Configuración de NAT El procedimiento de configuración de NAT NA T requiere 1.Definición 1.Definición de la interfaz interna para NAT 2.Definición 2.Definición de la interfaz exter na de NAT 3.Definición 3.Definición de los pará metros de traducción Diferentes modalidades: * NAT estático
*NAt dinámico
* NAT overload o PAT
Definición de las interfaces interna y externa Router#configure terminal Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside Router(config-if)#interface serial 0/0 Router(config-if)#ip nat outside Definición de NAT estático
Router(config)#ip nat inside source static [ip local] [ip global] Definición de NAT dinámico
1.Definir las direcciones locales a traducir:
Router(config)#access-list [1-99] permit [ip local] 2.Definir el conjunto de direcciones globales a utilizar:
Router(config)#ip nat pool [name] [ip inicial] [ip final] netmask X.X.X.X 3.Establecer la traducción de direcciones
Router(config)#ip nat inside source list [X] pool [name] Definición de PAT utilizando una sola direcció n IP pública
Router(config)#access-list [1-99] permit [ip local] Router(config)#ip nat inside source list [X] interface [int] overload PAT utilizando más de una dirección IP pública
Router(config)#access-list [1-99] permit [ip local] Router(config)#ip nat pool [name] [ip] [ip] netmask X.X.X.X Router(config)#ip nat inside source list [X] pool [name] overload C omandosadicionales omandosadicionales
Routertclear ip nat translation * Router(config)#ip nat translation timeout [segundos] C omandos omandos
de monitoreo de NAT
Router# show ip nat translation Routert# show ip nat statistics Routert# debug ip nat Router#configure terminal Router(config)#servicedhcp 1
Habilita el servicio DHCP en el router. Usualmente no es necesario ya que el servicioestá habilitado por defecto.
Router(config)#ip dhcp pool central Crea un servicio de direcciones para un conjunto denominado "central". Accede al modo de configuración dhcp.
Router(dhcp-config)#network 172.16.1.0 255.255.255.0 Asigna el conjunto de direccione s que corresponde a la subred declarada para ser asignado.
Router(dhcp-config)#dns-server 172.16.1.3 Especifica la dirección IP del servidor DNS disponible para los clientes de este pool. Requiere al menos una dirección IP y permite hasta 8.
Router(dhcp-config)#netbios-name-server 172.16.1.3 Especifica la dirección IP del servidor NetBios WINS disponible para los clientes dhcp. Requiere al menos una dirección IP y permite hasta 8.
Router(dhcp-config)tdefault-router 172.16.1.1 Especifica la dirección IP del servidor g ateway disponible para los clientes de este pool. Requiere al menos una dirección IP y permite hasta 8.
Router(dhcp-config)#domain-name prueba Especifica el nombre de dominio a entregar: "prueba".
Router(dhcp-config)#lease 1 8 0 Define la duración de la asignación de información al host. Se expresa en días (1) horas (8) minutos (0). Valor por defecto: un día (1 0 0).
Router(config)#ip dhcp excluded -address 172.16.1.1 172.16.1.3 Permite excluir del conjunto definido las direcciones IP que se desean administrar manualmente. C omandosvarios:
Router#copytftp running-config Copia un archivo de configuración guardado en un servidor tftp a l a RAM del router.
Router#copytftpstartup-config Copia un archivo de configuración guardado en un servidor tftp directamente a la NVRAM del router.
Network AddressTranslation (NAT) Proceso que permite cam biar una dirección por otra nueva en el encabezado de un paquete IP. En la práctica seutiliza para habilitar direcciones IP privadas a circular sobre Internet o para r educir la cantidad de direcciones IP a disponer para conexiones remotas. Dispositivo NAT :También denominado NAT box. Puede ser: Router Cisco Sistema UNIX Otro tipo de dispositivo. Este dispositivo opera típicamente en el borde de un ár ea stub.
Servidor Windows XP
Terminología NAT : Dirección Local Interior - Dirección IP asignada a un nodo en la red interna.
2
Dirección Global Interior - Dirección IP de un nodo de la red interna, tal como aparece en la
redexterna. Típicamente es una dirección provista por un ISP. Dirección Local Exterior - Dirección IP de un nodo de la red externa, tal como es conocida
porlos nodos de la red interna. Dirección Global Exterior - Dirección IP asignada a un nodo en la red externa.
NAT estático Permite un mapeo uno a uno de direcciones locales y globales de modo estático. Se utiliza paradirecciones que deben estar accesibles desde Internet como el caso de servidores o dispositivos denetworking. NAT dinámico Realiza el mismo mapeo que NAT estático, pero de modo dinámico, por lo que no siempre la mismadirección pública estará r elacionada con el mismo nodo de la red interna. PAT Mapea múltiples direcciones de la red interna a una misma dirección pública, identificando cada dirección interna por un número de puerto utilizando un código de 16 bits.
Las ventajas de NAT son : 1- Evita la necesidad de reasignar direcciones IP cuando se ca mbia de proveedor. 2-Conserva direcciones IP. 3- Protege la seguridad de la red. C onfiguración
de NAT estático
Se debe t ener en cuenta que NAT se aplica típicamente en redes stub, sobre la salida de la red a l a red pública.
LAB_A(config)#ip route 0.0.0.0 0.0.0.0 201.100.11.2 Establece una ruta por defecto hacia la red externa. Reenviará todo el tráfico hacia la red del proveedor de servicio. LAB_A(config)#ip nat inside source static 172.16.15.15 20.1.1.45 Establece un mapeo estático entre la dirección local interior y una dirección global interior. LAB_A(config)^interface fastethernet 0/1 Define la interface que se comporta como gateway de la red interior. Es la interface que corresponde a la red interna. LAB_A(config-if)#ip nat inside Marca la interface conectada a la red interna. LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 Especifica la interface conectada a la red exter na. LAB_A(config-if)#ip nat outside Marca la interfase conectada a la red externa. C onfiguración de NAT dinámico LAB_A(config)#access-list 1 permit 172.16.15.16 0.0.0.15 En primer lugar se utiliza una lista de acceso para definir el r ango de direcciones locales interiores susceptibles de ser traducidas por NAT. 3
LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224 Define un conjunto de direcciones públicas a utilizar en el proceso. LAB_A(config)#ip nat inside source list 1 pool publ Asocia la lista de acceso creada para que utilice el conjunto de direcciones IP públicas que hemos denominado "public" realizando una traducción dinámica de direcciones. LAB_A(config)#interface fastethernet 0/1 LAB_A(config-if)#ip nat inside LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 LAB_A(config-if)#ip nat outside C onfiguración
de PAT
LAB_A(config)#access-list 1 permit 172.16.15.16 0.0.0.15 LAB_A (config) #ip nat insidesource list 1 interface serial 0 /0 overload Asocia la lista de acceso con la dirección IP pública de la interfase de salida, para que realice el proceso de PAT.
LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224 PAT también puede realizarse utilizando un conjunto de direcciones pública. Este comando define un conjunto de direcciones públicas a utilizar en el proceso
LAB_A(config)#interface fastethernet 0/1 LAB_A(config-if)#ip nat inside LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 LAB_A(config-if)#ip nat outside LAB_A(config)#ip nat inside source list 1 pool publ overload Asocia la lista de acceso con el conjunto de direcciones IP públicas que secreó antes, para que realice el proceso de PAT.
Router _B#Ctrl+shift+6 luego x Permite suspender una sesión telnet abierta y regresar al dispositivo local. Lasesión telnet permanece abierta, pero no está en uso, se puede regresar aella luego.
4
Reglas de funcionamiento de ACL Se puede configurar una sola lista en cada interfase por sentido del tráfico (entrante / saliente), por protocolo de enrutamiento (IP, IPX, etc.). Cada lista de acceso es identificada por un ID único (un numérico o alfanumérico). En el caso de laslistas numeradas, este ID identifica el tipo de lista de acceso y las diferen cia de otras semejantes. Cada paquete que ingresa o sale de la interfase es comparado con cada línea de la lista secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la primera ingresada. La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que elpaquete cumple la condición de una línea, se ejecuta la acción indicada y no se sigue comparando. Hay un deny all implícito al final de cada lista de acceso, que no es visible. Por lo tanto, si el paquete no coincide con ninguna de las premisas declaradas en la lista será d escartado. Los filtros de tráfico saliente no afectan el tráfico originado en el mismo router. Las listas de acceso IP al descartar un paquete envían al origen un mensaje ICMP de "host de destino inalcanzable".
Tipos de listas de acceso IP
Listas de acceso estándar - permiten filtrar únicamente direcciones IP de origen.
Listas de acceso extendidas - verifican direcciones de origen y destino, protocolo de capa 3,protocolo y puerto de ca pa 4.
Listas de acceso nombradas - Listas de acceso IP tanto estándar como extendidas que verificandirecciones de origen y destino, pro tocolos de capa 3 y puertos de capa
4,
identificadas con una cadenade caracteres alfanuméricos. A diferencia de las listas de acceso numeradas, se configuran en unsubmodo propio y son editables.
Lista de acceso entrante - Controlan el tráfico que ingresa al router a través del puerto en el queestá aplicada, y antes de que sea conmutado a la interfase de salida.
Lista de acceso saliente - Controlan el tráfico saliente del router a través del puerto en que estáaplicada, una vez que y a ha sido conmutado.
Numero de lista de acceso : El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un n úmero de lista de acceso. El listado completo de números de listas de acceso y su significado se puede consultar en el IOS a partir del modo configuración tipeando:
Router(config)#access-list ? 1-99 IP estándar 100-199 IP extendida Números de puerto: En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se puede también especificar laaplicación que se desea filtrar a través del número de puerto.
5
FTP Data FTP Telnet SMTP Time TACACS DNS DHCP server DHCP client TFTP Gopher Finger HTTP POP3 RPC NetBIOS name NetBIOS datag NetBIO session SNMP IRC Máscara
= 20 = 21 = 23 = 25 = 37 = 49 = 53 = 67 = 68 = 69 = 70 = 79 = 80 = 110 = 111 = 137 = 138 = 139 = 161 = 194
TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP TCP TCP UDP UDP UDP UDP UDP
de wildcard
Las máscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP. En las máscaras de wildcar el dígito en 0 (cero) indica una posición que debe ser comprobada, mientras que el dígito 1 (uno) indica una posición que carece de importancia. La máscara se aplica a una dirección IP específica contenida en la declaración de la ACL y a la dirección de lospaquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete el criterio de permiso o denegación enunciado en la línea correspondiente.
172.16.14.330.0.0.0 Indica que se debe s eleccionar únicamente la dirección IP declarada 172.16.14.44 0.0.0.255 Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y 172.16.14.2 55(no discrimina respecto del cuarto octeto).
172.16.14.14 0.0.255.255 Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del número de nodo -los dos últimos bits-). C asos
especiales xxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx 0.0.0.0 255.2 55.2 55.2 55= any Algunas reglas de cálculo
1. Cuando se desea filtrar una red completa, la máscara de wildcard es el complemento de la máscara de subred por defecto: Ejemplo : Dirección de red:
200.
.15
.104
.0
6
Máscara de subred: 255 Máscara de wildcard: 0
.255 .0
.255 .0
.0 .255
2. Cuando se desea filtrar una subred completa, la máscara de wildcard es el complemento de la máscara de subred que se esté aplicando: Ejemplo : Dirección de subred: 172 Máscara de subred:255 Máscara de wildcard: 0
.16 .255 .0
.1 .255 .0
.32 .224 .31
C onfiguración De
Las Listas De Acceso
Listas de acceso IP estándar nu meradas
Router(config)#access-list [ID] [permit/demy] [IP origen] Router(config)#no access-list [ID] Router(config)#interface serial 0/1 Router(config-if)#ip access-group [ID] [in/out] Listas De Acceso IP Extendida Numeradas
Router(config)#access-list [ID] [permit/demy] [protocolo] [IP origen] [IP destino][log] [tiposervicio] Router(config)#no access-list [ID] Router(config)#interface serial 0/1 Router(config-if)#ip access-group [ID] [in/out] Listas De Acceso IP Nombradas
Router(config)#access-list [estándar/extended] [nombre] Router(config)#[permit/deny] [ip origen] Router(config)#[permit/deny] [protocolo] [IP origen] [IP destino] [tipo servicio] Router(config-if)#ip access-group [ID] [in/out] F iltros
aplicados a terminales virtuales
Se pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estándar a fin de limitar las direcciones IP a partir de las cuales se podrá conectar al dispositivo vía telnet. Un ejemplo:
Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in Monitoreo
de las listas
Router#showaccess-list [#] Muestra las listas y el contenido de todas las ACL o una en particular. Nos permiteverificar a qué interfase están aplicadas.
Router#show ip access-list Muestra solamente la configuración de ACL IP.
Router#show ip interface
7
Muestra los puertos que tienen aplicadas ACL IP.
Routerf# show running-config Muestra tanto las listas de acceso configuradas, como la que se encuentran aplicadasa cada interfase.
Tips de aplicación y
Las listas de acc eso estándar deben colocarse lo más cerca posible del destino del tráfico.
y
Las listas de acceso extendidas deben colocarse lo más cerca posible del origen del tráfico que será denegado.
y
Antes de comenzar a trabajar sobre una lista de acceso existente desvincúlela de todas las interfases a las que se encuentre asociada.
y
No se puede remover o ca mbiar el orden de una consigna de una lista de acceso numerada (no son editables).
y
Ya
que las listas numeradas no son editables es una buena práctica -para mantener un proceso
deedición más simple-, recurrir al uso de un editor de texto. y
Cada vez que agrega una línea a la lista de acceso esta se ubicará a continuación de las líneasexistentes, al final.
y
Organice su lista de acceso de modo que los criterios más específicos estén al comienzo de la misma, y luego las premisas más generales.
y
Coloque primero los permisos y luego las deneg aciones.
y
Toda lista debe incluir al menos un comando permit.
y
Las listas no filtran el tráfico originado en el router.
y
Una misma lista de acceso puede ser asignada a vanas interfases en el mismo dispositivo,tanto en modo entrante como saliente.
Procedimiento de configuración de Listas de Acceso 1. C reación de Listas de Acceso IP
LAB_A#config t Enter configuration commands, one per line. End with CNTL/Z. LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 21 Crea un filtro que permite el tráfico de solicitudes de servicios ftp de cualquierdispositivo qu e quiera acceder a la dirección IP 205.7. 5.10. LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 80 Crea un filtro que permite el tráfico de solicitudes de servicios http de cualquierdispositivo que quiera acceder al servidor ubicado en la dirección IP 205.7. 5.10. LAB_A(config)#access-list 101 deny ip any 205.7.5.0 0.0.0.255 Crea un filtro que deniega todo el tráfico ip que esté dirigido específicamente a la red 20 5.7. 5.0. LAB_A(config)#access-list 101 deny tcp any anyeq 23 Crea un filtro que deniega todo requerimiento de inicio de sesiones telnet, cualquierasea su origen o destino.
8
LAB_A(config)#access-list 101 deny icmp any any echo Crea un filtro que deniega toda solicitud de ping cualquiera sea su origen o destino. LAB_A(config)#access-list 101 permit ip any any Crea un filtro que permite todo otro tráfico IP que no esté especificado en las sentencias precedentes. LAB_A(config)#access-list 102 permit tcp host 205.7.5.10 any established Otra lista de acceso (102) que permite que se responda todo el tráfico que sea respuesta a solicitudes recibidas por el servidor ubicado en la dirección 205.7. 5.10. 2. Asignación de las Listas de Acceso a puertos
LAB_A(config)#interface fastethernet 0/0 LAB_A(config -if)#ip access-group 101 in Asigna la lista de acceso 101 a la interfase fastethernet 0/0, de modo que v erifique todo el tr áfico entrante al router. LAB_A(config-if)#interface fastethernet 0/1 LAB_A(config-if)#ip access-group 102 in Asigna la lista de acceso 102 a la interfase Ethernet 0/1, de modo que verifique todotráfico entrante al router.
Configuración de HDLC Router# configure terminal Router(config)# interface serial 0/0 Router(config)#encapsulation hdlc
Configuración de una Interfase Serial con PPP PPP con autenticación CH AP LAB_A(config)#username LAB_B password cisco Crea un usuario y password de autenticación para un dispositivo remoto que soliciteconexión con nuestro router. Ambos parámetros son sensibles a mayúsculas y minúsculas.El username corresponde con el hostname del dispositivo que requiere conexión. LAB_A(config)#interface serial 0 LAB_A(config-if)#ip address 172.16.10.0 255.255.255.0 LAB_A(config-if)#encapsulation ppp Selecciona encapsulación ppp para el tráfico entrante y saliente por esta interfase. LAB_A(config-if)#ppp authentication chap Activa el protocolo de autenticación chap para todos los dispositivos que intentenconectarse con el nuestro a través de esta interfa se LAB_B (config)# username LAB_A password cisco LAB_B(config)#interface serial 0 LAB_B(config-if)#encapsulation ppp LAB_B(config-if)#ppp chap hostname LAB_C LAB_B(config-if)#ppp chap password cisco Esta combinación de comandos permite configurar un conjunto de dispositivos para quese autentiquen contra un único dispositivo remoto utilizando el mismo usuario y password.
9
PPP con autenticación PAP LAB_A(config)#username LAB_B password cisco LAB_A(config)#interface serial 0 LAB_A(config-if)#encapsulation ppp LAB_A(config-if)# ppp authentication pap Activa el protocolo de autenticación pap para todos los dispositivos que intentenconectarse con el nuestro a través de esta interfase.
LAB_B(config)#interface serial 0 LAB_B(config-if)#encapsulation ppp LAB_B(configif)#ppp pap sent-username LAB_B password cisco A partir de Cisco IOS 11.1 se debe habilitar PAP en la interfase del router que debe enviar la información de autenticación. F rame
Relay
DLCI - Data Link Connection Identifiers Los circuitos virtuales Frame Relay se diferencian utilizando un identificador denominado DLCI.
Router(config)#interface serial 0/0 Router(config-if)#frame-relay interface-dlci [16-992] El mapeo de direcciones IP a DL C I puede ser : Dinámico :
utilizando el protocolo IARP (ARP inverso)
Router(config-if)#frame-relay inverse arp Manual :
utilizando el comando map
Router(config-if)#frame-relay [encapsulación] C isco
map
[protocolo]
[dirección]
[dlci][broadcast]
IOS incluye vanos tipos diferentes de L MI y todos son incompatibles entre s í:
Router(config-if)#frame-relay lmi-type [ ANSl/cisco/q933a] C onfiguración
de una interfaz serial con F rame Relay
Router(config)linterface serial 0 Router (config-if) lencapsulation frame-relay Router(config-if)tframe-relay lmi-type cisco Router(config-if)fno shutdown ¡Atención! Si se configurarán subinterfaces, NO se debe asignar una dirección IP a lainterfaz física. Subinterfaz punto a punto
Router(config-if)#interface serial Router(config-subif)#ip address 172 Router(config-subif)#frame-relay Subinterfaz punto a multipunto
Router(config-if)#interface serial 0.20 multipoint Router(config-subif)#ip address 172.16.21.1 255.255.255.255.0 Router(config-subif)#frame-relay interface-dlci 21
10
Router(config-subif)#no frame-relay inverse-arp Router(config-subif)#frame-relay map ip 172.16.20.2 20 ietf
Comandos Varios C onfiguración
del servicio DHC P Router(config)^service dhcp Router(config)#ip dhcp excluded -address 172.16.0.0 172.16.1.3 Router(config)#ip dhcp pool nombre Router(dhcp-config)#network 172.16.1.0 255.255.255.0 Router(dhcp-config)#dns-server 172.16.1.3 Router(dhcp-config)#netbios-name-server 172.16.1.3 Router(dhcp-config)#default-router 172.16.1.1 Router(dhcp-config)#domain-name ccna Router(dhcp-config)#lease 18 0 C onfiguración
del servicio NAT Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside Router(config-if)#interface serial 0/0 Router(config-if)tip nat outside Router(config-if)#exit Router(config)#ip nat inside source static 172.16.1.2 200.15.17.12 Router(config)#ip nat pool ccna 200.15.17.13 200.15.17.20 netmask 255.255.255.0 Router(config)#access-list 1 permit 172.16.1.8 0.0.0.7 Router(config)#ip nat inside source list 1 pool ccna Router(config)#ip nat inside source list 1 interface serial 0/0 overload Router(config)#ip nat translation timeout 120 Router(config)#exit Router#clear ip nat translation * C onfiguración
de Listas de Acceso
Router(config)#access-list 1 permit host 221.17.15.2 Router(config)#interface serial 0/1 Router(config-if)#ip access-group 1 in Router(config-if)# exit Router(config)#access-list 102 deny tcp any host 172.16.1.3 ftp Router(config)#interface serial 0/1 Router(config-if)#ip access-group 102 in Router(config)#ip access-list standard ccna Router(config-std-nacl)#permit host 221.17.15.2 Router(config-std-nacl) #exit Router(config)#interface serial 0/1 Router(config-if)#ip access-group ccna in C onfiguración
de filtros de acceso a terminales virtuales
Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in 11
C onfiguración
de servicios F rame Relay
Router(config)#interface serial 0 Router(config-if)#encapsulation frame-relay Router(config-if)#frame-relay lmi-type cisco Router(config-if)#no shutdown Router(config)#interface serial 0 Router(config-if)#encapsulation frame-relay Router(config-if)#no shutdown Router(config -if)#interface serial 0.21 point -to-point Router(config-subif)#ip address 172.16.21.1 255.255.255.252 Router(config-subif)#frame-relay interface-dlci 21 Router(config)#interface serial 0 Router(config-if)#encapsulation frame-relay Router(config-if)#no shutdown Router(config-if)#interface serial 0.20 multipoint Router(config-subif) #ip address 172.16.20.1 255.255.255.0 Router(config-subif) #frame-relay interface-dlci 20 Router(config-subif) #no frame-relay inverse-arp Router(config -subif)#frame-relay map ip 172.16.20.2 20 iet f
Configuración de interfaz WAN PPP con autenticación CHAP Router(config)# username Remoto password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp authentication chap Router# configure terminal Router(config)# username Router password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp
Configuración de interfaz WAN PPP con autenticación PAP Router(config)# username Remoto password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp authentication pap Router(config)# username Router password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp pap sent-username Remoto password cisco
Configuración de enrutamiento estático Router(config)# ip route 196.17.15. 0 255.255.255.0 201.100.11.2 Router(config)# ip route 207.7.68.0 255.255.255.0 serial 0/0 130 12
Router(config)# ip route 0.0.0.0 0.0.0.0 serial 0/1 Router(config)# ip default-network 2 00.15.17.0
Configuración de enrutamiento EIGRP Router(config)# router eigrp 20 Router(config-router)# network 10.0.0.0 Router(config-router)# no auto-summary
Configuración de enrutamiento OSPF Router(config)# router os pf 2 Router(config-router)# network 172.16. 0.0 0.0.255.255 area 0 Router(config-router)#exit Router(config)# interface serial 0/0 Router(config-if)#i p ospf cost 10 Router(config-if)#i p ospf priority 255
Configuración del servicio DHCP Router(config)# servicedhcp Router(config)# ip dhcp excluded-address 172.16. 0.0 172.16.1.3 Router(config)# ip dhcp pool nombre Router(d hcp-config)# network 172.16.1. 0 255.255.255.0 Router(d hcp-config)# dns-server 172.16.1.3 Router(d hcp-config)# netbios-name-server 172.16.1.3 Router(d hcp-config)# default-router 172.16.1.1 Router(d hcp-config)# domain-name ccna Router(d hcp-config)# lease 18 0
Configuración del servicio NAT Router(config)# interface fastet hernet 0/0 Router(config-if)# i p nat inside Router(config-if)# interface serial 0/0 Router(config-if)# ip nat outside Router(config-if)# exit Router(config)# ip nat inside source static 172.16.1.2 2 00.15.17.12 Router(config)# ip nat pool ccna 2 00.15.17.13 2 00.15.17.20 netmask 255.255.255.0 Router(config)# access-list 1 permit 172.16.1.8 0.0.0.7 Router(config)# ip nat inside source list 1 pool ccna Router(config)# ip nat inside source list 1 interface serial 0/0 overload Router(config)# ip nat translation timeout 12 0 Router(config)# exit Router# clear ip nat translation *
Configuración de Listas de Acceso Router(config)# access-list 1 permit host 221.17.15.2 Router(config)# interface serial 0/1 13
Router(config-if)# ip access-group 1 in Router(config)#access-list 102 deny tc p any host 172.16.1.3 ft p Router(config)# interface serial 0/1 Router(config-if)# ip access-group 102 in Router(config)# ip access-list standard ccna Router(config-std-nacl)# permit host 221.17.15.2 Router(config-std-nacl)# exit Router(config)# interface serial 0/1 Router(config-if)# ip access-group ccna in
Configuración de filtros de acceso a terminales virtuales Router(config)# access-list 1 0 permit host 172.16.10.3 Router(config)# line vty 0 4 Router(config-line)# access-class 10 in Configuración de servicios Frame Relay Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# frame-relay lmi-type cisco Router(config-if)# no s hutdown Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# no s hutdown Router(config-if)# interface serial 0.21 point-to-point Router(config-subif)# ip address 172.16.21.1 255.255.255.252 Router(config-subif)# frame-relay interface-dlci 21 Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# no s hutdown Router(config-if)# interface serial 0.20 multipoint Router(config-subif)# ip address 172.16.2 0.1 255.255.255. 0 Router(config-subif)# frame-relay interface-dlci 20 Router(config-subif)# no frame-relay inverse-arp Router(config-subif)# frame-relay ma p ip 172.16.20.2 20 ietf
Configuración de parámetros IP en un switch Catalyst 2950 Switch(config)# interface vlan1 Switch(config-if)# i p address 172.16.5.2 255.255.255. 0 Switch(config-if)# no s hutdown Switch(config-if)# exit Switch(config)# ip default-gateway 172.16.5.1
14
Configuración de STP en un switch Catalyst 2950 Switch(config)#s panning-tree vlan 1 priority 1 Configuración de VTP en un switch Catalyst 2950 Switcht# vlan database Switch(vlan)# vtp v2-mode Switch(vlan)# vtp domain ccna Switch(vlan)# vtp server Configuración de VLANs en un switch Catalyst 2950 Switcht# vlan database Switch(vlan)# vlan 2 name ccna Switch(vlan)# apply Switch(vlan)# exit Switcht# configure terminal Switch(config)# interface fastEthernet 0/4 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 2 Switch(config-if)# exit Switch(config)# interface fastEthernet 0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk enca psulation dot1q Switch(config-if)# exit
Configuración de una interfaz de router como troncal Router(config-if)# interface fastethernet 0/0.1 Router(config-subif)# enca psulation dot1q 1 Router(config-subif)# ip address 172.18.1.1 255.255.255. 0 Router(config-subif)# interface fastethernet 0/0.2 Router(config-subif)# enca psulation dot1q 2 Router(config-subif)# ip address 172.18.2.1 255.255.255. 0 Router(config)# interface fastet hernet 0/0 Router(config-if)# no s hutdown Monitoreo
de interfaces Router# s how interfaces Router# s how ip interfaces Router# s how ip interfaces brief Router# s how controllers Monitoreo
de PPP Router# debug ppp negotiation Router# debug ppp authentication Router# debug ppp packet 15
Monitoreo
de DHCP Router# s how dhcp server Router# s how dhcp lease Monitoreo
de NAT Router# s how ip nat translation Router# s how ip nat statistics Router# debug i p nat Monitoreo
del enrutamiento Router# s how ip protocolos Router# s how ip route Monitoreo
de listas de acceso Router# s how access-list Router# s how ip access-list Router# s how ip interfaces Router# s how running-config Monitoreo
de Frame Relay Router# s how frame-relay pvc [dlci] Router# s how frame-relay lmi Router# s how frame-relay map Router# debug frame-relay lmi Monitoreo
del switch Router# s how mac-address-table Router# clear mac-address-table Router# s how spanning-tree Monitoreo
de VLANs Switcht# show vtp status Switcht# show vlan Switcht# show vlan brief Switcht# show vlan id 2 Switcht# show interface fastethernet 0/1 switchport Switcht# show interface trunk Comandos para crear copias de resguardo Router# copy running-config startu p-config Router# copy system:running-config tftp:config.txt Router# copy flash:c2600 -is-mz.121-5 tftp: Borrar
configuración de un switch Catalyst Switch# delete flas h:config.text Switch# delete flas h:vlan.dat 16
Routert# copy flash:c2600 -is-mz.121-5 tft p:
17