password cisco
SwitchA(configline)#login
SwitchA(configline)#line vty 0 15
SwitchA(configline)#password cisco
SwitchA(configline)#login
SwitchA(configline)#interface vlan 1
SwitchA(configif)#ip address 10.1.1.250 255.255.255.0
SwitchA(configif)#no shutdown
SwitchA(configif)#^Z
Switch(config)#hostname SwitchB
SwitchB(config)#enable secret class
SwitchB(config)#line con 0
SwitchB(configline)#password cisco
SwitchB(configline)#login
SwitchB(configline)#line vty 0 15
SwitchB(configline)#password cisco
SwitchB(configline)#login
SwitchB(configline)#interface vlan 1
SwitchB(configif)#ip address 10.1.1.251 255.255.255.0
22
SwitchB(configif)#no shutdown
SwitchB(configif)#^Z
Paso 2 – Revisión de la configuración por defecto.
Utilice el comando show interfaces FastEthernet 0/1 switchport en ambos Switchs para ver la configuración de
interface por defecto. El siguiente es un ejemplo de salida posible del comando:
SwitchA#show interfaces FastEthernet 0/1 switchport
Name: Fa0/1
Switchport: Enabled
Operational Mode: down
Protected: false
1. ¿Cuál es el modo por defecto del Puerto?
2. ¿Se encuentra operativo?
3. ¿Cuál es el protocolo de enlace troncal que el switch acepta por defecto?
4. ¿Qué significa el parámetro Negotiation of Trunking?
5. Si no se encuentra seteado en modo trunk por defecto, utilice le commando switchpor mode trunk para hacerlo.
Paso 3 – Verificación de la configuración del enlace troncal.

Utilice el commando show vlan en SwitchA y SwitchB. Todos los puertos excepto el f0/1 se encuentran asignados a
la VLAN1.
SwitchA#show vlan

Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24

1 enet 100001 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
23
Remote SPAN VLANs


Existe otras formas de verificar la configuración de VTP, por ejemplo, utilice el comando show vtp counters.
SwitchA#show vtp counters
VTP statistics:
Summary advertisements received : 20
Subset advertisements received : 4
Request advertisements received : 2
Summary advertisements transmitted : 16
Subset advertisements transmitted : 6
Request advertisements transmitted : 0
Number of config revision errors : 0
Number of config digest errors : 0
Number of V1 summary errors : 0
VTP pruning statistics:
Trunk Join Transmitted Join Received Summary advts received from
nonpruningcapable device

Fa0/11 0 1 0
Fa0/12 0 1 0
¿Qué puerto en el SwitchA es un pPuerto troncal?
Cuando la autonegociación se encuentra activa, los switch automáticamente se conectan en modo trunk. Otra forma
de saber si hay configurados puertos en modo trunk es utilizando el comando show interfaces trunk:
SwitchA#show interfaces trunk
Port Mode Encapsulation Status Native vlan
Fa0/1 desirable 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/1 14094
Port Vlans allowed and active in management domain
Fa0/1 1
Port Vlans in spanning tree forwarding state and not pruned
Fa0/1
Los puertos f0/1 de ambos switchs han sido asignados como trunk y esto se ha podido verificar con los comandos
show vlan, show interfaces FastEthernet 0/XX switchport, y show interfaces trunk. A continuación se puede
observar la configuración total mediane el comando show running-config.
SwitchA#show runningconfig
Building configuration...
Current configuration : 1594 bytes
!

!
switchport trunk encapsulation dot1q
!
El estado de los enlaces troncales aparecerá en los puertos correspondientes luego de que se configure manualmente
o que hayan tomado dicho estado por autonegociación.
Paso 4 – Verificación de la conectividad con los switchs.

Conecte las PCs A y B a los puertos f0/2 de ambos switchs, respectivamente y asígneles las direcciones de IP
10.1.1.100/24 (PCA) y 10.1.1.101/24 (PCB).
24
1. Utilice el comando ping para probar la conectividad entre las PC y el switch correspondiente. ¿Tuvo éxito?
2. Pruebe la conectividad entre las PCs. ¿Tuvo éxito?
Paso 5 – Creación de las VLANs 10 y 20 y asignación de puertos.

Cree las VLAN 10 y VLAN 20 en ambos switchs y denomínelas Admin y Comercial respectivamente. Asigne los
puertos Fa0/5 a 0/8 a la VLAN 10 y Fa0/9 a 0/10 a la VLAN 20. Utilice el clomando show vlan para verificar el
resultado.
SwitchA#show vlan

Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19
Fa0/20, Fa0/21, Fa0/22, Fa0/23
Fa0/24
10 Admin active Fa0/5, Fa0/6, Fa0/7, Fa0/8
20 Comercial active Fa0/9, Fa0/10

1 enet 100001 1500 0 0
10 enet 100010 1500 0 0
20 enet 100020 1500 0 0
1002 fddi 101002 1500 0 0
1003 tr 101003 1500 srb 0 0
1004 fdnet 101004 1500 ieee 0 0
1005 trnet 101005 1500 ibm 0 0
Remote SPAN VLANs


Paso 6 – Verificación de la conectividad del troncal sin filtrado de VLANs.

1. Cambie la conexión de las PCs a un puerto de la VLAN 10 en ambos switchs y realice una prueba de conexión
entre ellas con el comando ping. ¿El comando tuvo éxito?
2. Mediante el comando switchport trunk allowed vlan except 1 (configuración interface f0/1) evitamos la
propagación de la VLAN 1 a través del enlace troncal. Esto es necesario por razones de seguriad, ya que la VLAN 1
no posee etiqueta y por lo tanto transita entre todos los dispositivos haciendo posible la propagación de información
de puertos entre todos los enlaces troncales de la empresa. Por defecto los enlaces troncales permiten el tránsito de
todas las VLANs.
3. Con el comando trunk allowed vlan 10,20 (configuración interface f0/1) permitimos las VLANs 10 y 20. Con el
comando show interfaces trunk se puede observar el resultado de la nueva configuración.
Si volvemos a conectar la PC al puerto f0/2 y hacemos un ping al switch correspondiente, ¿logramos llegar? ¿Y al
otro switch?
Paso 7 – Configuración de VLAN Nativa y verificación de la conectividad del troncal.

1. Elimine la dirección IP asignada a la VLAN 1 y colóquela en la VLAN 20.
2. Habilite esta VLAN como VLAN de administración con el comando not shutdown en el submodo de
configuración de interface de la VLAN 20 y asígnele un IP del mismo rango que tenía la VLAN 1 .
25
3. Mediante el comando switchport trunk native vlan 20 en el puerto f0/1 indicamos que la nueva VLAN no
etiquetada es la VLAN 20.
4. Mueva la PC al puerto f0/9 y realice un ping al switch (al IP de configurado en el pao anterior) ¿tuvo éxito?
5. Ahora realice la misma prueba con el otro switch ¿tuvo éxito?
Mediante los comandos show interfaces trunk e interfaces FastEthernet0/1 switchport se puede observer la
nueva configuración. La salida del comando show running-config mostrará la configuración final.
SwitchA#show runningconfig
Building configuration...
Current configuration : 1879 bytes
!
-------------------------------------
!
switchport trunk encapsulation dot1q
switchport mode trunk native vlan 20
!
!
!
!
!
!
!
!
!
!
26
VLAN
1
VLAN
A 10
Fa0/
2
Fa0/ VLAN
1 20
Fa0/
Fa0/ 1
B 2 VLAN
VLAN
20
1
VLAN
10

Configuración de Router Cisco, Rutas estáticas y Ruta por defecto
Objetivos:
Esta práctica de laboratorio se concentrará en su capacidad para llevar a cabo las siguientes tareas:
 Diseñar e implementar una topología de red de 5 routers.

 Desarrollar un esquema de direccionamiento IP basado en la topología
 Usar una dirección de red exclusiva de Clase C con subredes para las LAN y WAN
 Asignar direcciones IP a las interfaces y hosts del router
En esta práctica de laboratorio, trabajará con otros miembros del grupo para diseñar una topología de red de 5
routers y un esquema de direccionamiento IP. Debe obtener un esquema de direccionamiento IP adecuado
configurando los distintos router con múltiples subredes. Luego creará rutas estáticas entre los routers.
PRIMERA PARTE
Paso 1 - Revisar la topología física de la red.
Utilizando la topología de la red presentada al final del práctico, conteste las siguientes preguntas para que sean
de ayuda en la planificación:
¿Cuántos routers tiene?
¿Dónde están ubicados los routers?
¿Cuántos switches tiene?
Paso 2 - Desarrollar un esquema de direccionamiento IP.

27
Revise el boceto de la topología del paso uno y cree un diseño de subred para la topología. Documente el
esquema indicando dónde colocará cada una de las subredes. Responda las siguientes preguntas para que sean
de ayuda en la planificación.
¿Cuántas LAN hay?
¿Cuántas WAN hay?
¿Cuántas subredes exclusivas necesita? Detallelas.
¿Cuántos hosts por subred (de LAN y WAN) tiene?
¿Cuántas direcciones IP (hosts + interfaces de router) se requieren?
Paso 3 - Asignar direcciones IP a cada interfaz de dispositivo.

Utilizando la tabla, asigne una dirección IP a cada interfaz de dispositivo o intervalo de dispositivos (hosts) que
requieran una dirección IP. Los switches no requieren una dirección IP, pero puede asignarles una si lo desea.
Los hubs no tienen dirección IP. (Las respuestas varían)
Nombre /
Máscara deGateway por
modelo delInterfaz Dirección IP
subred defecto
dispositivo
¿Cuál de las interfaces requiere que se establezca la velocidad del reloj?¿Por qué?
Paso 4 – Configurar las Interfaces las interfaces del Router según la información de la tabla anteriror.
28
Utilizando la tabla anterior configure cada interfaz del dispositivo o intervalo de dispositivos (hosts) que
requieran una dirección IP.
Paso 5 – Asignar Password a las sesiones Telnet del router.

Configure las sesiones posibles de Telnet en el Router con las claves “Sesion” y “Telnet” para los modos
usuario y privilegiado respectivamente.
Paso 6 – Configurar la tabla de Hosts del Router.

Configure la tabla de host desde el modo privilegiado utilizando el comando hostname dirección_ ip_1
dirección_ ip_2 dirección_ ip_3 ...
SEGUNDA PARTE
Objetivos:
 Configurar los routers con las direcciones ip sugeridas.

 Configurar rutas estáticas entre routers vecinos directos usando el comando ip route.
 Copiar la configuración activa en la configuración de inicio.
En esta práctica de laboratorio usted configurará rutas estaticas entre los distintos routers para garantizar la
conectividad entre las LAN. Las rutas estáticas son rutas que hacen que los paquetes se desplacen entre un
origen y un destino a través de una ruta determinada. Generalmente son definidas manualmente por un
administrador de red. Las actualizaciones de enrutamiento no se envían a través de un enlace si sólo se
encuentran definidas por una ruta estática, por lo tanto, conservan el ancho de banda. Otra aplicación para una
ruta estática es la seguridad ya que el enrutamiento dinámico tiende a revelar todo lo que conoce acerca de una
red. A veces, las rutas estáticas se utilizan para sitios remotos y para probar un enlace determinado o una serie
de routers de la internetwork.
Paso 1- Conectarse al router.

Explicación: Conectarse al router. Configurar las interfaces LAN y WAN.
Paso 2 - Análisis de la conectividad de la capa 3 (red).

Tarea: Introduzca ping xxx.xxx.xxx.xxx
Explicación: xxx.xxx.xxx.xxx es una dirección IP de uno de sus routers vecinos.
¿Alguna de las interfaces del router respondió con un ping exitoso?
Paso 3 - Entrar modo privilegiado.

Tarea:
a. Introduzca enable en el indicador de comando.
b. Introduzca la contraseña class.
Explicación: Deberá utilizar el comando enable para entrar al modo EXEC privilegiado.
Paso 4 - Mostrar la copia de respaldo del archivo de configuración .

Tarea: Introduzca show startup-config (abreviatura show start) en el indicador del router.
Explicación: El router mostrará información sobre la copia de respaldo del archivo de configuración
almacenada en la NVRAM.
¿Qué protocolos de enrutamiento o rutas estáticas se han definido, de haberlos?
Paso 5 - Entrar al modo de configuración global .

Tarea: Introduzca configure terminal (abreviatura config t) en el indicador del router.
29
Explicación: Para configurar el router debe entrar al modo de configuración global. Observe cómo el indicador
del router ha cambiado después de utilizar este comando .
¿Qué aspecto tiene el indicador del router?
Paso 6 - Entrar al servicio help (ayuda).

Tarea: Introduzca IP route ? en el indicador del router
Explicación: El router responde mostrando la descripción disponible para la ruta IP.
¿Cuál fue la respuesta del router?
Paso 7 - Entrar al servicio help.

Tarea: Introduzca IP route xxx.xxx.xxx.xxx ? en el indicador del router.
Explicación: xxx.xxx.xxx.xxx es la dirección de red para la cual desea una ruta estática.
Paso 8 - Entrar al servicio help.

Tarea: Introduzca IP route xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy en el indicador del router.
Explicación: xxx.xxx.xxx.xxx. es la dirección de red de la red destino e yyy.yyy.yyy.yyy es la máscara de
subred de la red destino.
Paso 9 - Introducir una ruta estática.

Tarea: Introduzca IP route xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy zzz.zzz.zzz.zzz en el indicador del router.
Explicación: xxx.xxx.xxx.xxx. es la dirección de red de la red destino e yyy.yyy.yyy.yyy es la máscara de
subred de la red destino. zzz.zzz.zzz.zzz es la dirección IP de la interfaz vecina directa.
Paso 10 - Salir del modo de configuración global.

Tarea: Introduzca exit en el indicador del router.
Explicación: El router saldrá del modo de configuración global.
¿Qué aspecto tiene el indicador del router?
Paso 11 - Mostrar la configuración actual.

Tarea: Introduzca show running-config en el indicador del router.
Explicación: El router mostrará el archivo de configuración activo.
¿Había una ruta IP con la ruta estática que configuró en el archivo de configuración activo?
Paso 12 - Copiar la configuración activa en la configuración de seguridad.

Tarea: Introduzca copy running-config startup-config en el indicador del router.
Explicación: Este comando registrará permanentemente los cambios de configuración en la memoria.
Paso 13 - Probar la ruta estática con el comando ping

Tarea: Introduzca ping xxx.xxx.xxx.xxx en el indicador del router
Explicación: xxx.xxx.xxx.xxx. es el router vecino al cual le configuró una ruta estática.
¿Se pudo alcanzar la interfaz del router?
Paso 14 –Configurar ruta por defecto en router SantaFe
Tarea: Introduzca ip route 0.0.0.0 0.0.0.0 “interface de salida” en el indicador del router
Explicación. “interface de salida” es la interface por la cual será enviado el paquete a internet..
¿Se pudo alcanzar la interfaz del router?
Paso 15 - Salir del router.

30

Inter-VLAN Routing
Objetivos:
Esta práctica de laboratorio se concentrará en su capacidad para llevar a cabo las siguientes tareas:
 Configurar las vlans en los switches de la topología.

 Configurar el enrutamiento entre VLAN con router on a stick
 Configurar rutas estáticas y rutas por defecto para completar el enrutamiento entre routers.
En esta práctica de laboratorio se trabaja con redes de área local virtuales Ethernet (VLAN) combinando las
funcionalidades de los switchs y de los routers para conmutar equipos entre VLAN´s. Las VLAN se pueden
usar para separar grupos de usuarios según la función en lugar de la ubicación física. Normalmente todos los
puertos de un switch se encuentran en la misma VLAN 1 por defecto. Un administrador de red puede crear
VLAN adicionales y trasladar algunos puertos a esas VLAN para crear grupos aislados de usuarios, sin importar
su ubicación física; no obstante, en muchas ocaciones, existen equipos que deben superar las barreras de las
31
VLAN de capa 2 (por ejemplo, el caso de los gerentes de distintas áreas de una empresa). Esto crea un problema
para el administrador de la red, ya que no es posible administrar estos casos sin evitar desperdiciar puertos de
los switchs de los IDF. Para ello se utilizan routers que vinculen ciertos equipos en una VLAN con otros de otra
VLAN. A esta funcionalidad se la denomina (Router-on-stick)
El router CISCO posee la capacidad de aceptar más de una dirección IP en cada puerto ethernet. A través de esta
facilidad, entonces podemos generar una comunicación entre los dispositivos de una VLAN con otros de otra,
independientemente de la restricción del puerto al que están conectadas.
Accederá mediante CLI del Switch CISCO, para ver las opciones disponibles para administrar las VLAN y
verificará la configuración actual de la VLAN. También hará Telnet para acceder al switch y verificará algunos
valores. También trasladará la conexión de una VLAN a otra para determinar los alcances del "Dominio de
administración". Al administrar un switch, el dominio de administración siempre es VLAN 1. La estación de
trabajo del administrador de red debe tener acceso a un puerto en el dominio de administración VLAN 1. Todos
los puertos son asignados a VLAN 1 por defecto.
Esta práctica de laboratorio también ayudará a demostrar cómo las VLAN se pueden usar para separar el tráfico
y reducir los dominios de broadcast.
Paso 1 - Acceder al switch de LAN a través de la consola y realizar la configuración inicial del laboratorio.
1. Desconecte todos los cables del switch y borre la configuración anterior y la información de VLAN, luego
reinicie el equipo, conecte los cables según el diagrama adjunto en el práctico y configure ambos switchs con la
misma configuración básica siguiente:
Switch>enable
Switch#configure terminal
Switch(config)#hostname Switch1
Switch(config)#enable secret class
Switch1(config)#line console 0
Switch1(configline)#password cisco
Switch1(configline)#login
Switch1(configline)#exit
Switch1(config)#interface f0/11
Switch1(configifrange)#switchport mode trunk
Switch1(configifrange)#exit
Switch1(config)#interface f0/1
Switch1(configif)#switchport mode trunk
2. Verifique que no existan VLANs asignadas a los puertos de ningún switch salvo la VLAN 1.
Paso 2 – Configurar el Gateway para cada switch.

1. Configure el IP de la VLAN de administración y agregue el Gateway correspondiente a cada switch:
Switch1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
Switch1(config)# interface vlan 1
Switch1(config-if)# ip address 172.16.1.101 255.255.255.0
Switch1(config-if)# no shutdown
Switch1(config-if)# exit
Switch1(config)# ip default-gateway 172.16.1.1
Switch2# configure terminal

Switch2(config)# interface vlan 1
Switch2(config-if)# ip address 172.16.1.102 255.255.255.0
Switch2(config-if)# no shutdown
Switch2(config-if)# exit
Switch2(config)# ip default-gateway 172.16.1.1
2. Pruebe la conectividad entre los switchs mediante el uso del comando ping.
32
Paso 3 – Configurar la conexión entre los Routers.
1. Configure los router ISP y Gateway de tal forma de garantizar el enrutamiento. Deberá crear rutas estaticas y rutas
por defecto.
2. Configure la loopback en el router ISP para simular una ruta
3. Verifique la configuración entre los routers con el comando ping.
Paso 4 – Configurar VLAN trunk en router Gateway.

1. Configure la interface FastEthernet del router Gateway para que realice el trunk de las VLANs 1, 100 y 200.
Nota: la VLAN Nativa no se configura en subinterfaces salvo en los IOS con release 12.1(3)T o superior; de no
poseer dicho release, configurar la VLAN nativa en la interface física.
2. Se debe crear una subinterface para cada VLAN con el encapsulameinto 802.1q y asignarle un IP diferente a cada
una de ellas:
Gateway#configure terminal
Gateway(config)#interface FastEthernet 0/0
Gateway(config-if)#no shut
Gateway(config)#interface fastethernet 0/0.1
Gateway(config-subif)#description Management VLAN 1
Gateway(config-subif)#encapsulation dot1q 1 native ****** SOLO RELEASE 12.1(3)T o
superior
Gateway(config-subif)#ip address 172.16.1.1 255.255.255.0
Gateway(config-subif)#interface fastethernet 0/0.100
Gateway(config-subif)#description Admin VLAN 100
Gateway(config-subif)#encapsulation dot1q 100
Gateway(config-subif)#interface fastethernet 0/0.200
Gateway(config-subif)#description Comercial VLAN 200
Gateway(config-subif)#encapsulation dot1q 200
Gateway(config-subif)#end
3. Utilice el comando show ip interface brief para verificar la configuración de la interface:

Gateway# show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES unset administratively down down
FastEthernet0/1 unassigned YES unset up up
FastEthernet0/1.1 172.16.1.1 YES manual up up
Serial0/0/0 192.168.1.2 YES manual up up
Serial0/0/1 unassigned YES unset administratively down down
4. Utilice el comando show cdp neighbor detail para verificar que el switch1 es un vecino.
5. Un ping a las direcciones IP de cada Switch para probar la conectividad.
Paso 7 – Verificar el enrutamiento inter-VLAN.

1. Verifique el enrutamiento inter VLAN probando la conectividad entre los hosts con el comando ping.
2. Pruebe la conectividad entre los hosts y el router ISP.
3. Pruebe la conectividad entre los hosts y la loopback del router ISP.
Paso 8 – Limpie la configuración de los switchs.

1. Borre la configuración de la NVRAM de ambos switchs con el comando erase nvram.
2. Borre la información de VLANs de ambos switchs con delete vlan.dat.
3. Reinicie los switchs (recuerde no volver a grabar la configuración cuando el equipo se lo proponga).
Paso 9 – Limpie la configuración de los routers.

33
1. Borre la configuración de la NVRAM de ambos routers con el comando erase nvram.
2. Reinicie los routers (recuerde no volver a grabar la configuración cuando el equipo se lo proponga).

Enrutamiento Capa 3 (GNS3)
Informacion Básica
Las VLAN dividen dominios de transmisión en un entorno LAN. Siempre que los host en una VLAN necesitan
comunicarse con host en otra VLAN, debe enrutarse el tráfico entre ellos. Esto se denomina ruteo interVLAN.
En switches Catalyst, se logra al crear interfaces de Capa 3 (interfaces virtuales conmutadas [SVI]). Este
documento proporciona los pasos de configuración y solución de problemas que se aplican a esta capacidad.
Nota: En este documento se utiliza la simulación en packet tracert de un Catalyst 3550 como ejemplo. Sin
embargo, los conceptos también se pueden aplicar a otros switches de capa 3 que ejecuten Cisco IOS® (por
ejemplo, Catalyst 3560, 3750, Catalyst 4500/4000 con Sup II+ o posterior, o bien Catalyst 6500/6000 que
ejecuten el software del sistema Cisco IOS).
34
Paso 1 - Habilitar el enrutamiento IP en el switch capa 3.

Habilite el ruteo en el switch mediante el comando ip routing. Incluso si se habitó previamente el IP Routing, este
paso asegura que esté activado.
L3(config)#ip routing
Compruebe el comando show running-configuration. Verifique si ip routing está habilitado. Si el comando está
activado, aparece en la parte superior de la salida.
hostname Switch
!
!
ip subnet-zero
ip routing
!
vtp domain Cisco
vtp mode transparent
Paso 2 - Configurar switches de piso y VLAN en capa 3

Proceda a configurar los switches de piso. Cree las vlans en cada uno de ellos y asigne los puertos para cada PC.
En el switch capa 3 deberá crear las vlans que enrutará a través del mismo
Utilice el comando show vlan para verificar que existen las VLAN en la base de datos de VLAN. Si no existen,
agréguelas al switch. Este es un ejemplo de cómo agregar las VLAN 2, 3 y 4 a la base de datos de VLAN del switch
capa 3.
35
L3#vlan database
L3(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
L3(vlan)#vlan 3
VLAN 3 added:
Name: VLAN0003
L3(vlan)#vlan 4
VLAN 4 added:
Name: VLAN0004
L3(vlan)#exit
APPLY completed.
Exiting....
Paso 3 - Configure las direcciones IP de las VLAN

Determine las direcciones IP que desea asignar a cada interfaz VLAN del switch. Para que el switch pueda enrutar
entre las VLAN, las interfaces deben estar configuradas con una dirección IP. Cuando el switch recibe un paquete
destinado a otra subred o VLAN, este busca en la tabla de ruteo para determinar a dónde debe reenviar el paquete. El
paquete se pasa después a la interfaz VLAN del destino. A su vez, se envía al puerto al que está conectado el
dispositivo final.
Paso 4 - Configure las interfaces VLAN con la dirección IP que se ha identificado en el paso 3
Configuración ip para la vlan 2:
L3#configure terminal
L3 (config)#interface Vlan2
L3 (config-if)#ip address 192.168.2.1 255.255.255.0
L3 (config-if)#no shutdown
Repita este proceso para todas las VLAN que se han identificado en el paso 3
Paso 5 – Configure los enlaces troncales entre los switches

Deberá configurar los puertos troncales entre los switches de capa 2 y el switch capa 3 como troncales, para permitir
el tráfico entre todas las vlans a través de los puertos.
La configuración en el multicapa deberá ser :
L3(config)#interface fastEthernet 0/1

L3(config-if)#switchport trunk encapsulation dot1q
Le(config-if)#
La configuracion en los switches capa 2 es:
Sw(config)#interface fastEthernet 1/1

Sw(config-if)#switchport mode trunk
Sw(config-if)#
Verificación
En esta sección encontrará información que le permitirá confirmar que la configuración funciona
correctamente.
Algunos comandos show son compatibles con la herramienta intérprete de resultados (solamente
clientes registrados). Esto permite ver un análisis de
la salida del comando show.
show ip route: proporciona una instantánea de las entradas de la tabla de ruteo.
Cat3550#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 200.1.1.2 to network 0.0.0.0
200.1.1.0/30 is subnetted, 1 subnets
36
C 200.1.1.0 is directly connected, FastEthernet0/48
-c is directly connected, Vlan10
S* 0.0.0.0/0 [1/0] via 200.1.1.2
Tenga en cuenta que la tabla de ruteo tiene una entrada para cada subred de interfaz VLAN. Por
lo tanto, los dispositivos en VLAN 3
pueden comunicarse con los dispositivos en VLAN 10, VLAN 2 y viceversa. La ruta
predeterminada con el siguiente salto (next hop)
200.1.1.2 permite que el switch reenvíe tráfico a la gateway del último recurso (para tráfico que
el switch no puede enrutar).
show ip interface brief: muestra un breve resumen del estado e información de IP de la
interfaz. Este comando se utiliza para verificar que
las interfaces VLAN y los puertos en el switch estén activos.
Resolución de problemas
En esta sección se incluye información que puede utilizarse para solucionar problemas de
configuración.
Procedimiento de resolución de problemas
Esta información es importante para la solución de problemas en esta configuración. Siga las
instrucciones para solucionar el problema de
configuración.
1. Envíe pings de protocolo de mensajes de control de Internet (ICMP) para verificar la
conectividad de la capa 2.
Si no puede enviar un ping entre dos dispositivos de la misma VLAN en el mismo switch, verifique
que haya dispositivos conectados
a los puertos de origen y destino, y que estén asignados a la misma VLAN. Para obtener más
información, consulte Creación de
VLAN de Ethernet en switches Catalyst.
Si no puede enviar un ping entre dos dispositivos de la misma VLAN que no están en el mismo
switch, verifique que la conexión
troncal está configurada correctamente y que la VLAN nativa coincide en ambos extremos del
troncal.
Inicie un ping ICMP desde un dispositivo final conectado a Catalyst 3550 hasta su interfaz VLAN
correspondiente. En este ejemplo, se
puede utilizar un host en VLAN 2 (10.1.2.2) y una interfaz ping VLAN 2 (10.1.2.1). Si no puede
enviar un ping a la interfaz, verifique que
la gateway predeterminada del host apunta hacia la dirección IP de la interfaz VLAN y que las
máscaras de subred coinciden. Por ejemplo,
la gateway predeterminada del dispositivo en VLAN 2 debe apuntar a la interfaz VLAN 2
(10.1.2.1). Además, ejecute el comando show ip
interface brief para verificar el estado de la VLAN de la interfaz.
2.
Si la interfaz se encuentra administrativamente inactiva, ejecute el comando no shutdown en el
modo de configuración de la interfaz
VLAN.
Si el estado de la interfaz es inactivo/inactivo, verifique que la configuración VTP y las VLAN se
hayan agregado a la base de datos
de VLAN. Compruebe si se ha asignado un puerto a la VLAN y si se encuentra en estado de
reenvío del árbol de expansión.
Inicie un ping desde un dispositivo final de la VLAN hasta la VLAN de la interfaz de otra VLAN
para verificar que el switch enruta las
VLAN. En este ejemplo, envíe un ping desde la VLAN 2 (10.1.2.1) a la VLAN 3 (10.1.3.1) o la VLAN
10 (10.1.10.1) de la interfaz. Si el
ping falla, verifique que el IP Routing está habilitado y que las interfaces VLAN están activas
mediante la ejecución del comando show ip
interface brief.
3.
Inicie un ping desde el dispositivo final de una VLAN hasta el dispositivo final de otra VLAN. Por
ejemplo, un dispositivo en la VLAN 2
debe poder enviar un ping hasta un dispositivo de la VLAN 3. Si la prueba de envío del ping es
correcta en el paso 3, pero no logra
37
alcanzar el dispositivo final de la otra VLAN, verifique que la gateway predeterminada del
dispositivo conectado está configurada
correctamente.
4.
Si no puede conectarse a Internet o a la red corporativa, verifique que la ruta predeterminada en
Catalyst 3550 apunta a la dirección IP
correcta en el router predeterminado. Verifique también que la dirección IP y la máscara de
subred del switch están configuradas
correctamente.
38
Sumarización – VLSM - RIP
39
RIPv2 - RIPng (GNS3)
40
OSPF
41
TRABAJO PRÁCTICO 13 – CCNA 2
ACLs estándares y extendidas (PACKET TRACER)
Objetivos:
Esta trabajo de laboratorio sirve para practicar las siguientes tareas:
 Repasar las características y capacidades de las listas de control de acceso (ACL) IP estándares y
extendidas.
 Desarrollar ACLs estándares y extendidas para permitir/denegar tráfico específico o protocolos
específicos.
 Aplicar las ACL IP a una interfaz de router.
 Probar las ACLs para determinar si se lograron los resultados deseados.
 Eliminar las ACLs de una interfaz de router.
 Eliminar las ACLs de un router.
PRIMERA PARTE: Listas de Control de Acceso Estándares.
En esta parte de la práctica de laboratorio se trabaja con Listas de Control de Acceso Estándar (ACL)
para regular el tráfico que se permite pasar a través de un router según el origen, ya sea un host
específico (normalmente una estación de trabajo o servidor) o una red completa (cualquier host o
servidor en esa red). Una ACL estándar es una herramienta simple y efectiva para controlar qué
paquetes pueden pasar a través de un router desde una red a otra. Las ACL estándar son una forma
básica de control con capacidades limitadas. Pueden filtrar (permitir o denegar) paquetes que salen
de o entran a una interfaz de router utilizando sólo la dirección IP de la red o host origen. Por lo tanto,
se deben aplicar cerca de la dirección destino, ya que dicha dirección no se puede especificar.
Cuando se aplica una ACL IP estándar, ésta filtra (permite o deniega) todo el conjunto de protocolo IP
(IP, TCP, SMTP, HTTP, Telnet etc.) por lo que, en caso de necesitarse un filtrado parcial, por ejemplo
tráfico telnet o tráfico web se deben crear ACLs extendidas.
Estos son los pasos necesarios para usar las ACL de forma efectiva:
 Determinar los requisitos de la ACL (según las necesidades de seguridad, etc.)

 Desarrollar la ACL y verificar las sentencias de la ACL
 Aplicar la ACL a una interfaz de router
 Verificar que la ACL se aplique correctamente a la interfaz que se desea
 Verificar que la ACL funcione correctamente
En esta primera parte del laboratorio se desarrollan, aplican y prueban ACLs IP estándares.
Paso 1 – Configurar el laboratorio según esquema anexo.

Realizar la configuración del laboratorio siguiendo el esquema anexo en la última página,
colocando a las PC´s, la dirección IP y de Gateway que estan preestablecidas. Utilice OSPF para
enrutar.
Paso 2 - Determinar los requisitos para las ACLs estándares.

¿Cuál es tráfico (paquetes), de cuáles hosts o redes, que se bloquea (deniega) o se permite?
Cuando se usa una ACL IP estándar, sólo se puede filtrar según la dirección origen. Se desea
bloquear el tráfico desde la dirección de host 192.5.5.2 desde una Ethernet en el Router LAB_A al
host 210.93.105.2 de una Ethernet en el Router LAB_D (y viceversa). También se desea bloquear
el tráfico desde la dirección de red 219.17.100.0 en el Router LAB_B a la red 200.1.1.0 en el Router
Lab_E (y viceversa).
Paso 3 - Desarrollar la ACL.

42
Definir las sentencias de ACL en modo Router(config)#. Las sentencias de ACL son aditivas. Cada
sentencia se agrega a la ACL. Si hay más de una sentencia en la ACL (lo que es típico) y se desea
cambiar una sentencia anterior, se debe borrar la ACL y comenzar de nuevo. En estos ejemplos se
bloquean paquetes desde sólo una dirección de host IP o una red. El formato o sintaxis de la
sentencia de ACL IP estándar aparece a continuación:
accesslist list# {permit / deny} source IP address [wildcard mask] [log]
(NOTA: Se puede usar cualquier número de 1 a 99 y 1300 a 1999 para una ACL IP estándar
Para eliminar la ACL, repita la parte access-list # del comando, con la palabra NO adelante).
SEGUNDA PARTE: Listas de Control de Acceso Extendidas.

A diferencia de lo que sucede con la ACL estándar, las extendidas permiten especificar hacia dónde se
dirige el tráfico y con ésta característica, se puede bloquear o permitir un tráfico mucho más específico:
sólo tráfico que proviene del host pero se dirige a una red en particular o a otro host en particular o sólo
el tráfico de una red que se dirige a otra red en particular o cierto tipo de tráfico (por ejemplo la
navegación Web). El truco se logra con el hecho de permitir comparar las direcciones destino de los
paquetes contra la ACL, no sólo las direcciones origen, y el tipo de protocolo de transporte o aplicación
incluido en el paquete.
Es decir, una ACL está compuesta por un conjunto de reglas, todas con el mismo identificador, donde
cada regla era una línea compuesta por una acción y una condición que el paquete debe cumplir para
aplicarle la acción (permitir o denegar). Las condiciones en las ACLs estándares están compuestas por
una dirección de referencia y una wildcard que dice qué bits de la dirección origen de los paquetes se
deben comparar con la dirección de referencia; en las ACLs extendidas, se especifican dos pares de
direcciones de referencia/wildcard, un par para la dirección origen de los paquetes y otro par para la
dirección destino de los mismos. De igual manera, se identifica el tipo de protocolo de capa 3 o superior,
que se pretende filtrar.
Finalmente, una ACL extendida posee control tanto del destino como del origen del tráfico, por ello
debe colocarse lo más cercano al origen posible a fin de evitar tráfico innecesario. En esta segunda
parte del laboratorio se desarrollan, aplican y prueban ACLs IP extendidas, usando el mismo equema
de laboratorio que para la ACLs estándares.
43

ACL Desafio en laboratorio (VLANS – ACLs)
44
45
ACLs estándares y extendidas IPv6 (Anexo)
46
TRABAJO PRÁCTICO 16
DHCP – Transmisión de DHCP
Objetivos:
 Configurar un router con el Protocolo de Configuración Dinámica del Host (DHCP) para asignar
direcciones dinámicamente a los hosts conectados.
 Se agregará la capacidad para que las estaciones de trabajo obtengan direcciones DHCP remotamente.
Información Básica:
Esta práctica de laboratorio se ocupa de la configuración de un Router CISCO serie 2600 para el
establecimiento de un servidor DHCP capaz de proveerle direccionamiento a todas las LAN de la
empresa.
Supongamos una empresa que posee 2 edificios en los cuales se concentran las 2 LAN que
poseen, en el EDIFICIO 1 utilizan 172.31.0.0 y en el EDIFICIO 2 usan 192.168.123.0 como
direccionamiento IP. Desde el edificio 1 se establece la conexión con el ISP como se puede ver en el
gráfico. El acceso a Internet lo simularemos a través de una interfaz loopback en el router ISP con la
dirección 200.0.0.0. Los enlaces punto a punto entre los routers ISP – edificio 1 y edificio 1 – edificio
2 utilizan la dirección 172.16.0.0, a la cual deberán subnetear para eficientizar el uso de direcciones.
Además estos enlaces utilizarán rutas estáticas para su conexión.
Paso 1 – Realizar las configuraciones básicas de los routers.
Configure las siguientes opciones de los routers de acuerdo a lo mencionado anteriormente:

 El nombre del host.
 La consola.
 Las contraseñas enable.
 Las interfaces.
 El enrutamiento.
Una vez hecho esto, verifique que posea conectividad entre todos los routers.
Paso 2 – Crear los pools de direcciones en el router del edificio 1
A. Crear el pool de direcciones para la LAN del edificio 1
Edificio1(config)# ip dhcp pool Edificio1
Edificio1(configdhcp)# network 172.31.0.0 255.255.0.0
Edificio1(configdhcp)# defaultrouter 172.31.0.1
Edificio1(configdhcp)# dnsserver 172.31.0.2
Edificio1(configdhcp)# domainname cisco.com
Edificio1(configdhcp)# netbiosnameserver 172.31.0.10
B. Crear el pool de direcciones para la LAN del edificio 2
Edificio1(config)# ip dhcp pool Edificio2
Edificio1(configdhcp)# network 192.168.123.0 255.255.255.0
Edificio1(configdhcp)# defaultrouter 192.168.123.1
Edificio1(configdhcp)# dnsserver 192.168.123.2
Edificio1(configdhcp)# domainname cisco.com
Edificio1(configdhcp)# netbiosnameserver 192.168.123.10
C. Excluir del pool de direcciones aquellas que no se podrían entregar a usuarios. Por lo general se
excluyen las direcciones que son Enlace por defecto, Servidores DNS, Servidor de nombre de
dominio, etc.
47
Excluir las direcciones 172.31.0.1 a 172.31.0.10 para el Edificio 1 y desde 192.168.123.1 hasta
192.168.123.10 para el Edificio 2
Edificio1(configdhcp)#ip dhcp excludedaddress 172.31.0.1 172.31.0.10
Edificio1(configdhcp)#ip dhcp excludedaddress 192.168.123.1
192.168.123.10
Paso 3 – Verificar la operación DHCP desde la LAN del EDIFICIO 1
A. En cada estación de trabajo de la subred directamente conectada, configure las propiedades de TCP/IP para
que la estación de trabajo obtenga la dirección IP y la dirección del servidor del Sistema de Nombres de
Dominio (DNS) del servidor DHCP. Una vez cambiada y guardada la configuración, reinicie la estación de
trabajo.
B. Para confirmar la información sobre la configuración de TCP/IP en cada host utilice Inicio > Ejecutar >
winipcfg. Si ejecuta Windows 2000, verifique utilizando ipconfig en una ventana DOS.
C. ¿Qué dirección IP se asignó a la estación de trabajo?
D. ¿Qué otra información se asignó automáticamente?
E. ¿Cuándo se obtuvo el alquiler?
F. ¿Cuándo expira el alquiler?
Paso 4 – Visualizar conexiones DHCP en el router de EDIFICIO 1
A. Desde el router Edificio1, pueden apreciarse las conexiones para los hosts. Para ver las conexiones, utilice
el comando show ip dhcp binding en el prompt del modo privilegiado EXEC.
B. ¿Cuáles fueron las direcciones IP asignadas?
C. ¿Cuáles son los otros tres campos que figuran en el resultado?
Paso 5 – Verificar la operación DHCP desde la LAN del EDIFICIO 2
A. Repita los pasos 3.A y 3.B utilizando una estación de trabajo conectada a la LAN del router Edificio2.
3.A. En cada estación de trabajo de la subred directamente conectada, configure las propiedades de
TCP/IP para que la estación de trabajo obtenga la dirección IP y la dirección del servidor del Sistema
de Nombres de Dominio (DNS) del servidor DHCP. Una vez cambiada y guardada la configuración,
reinicie la estación de trabajo.
3.B. Para confirmar la información sobre la configuración de TCP/IP en cada host utilice Inicio >
Ejecutar > winipcfg. Si ejecuta Windows 2000, verifique utilizando ipconfig en una ventana DOS.
B. ¿Hay una dirección válida asignada desde el pool DHCP?
C. ¿Qué dirección IP fue asignada a la estación de trabajo?
D. ¿Qué representa esta dirección (si la hay)?

48
Paso 6 – Configuración de la transmición DHCP en el router edificio 2
A. Configure el router del Edificio 2 mediante el comando ip helper-address para habilitar el envío de
broadcasts, como paquetes unicast, al servidor específico. Este comando debe configurarse en la interfaz
LAN del router remoto para que DHCP funcione:
Edificio2(config)#interface fastethernet 0
Edificio2(configif)#ip helperaddress 172.31.0.1
Paso 7 – Verificar nuevamente la operación DHCP en router EDIFICIO 2
A. Reinicie la estación de trabajo conectada a la LAN del Edificio 2.
B. ¿Hay una dirección válida asignada desde el pool DHCP?
C. ¿Qué dirección IP fue asignada a la estación de trabajo?
D. Si no hay ninguna dirección IP, efectúe la detección de problemas de las configuraciones de la estación de
trabajo y el router y repita el Paso 11.
Paso 8 – Observar las conexiones DHCP en router edificio 2
A. Desde el router campus, pueden apreciarse las conexiones para los hosts. Para ver las conexiones, utilice el
comando show ip dhcp binding en el prompt del modo privilegiado EXEC.
B. ¿Cuáles son las direcciones IP asignadas a los hosts?

49
TRABAJO PRÁCTICO 17
NAT – PAT
Tiempo estimado: 60 minutos.

PRIMERA PARTE: Configuración de NAT Estática
Objetivo
 Configure la traducción estática Traducción de Direcciones de Red (NAT) para proporcionar un
acceso exterior confiable a tres servidores de la compañía.
Información Básica
Cuando la Agencia de Viajes Internacional (AVI) expandió y actualizó su red, se eligió utilizar las direcciones privadas
192.168.0.0 /24 y NAT para manejar la conectividad con el mundo exterior. Para asegurar las direcciones IP exteriores de su ISP,
la AVI debe pagar una tarifa mensual por dirección IP. La AVI ha pedido establecer una serie de prototipos que demostrarían las
capacidades de NAT para cumplir con los requisitos de la AVI. La compañía espera poder arreglárselas con 14 direcciones IP
reales, 42.0.0.48 /28. Por una variedad de razones incluyendo preocupaciones respecto a la seguridad, la compañía desea ocultar
la red interna al exterior.
Paso 1
Construya y configure la red de acuerdo al diagrama. Esta configuración requiere el uso de la subred cero, por lo cual es
necesario introducir el comando ip subnet-zero , dependiendo de la versión del IOS que se esté utilizando. Configure
SanJose1 para que utilice una ruta por defecto a ISP1, tal como se muestra:
SanJose1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.5
El Host A representa a uno de los servidores compartidos propuestos que serán parte de una LAN Ethernet conectada a SanJose1.
El Host B representa a un usuario de la red de AVI.
Paso 2
Verifique las configuraciones mediante el comando show running-config .
Verifique que SanJose1 pueda hacer ping a la interfaz serie de ISP1, 10.0.0.5, y que ISP1 pueda hacer ping a la interfaz serie
de SanJose1, 10.0.0.6.
En este momento, ISP1 no puede hacer ping a ninguna estación de trabajo o la interfaz Fast Ethernet de SanJose1, 192.168.0.1.
1. Ambas estaciones de trabajo pueden hacer ping entre sí y con 10.0.0.6, pero no puede hacer ping a 10.0.0.5. ¿Por qué falla
el último ping ?
De hecho, la solicitud de ping deberá estar llegando a 10.0.0.5. Puesto que ISP1 no tiene ninguna entrada en su tabla de
enrutamiento para 192.168.0.0 /24, ISP1 no puede responder. Continúe una ruta estática para resolver este problema en el Paso 7.
Paso 3
SanJose1 es el router fronterizo donde se configurará NAT. El router estará traduciendo las direcciones locales interiores a las
direcciones globales interiores, convirtiendo esencialmente las direcciones privadas interiores en direcciones públicas legales
para su uso en la Internet.
En SanJose1, cree traducciones estáticas entre las direcciones locales interiores, los servidores a ser compartidos y las direcciones
globales interiores utilizando los siguientes comandos:
SanJose1(config)#ip nat inside source static 192.168.0.20 42.0.0.49
2. Si es necesaria una traducción estática para un cuarto servidor, 192.168.0.6, ¿cuál sería el comando apropiado?
Paso 4
A continuación, especifique una interfaz en SanJose1 a ser utilizada dentro de los hosts de la red que requieren una traducción de
direcciones:
SanJose1(config)#interface fastethernet0/0
SanJose1(config-if)#ip nat inside
Especifique también una interfaz a utilizar como interfaz NAT exterior:
SanJose1(config)#interface serial0/0
SanJose1(config-if)#ip nat outside
Paso 5
Para ver las traducciones, utilice el comando show ip nat translations . Los resultados deberían tener un aspecto similar
al siguiente:
SanJose1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
---- 42.0.0.49 192.168.0.20 ---------------- -----------------
---- 42.0.0.50 192.168.0.21 ---------------- -----------------
50
---- 42.0.0.51 192.168.0.22 ---------------- -----------------
Utilice el comando show ip nat statistics para ver qué actividad NAT ha tenido lugar. Los resultados deberían tener un aspecto
similar al siguiente:
SanJose1#show ip nat statistics
Total active translations: 3 (3 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
FastEthernet0/0
Hits: 0 Misses: 0
Expired translations: 0
Dynamic mappings:
SanJose1#
Nótese que el valor de los Hits actualmente es 0.
Paso 6
Desde el Host A, haga ping a 10.0.0.5, la interfaz serie de ISP1. Los pings aún deberían fallar porque ISP1 no tiene ninguna
ruta para 192.168.0.0 /24 en su tabla de enrutamiento.
Regrese a la conexión de la consola de SanJose1 y tipee show ip nat statistics , como se muestra a continuación:
Total active translations: 3 (3 static, 0 dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
FastEthernet0/0
Hits: 4 Misses: 0
Dynamic mappings:
Los hits suman 4 como se muestra ahora. Esto indica que la traducción se efectuó incluso aunque no se proporcionó ninguna
respuesta. Recuerde que las respuestas ping no se envían porque ISP1 no tiene una ruta de vuelta a SanJose1. Ahora es tiempo
de remediar esto.
Paso 7
En ISP1, configure la siguiente ruta estática según las direcciones globales utilizadas por SanJose1 para NAT:
ISP1(config)#ip route 42.0.0.48 255.255.255.240 10.0.0.6
La máscara de subred define el pool de direcciones IP como 42.0.0.48 /28.
Ahora debería ser posible hacer ping exitosamente a 42.0.0.51. Que es la dirección traducida del servidor compartido,
192.168.0.22.
El comando show ip route confirma que la ruta estática esté presente, como se muestra aquí:
ISP1#show ip route
Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile,
B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* - candidate default, U – per-user static route, o - ODR
P – periodic downloaded static route
Gateway of last resort is not set
S 42.0.0.48 [1/0] via 10.0.0.6
C 10.0.1.0 is directly connected, Loopback0/0
C 10.0.0.4 is directly connected, Serial0/0
Paso 8
Desde el Host A, haga ping al router ISP1 en 10.0.0.5. Este ping debería ahora tener éxito. También debería ser posible hacer
ping a la dirección de loopback de ISP1, 10.0.1.2.
Desde la conexión de consola a SanJose1, emita el comando show ip nat statistics y observe las estadísticas. La
cantidad de hits debería ser mucho mayor que antes.
Pruebe el comando show ip nat translations verbose . Los resultados deberían ser similares a los siguientes:
SanJose1#show ip nat translations verbose
51
--- 42.0.0.49 192.168.0.20 --------- ---------
create 00:40:25, use 00:40:25,
flags:
static, use_count: 0
- - - 42.0.0.50 192.168.0.21 --------- ---------
create 00:40:25, use 00:40:25,
flags:
- - - 42.0.0.51 192.168.0.22 --------- ---------
create 00:40:25, use 00:06:46,
flags:
Nota: la opción verbose incluye información acerca de cuán recientemente se utilizó cada traducción.
Paso 9
Desde SanJose1, utilice el comando show ip nat statistics y tome nota de la cantidad de hits. Desde el Host B, haga
ping tanto a 10.0.0.5 como a 10.0.1.2.
3. Ambos deberían fallar. ¿Por qué?
Desde SanJose1, emita el comando show ip nat statistics nuevamente y fíjese en que la cantidad de hits no ha cambiado.
El problema es que NAT no tradujo la dirección IP del Host B, 192.168.0.20, a una de las direcciones globales. El comando
show ip nat translations debería confirmar esto.
Una traducción estática para el Host B, que representa al usuario de una LAN, no ha sido configurada. Una traducción estática
podría configurarse rápidamente para este único usuario final. No obstante, configurar una traducción estática para cada usuario
de la LAN podría ser una tarea enorme, que resultaría en cientos de comandos de configuración. NAT dinámica permite la
configuración del router para asignar las direcciones globales dinámicamente, según sea necesario. Mientras que la traducción
estática puede ser apropiada para los servidores, la traducción dinámica se utiliza casi siempre con las estaciones de usuarios
finales.
SEGUNDA PARTE: Configuración de NAT Dinámica
Objetivo
 Configurar NAT dinámica para proporcionar a los usuarios direccionados privadamente un acceso a
recursos exteriores.
La AVI está deseando limitar el acceso de los usuarios a la Internet y a otros recursos exteriores limitando la cantidad de
conexiones. Efectúe un prototipo de la traducción dinámica básica para averiguar si cumplirá con los objetivos de la AVI.
Paso 1
Defina un pool de direcciones globales a ser adjudicadas por el proceso de NAT dinámica. Emita el siguiente comando en
SanJose1:
SanJose1(config)#ip nat pool MYNATPOOL 42.0.0.48 42.0.0.55
netmask255.255.255.240
El nombre MYNATPOOL es el nombre del pool de direcciones. No obstante, otra palabra puede elegirse. El primer 42.0.0.48 del
comando es la primera dirección IP del pool. El segundo 42.0.0.55 es la última dirección IP del pool.
A continuación, configure una lista de acceso estándar para definir qué direcciones de origen interior pueden traducirse. Puesto
que cualquier usuario está traduciendo en la red AVI, utilice el siguiente comando:
SanJose1(config)#access-list 2 permit 192.168.0.0 0.0.0.255
Para establecer una traducción dinámica del origen, vincule la lista de acceso al nombre del pool NAT, como se muestra a
continuación:
SanJose1(config)#ip nat inside source list 2 pool MYNATPOOL
Finalmente, especifique una interfaz en SanJose1 a ser utilizada por los hosts interiores de la red que requieran una traducción de
direcciones:
SanJose1(config)#interface fastethernet0/0 SanJose1(config-if)#ip nat inside
También especifique una interfaz a utilizar como interfaz NAT exterior:
SanJose1(config)#interface serial0/0 SanJose1(config-if)#ip nat outside
Paso 3
En SanJose1, introduzca el comando show ip nat translations , que no debería arrojar ningún resultado. A diferencia de
las traducciones estáticas, que son permanentes y siempre permanecen en la tabla de traducciones, las traducciones dinámicas
sólo se asignan según son necesarias, y sólo aparecen cuando están activas.
Desde el Host A, haga ping a las direcciones IP serie y loopback de ISP1. Ambos pings deberían funcionar. Detecte y
resuelva problemas de ser necesario.
52
Emita el comando show ip nat translations en SanJose1 nuevamente. Esto debería obtener ahora una única traducción
para esa estación de trabajo. El resultado podría semejarse al siguiente:
SanJose1#show ip nat trans
- - - 42.0.0.50 192.168.0.21 - - - - - - - - - ---------
Paso 4
Emita el comando show ip nat translations verbose y examine el resultado:
SanJose1#show ip nat translations verbose
--- 42.0.0.50 192.168.0.21 - - - - - - - - - ---------
create 00:13:18, use 00:13:06, left 23:46:53,
flags: none, use_count: 0
1. De acuerdo al resultado de este comando, ¿cuánto tiempo queda antes de que se venza el tiempo de la traducción dinámica?
El valor de tiempo vencido por defecto para las traducciones NAT dinámicas es de 24 horas. Esto significa que la segunda
estación de trabajo tendrá que esperar hasta el día siguiente antes de poder asignarle la dirección.
A continuación, emita el comando show ip nat statistics . Nótese que éste resume la información sobre la traducción,
muestra el pool de direcciones globales e indica que sólo una dirección ha sido adjudicada, o traducida, como se muestra a
continuación:
Total active translations: 1 (0 static, 1dynamic; 0 extended)
Outside interfaces:
Serial0/0
Inside interfaces:
FastEthernet0/0
Hits: 45 Misses: 0
Dynamic mappings:
-- Inside Source
access-list 2 pool MYNATPOOL refcount 1
pool MYNATPOOL: netmask 255.255.255.240
start 42.0.0.55 end 42.0.0.55
type generic, total addresses 2, allocated 1 (100%), misses 4
Para cambiar el valor de tiempo vencido de NAT por defecto de 24 horas, 86.400 segundos, a 120 segundos, emita el siguiente
comando:
SanJose1(config)#ip nat translation timeout 120
Despeje la adjudicación de direcciones existente antes de que el nuevo temporizador pueda tomar efecto. Tipee clear ip nat
translation * para despejar inmediatamente la tabla de traducciones.
Ahora, desde el Host B, intente hacer ping a cualquiera de las interfaces de ISP1 nuevamente. El ping debería tener éxito.
Utilice los comandos show ip nat translations y show ip nat translations verbose para confirmar la
traducción y para ver que las nuevas traducciones expiren en dos minutos.
TERCERA PARTE: Configuración de la Sobrecarga NAT
Objetivo
 Configurar NAT dinámica con sobrecarga.
Parece que las traducciones NAT dinámicas básicas serán demasiado limitadas y engorrosas como para cumplir con las
necesidades de la AVI. Modifique el prototipo para utilizar la función de sobrecarga.
Paso 1
En el último ejercicio, se vio un pool de direcciones IP globales ‘reales’ que puede utilizarse para proporcionar a los hosts
interiormente direccionados acceso a la Internet y otros recursos exteriores. No obstante, en la implementación previa, cada
dirección global podría adjudicarse a sólo un host por vez.
La más potente funcionalidad de NAT es la sobrecarga de direcciones, o traducción de direcciones de puerto (PAT). La
sobrecarga permite que múltiples direcciones interiores se mapeen a una única dirección global. Con PAT, literalmente cientos de
nodos direccionados privadamente pueden acceder a la Internet utilizando sólo una dirección global. El router NAT mantiene un
registro de las diferentes conversaciones mapeando números de puerto TCP y UDP.
Configure la sobrecarga de direcciones en SanJose1 mediante el siguiente comando:
SanJose1(config)#ip nat inside source list 2 pool MYNATPOOL overload
Una vez configurada la función de sobrecarga, haga ping a ambas interfaces de ISP1, 10.0.1.2 y 10.0.0.5, desde el Host A. Los
pings deberían tener éxito. A continuación, emita el comando show ip nat translations :
53
SanJose1#show ip nat translation
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.0.5:1536 10.0.0.5:1536
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.1.2:1536 10.0.1.2:1536
1. ¿Qué número de puerto es el origen del ping ?
2. ¿Qué número de puerto es el destino del ping ?
Además de rastrear las direcciones IP traducidas, la tabla de traducciones también registra los números de puerto utilizados.
Nótese también que la primera columna, Pro, muestra el protocolo utilizado.
Ahora observe el resultado del comando show ip nat translation verbose :
SanJose1#show ip nat translation verbose

icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.0.5:1536 10.0.0.5:1536
create 00:00:09, use 00:00:06, left 00:00:53,
flags:
extended, use_count: 0
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.1.2:1536 10.0.1.2:1536
create 00:00:04, use 00:00:01, left 00:00:58,
flags:
Nota: el tiempo vencido para estas traducciones dinámicas sobrecargadas de ICMP es de 60 segundos. Nótese también que cada
sesión tiene su propio temporizador de tiempo vencido. La nueva actividad sólo vuelve a cero el temporizador de una sesión
específica. Para ver el resultado en el router, puede ser necesario volver a hacer ping .
Desde el prompt MS-DOS del Host A, emita rápidamente los siguientes comandos y luego regrese a la consola de SanJose1 para
emitir el comando show ip nat translation . Los comandos deben efectuarse rápidamente debido al tiempo vencido de
60 segundos:
HostA:\>ping 10.0.0.5
HostA:\>telnet 10.0.0.5 (No haga login. Regrese a la ventana de comandos)
HostA:\>ftp: 10.0.0.5 (Fallará. No se preocupe)
Nota: para salir del programa FTP de Windows, tipee bye y presione Enter.
Una vez iniciadas estas tres sesiones, el resultado del comando show ip nat translation deberá tener un aspecto similar a
lo siguiente:
SanJose1#show ip nat translation
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.0.5:1536 10.0.0.5:1536
tcp 42.0.0.49:1095 192.168.0.21:1095 10.0.0.5:21 10.0.0.5:21
tcp 42.0.0.49:1094 192.168.0.21:1094 10.0.0.5:23 10.0.0.5:23
Aunque el router NAT tenga un pool de ocho direcciones IP con las cuales trabajar, elige continuar utilizando el 42.0.0.55 para
ambas estaciones de trabajo. El Cisco IOS continuará sobrecargando la primera dirección del pool hasta que haya alcanzado su
límite y después se moverá a la segunda dirección, etcétera.
Paso 3
En este paso, examine los valores de tiempo vencido en más detalle. Desde el Host A, inicie sesiones FTP y HTTP con ISP1 en
10.0.0.5. Puesto que ISP1 no está configurado como servidor FTP ni servidor de la Web, ambas sesiones fallarán.
HostA:\>ftp: 10.0.0.5
Para abrir una sesión HTTP, tipee la dirección IP de ISP1 en el campo para el URL de la ventana de un explorador de la Web.
Una vez intentadas las sesiones tanto FTP como HTTP, utilice el comando show ip nat translation verbose y
examine las entradas de tiempo restante, como se muestra a continuación:
SanJose1#show ip nat translation verbose
icmp 42.0.0.49:1536 192.168.0.21:1536 10.0.0.5:1536 10.0.0.5:1536
create 00:00:29, use 00:00:26, left 00:00:33,
flags:
tcp 42.0.0.49:1114 192.168.0.21:1114 10.0.0.5:21 10.0.0.5:21
create 00:
flags:
extended, timing-out, use_count: 0
tcp 42.0.0.49:1113 192.168.0.21:1113 10.0.0.5:23 10.0.0.5:23
create 00:00:22, use 00:00:22, left 23:59:37,
54
flags:
tcp 42.0.0.49:1115 192.168.0.21:1115 10.0.0.5:80 10.0.0.5:80
create 00:00:12, use 00:00:11, left 23:59:48,
flags:
Nótese que algunas de las transacciones TCP están utilizando un temporizador de tiempo vencido de 24 horas. Para ver los otros
temporizadores que pueden configurarse, utilice el comando ip nat translation ? en modo de configuración global, tal
como se muestra a continuación:
SanJose1(config)#ip nat translation ?
dns-timeout Specify timeout for NAT DNS flows
finrst-timeout Specify timeout for NAT TCP flows after a FIN or RST
icmp-timeout Specify timeout for NAT ICMP flows
max-entries Specify maximum number of NAT entries
port-timeout Specify timeout for NAT TCP/UDP port specific flows
syn-timeout Specify timeout for NAT TCP flows after a SYN and no
further data
tcp-timeout Specify timeout for NAT TCP flows
timeout Specify timeout for dynamic NAT translations
udp-timeout Specify timeout for NAT UDP flows
Las opciones de tiempo vencido reales varían según la versión del IOS. Los valores por defecto para algunos de los tiempos más
comunes son:
 dns-timeout Sesión DNS, dura 60 segundos
 finrst-timeout Sesión TCP después de un FIN o RST / fin de la sesión, dura 60 segundos
 icmp-timeout Sesión ICMP, dura 60 segundos
 tcp-timeout Sesión de puerto TCP, dura 86.400 segundos o 24 horas
 timeout Traducciones NAT dinámicas, dura 86.400 segundos o 24 horas
 udp-timeout Sesión de puerto UDP, dura 300 segundos o 5 minutos
El temporizador finrst-timeout se asegura de que las sesiones TCP cierren el puerto relacionados 60 segundos después de la
secuencia de terminación TCP.
Las sesiones de NAT dinámica sólo pueden ser iniciadas por un host interno. No es posible iniciar una traducción NAT desde el
exterior de la red. Hasta cierto punto, esto agrega un nivel de seguridad a la red interior. También puede ayudar a explicar por qué
el temporizador de tiempo vencido dinámico para las sesiones de sobrecarga es tan corto. La sesión permanece abierta sólo lo
suficiente como para asegurarse de que respuestas legítimas como páginas Web, sesiones FTP y TFTP y mensajes ICMP puedan
entrar.
Los hosts exteriores pueden hacer ping de las traducciones NAT estáticas en cualquier momento, mientras el host esté activo.
Esto es así para que los servidores Web, FTP, TFTP, DNS y otros tipos de servidores puedan compartirse con el mundo exterior.
Con NAT dinámica no configurada para sobrecarga, la traducción permanece activa durante 24 horas. Esto podría permitir que un
host exterior intente acceder a la traducción y por lo tanto al host. Pero con la opción de sobrecarga, el host exterior tiene que
poder recrear la dirección IP NAT más el número de puerto. Por lo tanto, esto reduce la probabilidad de que un host no deseado
obtenga acceso al sistema.
Paso 4
Para ver el proceso de traducción real y detectar problemas de NAT, es posible utilizar el comando debug ip nat y sus
opciones relacionadas.
Recuerde que como con todos los comandos debug , esto puede afectar serialmente el desempeño del router de producción y
deberá utilizarse con precaución. El comando undebug all desactiva todo debugging .
En SanJose1, utilice el comando debug ip nat para activar la funcionalidad debug.
Desde A, haga ping a la interfaz serie de ISP1, 10.0.0.5, y observe las traducciones según se las muestra a continuación:
SanJose1#debug ip nat IP NAT debugging is on
06:37:40: NAT: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [63]
06:37:40: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [63]
06:37:41: NAT*: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [64]
06:37:41: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [64]
06:37:42: NAT*: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [65]
06:37:42: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [65]
06:37:43: NAT*: s=192.168.0.21>42.0.0.49, d=10.0.0.5 [66]
06:37:43: NAT*: s=10.0.0.5, d=42.0.0.49>192.168.0.21 [66]
06:38:43: NAT: expiring 42.0.0.49 (192.168.0.21) icmp 1536 (1536)
55
Desactive todo el debugging .

SanJose1#undebug all
All possible debugging has been turned of
Nótese que ambas traducciones pueden verse mientras los pings pasan en ambos sentidos a través del router NAT. Nótese que
el número al final de la fila es el mismo para ambas traducciones de cada ping . La s= indica el origen, la d= indica el destino y
-> muestra la traducción. 06:38:43 en las traducciones muestra la expiración de la traducción NAT. La opción detailed puede
utilizarse con debug ip nat para proporcionar los números de puerto así como las traducciones de direcciones IP, según se
muestra a continuación:
SanJose1#debug ip nat detailed
IP NAT detailed debugging is on
07:03:50: NAT: i: icmp (192.168.0.21, 1536) > (10.0.0.5, 1536) [101]
07:03:50: NAT: address not stolen for 192.168.0.21, proto 1 port 1536
07:03:50: NAT: ipnat_allocate_port: wanted 1536 got 1536
07:03:50: NAT*: o: icmp (10.0.0.5, 1536) > (42.0.0.49, 1536) [101]
07:03:51: NAT*: i: icmp (192.168.0.21, 1536) > (10.0.0.5, 1536) [102]
07:03:51: NAT*: o: icmp (10.0.0.5, 1536) > (42.0.0.49, 1536) [102]
07:03:52: NAT*: i: icmp (192.168.0.21, 1536) > (10.0.0.5, 1536) [103]
07:03:52: NAT*: o: icmp (10.0.0.5, 1536) > (42.0.0.49, 1536) [103]
07:03:53: NAT*: i: icmp (192.168.0.21, 1536) > (10.0.0.5, 1536) [104]
07:03:53: NAT*: o: icmp (10.0.0.5, 1536) > (42.0.0.49, 1536) [104]
Figura Representativa de la Configuración del Laboratorio

Cartilla2 v5 v1 Definitiva

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cartilla2 v5 v1 Definitiva

Transféré par

Droits d'auteur :

Formats disponibles

GUÍA DE PRÁCTICOS CCNA-2 v5

Centro de Capacitación Gabriel

1 Cuál es el rango de direcciones privadas definidas en el RFC 1918?

A. 0.0.0.0 hasta 255.255.255

4 Un administrador de red ha subneteado la red 172.16.0.0 usando la mascara de subred 255.255.255.192.

A. Dirección de Red de primera y quinta subred

PRIMERA PARTE: Exploración Física del Switch

Paso 1 - Examinar los switches de LAN adelante y atrás.

1. ¿Cuál es la estructura del laboratorio del Semestre 3? (dibuje un gráfico)

2. ¿En qué tipo de switch se encuentra ud. ahora?

5. ¿Existe un conmutador de ENCENDIDO/APAGADO de la energía eléctrica? (S/N) ¿Cómo se hace para

7. ¿De cuántos puertos Fast Ethernet se compone el switch?

8. ¿Son puertos de interconexión? ¿Cómo lo puede comprobar?

9. ¿Qué tipo(s) de conector(es) se utilizan?

10. ¿De cuántos puertos Giga Ethernet se compone el switch?

11. ¿Son puertos de interconexión? ¿Cómo lo puede comprobar?

12. ¿Qué tipo(s) de conector(es) se utilizan?

Paso 2 - Revisión de la configuración del programa HyperTerminal de la estación de trabajo.

Opción de configuración Configuración(es) actual(es)

SEGUNDA PARTE: Interfaz de Líneas de Comandos (CLI) Switch Catalyst.

2. Ejecute el comando show ? ¿qué le muestra la lista de comandos?

Paso 2- Modo Usuario

1. ¿Cuál es el número de modelo del switch?

2. ¿Cuál es el número de serie del switch?

3. ¿De dónde obtiene el IOS el Switch?

4. ¿Cuáles son los tamaños Ram y NVRAM?

5. ¿Cuántas interfaces tiene?

7. ¿Cuál es el número de registro?

Paso 3- Modo Privilegiado

1. Ejecute el comnado show ? ¿qué le muestra la línea de comandos?

Paso 4- Utilizar la línea de comandos para configurar el acceso IP.

1. Ingrese el comando show vlan.

2. ¿Cuantas vlan existen?

3. ¿Cuál es la vlan de administración?

4. ¿Qué puertos pertenecen a la Vlan de administración?

6. Ingrese al modo de configuración global del switch (configure terminal)

8. Ejecute el comnado ? y observe las opciones que se pueden configurar en la interface.

Gateway por defecto:

TERCERA PARTE Acceso al Switch via TELNET y SSH

 Configurar TELNET y SSH en switch.

Paso 1 Conectarse al switch a través del protocolo TELNET

CUARTA PARTE Manejo de Seguridad y de la Tabla de direcciones MAC

 Administrar la tabla MAC del switch.

Paso 1 Registrar las direcciones MAC del host

Paso 2 Determinar las direcciones MAC que ha aprendido el switch

b. ¿Cuántas direcciones dinámicas hay?

c. ¿Cuántas direcciones MAC totales hay?

d. ¿Por qué hay más direcciones MAC que puertos en el switch?

e. ¿Cuántas direcciones han sido definidas por el usuario?

b. ¿Cuántas opciones están disponibles para el comando show mac-address-table?

c. Muestre sólo las tablas de direcciones MAC que se aprendieron dinámicamente.

Paso 4 Despejar la tabla de direcciones MAC

Switch#clear mac-address-table dynamic

Paso 5 Verificar los resultados

b. ¿Cuántas direcciones MAC totales hay ahora?

c. ¿Por qué hay tantas?

d. ¿Cuántas direcciones dinámicas hay?

Paso 6 Determinar las opciones de clear MAC table

b. ¿Cuántas opciones hay?

c. ¿En qué circunstancias se utilizarían estas opciones?

Paso 7 Examinar nuevamente la tabla MAC

b. ¿Cuántas direcciones dinámicas hay?

c. ¿Por qué cambió esto desde la última muestra?

Paso 8 Configurar una dirección MAC estática