0.

- NO OLVIDAR ACTIVAR IP ROUTING

1.- Configurar las trunk

%switch distribucion
int range f0/2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 44,55,66
switchport trunk native vlan 66

int range f0/3

switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 60,80,90
switchport trunk native vlan 90

%switch acceso
int f0/1
switchport mode trunk
switchport trunk allowed vlan 44,55,66
switchport trunk native vlan 66

int f0/3
switchport mode trunk
switchport trunk allowed vlan 60,80,90
switchport trunk native vlan 90

2.- Crear VTP en switch de capa de distribucion

%switch distribucion
vtp domain CISCO
vtp password cisco

%switch acceso
vtp mode client
vtp domain CISCO
vtp password cisco

3.- Crear VLAN en switch de distribucion, VTP lo pasara a acceso

 vlan 44
name Administradores
vlan 55
name Contadores
vlan 66
name TI&Nativas

vlan 44
vlan 55
vlan 66

vlan 60
vlan 80
vlan 90

4.- Asignar puertos a interfaces en switch de acceso

int range fa0/1, fa0/5-10

switchport mode access
switchport access vlan 44
int range fa0/3, fa0/11-15
switchport mode access
switchport access vlan 55

int range fa0/3-15

switchport mode access
switchport access vlan 30
int range fa0/16-24
switchport mode access
switchport access vlan 40

(NATIVA)
interface vlan 66
ip address 172.16.1.66 255.255.255.240
"La x se indica en el archivo como segunda ip, tercer ip, etc."
interface vlan 90
ip address 10.1.4.131 255.255.255.192
"La x se indica en el archivo como segunda ip, tercer ip, etc."

5.- Ruteo
Recuperar contraseña de router
apagar y prender
control pausa
 confreg 2142
reset
copy startup-config running-config
enable secret cisco
cambiar registro (#config-register 2102)
copy running-config startup-config

Rueto real
Ruteo router normal
interface fa0/0.44
encapsulation dot1Q 44
ip address 172.16.1.1 255.255.255.224

interface fa0/0.55
encapsulation dot1Q 55
ip address 172.16.1.33 255.255.255.224

interface fa0/0.66
encapsulation dot1Q 66 native
ip address 172.16.1.65 255.255.255.240

Ruteo Switch Capa 3 (NO OLVIDAR ACTIVAR IP ROUTING)

interface vlan 60
ip address 10.1.4.1 255.255.255.192
interface vlan 80
ip address 10.1.4.65 255.255.255.192
interface vlan 90
ip address 10.1.4.129 255.255.255.192

6.- DHCP en nucleo

Con DNS

ip dhcp excluded-address 172.16.10.10 (servidor DNS)

ip dhcp excluded-address 172.16.1.1 172.16.1.10
ip dhcp excluded-address 172.16.1.33 172.16.1.42
ip dhcp pool VLAN44
network 172.16.1.0 255.255.255.224
default-router 172.16.1.1
dns-server 172.16.5.10
ip dhcp pool VLAN55
network 172.16.1.32 255.255.255.224
 default-router 172.16.1.33
dns-server 172.16.5.10
ip dhcp pool VLAN66
network 172.16.1.64 255.255.255.240
default-router 172.16.1.65
dns-server 172.18.5.10

Sin DNS

ip dhcp excluded-address 172.16.1.1 172.16.1.10

ip dhcp excluded-address 172.16.1.33 172.16.1.42
ip dhcp excluded-address 172.16.1.65 172.16.1.74
ip dhcp pool VLAN44
network 172.16.1.0 255.255.255.224
default-router 172.16.1.1
ip dhcp pool VLAN55
network 172.16.1.32 255.255.255.224
default-router 172.16.1.33
ip dhcp pool VLAN66
network 172.16.1.64 255.255.255.240
default-router 172.16.1.65

7.- RIP v2 (nota si switch capa 3 habilitar puertos como router (no switchport))
router rip
version 2
network x.x.x.x

*********************************************
default-information originate
redistribute static
no auto-summary
passive-interface (tambien vlans)
ip default-gateway en switches
SEGURIDAD en capa de acceso boludo!
*********************************************

8.- Default gateway (PRIMERA IP DE LA NATIVA) para todos los switches

ip default-gateway 10.1.4.129

9.- ACL y NAT

 vlan 20 puede usar DNS, salir a internet pero no usar recurso de compañias
ip access-list extended ACL1
permit udp (IDred VLAN20) wildcard host (ipservidor) eq 53
deny ip (IDred VLAN20) wildcard 10.0.0.0 0.255.255.255
deny ip (IDred VLAN20) wildcard 172.16.0.0 0.15.255.255
deny ip (IDred VLAN20) wildcard 192.168.0.0 0.0.255.255
Nota: Se aplica en int fa0/0.20 o a la interfaz de la vlan si es switch capa 3
ip access-group ACL1 in

Los ID de red 10.0.0.0 no pueden salir a internet

El servidor (10.0.0.1) debe ser visto desde internet por la ip publica 198.16.0.1 (estática)

Para nat estatica

Con router
ip nat inside source static 10.0.0.1 198.16.0.1
int E0
ip nat outside
int s1
ip nat inside
int s0
ip nat inside
int E1.10
ip nat inside
int E1.20
ip nat inside

Con Switch capa 3

Si es switch capa 3
Para nat estatica
ip nat inside source static 10.0.0.1 198.16.0.1
int E2
ip nat outside
int E0
ip nat inside
int E1
ip nat inside
int vlan 10
ip nat inside
int vlan 20
ip nat inside

Para nat PAT

Primero crear ACL
 ip access-list standard NAT
deny 10.0.0.0 0.255.255.255
permit any
Aplicar PAT
ip nat inside source list NAT interface E0 overload

10.- Seguridad en capa de acceso (aplicar a todos los puertos en capa de acceso) y SSH

hostname S3
no ip domain-lookup
service password-encryption
enable secret class
banner motd #Prohibido el acceso a personal no autorizado#
lin con 0
password cisco
login
loggin synchronous
line vty 0 15
password cisco
login
loggin synchronous
exit

switchport mode access

switchport port-security
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security maximum 5

%Nota: el syslog es con restrict

switchport port-security mac-address 00d0.d3ce.be96

hostname R3
no ip domain-lookup
service password-encryption
enable secret class
banner motd #Unauthorized access is strictly prohibited#
 lin con 0
password cisco
login
loggin synchronous
line vty 0 4
password cisco
login
loggin synchronous
exit

ip domain-name net.com
username alumnos secret cisco
username profesores secret cisco
username TI secret cisco
crypto key generate rsa
1024
line vty 0 15
transport input ssh
login local

version 1 no hay vlsm

version 2 si hay vlsm o si super_red, redes discontinuas

en caso de redes discontinuas se usa RIP version 2 y no auto-summary

mismos octetos de clase y diferentes mascaras entonces VLSM

mismos octetos y mismas mascaras subredes

super red: por ejemplo, clase c (mascara 24) pero id de red con mascara 22

ip routing hablita el ruteo en switch capa 3

no switchport (hablitar puerto de switch capa 3 como router)

ruta estática recursiva especifica dirección IP del siguiente salto

ruta estática conectada directamente especifica interfaz-salida

22 ssh Servicio de shell seguro (SSH)
23 telnet El servicio Telnet
25 smtp Protocolo simple de transferencia de correo (SMTP)
69 tftp Protocolo de transferencia de archivos triviales (TFTP)
80 http Protocolo de transferencia de hipertexto (HTTP) para los servicios del World
Wide Web (WWW)
143 imap Protocolo de acceso a mensajes de Internet (IMAP)
161 snmp Protocolo simple de administración de redes (SNMP)
443 https Protocolo de transferencia de hipertexto seguro (HTTP)
53 DNS Servicios de nombres de dominio (tales como BIND)
520 RIP Protocolo de información de enrutamiento (RIP)