ccna_2_word _resuelt.pdf

Switching y routing CCNA: Principios básicos de routing y switching Manual de prácticas de laboratorio para el instructor

Este documento es propiedad exclusiva de Cisco Systems, Inc. Se otorga permiso a los instructores del curso CCNA Security para uso exclusivo y para imprimir y copiar este documento con el fin de su distribución no comercial como parte de un programa Cisco Networking Academy oficial.

Práctica de laboratorio: inicialización y recarga de un router y un switch (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Objetivos Parte 1: configurar los dispositivos en la red como se muestra en la topología Parte 2: inicializar y volver a cargar el router Parte 3: inicializar y volver a cargar el switch

Información básica/situación Antes de comenzar una práctica de laboratorio de CCNA en la que se utiliza un router o un switch Cisco, asegúrese de que los dispositivos en uso se hayan borrado y no tengan ninguna configuración de inicio. De lo contrario, los resultados de la práctica podrían ser impredecibles. Esta práctica de laboratorio proporciona un procedimiento detallado para inicializar y volver a cargar un router Cisco y un switch Cisco. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio.

Recursos necesarios •

1 router (Cisco 1941 con software IOS de Cisco versión 15.2(4)M3, imagen universal o similar)

•

1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)

•

2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)

•

Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola

© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 1 de 4

Inicialización y recarga de un router y un switch

Parte 1: configurar los dispositivos en la red como se muestra en la topología Paso 1. realizar el cableado de red tal como se muestra en la topología. Conecte los cables de consola a los dispositivos que se muestran en el diagrama de topología.

Paso 2. encender todos los dispositivos de la topología. Antes de pasar a la parte 2, espere a que todos los dispositivos terminen el proceso de carga de software.

Parte 2: inicializar y volver a cargar el router Paso 1. conectarse al router. Acceda al router mediante el puerto de consola e ingrese al modo EXEC privilegiado con el comando enable. Router> enable Router#

Paso 2. eliminar el archivo de configuración de inicio de la NVRAM. Escriba el comando erase startup-config para eliminar la configuración de inicio de la memoria de acceso aleatorio no volátil (NVRAM). Router# erase startup-config

Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Router#

Paso 3. Recargue el router. Emita el comando reload para eliminar una configuración antigua de la memoria. Cuando reciba el mensaje Proceed with reload (Continuar con la recarga), presione Enter para confirmar. Si se presiona cualquier otra tecla, se anula la recarga. Router# reload Proceed with reload? [confirm] *Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.

Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el router. Responda escribiendo no y presione Enter. System configuration has been modified. Save? [yes/no]: no

Paso 4. omitir el diálogo de configuración inicial. Una vez que se vuelve a cargar el router, se le solicita introducir el diálogo de configuración inicial. Escriba no y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no


Página 2 de 4

Inicialización y recarga de un router y un switch

Paso 5. finalizar el programa de instalación automática. Se le solicitará que finalice el programa de instalación automática. Responda yes (sí) y, luego, presione Enter. Would you like to terminate autoinstall? [yes]: yes Router>

Parte 3: inicializar y volver a cargar el switch Paso 1. conectarse al switch. Acceda al switch mediante el puerto de consola e ingrese al modo EXEC privilegiado. Switch> enable Switch#

Paso 2. determinar si se crearon redes de área local virtuales (VLAN). Utilice el comando show flash para determinar si se crearon VLAN en el switch. Switch# show flash Directory of flash:/ 2 3 4 5 6

-rwx -rwx -rwx -rwx -rwx

1919 1632 13336 11607161 616

Mar Mar Mar Mar Mar

1 1 1 1 1

1993 1993 1993 1993 1993

00:06:33 00:06:33 00:06:33 02:37:06 00:07:13

+00:00 +00:00 +00:00 +00:00 +00:00

private-config.text config.text multiple-fs c2960-lanbasek9-mz.150-2.SE.bin vlan.dat

32514048 bytes total (20886528 bytes free) Switch#

Paso 3. eliminar el archivo VLAN. a. Si se encontró el archivo vlan.dat en la memoria flash, elimínelo. Switch# delete vlan.dat

Delete filename [vlan.dat]?

Se le solicitará que verifique el nombre de archivo. En este momento, puede cambiar el nombre de archivo o, simplemente, presionar Enter si introdujo el nombre de manera correcta. b. Cuando se le pregunte sobre la eliminación de este archivo, presione Enter para confirmar la eliminación. (Si se presiona cualquier otra tecla, se anula la eliminación). Delete flash:/vlan.dat? [confirm] Switch#

Paso 4. eliminar el archivo de configuración de inicio. Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la NVRAM. Cuando se le pregunte sobre la eliminación del archivo de configuración, presione Enter para confirmar la eliminación. (Si se presiona cualquier otra tecla, se anula la operación). Switch# erase startup-config

Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]


Página 3 de 4

Inicialización y recarga de un router y un switch [OK] Erase of nvram: complete Switch#

Paso 5. Recargar el switch. Vuelva a cargar el switch para eliminar toda información de configuración antigua de la memoria. Cuando se le pregunte sobre la recarga del switch, presione Enter para continuar con la recarga. (Si se presiona cualquier otra tecla, se anula la recarga). Switch# reload

Proceed with reload? [confirm]

Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el switch. Escriba no y presione Enter. System configuration has been modified. Save? [yes/no]: no

Paso 6. omitir el diálogo de configuración inicial. Una vez que se vuelve a cargar el switch, debe ver una petición de entrada del diálogo de configuración inicial. Escriba no en la petición de entrada y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no Switch>

Reflexión 1. ¿Por qué es necesario borrar la configuración de inicio antes de volver a cargar el router? _______________________________________________________________________________________ El archivo de configuración de inicio se carga en la memoria y se convierte en la configuración en ejecución una vez que se vuelve a cargar el router. Al borrar este archivo, el router puede volver a su configuración básica después de una recarga. 2. Después de guardar la configuración en ejecución como la configuración de inicio, encuentra un par de problemas de configuración, por lo que realiza los cambios necesarios para solucionar esos problemas. Si ahora quisiera volver a cargar el dispositivo, ¿qué configuración se restauraría después de la recarga? _______________________________________________________________________________________ Después de una recarga, se restaura la configuración que estaba establecida en el dispositivo la última vez que se guardó. Los cambios que se realicen a la configuración en ejecución después de guardar se perderán.


Página 4 de 4

Práctica de laboratorio: instalación del protocolo IPv6 y asignación de direcciones host con Windows XP (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Parte 1: instalar el protocolo IPv6 en una computadora con Windows XP •

Instalar el protocolo IPv6.

•

Examinar la información de dirección IPv6.

Parte 2: usar la utilidad Shell de red (netsh) •

Trabajar dentro de la utilidad netsh.

•

Configurar una dirección IPv6 estática en la interfaz de la red de área local (LAN).

•

Salir de la utilidad netsh.

•

Mostrar la información de dirección IPv6 con netsh.

•

Emitir instrucciones de netsh desde el símbolo del sistema.

Información básica/situación El protocolo de Internet versión 6 (IPv6) no está habilitado de manera predeterminada en Windows XP. Windows XP incluye la implementación de IPv6, pero es necesario instalar el protocolo IPv6. Windows XP no proporciona un método para configurar direcciones IPv6 estáticas en la interfaz gráfica de usuario (GUI), por lo que todas las asignaciones de direcciones IPv6 estáticas deben hacerse mediante la utilidad Shell de red (netsh). En esta práctica de laboratorio, instalará el protocolo IPv6 en una PC con Windows XP. Luego asignará una dirección IPv6 estática a la interfaz LAN.

Recursos necesarios 1 computadora con Windows XP

Parte 1. instalar el protocolo IPv6 en una computadora con Windows XP En la parte 1, instalará el protocolo IPv6 en una computadora con Windows XP. También utilizará dos comandos para ver las direcciones IPv6 asignadas a la computadora.

Paso 1. instalar el protocolo IPv6. En la ventana del símbolo del sistema, escriba ipv6 install para instalar el protocolo IPv6.


Página 1 de 5

Instalación del protocolo IPv6 y asignación de direcciones host con Windows XP

Paso 2. examinar la información de dirección IPv6. Use el comando ipconfig /all para ver la información de dirección IPv6.

Parte 2. usar la utilidad Shell de red (netsh) Shell de red (netsh) es una utilidad de línea de comandos incluida con Windows XP y sistemas operativos Windows más recientes, como Vista y Windows 7. Le permite configurar la información de dirección IPv6 en su LAN. En la parte 2, usará la utilidad netsh para configurar la información de dirección IPv6 estática en una interfaz LAN de una computadora con Windows XP. También usará la utilidad netsh para mostrar la información de dirección IPv6 de la interfaz LAN de la PC.

Paso 1. trabajar dentro de la utilidad Shell de red. a. En la ventana del símbolo del sistema, escriba netsh y presione Enter para iniciar la utilidad netsh. El símbolo del sistema cambia de C:\> a netsh>.

b. En la petición de entrada, introduzca un signo de interrogación (?) y presione Enter para obtener la lista de parámetros disponibles.


Página 2 de 5


c.

Escriba interface ? y presione Enter para proporcionar la lista de comandos interface.

Nota: puede utilizar el signo de interrogación (?) en cualquier nivel de la utilidad netsh para que se muestre una lista de las opciones disponibles. Para navegar por comandos netsh anteriores, se puede utilizar la flecha arriba. La utilidad netsh también permite abreviar comandos, siempre y cuando la abreviatura sea única.


Página 3 de 5


Paso 2. configurar una dirección IPv6 estática en la interfaz LAN. Para agregar una dirección IPv6 estática a la interfaz LAN, emita el comando interface ipv6 add address desde la utilidad netsh.

Paso 3. mostrar la información de dirección IPv6 con la utilidad netsh. Puede ver la información de dirección IPv6 con el comando interface ipv6 show address.

Paso 4. salir de la utilidad netsh. Use el comando exit para salir de la utilidad netsh.

Paso 5. emitir instrucciones de netsh desde el símbolo del sistema. Las instrucciones de netsh se pueden introducir en el símbolo del sistema, fuera de la utilidad netsh, si se introduce el comando netsh antes de la instrucción.


Página 4 de 5


Reflexión 1. ¿Cómo renovaría la información de dirección de la interfaz LAN en la utilidad netsh? Sugerencia: utilice el signo de interrogación (?) como ayuda para obtener la secuencia de parámetros. _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar, pero en el símbolo del sistema emitiría el comando netsh interface ipv6 renew.


Página 5 de 5

Enviar o recibir (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Describir la convergencia de datos, voz y video en el contexto de las redes conmutadas. Los estudiantes podrán explicar la forma en que los switches pueden ayudar a las terminales LAN a enviar y recibir datos, voz y datos de video.

Situación Analice de manera individual o grupal (según lo decida el instructor) las diversas formas en que los hosts envían y reciben datos, voz y transmisión de video. •

Desarrolle una matriz (tabla) donde se enumeren los tipos de datos de red que se pueden enviar y recibir. Proporcione cinco ejemplos.

La tabla o matriz podría ser similar a la siguiente: Enviado El cliente solicita una página web de un servidor web.

Recibido El servidor web envía la página web al cliente que la solicitó.

Conserve una copia impresa o electrónica de su trabajo. Esté preparado para explicar la matriz y las afirmaciones en clase.

Recursos Conectividad a Internet

Reflexión 1. Si está recibiendo datos, ¿cómo cree que un switch ayuda en el proceso? _______________________________________________________________________________________ Los estudiantes deben mencionar que los switches procesan datos hacia las terminales y desde estas. Es posible que muchos usuarios envíen y reciban datos al mismo tiempo.


Página 1 de 2

Enviar o recibir 2. Si está enviando datos de red, ¿cómo cree que un switch ayuda en el proceso? _______________________________________________________________________________________ Los switches permiten que varios destinatarios envíen y reciban datos simultáneamente. En comparación con los hubs, un switch permite aprovechar mejor el ancho de banda.

Respuestas de matriz (varían) Nota para el instructor: este es un modelo representativo que podría “crearse” como resultado de esta actividad: Enviado

Recibido

El cliente solicita una página web de un servidor web.

Las actualizaciones automáticas del servidor web de aplicaciones de telefonía móvil envían la página web al cliente que la solicitó.

El cliente solicita un archivo de un servidor FTP.

El servidor FTP envía el archivo solicitado al cliente.

El cliente solicita una transmisión de video de un servidor.

El servidor transmite el video al cliente que lo solicitó.

Juan envía un mensaje instantáneo a María.

María recibe el mensaje instantáneo de Juan.

El switch Ethernet recibe una trama de Ethernet en el puerto de entrada 1.

El switch Ethernet reenvía la trama desde el puerto de salida 4.

Juan envía paquetes de VoIP desde su teléfono IP.

María recibe los paquetes de VoIP en su teléfono IP.


Página 2 de 2

Es hora del acceso a la red (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Describir las características disponibles para que los switches admitan los requisitos de una red de una pequeña a mediana empresa. Los estudiantes diseñarán dos redes con Packet Tracer para satisfacer los requisitos indicados en las situaciones de LAN y WAN.

Situación Use Packet Tracer para esta actividad. Trabaje con un compañero de clase para crear dos diseños de red adecuados para las siguientes situaciones: Situación 1: diseño de clase (LAN) •

15 terminales para estudiantes representadas por una o dos computadoras

•

1 terminal para instructores; se prefiere un servidor

•

Capacidad del dispositivo para transmitir presentaciones de video a través de una conexión LAN En este diseño, no se requiere conectividad a Internet.

Situación 2: diseño administrativo (WAN) •

Todos los requisitos que se indican en la situación 1.

•

Acceso desde y hacia un servidor administrativo remoto para realizar presentaciones de video y la inserción de actualizaciones del software de aplicación de red

Los diseños de LAN y WAN deben ajustarse a una pantalla de archivo de Packet Tracer. Todos los dispositivos intermediarios deben estar rotulados con el modelo (o nombre) del switch y el modelo (o nombre) del router. Guarde su trabajo y esté preparado para justificar las decisiones y el diseño del dispositivo ante el instructor y la clase.

Reflexión 1. ¿Cuáles son algunos de los problemas que puede encontrar si recibe una transmisión de video del servidor del instructor a través de un switch básico? _______________________________________________________________________________________ Las respuestas varían: ancho de banda muy bajo para la transmisión de video a varios destinatarios que causa retardo; distorsión en la imagen, el sonido, etc. Algunas estaciones podrían ser “sacadas” debido a una sobrecarga de tráfico, según el programa de aplicación que se utilice para transmitir el video, etc. También existe la posibilidad de que haya “detección”, según la configuración del switch. 2. ¿De qué forma se determinaría el flujo de tráfico en la transmisión: multidifusión o difusión? _______________________________________________________________________________________ Si los usuarios tienen que “iniciar sesión” en la aplicación para recibir la transmisión de video, se consideraría multidifusión. Si el servidor agrupa a los estudiantes colectivamente para insertar la transmisión, se consideraría una difusión en el lado de la LAN.


Página 1 de 3

Es hora del acceso a la red 3. ¿Qué influenciaría su decisión sobre el tipo de switch para utilizar para voz, transmisión de video y datos comunes para estos tipos de transmisiones? _______________________________________________________________________________________ Las respuestas varían: si el switch también se usa para transmisiones WAN y otro tráfico intensivo de descarga, se usaría un switch de nivel más alto. 4. Como aprendió en el primer curso de la Academia, los datos de video y de voz utilizan un protocolo de la capa de transporte de modelo especial, TCP/IP. ¿Qué protocolo se utiliza en esta capa y por qué es importante para la transmisión de voz y video? _______________________________________________________________________________________ (UDP es el protocolo que se utiliza para voz y video. Permite un flujo continuo de datos sin interrupción para informar demoras al emisor. No hay entrega garantizada de datos de hosts de origen a hosts de destino).

Ejemplo de Packet Tracer (las respuestas varían) Nota para el instructor: este es un modelo representativo que podría “crearse” como resultado de esta actividad:

Identifique los elementos del modelo que corresponden a contenido relacionado con TI: •

Voz, video y datos comunes pueden atravesar las redes con diferentes dispositivos, como routers y switches.

•

El tipo de switch que se utiliza como dispositivo intermediario proporciona diferentes capacidades funcionales.

•

El tipo de tráfico de la red afecta el rendimiento del switch en el envío y la entrega de datos.


Página 2 de 3

Es hora del acceso a la red •

Es necesario contar con suficiente ancho de banda para manejar diferentes tipos de tráfico; por lo tanto, los tipos o modelos de switch de red y sus capacidades son importantes para el modelo y el tipo de switch.

•

La seguridad afecta la selección del switch. Si se puede acceder al switch de forma física, remota o local a través de la red, la seguridad deberá configurarse para incluir ACL o la seguridad de puertos.


Página 3 de 3

Todos de pie (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Describa la función de la transmisión de unidifusión, difusión y multidifusión en una red conmutada. Los estudiantes reciben tres situaciones en las que deberán registrar números según la actividad. Al final de la actividad, los estudiantes responderán preguntas sobre la forma en que este proceso introductorio se relaciona con el envío y la recepción de mensajes en un switch. 501A

501B

501C

501D

501E

502A

502B

502C

502D

502E

503A

503B

503C

503D

503E

504A

504B

504C

504D

504E

505A

505B

505C

505D

505D

Situación Cuando llegó a la clase de hoy, el instructor le dio un número para usar en esta actividad introductoria. Una vez que comience la clase, el instructor solicitará que los estudiantes que posean ciertos números se pongan de pie. Su trabajo es registrar los números de los estudiantes que están de pie en cada situación. Situación 1 Los estudiantes con números que comiencen con 5 deben ponerse de pie. Registre los números de los estudiantes que estén de pie. Todos los estudiantes se pondrán de pie, y cada estudiante registrará todos los números. Situación 2 Los estudiantes con números que terminen en B deben ponerse de pie. Registre los números de los estudiantes que estén de pie. Más de un estudiante se pondrá de pie, pero no todos los lo harán. Todos los estudiantes registrarán todos los números de los estudiantes que estén de pie. Situación 3 Los estudiantes con el número 504C deben ponerse de pie. Registre el número del estudiante que esté de pie. Solo un estudiante se pondrá de pie, y todos los estudiantes registrarán ese número. Al final de esta actividad, divídanse en grupos pequeños y registren las respuestas a las preguntas de reflexión del PDF de esta actividad.

Reflexión 1. ¿Por qué cree que le solicitaron que registrara los números de los estudiantes en el momento y en la forma en que se solicitó? _______________________________________________________________________________________ El registro fue necesario para ver cómo se forman los grupos en las redes. El registro contribuye a identificar a qué grupo pertenecen los estudiantes. El registro contribuye a mantener una lista de las personas que se vieron en determinados grupos.


Página 1 de 2

Todos de pie 2. ¿Cuál es la importancia del número 5 en esta actividad? ¿A cuántas personas se identificó con este número? _______________________________________________________________________________________ Todos los estudiantes recibieron un número que comenzaba con 5, ya que este indica un grupo completo de estudiantes. Esto se asemeja a una situación de difusión de red. 3. ¿Cuál es la importancia de la letra C en esta actividad? ¿A cuántas personas se identificó con este número? _______________________________________________________________________________________ La letra C permite identificar un grupo más pequeño de estudiantes, algo muy similar a una situación de multidifusión. 4. ¿Por qué se puso de pie una sola persona para el número 504C? _______________________________________________________________________________________ Este número es exclusivo para la clase; por lo tanto, indica una forma de transmisión de red de unidifusión. 5. ¿Cómo cree que esta actividad representa la transmisión de datos en las redes de área local? _______________________________________________________________________________________ Cuando un switch detecta hosts por primera vez en la red, registra las respuestas de estos hosts con respecto a los mensajes de unidifusión, multidifusión y difusión (saturación). Esa es la forma en que crea la tabla de direcciones MAC. Una vez que el switch registró las direcciones MAC, se pueden conmutar tipos específicos de tráfico (de unidifusión, difusión y multidifusión). La importancia de los números representa los métodos de selección de unidifusión, multidifusión y difusión. Guarde su trabajo y esté preparado para compartirlo con otro estudiante o con toda la clase. (A discreción del instructor)

Nota para el instructor: identifique los elementos del modelo que corresponden a contenido relacionado con TI. •

Los switches registran direcciones MAC, de la misma forma en que se registraron los números durante esta actividad introductoria.

•

Los hosts pueden enviar o recibir transmisiones de unidifusión de switches LAN.

•

Los hosts pueden enviar o recibir transmisiones de multidifusión de switches LAN.

•

Los hosts pueden enviar o recibir transmisiones de difusión de LAN.


Página 2 de 2

Práctica de laboratorio: configuración de los parámetros básicos de un switch (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Tabla de direccionamiento Dispositivo

Interfaz

Máscara de subred

Dirección IP

Gateway predeterminado

S1

VLAN 99

192.168.1.2

255.255.255.0

192.168.1.1

PC-A

NIC

192.168.1.10

255.255.255.0

192.168.1.1

Objetivos Parte 1: tender el cableado de red y verificar la configuración predeterminada del switch Parte 2: configurar los parámetros básicos de los dispositivos de red •

Configurar los parámetros básicos del switch.

•

Configurar la dirección IP de la computadora.

Parte 3: verificar y probar la conectividad de red •

Mostrar la configuración del dispositivo.

•

Probar la conectividad de extremo a extremo con ping.

•

Probar las capacidades de administración remota con Telnet.

•

Guardar el archivo de configuración en ejecución del switch.

Parte 4: administrar la tabla de direcciones MAC •

Registrar la dirección MAC del host.

•

Determine las direcciones MAC que el switch ha aprendido.

•

Enumere las opciones del comando show mac address-table.

•

Configure una dirección MAC estática.

Información básica/situación Los switches Cisco se pueden configurar con una dirección IP especial, conocida como “interfaz virtual de switch” (SVI). La SVI o dirección de administración se puede usar para el acceso remoto al switch a fin de ver o configurar parámetros. Si se asigna una dirección IP a la SVI de la VLAN 1, de manera predeterminada, todos los puertos en la VLAN 1 tienen acceso a la dirección IP de administración de SVI.


Página 1 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch En esta práctica de laboratorio, armará una topología simple mediante cableado LAN Ethernet y accederá a un switch Cisco utilizando los métodos de acceso de consola y remoto. Examinará la configuración predeterminada del switch antes de configurar los parámetros básicos del switch. Esta configuración básica del switch incluye el nombre del dispositivo, la descripción de interfaces, las contraseñas locales, el mensaje del día (MOTD), el direccionamiento IP, la configuración de una dirección MAC estática y la demostración del uso de una dirección IP de administración para la administración remota del switch. La topología consta de un switch y un host que solo usa puertos Ethernet y de consola. Nota: el switch que se utiliza es Cisco Catalyst 2960 con IOS de Cisco versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que el switch se haya borrado y no tenga una configuración de inicio. Consulte el apéndice A para conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•

1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term, y capacidad para Telnet)

•

Cable de consola para configurar el dispositivo con IOS de Cisco mediante el puerto de consola

•

Cable Ethernet, como se muestra en la topología

Parte 1. tender el cableado de red y verificar la configuración predeterminada del switch En la parte 1, establecerá la topología de la red y verificará la configuración predeterminada del switch.

Paso 1. realizar el cableado de red tal como se muestra en la topología. a. Realice el cableado de la conexión de consola tal como se muestra en la topología. En esta instancia, no conecte el cable Ethernet de la PC-A. Nota: si utiliza Netlab, puede desactivar F0/6 en el S1, lo que tiene el mismo efecto que no conectar la PC-A al S1. b. Con Tera Term u otro programa de emulación de terminal, cree una conexión de consola de la PC-A al switch. ¿Por qué debe usar una conexión de consola para configurar inicialmente el switch? ¿Por qué no es posible conectarse al switch a través de Telnet o SSH? ____________________________________________________________________________________ Todavía no se configuró ningún parámetro de direccionamiento IP. Cuando un switch Cisco 2960 se pone en servicio por primera vez, no tiene conectividad de red configurada.

Paso 2. Verificar la configuración predeterminada del switch. En este paso, examinará la configuración predeterminada del switch, como la configuración actual del switch, la información de IOS, las propiedades de las interfaces, la información de la VLAN y la memoria flash. Puede acceder a todos los comandos IOS del switch en el modo EXEC privilegiado. Se debe restringir el acceso al modo EXEC privilegiado con protección con contraseña para evitar el uso no autorizado, dado que proporciona acceso directo al modo de configuración global y a los comandos que se usan para configurar los parámetros de funcionamiento. Establecerá las contraseñas más adelante en esta práctica de laboratorio.


Página 2 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch El conjunto de comandos del modo EXEC privilegiado incluye los comandos del modo EXEC del usuario y el comando configure, a través del cual se obtiene acceso a los modos de comando restantes. Use el comando enable para ingresar al modo EXEC privilegiado. a. Si se parte de la suposición de que el switch no tenía ningún archivo de configuración almacenado en la memoria de acceso aleatorio no volátil (NVRAM), usted estará en la petición de entrada del modo EXEC del usuario en el switch, con la petición de entrada Switch>. Use el comando enable para ingresar al modo EXEC privilegiado. Switch> enable Switch# Observe que el indicador cambia en la configuración para reflejar el modo EXEC privilegiado. Verifique que el archivo de configuración esté limpio con el comando show running-config del modo EXEC privilegiado. Si se guardó un archivo de configuración anteriormente, se debe eliminar. Según cuál sea el modelo del switch y la versión del IOS, la configuración podría variar. Sin embargo, no debería haber contraseñas ni direcciones IP configuradas. Si su switch no tiene una configuración predeterminada, borre y recargue el switch. Nota: en el apéndice A, se detallan los pasos para inicializar y volver a cargar los dispositivos. b. Examine el archivo de configuración activa actual. Switch# show running-config ¿Cuántas interfaces FastEthernet tiene un switch 2960? ________ 24 ¿Cuántas interfaces Gigabit Ethernet tiene un switch 2960? ________ 2 ¿Cuál es el rango de valores que se muestra para las líneas vty? ________ 5-15 c.

Examine el archivo de configuración de inicio en la NVRAM. Switch# show startup-config startup-config is not present

¿Por qué aparece este mensaje? _________________________________________________________ Todavía no se guardó nada en la NVRAM. d. Examine las características de la SVI para la VLAN 1. Switch# show interface vlan1 ¿Hay alguna dirección IP asignada a la VLAN 1? ________ No ¿Cuál es la dirección MAC de esta SVI? Las respuestas varían. ________________________________ En este caso, 0CD9:96E2:3D40. ¿Está activa esta interfaz? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Los switches Cisco tienen el comando no shutdown configurado de manera predeterminada en la VLAN 1, pero la VLAN 1 no alcanzará el estado up/up hasta que se le asigne un puerto y este también esté activo. Si no hay ningún puerto en estado up en la VLAN 1, la interfaz VLAN 1 estará activa, pero el protocolo de línea estará inactivo. De manera predeterminada, todos los puertos se asignan inicialmente a la VLAN 1.


Página 3 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch e. Examine las propiedades IP de la VLAN 1 SVI. Switch# show ip interface vlan1 ¿Qué resultado ve? ____________________________________________________________________________________ ____________________________________________________________________________________ Vlan1 is up, line protocol is down Internet protocol processing disabled

f.

Conecte el cable Ethernet de la PC-A al puerto 6 en el switch y examine las propiedades IP de la VLAN 1 SVI. Aguarde un momento para que el switch y la computadora negocien los parámetros de dúplex y velocidad. Nota: si utiliza Netlab, habilite la interfaz F0/6 en el S1. Switch# show ip interface vlan1 ¿Qué resultado ve? ____________________________________________________________________________________ ____________________________________________________________________________________ Vlan1 is up, line protocol is up Internet protocol processing disabled

g. Examine la información de la versión del IOS de Cisco del switch. Switch# show version ¿Cuál es la versión del IOS de Cisco que está ejecutando el switch? ____________________________________________________________________________________ Las respuestas pueden variar. c2960-lanbasek9-mz.150-2-SE.bin ¿Cuál es el nombre del archivo de imagen del sistema? ____________________________________________________________________________________ Las respuestas pueden variar. c2960-LANBASEK9-MZ ¿Cuál es la dirección MAC base de este switch? Las respuestas varían. ____________________________________________________________________________________ Las respuestas varían. 0C:D9:96:E2:3D:00. h. Examine las propiedades predeterminadas de la interfaz FastEthernet que usa la PC-A. Switch# show interface f0/6 ¿La interfaz está activa o desactivada? ____________________________________________________________________________________ Debería estar activa, a menos que exista un problema de cableado. ¿Qué haría que una interfaz se active? ____________________________________________________________________________________ La conexión de un host u otro dispositivo


Página 4 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch ¿Cuál es la dirección MAC de la interfaz? ____________________________________________________________________________________ 0CD9:96E2:3D06 (varía) ¿Cuál es la configuración de velocidad y de dúplex de la interfaz? _____________ Full-duplex, 100 Mb/s i.

Examine la configuración VLAN predeterminada del switch. Switch# show vlan ¿Cuál es el nombre predeterminado de la VLAN 1? ____________ default ¿Qué puertos hay en esta VLAN? ________________________________________________________ todos los puertos; Fa0/1 a Fa0/24; Gi0/1, Gi0/2 ¿La VLAN 1 está activa? ____________ Sí ¿Qué tipo de VLAN es la VLAN predeterminada? _______________ enet (Ethernet)

j.

Examine la memoria flash. Ejecute uno de los siguientes comandos para examinar el contenido del directorio flash. Switch# show flash Switch# dir flash: Los archivos poseen una extensión, tal como .bin, al final del nombre del archivo. Los directorios no tienen una extensión de archivo. ¿Cuál es el nombre de archivo de la imagen de IOS de Cisco? ____________________________________________________________________________________ c2960-lanbasek9-mz.150-2.SE.bin (puede variar)

Parte 2. configurar los parámetros básicos de los dispositivos de red En la parte 2, configurará los parámetros básicos para el switch y la computadora.

Paso 1. configurar los parámetros básicos del switch, incluidos el nombre de host, las contraseñas locales, el mensaje MOTD, la dirección de administración y el acceso por Telnet. En este paso, configurará la computadora y los parámetros básicos del switch, como el nombre de host y la dirección IP para la SVI de administración del switch. La asignación de una dirección IP en el switch es solo el primer paso. Como administrador de red, debe especificar cómo se administra el switch. Telnet y SSH son los dos métodos de administración que más se usan. No obstante, Telnet no es un protocolo seguro. Toda la información que fluye entre los dos dispositivos se envía como texto no cifrado. Las contraseñas y otra información confidencial pueden ser fáciles de ver si se las captura mediante un programa detector de paquetes. a. Si se parte de la suposición de que el switch no tenía ningún archivo de configuración almacenado en la NVRAM, verifique que usted esté en el modo EXEC privilegiado. Introduzca el comando enable si la petición de entrada volvió a cambiar a Switch>. Switch> enable Switch# b. Ingrese al modo de configuración global. Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.


Página 5 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch Switch(config)#

La petición de entrada volvió a cambiar para reflejar el modo de configuración global. c.

Asigne el nombre de host del switch. Switch(config)# hostname S1 S1(config)#

d. Configurar la encriptación de contraseñas. S1(config)# service password-encryption S1(config)# e. Asigne class como contraseña secreta para el acceso al modo EXEC privilegiado. S1(config)# enable secret class S1(config)# f.

Evite las búsquedas de DNS no deseadas. S1(config)# no ip domain-lookup S1(config)#

g. Configure un mensaje MOTD. S1(config)# banner motd #

Enter Text message.

End with the character ‘#’.

Unauthorized access is strictly prohibited. # h. Para verificar la configuración de acceso, alterne entre los modos. S1(config)# exit S1# *Mar

1 00:19:19.490: %SYS-5-CONFIG_I: Configured from console by console

S1# exit

S1 con0 is now available

Press RETURN to get started.

Unauthorized access is strictly prohibited. S1>

¿Qué teclas de método abreviado se usan para ir directamente del modo de configuración global al modo EXEC privilegiado? _________ Ctrl-Z i.

Vuelva al modo EXEC privilegiado desde el modo EXEC del usuario. Introduzca la contraseña class cuando se le solicite hacerlo. S1> enable Password: S1# Nota: cuando se introduce la contraseña, esta no se muestra.


Página 6 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch j.

Ingrese al modo de configuración global para establecer la dirección IP de la SVI del switch. Esto permite la administración remota del switch. Antes de poder administrar el S1 en forma remota desde la PC-A, debe asignar una dirección IP al switch. El switch está configurado de manera predeterminada para que la administración de este se realice a través de VLAN 1. Sin embargo, la práctica recomendada para la configuración básica del switch es cambiar la VLAN de administración a otra VLAN distinta de la VLAN 1. Con fines de administración, utilice la VLAN 99. La selección de la VLAN 99 es arbitraria y de ninguna manera implica que siempre deba usar la VLAN 99. Primero, cree la nueva VLAN 99 en el switch. Luego, establezca la dirección IP del switch en 192.168.1.2 con la máscara de subred 255.255.255.0 en la interfaz virtual interna VLAN 99. S1# configure terminal S1(config)# vlan 99 S1(config-vlan)# exit S1(config)# interface vlan99

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to down

S1(config-if)# ip address 192.168.1.2 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# exit S1(config)#

Observe que la interfaz VLAN 99 está en estado down, aunque haya introducido el comando no shutdown. Actualmente, la interfaz se encuentra en estado down debido a que no se asignaron puertos del switch a la VLAN 99. k.

Asigne todos los puertos de usuario a VLAN 99. S1(config)# interface range f0/1 – 24,g0/1 - 2 S1(config-if-range)# switchport access vlan 99 S1(config-if-range)# exit S1(config)#

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up

Para establecer la conectividad entre el host y el switch, los puertos que usa el host deben estar en la misma VLAN que el switch. Observe que, en el resultado de arriba, la interfaz VLAN 1 queda en estado down porque no se asignó ninguno de los puertos a la VLAN 1. Después de unos segundos, la VLAN 99 pasa al estado up porque ahora se le asigna al menos un puerto activo (F0/6 con la PC-A conectada). l.

Emita el comando show vlan brief para verificar que todos los puertos de usuario estén en la VLAN 99. S1# show vlan brief VLAN ---1 99

Name -------------------------------default VLAN0099

Status Ports --------- ------------------------------active active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2


Página 7 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch 1002 1003 1004 1005

fddi-default token-ring-default fddinet-default trnet-default

act/unsup act/unsup act/unsup act/unsup

m. Configure el gateway IP predeterminado para el S1. Si no se estableció ningún gateway predeterminado, no se puede administrar el switch desde una red remota que esté a más de un router de distancia. Sí responde a los pings de una red remota. Aunque esta actividad no incluye un gateway IP externo, se debe tener en cuenta que finalmente conectará la LAN a un router para tener acceso externo. Suponiendo que la interfaz LAN en el router es 192.168.1.1, establezca el gateway predeterminado para el switch. S1(config)# ip default-gateway 192.168.1.1 S1(config)# n. También se debe restringir el acceso del puerto de consola. La configuración predeterminada permite todas las conexiones de consola sin necesidad de introducir una contraseña. Para evitar que los mensajes de consola interrumpan los comandos, use la opción logging synchronous. S1(config)# line S1(config-line)# S1(config-line)# S1(config-line)# S1(config-line)# S1(config)#

con 0 password cisco login logging synchronous exit

o. Configure las líneas de terminal virtual (vty) para que el switch permita el acceso por Telnet. Si no configura una contraseña de vty, no puede acceder al switch mediante telnet. S1(config)# line S1(config-line)# S1(config-line)# S1(config-line)# S1# *Mar

vty 0 15 password cisco login end

1 00:06:11.590: %SYS-5-CONFIG_I: Configured from console by console

¿Por qué se requiere el comando login?

_________________________________________________ Sin el comando login, el switch no solicitará que se introduzca una contraseña.

Paso 2. configurar una dirección IP en la PC-A. Asigne a la computadora la dirección IP y la máscara de subred que se muestran en la tabla de direccionamiento. Aquí se describe una versión abreviada del procedimiento. Para esta topología, no se requiere ningún gateway predeterminado; sin embargo, puede introducir 192.168.1.1 para simular un router conectado al S1. 1) Haga clic en el ícono Inicio de Windows > Panel de control. 2) Haga clic en Ver por: y elija Íconos pequeños. 3) Selecciones Centro de redes y recursos compartidos > Cambiar configuración del adaptador. 4) Seleccione Conexión de área local, haga clic con el botón secundario y elija Propiedades. 5) Seleccione Protocolo de Internet versión 4 (TCP/IPv4) > Propiedades. 6) Haga clic en el botón de opción Usar la siguiente dirección IP e introduzca la dirección IP y la máscara de subred.


Página 8 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch

Parte 3. verificar y probar la conectividad de red En la parte 3, verificará y registrará la configuración del switch, probará la conectividad de extremo a extremo entre la PC-A y el S1, y probará la capacidad de administración remota del switch.

Paso 1. mostrar la configuración del switch. Desde la conexión de consola en la PC-A, muestre y verifique la configuración del switch. El comando show run muestra la configuración en ejecución completa, de a una página por vez. Utilice la barra espaciadora para avanzar por las páginas. a. Aquí se muestra un ejemplo de configuración. Los parámetros que configuró están resaltados en amarillo. Las demás son opciones de configuración predeterminadas del IOS. S1# show run

Building configuration... Current configuration : 2206 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! interface FastEthernet0/24 switchport access vlan 99 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache !


Página 9 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch interface Vlan99 ip address 192.168.1.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! banner motd ^C Unauthorized access is strictly prohibited. ^C ! line con 0 password 7 104D000A0618 logging synchronous login line vty 0 4 password 7 14141B180F0B login line vty 5 15 password 7 14141B180F0B login ! end S1#

b. Verifique la configuración de la VLAN 99 de administración. S1# show interface vlan 99

Vlan99 is up, line protocol is up Hardware is EtherSVI, address is 0cd9.96e2.3d41 (bia 0cd9.96e2.3d41) Internet address is 192.168.1.2/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:06, output 00:08:45, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 175 packets input, 22989 bytes, 0 no buffer Received 0 broadcasts (0 IP multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 1 packets output, 64 bytes, 0 underruns 0 output errors, 0 interface resets 0 output buffer failures, 0 output buffers swapped out


Página 10 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch ¿Cuál es el ancho de banda en esta interfaz? ______________________ 1 000 000 Kb/s (1 Gb/seg) ¿Cuál es el estado de la VLAN 99? _________ up ¿Cuál es el estado del protocolo de línea? _________ up

Paso 2. probar la conectividad de extremo a extremo con ping. a. En el símbolo del sistema de la PC-A, haga ping a la dirección de la propia PC-A primero. C:\Users\User1> ping 192.168.1.10 b. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración de SVI del S1. C:\Users\User1> ping 192.168.1.2 Debido a que la PC-A debe resolver la dirección MAC del S1 mediante ARP, es posible que se agote el tiempo de espera del primer paquete. Si los resultados del ping siguen siendo incorrectos, resuelva los problemas de configuración de los parámetros básicos del dispositivo. Revise el cableado físico y el direccionamiento lógico, si es necesario.

Paso 3. probar y verificar la administración remota del S1. Ahora utilizará Telnet para acceder al switch en forma remota. En esta práctica de laboratorio, la PC-A y el S1 se encuentran uno junto al otro. En una red de producción, el switch podría estar en un armario de cableado en el piso superior, mientras que la computadora de administración podría estar ubicada en la planta baja. En este paso, utilizará Telnet para acceder al switch S1 en forma remota mediante la dirección de administración de SVI. Telnet no es un protocolo seguro; sin embargo, lo usará para probar el acceso remoto. Con Telnet, toda la información, incluidos los comandos y las contraseñas, se envía durante la sesión como texto no cifrado. En las prácticas de laboratorio posteriores, usará SSH para acceder a los dispositivos de red en forma remota. Nota para el instructor: si en su institución no se permite el uso de Telnet en el símbolo del sistema de Windows, es posible usar Tera Term u otro programa de emulación de terminal con capacidad para Telnet. Nota: si utiliza Windows 7, es posible que el administrador deba habilitar el protocolo Telnet. Para instalar el cliente de Telnet, abra una ventana cmd y escriba pkgmgr /iu:“TelnetClient”. A continuación, se muestra un ejemplo. C:\Users\User1> pkgmgr /iu:”TelnetClient” a. Con la ventana cmd abierta en la PC-A, emita un comando de Telnet para conectarse al S1 a través de la dirección de administración de SVI. La contraseña es cisco. C:\Users\User1> telnet 192.168.1.2 b. Después de introducir la contraseña cisco, quedará en la petición de entrada del modo EXEC del usuario. Acceda al modo EXEC privilegiado. c.

Escriba exit para finalizar la sesión de Telnet.

Paso 4. guardar el archivo de configuración en ejecución del switch. Guarde la configuración. S1# copy running-config startup-config Destination filename [startup-config]? [Enter] Building configuration... [OK]

S1#


Página 11 de 18


Parte 4. Administrar la tabla de direcciones MAC En la parte 4, determinará la dirección MAC que detectó el switch, configurará una dirección MAC estática en una interfaz del switch y, a continuación, eliminará la dirección MAC estática de esa interfaz.

Paso 1. registrar la dirección MAC del host. En el símbolo del sistema de la PC-A, emita el comando ipconfig /all para determinar y registrar las direcciones (físicas) de capa 2 de la NIC de la computadora. _______________________________________________________________________________________ PC-A: 00-50-56-BE-6C-89 (las respuestas variarán)

Paso 2. Determine las direcciones MAC que el switch ha aprendido. Muestre las direcciones MAC con el comando show mac address-table. S1# show mac address-table ¿Cuántas direcciones dinámicas hay? ____________ 1 (puede variar) ¿Cuántas direcciones MAC hay en total? ____________ 24 (puede variar) ¿La dirección MAC dinámica coincide con la dirección MAC de la PC-A? ____________ Sí

Paso 3. enumerar las opciones del comando show mac address-table. a. Muestre las opciones de la tabla de direcciones MAC. S1# show mac address-table ? ¿Cuántas opciones se encuentran disponibles para el comando show mac address-table? ______________________ 12 (puede variar) b. Emita el comando show mac address-table dynamic para mostrar solo las direcciones MAC que se detectaron dinámicamente. S1# show mac address-table dynamic ¿Cuántas direcciones dinámicas hay? ____________ 1 (puede variar) c.

Vea la entrada de la dirección MAC para la PC-A. El formato de dirección MAC para el comando es xxxx.xxxx.xxxx. S1# show mac address-table address

Paso 4. Configure una dirección MAC estática. a. limpie la tabla de direcciones MAC. Para eliminar las direcciones MAC existentes, use el comando clear mac address-table del modo EXEC privilegiado. S1# clear mac address-table dynamic b. Verifique que la tabla de direcciones MAC se haya eliminado. S1# show mac address-table ¿Cuántas direcciones MAC estáticas hay? ____________________________________________________________________________________ al menos 20 (es posible que se hayan creado otras entradas estáticas de forma manual).


Página 12 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch Nota para el instructor: las primeras 20 direcciones estáticas en la tabla de direcciones MAC están incorporadas. ¿Cuántas direcciones dinámicas hay? ____________________________________________________________________________________ 0 (es posible que haya 1, según la rapidez con la que el switch vuelve a adquirir las direcciones) c.

Examine nuevamente la tabla de direcciones MAC Es muy probable que una aplicación en ejecución en la computadora ya haya enviado una trama por la NIC hacia el S1. Observe nuevamente la tabla de direcciones MAC en el modo EXEC privilegiado para ver si el S1 volvió a detectar la dirección MAC para la PC-A. S1# show mac address-table ¿Cuántas direcciones dinámicas hay? _________ 1 ¿Por qué cambió esto desde la última visualización? ____________________________________________________________________________________ El switch volvió a adquirir dinámicamente la dirección MAC de la computadora. Si el S1 aún no volvió a detectar la dirección MAC de la PC-A, haga ping a la dirección IP de la VLAN 99 del switch desde la PC-A y, a continuación, repita el comando show mac address-table.

d. Configure una dirección MAC estática. Para especificar a qué puertos se puede conectar un host, una opción es crear una asignación estática de la dirección MAC del host a un puerto. Configure una dirección MAC estática en F0/6 con la dirección que se registró para la PC-A en la parte 4, paso 1. La dirección MAC 0050.56BE.6C89 se usa solo como ejemplo. Debe usar la dirección MAC de su PC-A, que es distinta de la del ejemplo. S1(config)# mac address-table static 0050.56BE.6C89 vlan 99 interface fastethernet 0/6 e. Verifique las entradas de la tabla de direcciones MAC. S1# show mac address-table ¿Cuántas direcciones MAC hay en total? __________ 21 (varía) ¿Cuántas direcciones estáticas hay? ____________________________________________________________________________________ ____________________________________________________________________________________ Hay 22 direcciones estáticas. La cantidad total de direcciones MAC y de direcciones estáticas debe ser la misma, debido a que no hay otros dispositivos conectados actualmente al S1 f.

Elimine la entrada de MAC estática. Ingrese al modo de configuración global y elimine el comando escribiendo no delante de la cadena de comandos. Nota: la dirección MAC 0050.56BE.6C89 se usa solo en el ejemplo. Use la dirección MAC de su PC-A. S1(config)# no mac address-table static 0050.56BE.6C89 vlan 99 interface fastethernet 0/6

g. Verifique que la dirección MAC estática se haya borrado. S1# show mac address-table ¿Cuántas direcciones MAC estáticas hay en total? ____________ 20 (varía)


Página 13 de 18


Reflexión 1. ¿Por qué debe configurar las líneas vty para el switch? _______________________________________________________________________________________ Si no configura una contraseña de vty, no podrá acceder al switch mediante telnet. 2. ¿Para qué se debe cambiar la VLAN 1 predeterminada a un número de VLAN diferente? _______________________________________________________________________________________ Para mejorar la seguridad. 3. ¿Cómo puede evitar que las contraseñas se envíen como texto no cifrado? _______________________________________________________________________________________ Con la emisión del comando service password-encryption. 4. ¿Para qué se debe configurar una dirección MAC estática en una interfaz de puerto? _______________________________________________________________________________________ Para especificar los puertos a los que se puede conectar un host.

Apéndice A: inicialización y recarga de un router y un switch Paso 1. inicializar y volver a cargar el router. a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado. Router> enable Router# b. Introduzca el comando erase startup-config para eliminar la configuración de inicio de la NVRAM. Router# erase startup-config


c.

Emita el comando reload para eliminar una configuración antigua de la memoria. Cuando reciba el mensaje Proceed with reload?, presione Enter. (Si presiona cualquier otra tecla, se cancela la recarga). Router# reload

Proceed with reload? [confirm] *Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.

Nota: es posible que reciba una petición de entrada para guardar la configuración en ejecución antes de volver a cargar el router. Responda escribiendo no y presione Enter. System configuration has been modified. Save? [yes/no]: no

d. Una vez que se vuelve a cargar el router, se le solicita introducir el diálogo de configuración inicial. Escriba no y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no e. Aparece otra petición de entrada para finalizar la instalación automática. Responda escribiendo yes (sí) y presione Enter. Would you like to terminate autoinstall? [yes]: yes


Página 14 de 18


Paso 2. inicializar y volver a cargar el switch. a. Acceda al switch mediante el puerto de consola e ingrese al modo EXEC privilegiado. Switch> enable Switch# b. Utilice el comando show flash para determinar si se crearon VLAN en el switch. Switch# show flash Directory of flash:/ 2 3 4 5 6


1919 1632 13336 11607161 616

Mar Mar Mar Mar Mar

1 1 1 1 1

1993 1993 1993 1993 1993

00:06:33 00:06:33 00:06:33 02:37:06 00:07:13

+00:00 +00:00 +00:00 +00:00 +00:00



c.

Si se encontró el archivo vlan.dat en la memoria flash, elimínelo. Switch# delete vlan.dat


d. Se le solicitará que verifique el nombre de archivo. Si introdujo el nombre correctamente, presione Enter; de lo contrario, puede cambiar el nombre de archivo. e. Se le solicita que confirme la eliminación de este archivo. Presione Intro para confirmar. Delete flash:/vlan.dat? [confirm] Switch#

f.

Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la NVRAM. Se le solicita que elimine el archivo de configuración. Presione Intro para confirmar. Switch# erase startup-config

Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Switch#

g. Vuelva a cargar el switch para eliminar toda información de configuración antigua de la memoria. Luego, recibirá una petición de entrada para confirmar la recarga del switch. Presione Enter para continuar. Switch# reload


Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el switch. Responda escribiendo no y presione Enter. System configuration has been modified. Save? [yes/no]: no

h. Una vez que se vuelve a cargar el switch, debe ver una petición de entrada del diálogo de configuración inicial. Responda escribiendo no en la petición de entrada y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no

Switch>


Página 15 de 18


Configuraciones de dispositivos Switch S1 S1#sh run Building configuration... Current configuration : 2359 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! !interface FastEthernet0/1 switchport access vlan 99 ! interface FastEthernet0/2 switchport access vlan 99 ! interface FastEthernet0/3 switchport access vlan 99 ! interface FastEthernet0/4 switchport access vlan 99 ! interface FastEthernet0/5 switchport access vlan 99 ! interface FastEthernet0/6 switchport access vlan 99 ! © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 16 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch interface FastEthernet0/7 switchport access vlan 99 ! interface FastEthernet0/8 switchport access vlan 99 ! interface FastEthernet0/9 switchport access vlan 99 ! interface FastEthernet0/10 switchport access vlan 99 ! interface FastEthernet0/11 switchport access vlan 99 ! interface FastEthernet0/12 switchport access vlan 99 ! interface FastEthernet0/13 switchport access vlan 99 ! interface FastEthernet0/14 switchport access vlan 99 ! interface FastEthernet0/15 switchport access vlan 99 ! interface FastEthernet0/16 switchport access vlan 99 ! interface FastEthernet0/17 switchport access vlan 99 ! interface FastEthernet0/18 switchport access vlan 99 ! interface FastEthernet0/19 switchport access vlan 99 ! interface FastEthernet0/20 switchport access vlan 99 ! interface FastEthernet0/21 switchport access vlan 99 ! interface FastEthernet0/22 switchport access vlan 99 ! interface FastEthernet0/23


Página 17 de 18

Práctica de laboratorio: configuración de los parámetros básicos de un switch switchport access vlan 99 ! interface FastEthernet0/24 switchport access vlan 99 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address ! interface Vlan99 ip address 192.168.1.2 255.255.255.0 ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! ! banner motd ^C Unauthorized access is strictly prohibited. ^C ! line con 0 password 7 0822455D0A16 logging synchronous login line vty 0 4 password 7 01100F175804 login line vty 5 15 password 7 01100F175804 login ! end


Página 18 de 18

Práctica de laboratorio: configuración de características de seguridad de switch (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Máscara de subred

Dirección IP


R1

G0/1

172.16.99.1

255.255.255.0

N/A

S1

VLAN 99

172.16.99.11

255.255.255.0

172.16.99.1

PC-A

NIC

172.16.99.3

255.255.255.0

172.16.99.1

Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los parámetros básicos de los dispositivos y verificar la conectividad Parte 3: configurar y verificar el acceso por SSH en el S1 •

Configurar el acceso por SSH.

•

Modificar los parámetros de SSH.

•

Verificar la configuración de SSH.

Parte 4: configurar y verificar las características de seguridad en el S1 •

Configurar y verificar las características de seguridad general.

•

Configurar y verificar la seguridad del puerto.

Información básica/situación Es muy común bloquear el acceso e instalar buenas características de seguridad en computadoras y servidores. Es importante que los dispositivos de infraestructura de red, como los switches y routers, también se configuren con características de seguridad. En esta práctica de laboratorio, seguirá algunas de las prácticas recomendadas para configurar características de seguridad en switches LAN. Solo permitirá las sesiones de SSH y de HTTPS seguras. También configurará y verificará la seguridad de puertos para bloquear cualquier dispositivo con una dirección MAC que el switch no reconozca. Nota: el router que se utiliza en las prácticas de laboratorio de CCNA es un router de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). El switch que se utiliza es Cisco Catalyst 2960 con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers,


Página 1 de 16

Práctica de laboratorio: configuración de características de seguridad de switch switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, solicite ayuda al instructor o consulte las prácticas de laboratorio anteriores para conocer los procedimientos de inicialización y recarga de dispositivos. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.


1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)

•


•

1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)

•


•

Cables Ethernet, como se muestra en la topología

Parte 1. establecer la topología e inicializar los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch. Si los archivos de configuración se guardaron previamente en el router y el switch, inicialice y vuelva a cargar estos dispositivos con los parámetros básicos.

Parte 2. configurar los parámetros básicos de los dispositivos y verificar la conectividad En la parte 2, configure los parámetros básicos en el router, el switch y la computadora. Consulte la topología y la tabla de direccionamiento incluidos al comienzo de esta práctica de laboratorio para conocer los nombres de los dispositivos y obtener información de direcciones.

Paso 1. configurar una dirección IP en la PC-A. Paso 2. configurar los parámetros básicos en el R1. a. Configure el nombre del dispositivo. b. Desactive la búsqueda del DNS. c.

Configure la dirección IP de interfaz que se muestra en la tabla de direccionamiento.

d. Asigne class como la contraseña del modo EXEC privilegiado. e. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión. f.

Cifre las contraseñas de texto no cifrado.

g. Guarde la configuración en ejecución en la configuración de inicio.


Página 2 de 16

Práctica de laboratorio: configuración de características de seguridad de switch

Paso 3. configurar los parámetros básicos en el S1. Una buena práctica de seguridad es asignar la dirección IP de administración del switch a una VLAN distinta de la VLAN 1 (o cualquier otra VLAN de datos con usuarios finales). En este paso, creará la VLAN 99 en el switch y le asignará una dirección IP. a. Configure el nombre del dispositivo. b. Desactive la búsqueda del DNS. c.

Asigne class como la contraseña del modo EXEC privilegiado.

d. Asigne cisco como la contraseña de vty y la contraseña de consola, y luego habilite el inicio de sesión. e. Configure un gateway predeterminado para el S1 con la dirección IP del R1. f.


g. Guarde la configuración en ejecución en la configuración de inicio. h. Cree la VLAN 99 en el switch y asígnele el nombre Management. S1(config)# vlan 99 S1(config-vlan)# name Management S1(config-vlan)# exit S1(config)# i.

Configure la dirección IP de la interfaz de administración VLAN 99, tal como se muestra en la tabla de direccionamiento, y habilite la interfaz. S1(config)# interface vlan 99 S1(config-if)# ip address 172.16.99.11 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# end S1#

j.

Emita el comando show vlan en el S1. ¿Cuál es el estado de la VLAN 99? __________________ Active

k.

Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo para la interfaz de administración VLAN 99? ____________________________________________________________________________________ El estado es up y el protocolo figura como down. ¿Por qué el protocolo figura como down, a pesar de que usted emitió el comando no shutdown para la interfaz VLAN 99? ____________________________________________________________________________________ No se asignaron puertos físicos en el switch a la VLAN 99.

l.

Asigne los puertos F0/5 y F0/6 a la VLAN 99 en el switch. S1# config t S1(config)# interface f0/5 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 99 S1(config-if)# interface f0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 99 S1(config-if)# end


Página 3 de 16

Práctica de laboratorio: configuración de características de seguridad de switch m. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo que se muestra para la interfaz VLAN 99? _______________________________________________ Up y up Nota: puede haber una demora mientras convergen los estados de los puertos.

Paso 4. verificar la conectividad entre los dispositivos. a. En la PC-A, haga ping a la dirección de gateway predeterminado en el R1. ¿Los pings se realizaron correctamente? ______________ Sí b. En la PC-A, haga ping a la dirección de administración del S1. ¿Los pings se realizaron correctamente? ______________ Sí c.

En el S1, haga ping a la dirección de gateway predeterminado en el R1. ¿Los pings se realizaron correctamente? ______________ Sí

d. En la PC-A, abra un navegador web y acceda a http://172.16.99.11. Si le solicita un nombre de usuario y una contraseña, deje el nombre de usuario en blanco y utilice la contraseña class. Si le solicita una conexión segura, conteste No. ¿Pudo acceder a la interfaz web en el S1? ______________ Sí e. Cierre la sesión del explorador en la PC-A. Nota: la interfaz web no segura (servidor HTTP) en un switch Cisco 2960 está habilitada de manera predeterminada. Una medida de seguridad frecuente es deshabilitar este servicio, tal como se describe en la parte 4.

Parte 3. configurar y verificar el acceso por SSH en el S1 Paso 1. configurar el acceso por SSH en el S1. a. Habilite SSH en el S1. En el modo de configuración global, cree el nombre de dominio CCNA-Lab.com. S1(config)# ip domain-name CCNA-Lab.com b. Cree una entrada de base de datos de usuarios local para que se utilice al conectarse al switch a través de SSH. El usuario debe tener acceso de nivel de administrador. Nota: la contraseña que se utiliza aquí NO es una contraseña segura. Simplemente se usa a los efectos de esta práctica de laboratorio. S1(config)# username admin privilege 15 secret sshadmin c.

Configure la entrada de transporte para que las líneas vty permitan solo conexiones SSH y utilicen la base de datos local para la autenticación. S1(config)# line S1(config-line)# S1(config-line)# S1(config-line)#

vty 0 15 transport input ssh login local exit

d. Genere una clave criptográfica RSA con un módulo de 1024 bits. S1(config)# crypto key generate rsa modulus 1024 The name for the keys will be: S1.CCNA-Lab.com

% The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 3 seconds)

S1(config)#


Página 4 de 16

Práctica de laboratorio: configuración de características de seguridad de switch S1(config)# end e. Verifique la configuración de SSH y responda las siguientes preguntas. S1# show ip ssh

SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 Minimum expected Diffie Hellman key size : 1024 bits IOS Keys in SECSH format(ssh-rsa, base64 encoded): ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQCKWqCN0g4XLVdJJUOr+9qoJkFqC/g0OuAV1semrR5/ xy0bbUBPywvqhwSPJtucIKxKw/YfrRCeFwY+dc+/jGSeckAHahuv0jJfOdFcgqiKGeeluAu+iQ2drE+k butnlLTGmtNhdEJMxri/ZeO3BsFcnHpO1hbB6Vsm4XRXGk7OfQ==

¿Qué versión de SSH usa el switch? _______________________ 1.99 ¿Cuántos intentos de autenticación permite SSH? _______________________ 3 ¿Cuál es la configuración predeterminada de tiempo de espera para SSH? ____________ 120 segundos

Paso 2. modificar la configuración de SSH en el S1. Modifique la configuración predeterminada de SSH. S1# config t S1(config)# ip ssh time-out 75 S1(config)# ip ssh authentication-retries 2

S1# show ip ssh SSH Enabled - version 1.99 Authentication timeout: 75 secs; Authentication retries: 2 Minimum expected Diffie Hellman key size : 1024 bits IOS Keys in SECSH format(ssh-rsa, base64 encoded): ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQCKWqCN0g4XLVdJJUOr+9qoJkFqC/g0OuAV1semrR5/ xy0bbUBPywvqhwSPJtucIKxKw/YfrRCeFwY+dc+/jGSeckAHahuv0jJfOdFcgqiKGeeluAu+iQ2drE+k butnlLTGmtNhdEJMxri/ZeO3BsFcnHpO1hbB6Vsm4XRXGk7OfQ==

¿Cuántos intentos de autenticación permite SSH? _______________________ 2 ¿Cuál es la configuración de tiempo de espera para SSH? _______________________ 75 segundos

Paso 3. verificar la configuración de SSH en el S1. a. Mediante un software de cliente SSH en la PC-A (como Tera Term), abra una conexión SSH en el S1. Si recibe un mensaje en el cliente SSH con respecto a la clave de host, acéptela. Inicie sesión con el nombre de usuario admin y la contraseña class. ¿La conexión se realizó correctamente? _________________________ Sí ¿Qué petición de entrada se mostró en el S1? ¿Por qué? El S1 muestra la petición de entrada en el modo EXEC privilegiado porque la opción privilege 15 se usó al configurar el nombre de usuario y la contraseña. b. Escriba exit para finalizar la sesión de SSH en el S1.

Parte 4. configurar y verificar las características de seguridad en el S1 En la parte 4, desactivará los puertos sin utilizar, desactivará determinados servicios que se ejecutan en el switch y configurará la seguridad de puertos según las direcciones MAC. Los switches pueden estar sujetos a ataques de desbordamiento de la tabla de direcciones MAC, a ataques de suplantación de direcciones


Página 5 de 16

Práctica de laboratorio: configuración de características de seguridad de switch MAC y a conexiones no autorizadas a los puertos del switch. Configurará la seguridad de puertos para limitar la cantidad de direcciones MAC que se pueden detectar en un puerto del switch y para deshabilitar el puerto si se supera ese número.

Paso 1. configurar las características de seguridad general en el S1. a. Configure un aviso de mensaje del día (MOTD) en el S1 con un mensaje de advertencia de seguridad adecuado. b. Emita un comando show ip interface brief en el S1. ¿Qué puertos físicos están activos? ____________________________________________________________________________________ Los puertos F0/5 y F0/6 c.

Desactive todos los puertos sin utilizar en el switch. Use el comando interface range. S1(config)# interface range f0/1 – 4 S1(config-if-range)# shutdown S1(config-if-range)# interface range f0/7 – 24 S1(config-if-range)# shutdown S1(config-if-range)# interface range g0/1 – 2 S1(config-if-range)# shutdown S1(config-if-range)# end S1#

d. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado de los puertos F0/1 a F0/4? ____________________________________________________________________________________ Administratively down. e. Emita el comando show ip http server status. S1# show ip http server status

HTTP server status: Enabled HTTP server port: 80 HTTP server authentication method: enable HTTP server access class: 0 HTTP server base path: flash:html HTTP server help root: Maximum number of concurrent server connections allowed: 16 Server idle time-out: 180 seconds Server life time-out: 180 seconds Maximum number of requests allowed on a connection: 25 HTTP server active session modules: ALL HTTP secure server capability: Present HTTP secure server status: Enabled HTTP secure server port: 443 HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-128-sha HTTP secure server client authentication: Disabled HTTP secure server trustpoint: HTTP secure server active session modules: ALL

¿Cuál es el estado del servidor HTTP? ___________________________ Enabled ¿Qué puerto del servidor utiliza? ___________________________ 80


Página 6 de 16

Práctica de laboratorio: configuración de características de seguridad de switch ¿Cuál es el estado del servidor seguro de HTTP? ___________________________ Enabled ¿Qué puerto del servidor seguro utiliza? ___________________________ 443 f.

Las sesiones HTTP envían todo como texto no cifrado. Deshabilite el servicio HTTP que se ejecuta en el S1. S1(config)# no ip http server

g. En la PC-A, abra una sesión de navegador web a http://172.16.99.11. ¿Cuál fue el resultado? ____________________________________________________________________________________ No se pudo abrir la página web. El S1 rechaza las conexiones HTTP. h. En la PC-A, abra una sesión segura de navegador web en https://172.16.99.11. Acepte el certificado. Inicie sesión sin nombre de usuario y con la contraseña class. ¿Cuál fue el resultado? ____________________________________________________________________________________ La sesión web segura se inició correctamente. i.

Cierre la sesión web en la PC-A.

Paso 2. configurar y verificar la seguridad de puertos en el S1. a. Registre la dirección MAC de G0/1 del R1. Desde la CLI del R1, use el comando show interface g0/1 y registre la dirección MAC de la interfaz. R1# show interface g0/1 GigabitEthernet0/1 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is 30f7.0da3.1821 (bia 3047.0da3.1821) ¿Cuál es la dirección MAC de la interfaz G0/1 del R1? ____________________________________________________________________________________ En el ejemplo anterior, es 30f7.0da3.1821 b. Desde la CLI del S1, emita un comando show mac address-table en el modo EXEC privilegiado. Busque las entradas dinámicas de los puertos F0/5 y F0/6. Regístrelos a continuación. Dirección MAC de F0/5: ____________________________________________________30f7.0da3.1821 Dirección MAC de F0/6: ___________________________________________________00e0.b857.1ccd c.

Configure la seguridad básica de los puertos. Nota: normalmente, este procedimiento se realizaría en todos los puertos de acceso en el switch. Aquí se muestra F0/5 como ejemplo. 1) Desde la CLI del S1, ingrese al modo de configuración de interfaz para el puerto que se conecta al R1. S1(config)# interface f0/5 2) Desactive el puerto. S1(config-if)# shutdown 3) Habilite la seguridad de puertos en F0/5. S1(config-if)# switchport port-security Nota: la introducción del comando switchport port-security establece la cantidad máxima de direcciones MAC en 1 y la acción de violación en shutdown. Los comandos switchport port-security maximum y switchport port-security violation se pueden usar para cambiar el comportamiento predeterminado.


Página 7 de 16

Práctica de laboratorio: configuración de características de seguridad de switch 4) Configure una entrada estática para la dirección MAC de la interfaz G0/1 del R1 registrada en el paso 2a. S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx (xxxx.xxxx.xxxx es la dirección MAC real de la interfaz G0/1 del router) Nota: de manera optativa, puede usar el comando switchport port-security mac-address sticky para agregar todas las direcciones MAC seguras que se detectan dinámicamente en un puerto (hasta el máximo establecido) a la configuración en ejecución del switch. 5) Habilite el puerto del switch. S1(config-if)# no shutdown S1(config-if)# end d. Verifique la seguridad de puertos en F0/5 del S1 mediante la emisión de un comando show portsecurity interface. S1# show port-security interface f0/5 Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count

: : : : : : : : : : : :

Enabled Secure-up Shutdown 0 mins Absolute Disabled 1 1 1 0 0000.0000.0000:0 0

¿Cuál es el estado del puerto de F0/5? ____________________________________________________________________________________ El estado es Secure-up, que indica que el puerto es seguro, pero el valor del estado y el protocolo es up. e. En el símbolo del sistema del R1, haga ping a la PC-A para verificar la conectividad. R1# ping 172.16.99.3 f.

Ahora violará la seguridad mediante el cambio de la dirección MAC en la interfaz del router. Ingrese al modo de configuración de interfaz para G0/1 y desactívela. R1# config t R1(config)# interface g0/1 R1(config-if)# shutdown

g. Configure una nueva dirección MAC para la interfaz, con la dirección aaaa.bbbb.cccc. R1(config-if)# mac-address aaaa.bbbb.cccc h. De ser posible, tenga una conexión de consola abierta en el S1 al mismo tiempo que realiza este paso. Verá que se muestran varios mensajes en la conexión de consola al S1 que indican una violación de seguridad. Habilite la interfaz G0/1 en R1. R1(config-if)# no shutdown


Página 8 de 16

Práctica de laboratorio: configuración de características de seguridad de switch i.

En el modo EXEC privilegiado del R1, haga ping a la PC-A. ¿El ping se realizó correctamente? ¿Por qué o por qué no? ____________________________________________________________________________________ No, el puerto F0/5 en el S1 está desactivado debido a la violación de seguridad.

j.

En el switch, verifique la seguridad de puertos con los comandos que se muestran a continuación. S1# show port-security

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/5 1 1 1 Shutdown ---------------------------------------------------------------------Total Addresses in System (excluding one mac per port) :0 Max Addresses limit in System (excluding one mac per port) :8192

S1# show port-security interface f0/5 Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count

: : : : : : : : : : : :

Enabled Secure-shutdown Shutdown 0 mins Absolute Disabled 1 1 1 0 aaaa.bbbb.cccc:99 1

S1# show interface f0/5

FastEthernet0/5 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 0cd9.96e2.3d05 (bia 0cd9.96e2.3d05) MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255

S1# show port-security address

Secure Mac Address Table -----------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) --------------------------------99 30f7.0da3.1821 SecureConfigured Fa0/5 ----------------------------------------------------------------------Total Addresses in System (excluding one mac per port) :0 Max Addresses limit in System (excluding one mac per port) :8192

k.

En el router, desactive la interfaz G0/1, elimine la dirección MAC codificada de forma rígida del router y vuelva a habilitar la interfaz G0/1.


Página 9 de 16

Práctica de laboratorio: configuración de características de seguridad de switch R1(config-if)# R1(config-if)# R1(config-if)# R1(config-if)# l.

shutdown no mac-address aaaa.bbbb.cccc no shutdown end

Desde el R1, vuelva a hacer ping a la PC-A en 172.16.99.3. ¿El ping se realizó correctamente? _________________ No

m. Emita el comando show interface f0/5 para determinar la causa de la falla del ping. Registre sus conclusiones. ____________________________________________________________________________________ El puerto F0/5 en el S1 continúa en estado de inhabilitación por errores. S1# show interface f0/5

FastEthernet0/5 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 0023.5d59.9185 (bia 0023.5d59.9185) MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255

n. Borre el estado de inhabilitación por errores de F0/5 en el S1. S1# config t S1(config)# interface f0/5 S1(config-if)# shutdown S1(config-if)# no shutdown Nota: puede haber una demora mientras convergen los estados de los puertos. o. Emita el comando show interface f0/5 en el S1 para verificar que F0/5 ya no esté en estado de inhabilitación por errores. S1# show interface f0/5

FastEthernet0/5 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 0023.5d59.9185 (bia 0023.5d59.9185) MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255

p. En el símbolo del sistema del R1, vuelva a hacer ping a la PC-A. Debería realizarse correctamente.

Reflexión 1. ¿Por qué habilitaría la seguridad de puertos en un switch? _______________________________________________________________________________________ Ayudaría a evitar que los dispositivos no autorizados accedan a su red en caso de que se conectaran a un switch en su red. 2. ¿Por qué deben deshabilitarse los puertos no utilizados en un switch? _______________________________________________________________________________________ Una excelente razón es que un usuario no podría conectar un dispositivo al switch en un puerto sin utilizar para acceder a la LAN.


Página 10 de 16

Práctica de laboratorio: configuración de características de seguridad de switch

Tabla de resumen de interfaces del router Resumen de interfaces del router Modelo de router

Interfaz Ethernet #1

Interfaz Ethernet n.º 2

Interfaz serial #1

Interfaz serial n.º 2

1800

Fast Ethernet 0/0 (F0/0)


Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900

Gigabit Ethernet 0/0 (G0/0)


Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de Cisco para representar la interfaz.

Configuraciones de dispositivos Router R1 R1#sh run Building configuration... Current configuration : 1232 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no ip domain-lookup ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto


Página 11 de 16

Práctica de laboratorio: configuración de características de seguridad de switch ! interface GigabitEthernet0/1 ip address 172.16.99.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! !line con 0 password 7 030752180500 login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line 67 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh line vty 0 4 password 7 13061E01080344 login transport input all !


Página 12 de 16

Práctica de laboratorio: configuración de características de seguridad de switch scheduler allocate 20000 1000 ! end

Switch S1 S1#sh run Building configuration... Current configuration : 3762 bytes version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S1 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! username admin privilege 15 secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY ! no ip domain-lookup ip domain-name CCNA-Lab.com ! crypto pki trustpoint TP-self-signed-2530358400 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2530358400 revocation-check none rsakeypair TP-self-signed-2530358400 ! crypto pki certificate chain TP-self-signed-2530358400 certificate self-signed 01 3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 32353330 33353834 3030301E 170D3933 30333031 30303030 35395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 35333033 35383430 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100C0E3 1B8AF1E4 ADA4C4AD F82914AF BF8BCEC9 30CFBF54 D76B3940 38353E50 A9AE0FCE 9CA05B91 24312B31 22D5F89D D249023E AEEC442D F55315F6 D456DA95 16B758FB 8083B681 C1B3A3BF 99420EC7 A7E0AD11 CF031CD1 36A997C0 E72BE4DD 1D745542 1DC958C1 443B6727 F7047747 D94B8CAD 0A99CBDC ADC914C8 D820DC30 E6B70203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603 551D2304 18301680 1464D1A8 83DEE145 E35D68C1 D078ED7D 4F6F0B82 9D301D06 03551D0E 04160414 64D1A883 DEE145E3 5D68C1D0 78ED7D4F 6F0B829D 300D0609 2A864886 F70D0101 05050003 81810098 D65CFA1C 3942148D 8961D845 51D53202 EA59B526 7DB308C9 F79859A0 D93D56D6 C584AB83 941A2B7F C44C0E2F DFAF6B8D A3272A5C 2363116E 1AA246DD 7E54B680 2ABB1F2D 26921529 E1EF4ACC A4FBD14A BAD41C98 E8D83DEC B85A330E D453510D 89F64023 7B9782E7 200F615A 6961827F 8419A84F 56D71664 5123B591 A62C55


Página 13 de 16

Práctica de laboratorio: configuración de características de seguridad de switch quit ! ip ssh time-out 75 ip ssh authentication-retries 2 ! interface FastEthernet0/1 shutdown ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 switchport access vlan 99 switchport mode access switchport port-security switchport port-security mac-address 30f7.0da3.1821 ! interface FastEthernet0/6 switchport access vlan 99 switchport mode access ! interface FastEthernet0/7 shutdown interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface

FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14


Página 14 de 16

Práctica de laboratorio: configuración de características de seguridad de switch shutdown ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17 shutdown ! interface FastEthernet0/18 shutdown ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 shutdown ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 172.16.99.11 255.255.255.0 ! ip default-gateway 172.16.99.1 no ip http server ip http secure-server !


Página 15 de 16

Práctica de laboratorio: configuración de características de seguridad de switch banner motd ^CWarning! Unauthorized Access is Prohibited.^C ! line con 0 password cisco logging synchronous login line vty 0 4 login local transport input ssh line vty 5 15 login local transport input ssh ! end


Página 16 de 16

Trío de switches (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Verifique la configuración de capa 2 de un puerto de switch conectado a una estación terminal. Los estudiantes usarán Packet Tracer para configurar los primeros tres puertos de un switch con una dirección MAC permanente (una dirección MAC por puerto) y con la característica de seguridad shutdown. Validarán la implementación de seguridad y explicarán el proceso a otro estudiante o a la clase (elección del instructor).

Situación Usted es el administrador de red de una pequeña o mediana empresa. La oficina central de la empresa dispuso que se implementen medidas de seguridad en todos los switches de todas las oficinas. En el memorándum que recibió esta mañana, se indica lo siguiente: “Para el lunes 18 de abril de 20xx, los primeros tres puertos de todos los switches configurables ubicados en todas las oficinas deben protegerse con direcciones MAC: una dirección se debe reservar para la computadora, otra para la computadora portátil de la oficina y otra para el servidor de la oficina. Si se infringe la seguridad de un puerto, desactívelo hasta que se establezca el motivo de la infracción. Implemente esta política, a más tardar, el día que se especifica en este memorándum. Si tiene preguntas, comuníquese al 1.800.555.1212. Gracias. El equipo de administración de redes” Trabaje con un compañero de clase y creen un ejemplo de Packet Tracer para probar esta nueva política de seguridad. Una vez que creó su archivo, pruébelo al menos con un dispositivo para asegurarse de que funcione o sea válido. Guarde su trabajo y esté preparado para compartirlo con toda la clase. (A discreción del instructor)

Reflexión 1. ¿Por qué se protegería un puerto en un switch con los parámetros de esta situación (y no todos los puertos en el mismo switch)? _______________________________________________________________________________________ Las respuestas varían: los estudiantes pueden mencionar que la implementación de medidas de seguridad en cada puerto de un switch impediría que muchos usuarios se conectaran al switch, lo que limitaría el uso de puertos a determinados equipos; la movilidad de las computadoras portátiles podría verse comprometida, ya que los usuarios no podrían conectarse al switch a menos que supieran qué puerto pueden usar. 2. ¿Por qué un administrador de red utilizaría un simulador de red para crear, configurar y validar un plan de seguridad, en lugar de utilizar los equipos físicos reales de la pequeña o mediana empresa? _______________________________________________________________________________________ Con un simulador de red, se puede ahorrar tiempo y preservar la calidad de la entrega de los datos de red mediante la prueba preliminar y la validación de las configuraciones nuevas.


Página 1 de 3

Trío de switches

Topología física original (solo para la representación del concepto)

Después de configurar la seguridad de puertos de la impresora, el servidor y la computadora portátil, todos los dispositivos se comunican con el switch a través de los puertos correspondientes. Switch# show port-security address Secure Mac Address Table ------------------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- -------- ------------1 00E0.B02B.B6BC SecureSticky FastEthernet0/1 1 00E0.F766.AC90 SecureSticky FastEthernet0/2 1 00D0.BC9D.C76A SecureSticky FastEthernet0/3 -----------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024


Página 2 de 3

Trío de switches Resultado que muestra el estado de la seguridad de puertos para Fa0/1: Switch# show port-security Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count

int fa0/1 : Enabled : Secure-up : Shutdown : 0 mins : Absolute : Disabled : 1 : 1 : 0 : 1 : 00E0.B02B.B6BC:1 : 0

Cambio de topología con violación de seguridad (solo para la representación del concepto) Después de reemplazar la impresora original por una nueva, se desactiva Fa0/1 en el switch.


Los switches se pueden proteger al asignar direcciones MAC a todos y cada uno de los puertos, manualmente o según la configuración.

•

Si se infringe la seguridad del puerto, se pueden desactivar los puertos del switch LAN.

•

Los administradores de red pueden implementar políticas de prácticas recomendadas elaboradas por la administración para asegurar que las redes no se vean comprometidas debido a ataques de seguridad.


Página 3 de 3

Estación vacacional (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Explique la finalidad de las VLAN en una red conmutada. A fin de prepararse para aprender los conceptos de VLAN en una red conmutada de este capítulo, los estudiantes imaginarán cómo y por qué se crean grupos específicos de switching de VLAN de red.

Situación Usted adquirió una casa de vacaciones en la playa con intenciones de alquilarla. Hay tres pisos idénticos en cada nivel de la casa. Cada piso tiene un televisor digital para uso de los inquilinos. Según el proveedor local de servicios de Internet, solo se pueden ofrecer tres canales en de un paquete de televisión. Su trabajo es decidir qué paquetes de televisión ofrecerá a sus huéspedes. •

Divida la clase en grupos de tres estudiantes por grupo.

•

Elija tres canales diferentes para conformar un paquete de suscripción para cada piso de la casa en alquiler.

•

Complete el PDF de esta actividad.

Comparta las respuestas de reflexión de su grupo con la clase.

Paquete de suscripción de canales de televisión: piso 1

Noticias locales

Deportes

Clima

Mejoras del hogar

Películas

Historial


Noticias locales

Deportes

Clima

Mejoras del hogar

Películas

Historial


Noticias locales

Deportes

Clima

Mejoras del hogar

Películas

Historial


Página 1 de 2

Estación vacacional

Reflexión 1. ¿Cuáles fueron algunos de los criterios que usó para seleccionar los tres canales finales? _______________________________________________________________________________________ Las respuestas varían, pero algunas respuestas podrían incluir lo siguiente: las noticias locales generalmente son importantes para todos, el clima es importante para los veraneantes en zonas de playa, las mejoras en el hogar pueden ser importantes para el uso de la propiedad en alquiler, los deportes y las películas son pasatiempos populares durante las vacaciones y la historia proporciona información sobre los lugares que los turistas visitan actualmente o planean visitar. 2. ¿Por qué cree que este proveedor de servicios de Internet ofrece distintas opciones de canales de televisión a los suscriptores? ¿Por qué no ofrece todos los canales a todos los suscriptores? _______________________________________________________________________________________ Limitar las opciones a determinados grupos permite que los ISP conserven el ancho de banda de televisión para los grupos con las opciones seleccionadas. También les permite cobrar más por las opciones adicionales. 3. Compare esta situación con las comunicaciones y redes de datos de pequeñas y medianas empresas. ¿Por qué se recomienda dividir las redes de pequeñas o medianas empresas en grupos lógicos y físicos? _______________________________________________________________________________________ Las respuestas varían. Algunas respuestas podrían incluir lo siguiente: dividir las redes en grupos permite que las empresas mejoren el rendimiento de la red, regulen la administración y la seguridad de la red, usen opciones de tráfico de datos, de voz y controlado por la red de manera más eficaz y agrupen el tráfico de datos según las funciones deseadas de la red.


En esta situación, el cable módem del ISP podría funcionar como switch de red.

•

Los pisos 1 a 3 se podrían comparar con los grupos de VLAN de la red.

•

Los televisores digitales se podrían comparar con los hosts dentro de los grupos de VLAN.


Página 2 de 2

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IP

Máscara de subred


S1

VLAN 1

192.168.1.11

255.255.255.0

N/A

S2

VLAN 1

192.168.1.12

255.255.255.0

N/A

PC-A

NIC

192.168.10.3

255.255.255.0

192.168.10.1

PC-B

NIC

192.168.10.4

255.255.255.0

192.168.10.1

PC-C

NIC

192.168.20.3

255.255.255.0

192.168.20.1

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: crear redes VLAN y asignar puertos de switch Parte 3: mantener las asignaciones de puertos de VLAN y la base de datos de VLAN Parte 4: configurar un enlace troncal 802.1Q entre los switches Parte 5: eliminar la base de datos de VLAN


Página 1 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales

Información básica/situación Los switches modernos usan redes de área local virtuales (VLAN) para mejorar el rendimiento de la red mediante la división de grandes dominios de difusión de capa 2 en otros más pequeños. Las VLAN también se pueden usar como medida de seguridad al controlar qué hosts se pueden comunicar. Por lo general, las redes VLAN facilitan el diseño de una red para respaldar los objetivos de una organización. Los enlaces troncales de VLAN se usan para abarcar redes VLAN a través de varios dispositivos. Los enlaces troncales permiten transferir el tráfico de varias VLAN a través de un único enlace y conservar intactas la segmentación y la identificación de VLAN. En esta práctica de laboratorio, creará redes VLAN en los dos switches de la topología, asignará las VLAN a los puertos de acceso de los switches, verificará que las VLAN funcionen como se espera y, a continuación, creará un enlace troncal de VLAN entre los dos switches para permitir que los hosts en la misma VLAN se comuniquen a través del enlace troncal, independientemente del switch al que está conectado el host. Nota: los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.

Recursos necesarios 

2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)










Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host y los switches.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según sea necesario.

Paso 2. inicializar y volver a cargar los switches según sea necesario. Paso 3. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.


d. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión para las líneas de vty y de consola.


Página 2 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales e. Configure logging synchronous para la línea de consola. f.

Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.

g. Configure la dirección IP que se indica en la tabla de direccionamiento para la VLAN 1 en ambos switches. h. Desactive administrativamente todos los puertos que no se usen en el switch. i.

Copie la configuración en ejecución en la configuración de inicio

Paso 4. configurar los equipos host. Consulte la tabla de direccionamiento para obtener información de direcciones de los equipos host.

Paso 5. Probar la conectividad. Verifique que los equipos host puedan hacer ping entre sí. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas. ¿Se puede hacer ping de la PC-A a la PC-B?

_________ Sí

¿Se puede hacer ping de la PC-A a la PC-C?

_________ No

¿Se puede hacer ping de la PC-A al S1?

_________ No

¿Se puede hacer ping de la PC-B a la PC-C?

_________ No

¿Se puede hacer ping de la PC-B al S2?

_________ No

¿Se puede hacer ping de la PC-C al S2?

_________ No

¿Se puede hacer ping del S1 al S2?

_________ Sí

Si la respuesta a cualquiera de las preguntas anteriores es no, ¿por qué fallaron los pings? _______________________________________________________________________________________ _______________________________________________________________________________________ Los pings fallaron cuando se intentó hacer ping a un dispositivo en una subred diferente. Para que esos pings se realicen correctamente, debe existir un gateway predeterminado para enrutar el tráfico de una subred a otra.

Parte 2. crear redes VLAN y asignar puertos de switch En la parte 2, creará redes VLAN para los estudiantes, el cuerpo docente y la administración en ambos switches. A continuación, asignará las VLAN a la interfaz correspondiente. El comando show vlan se usa para verificar las opciones de configuración.

Paso 1. crear las VLAN en los switches. a. Cree las VLAN en S1. S1(config)# vlan S1(config-vlan)# S1(config-vlan)# S1(config-vlan)# S1(config-vlan)# S1(config-vlan)# S1(config-vlan)#

10 name vlan name vlan name end

Student 20 Faculty 99 Management


Página 3 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales b. Cree las mismas VLAN en el S2. c.

Emita el comando show vlan para ver la lista de VLAN en el S1. S1# show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2 10 Student active 20 Faculty active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN ---1 10 20 99

Type ----enet enet enet enet

SAID ---------100001 100010 100020 100099

MTU ----1500 1500 1500 1500

Parent ------

RingNo ------

BridgeNo --------

Stp ----

BrdgMode --------

Trans1 -----0 0 0 0

Trans2 -----0 0 0 0

VLAN ---1002 1003 1004 1005

Type ----fddi tr fdnet trnet

SAID ---------101002 101003 101004 101005

MTU ----1500 1500 1500 1500

Parent ------

RingNo ------

BridgeNo --------

Stp ---ieee ibm

BrdgMode --------

Trans1 -----0 0 0 0

Trans2 -----0 0 0 0

Remote SPAN VLANs ------------------------------------------------------------------------------

Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------

¿Cuál es la VLAN predeterminada? ___________ La VLAN 1 ¿Qué puertos se asignan a la VLAN predeterminada? ____________________________________________________________________________________ Todos los puertos del switch se asignan a la VLAN 1 de manera predeterminada.


Página 4 de 20


Paso 2. asignar las VLAN a las interfaces del switch correctas. a. Asigne las VLAN a las interfaces en el S1. 1) Asigne la PC-A a la VLAN Estudiantes. S1(config)# interface f0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 10 2) Transfiera la dirección IP del switch a la VLAN 99. S1(config)# interface vlan 1 S1(config-if)# no ip address S1(config-if)# interface vlan 99 S1(config-if)# ip address 192.168.1.11 255.255.255.0 S1(config-if)# end b. Emita el comando show vlan brief y verifique que las VLAN se hayan asignado a las interfaces correctas. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gi0/1 Gi0/2 10 Student active Fa0/6 20 Faculty active 99 Management active 1002 fddi-default act/unsup act/unsup 1003 token-ring-default 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

c.

Emita el comando show ip interface brief. S1# show ip interface brief Interface Vlan1 Vlan99 FastEthernet0/1 FastEthernet0/2 FastEthernet0/3 FastEthernet0/4 FastEthernet0/5 FastEthernet0/6 FastEthernet0/7

IP-Address unassigned 192.168.1.11 unassigned unassigned unassigned unassigned unassigned unassigned unassigned

OK? YES YES YES YES YES YES YES YES YES

Method unset manual unset unset unset unset unset unset unset

Status up up up administratively administratively administratively administratively up administratively


down down down down down

Protocol up down up down down down down up down

Página 5 de 20


¿Cuál es el estado de la VLAN 99? ¿Por qué? ____________________________________________________________________________________ El estado de la VLAN 99 es up/down, porque todavía no se asignó a ningún puerto activo. d. Use la topología para asignar las VLAN a los puertos correspondientes en el S2. e. Elimine la dirección IP para la VLAN 1 en el S2. f.

Configure una dirección IP para la VLAN 99 en el S2 según la tabla de direccionamiento.

g. Use el comando show vlan brief para verificar que las VLAN se hayan asignado a las interfaces correctas. S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Student active Fa0/11 20 Faculty active Fa0/18 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

¿Es posible hacer ping de la PC-A a la PC-B? ¿Por qué? ____________________________________________________________________________________ No. La interfaz F0/1 no se asignó a la VLAN 10, de modo que el tráfico de la VLAN 10 no se envía a través de esta interfaz. ¿Es posible hacer ping del S1 al S2? ¿Por qué? ____________________________________________________________________________________ No. Las direcciones IP de los switches ahora residen en la VLAN 99. El tráfico de la VLAN 99 no se envía a través de la interfaz F0/1.

Parte 3. mantener las asignaciones de puertos de VLAN y la base de datos de VLAN En la parte 3, cambiará las asignaciones de VLAN a los puertos y eliminará las VLAN de la base de datos de VLAN.

Paso 1. asignar una VLAN a varias interfaces. a. En el S1, asigne las interfaces F0/11 a 24 a la VLAN 10. S1(config)# interface range f0/11-24


Página 6 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 10 S1(config-if-range)# end b. Emita el comando show vlan brief para verificar las asignaciones de VLAN. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Gi0/1, Gi0/2 10 Student active Fa0/6, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24 20 Faculty active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

c.

Reasigne F0/11 y F0/21 a la VLAN 20. S1(config)# interface range f0/11, f0/21 S1(config-if-range)# switchport access vlan 20 S1(config-if-range)# end

d. Verifique que las asignaciones de VLAN sean las correctas. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Gi0/1, Gi0/2 10 Student active Fa0/6, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/22, Fa0/23 Fa0/24 20 Faculty active Fa0/11, Fa0/21 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

Paso 2. eliminar una asignación de VLAN de una interfaz. a. Use el comando no switchport access vlan para eliminar la asignación de la VLAN 10 a F0/24.


Página 7 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales S1(config)# interface f0/24 S1(config-if)# no switchport access vlan S1(config-if)# end b. Verifique que se haya realizado el cambio de VLAN. ¿A qué VLAN está asociada ahora F0/24? ____________________________________________________________________________________ VLAN 1, la VLAN predeterminada. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/24, Gi0/1, Gi0/2 10 Student active Fa0/6, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/22, Fa0/23 20 Faculty active Fa0/11, Fa0/21 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

Paso 3. eliminar una ID de VLAN de la base de datos de VLAN. a. Agregue la VLAN 30 a la interfaz F0/24 sin emitir el comando VLAN. S1(config)# interface f0/24 S1(config-if)# switchport access vlan 30 % Access VLAN does not exist. Creating vlan 30

Nota: la tecnología de switches actual ya no requiere la emisión del comando vlan para agregar una VLAN a la base de datos. Al asignar una VLAN desconocida a un puerto, la VLAN se agrega a la base de datos de VLAN. b. Verifique que la nueva VLAN se muestre en la tabla de VLAN. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Gi0/1, Gi0/2 10 Student active Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/22, Fa0/23 20 Faculty active Fa0/11, Fa0/21 30 VLAN0030 active Fa0/24 99 Management active 1002 fddi-default act/unsup


Página 8 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales 1003 token-ring-default 1004 fddinet-default 1005 trnet-default

act/unsup act/unsup act/unsup

¿Cuál es el nombre predeterminado de la VLAN 30? ____________________________________________________________________________________ VLAN0030 c.

Use el comando no vlan 30 para eliminar la VLAN 30 de la base de datos de VLAN. S1(config)# no vlan 30 S1(config)# end

d. Emita el comando show vlan brief. F0/24 se asignó a la VLAN 30. Una vez que se elimina la VLAN 30, ¿a qué VLAN se asigna el puerto F0/24? ¿Qué sucede con el tráfico destinado al host conectado a F0/24? ____________________________________________________________________________________ El puerto F0/24 no se asigna a ninguna VLAN. Este puerto no transfiere tráfico. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Gi0/1, Gi0/2 10 Student active Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/22, Fa0/23 20 Faculty active Fa0/11, Fa0/21 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

e. Emita el comando no switchport access vlan en la interfaz F0/24. S1(config)# interface f0/24 S1(config-if)# no switchport access vlan S1(config-if)# end f.

Emita el comando show vlan brief para determinar la asignación de VLAN para F0/24. ¿A qué VLAN se asignó F0/24? ____________________________________________________________________________________ VLAN 1 S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/24, Gi0/1, Gi0/2


Página 9 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales 10

Student

active

20 99 1002 1003 1004 1005

Faculty Management fddi-default token-ring-default fddinet-default trnet-default

active active act/unsup act/unsup act/unsup act/unsup

Fa0/6, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/22, Fa0/23 Fa0/11, Fa0/21

Nota: antes de eliminar una VLAN de la base de datos, se recomienda reasignar todos los puertos asignados a esa VLAN. ¿Por qué debe reasignar un puerto a otra VLAN antes de eliminar la VLAN de la base de datos de VLAN? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Las interfaces asignadas a una VLAN que se eliminó de la base de datos de VLAN no están disponibles para usar hasta que se reasignen a otra VLAN. Este problema puede ser difícil de resolver, ya que las interfaces de enlace troncal tampoco aparecen en la lista de puertos (en la parte 4, se incluye más información sobre las interfaces de enlace troncal).

Parte 4. configurar un enlace troncal 802.1Q entre los switches En la parte 4, configurará la interfaz F0/1 para que use el protocolo de enlace troncal dinámico (DTP) y permitir que negocie el modo de enlace troncal. Después de lograr y verificar esto, desactivará DTP en la interfaz F0/1 y la configurará manualmente como enlace troncal.

Paso 1. usar DTP para iniciar el enlace troncal en F0/1. El modo de DTP predeterminado de un puerto en un switch 2960 es dinámico automático. Esto permite que la interfaz convierta el enlace en un enlace troncal si la interfaz vecina se establece en modo de enlace troncal o dinámico deseado. a. Establezca F0/1 en el S1 en modo de enlace troncal. S1(config)# interface f0/1 S1(config-if)# switchport mode dynamic desirable *Mar 1 05:07:28.746: state to down *Mar 1 05:07:29.744: changed state to down S1(config-if)# *Mar 1 05:07:32.772: changed state to up S1(config-if)# *Mar 1 05:08:01.789: state to up *Mar 1 05:08:01.797: state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed

También debe recibir mensajes del estado del enlace en el S2. S2#


Página 10 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales *Mar 1 05:07:29.794: changed state to down S2# *Mar 1 05:07:32.823: changed state to up S2# *Mar 1 05:08:01.839: state to up *Mar 1 05:08:01.850: state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed

b. Emita el comando show vlan brief en el S1 y el S2. La interfaz F0/1 ya no está asignada a la VLAN 1. Las interfaces de enlace troncal no se incluyen en la tabla de VLAN. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/24, Gi0/1, Gi0/2 10 Student active Fa0/6, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/22, Fa0/23 20 Faculty active Fa0/11, Fa0/21 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

c.

Emita el comando show interfaces trunk para ver las interfaces de enlace troncal. Observe que el modo en el S1 está establecido en deseado, y el modo en el S2 en automático. S1# show interfaces trunk Port Fa0/1

Mode desirable

Encapsulation 802.1q

Status trunking

Native vlan 1

Port Fa0/1

Vlans allowed on trunk 1-4094

Port Fa0/1

Vlans allowed and active in management domain 1,10,20,99

Port Fa0/1

Vlans in spanning tree forwarding state and not pruned 1,10,20,99

S2# show interfaces trunk Port Fa0/1

Mode auto


Status trunking

Native vlan 1


Página 11 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales Port Fa0/1


Port Fa0/1


Port Fa0/1


Nota: de manera predeterminada, todas las VLAN se permiten en un enlace troncal. El comando switchport trunk le permite controlar qué VLAN tienen acceso al enlace troncal. Para esta práctica de laboratorio, mantenga la configuración predeterminada que permite que todas las VLAN atraviesen F0/1. d. Verifique que el tráfico de VLAN se transfiera a través de la interfaz de enlace troncal F0/1. ¿Se puede hacer ping del S1 al S2?

___________ Sí

¿Se puede hacer ping de la PC-A a la PC-B?

___________ Sí

¿Se puede hacer ping de la PC-A a la PC-C?

___________ No

¿Se puede hacer ping de la PC-B a la PC-C?

___________ No

¿Se puede hacer ping de la PC-A al S1?

___________ No

¿Se puede hacer ping de la PC-B al S2?

___________ No

¿Se puede hacer ping de la PC-C al S2?

___________ No

Si la respuesta a cualquiera de las preguntas anteriores es no, justifíquela a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ No se puede hacer ping de la PC-C a la PC-A o a la PC-B debido a que la PC-C está en una VLAN diferente. Los switches están en diferentes VLAN que las computadoras; por este motivo, los pings fallaron.

Paso 2. configurar manualmente la interfaz de enlace troncal F0/1. El comando switchport mode trunk se usa para configurar un puerto manualmente como enlace troncal. Este comando se debe emitir en ambos extremos del enlace. a. Cambie el modo de switchport en la interfaz F0/1 para forzar el enlace troncal. Haga esto en ambos switches. S1(config)# interface f0/1 S1(config-if)# switchport mode trunk S2(config)# interface f0/1 S2(config-if)# switchport mode trunk b. Emita el comando show interfaces trunk para ver el modo de enlace troncal. Observe que el modo cambió de desirable a on. S2# show interfaces trunk Port Fa0/1

Mode on


Port

Vlans allowed on trunk

Status trunking

Native vlan 99


Página 12 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales Fa0/1

1-4094

Port Fa0/1


Port Fa0/1


¿Por qué desearía configurar una interfaz en modo de enlace troncal de forma manual en lugar de usar DTP? ____________________________________________________________________________________ ____________________________________________________________________________________ No todos los equipos usan DTP. Con el comando switchport mode trunk, se garantiza que el puerto se convierta en un enlace troncal, independientemente del tipo de equipo conectado al otro extremo del enlace.

Parte 5. Eliminar la base de datos de VLAN En la parte 5, eliminará la base de datos de VLAN del switch. Es necesario hacer esto al inicializar un switch para que vuelva a la configuración predeterminada.

Paso 1. determinar si existe la base de datos de VLAN. Emita el comando show flash para determinar si existe el archivo vlan.dat en la memoria flash. S1# show flash Directory of flash:/ 2 3 4 5 6


1285 43032 5 11607161 736

Mar Mar Mar Mar Mar

1 1 1 1 1

1993 1993 1993 1993 1993

00:01:24 00:01:24 00:01:24 02:37:06 00:19:41

+00:00 +00:00 +00:00 +00:00 +00:00

config.text multiple-fs private-config.text c2960-lanbasek9-mz.150-2.SE.bin vlan.dat

32514048 bytes total (20858880 bytes free)

Nota: si hay un archivo vlan.dat en la memoria flash, la base de datos de VLAN no contiene la configuración predeterminada.

Paso 2. eliminar la base de datos de VLAN. a. Emita el comando delete vlan.dat para eliminar el archivo vlan.dat de la memoria flash y restablecer la base de datos de VLAN a la configuración predeterminada. Se le solicitará dos veces que confirme que desea eliminar el archivo vlan.dat. Presione Enter ambas veces. S1# delete vlan.dat Delete filename [vlan.dat]? Delete flash:/vlan.dat? [confirm] S1# b. Emita el comando show flash para verificar que se haya eliminado el archivo vlan.dat. S1# show flash


Página 13 de 20


Directory of flash:/ 2 3 4 5

-rwx -rwx -rwx -rwx

1285 43032 5 11607161

Mar Mar Mar Mar

1 1 1 1

1993 1993 1993 1993

00:01:24 00:01:24 00:01:24 02:37:06

+00:00 +00:00 +00:00 +00:00

config.text multiple-fs private-config.text c2960-lanbasek9-mz.150-2.SE.bin

32514048 bytes total (20859904 bytes free)

Para inicializar un switch para que vuelva a la configuración predeterminada, ¿cuáles son los otros comandos que se necesitan? ____________________________________________________________________________________ ____________________________________________________________________________________ Para que un switch vuelva a la configuración predeterminada, se deben emitir los comandos erase startup-config y reload después de emitir el comando delete vlan.dat.

Reflexión 1. ¿Qué se necesita para permitir que los hosts en la VLAN 10 se comuniquen con los hosts en la VLAN 20? _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas varían, pero se necesita el routing de capa 3 para enrutar el tráfico entre redes VLAN. 2. ¿Cuáles son algunos de los beneficios principales que una organización puede obtener mediante el uso eficaz de las VLAN? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas varían, pero algunos de los beneficios de las VLAN incluyen lo siguiente: aumento de la seguridad, ahorro de costos (uso eficaz del ancho de banda y los uplinks), aumento del rendimiento (dominios de difusión más pequeños), mitigación de las tormentas de difusión, aumento de la eficiencia del personal de TI, simplificación de la administración de proyectos y aplicaciones.

Configuraciones de dispositivos, final Switch S1 Building configuration... Current configuration : 2571 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption !


Página 14 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 shutdown ! interface FastEthernet0/6 switchport access vlan 10 switchport mode access ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11


Página 15 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/12 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/13 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/14 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/15 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/16 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/17 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/18 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/19 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/20 switchport access vlan 10 switchport mode access shutdown !


Página 16 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales interface FastEthernet0/21 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/22 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/23 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/24 switchport mode access shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address ! interface Vlan99 ip address 192.168.1.11 255.255.255.0 ! ip http server ip http secure-server ! ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login


Página 17 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales ! end

Switch S2 Building configuration... Current configuration : 1875 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 shutdown ! interface FastEthernet0/6 shutdown !


Página 18 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11 switchport access vlan 10 switchport mode access ! interface FastEthernet0/12 shutdown ! interface FastEthernet0/13 shutdown ! interface FastEthernet0/14 shutdown ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17 shutdown ! interface FastEthernet0/18 switchport access vlan 20 switchport mode access ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 shutdown


Página 19 de 20

Práctica de laboratorio: configuración de redes VLAN y enlaces troncales ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! Interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address ! interface Vlan99 ip address 192.168.1.12 255.255.255.0 ! ip http server ip http secure-server ! ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 20 de 20

Práctica de laboratorio: resolución de problemas de configuración de VLAN (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IP

Máscara de subred


S1

VLAN 1

192.168.1.2

255.255.255.0

N/A

S2

VLAN 1

192.168.1.3

255.255.255.0

N/A

PC-A

NIC

192.168.10.2

255.255.255.0

192.168.10.1

PC-B

NIC

192.168.10.3

255.255.255.0

192.168.10.1

PC-C

NIC

192.168.20.3

255.255.255.0

192.168.20.1

Especificaciones de la asignación de puertos de switch Puertos

Asignaciones

Red

F0/1

Enlace troncal de 802.1Q

No aplicable

F0/6 a 12

VLAN 10: Estudiantes

192.168.10.0/24

F0/13 a 18

VLAN 20: Cuerpo docente

192.168.20.0/24

F0/19 a 24

VLAN 30: Invitado

192.168.30.0/24

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de la VLAN 10 Parte 3: resolver problemas de la VLAN 20


Página 1 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN

Información básica/situación Las VLAN proporcionan segmentación lógica dentro de una internetwork y mejoran el rendimiento de la red mediante la división de grandes dominios de difusión en otros más pequeños. Al dividir los hosts en diferentes redes, se pueden usar las VLAN para controlar qué hosts se pueden comunicar. En esta práctica de laboratorio, un lugar de estudios decidió implementar las VLAN a fin de separar el tráfico de los distintos usuarios finales. El lugar de estudios usa el enlace troncal 802.1Q para facilitar la comunicación de VLAN entre los switches. Los switches S1 y S2 se configuraron con la información de VLAN y de enlace troncal. Varios errores en la configuración han resultado en problemas de conectividad. Se le solicita resolver los problemas, corregir los errores de configuración y documentar su trabajo. Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los switches con algunos parámetros básicos, como las contraseñas y las direcciones IP. Se incluyen las configuraciones predefinidas relacionadas con las VLAN, que contienen errores, para la configuración inicial de los switches. Además, configurará los parámetros de IP de las computadoras en la topología.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Paso 3. inicializar y volver a cargar los switches según sea necesario. Paso 4. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure la dirección IP de la tabla de direccionamiento. c.

Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión para las líneas de vty y de consola.

d. Asigne class como la contraseña del modo EXEC privilegiado.


Página 2 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.

Paso 5. cargar las configuraciones de los switches. Se incluyen las configuraciones de los switches S1 y S2. Estas configuraciones contienen errores, y su trabajo es determinar las configuraciones incorrectas y corregirlas. Configuración del switch S1: hostname S1 vlan 10 name Students vlan 2 !vlan 20 name Faculty vlan 30 name Guest interface range f0/1-24 switchport mode access shutdown !interface f0/1 !switchport mode trunk !no shutdown interface range f0/7-12 !interface range f0/6-12 switchport access vlan 10 interface range f0/13-18 switchport access vlan 2 !switchport access vlan 20 interface range f0/19-24 switchport access vlan 30 end Configuración del switch S2: hostname S2 vlan 10 Name Students vlan 20 Name Faculty vlan 30 Name Guest interface f0/1 switchport mode trunk switchport trunk allowed vlan 1,10,2,30 !switchport trunk allowed vlan 1,10,20,30 interface range f0/2-24 switchport mode access shutdown !interface range f0/6-12 !switchport access vlan 10 interface range f0/13-18


Página 3 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN switchport access vlan 20 interface range f0/19-24 switchport access vlan 30 shutdown end

Paso 6. Copie la configuración en ejecución en la configuración de inicio

Parte 2. resolver problemas de la VLAN 10 En la parte 2, debe examinar la VLAN 10 en el S1 y el S2 para determinar si se configuró correctamente. Resolverá los problemas de la situación hasta que se haya establecido la conectividad.

Paso 1. resolver problemas de la VLAN 10 en el S1. a. ¿Se puede hacer ping de la PC-A a la PC-B? ______________ No b. Una vez que verificó que la PC-A se configuró correctamente, examine el switch S1 y observe un resumen de la información de VLAN para detectar posibles errores de configuración. Introduzca el comando show vlan brief. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Gi0/1, Gi0/2 2 Faculty active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18 10 Students active Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12 30 Guest active Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

c.

¿Existe algún problema en la configuración de VLAN? ____________________________________________________________________________________ Sí. El puerto de la PC-A no se asignó a la VLAN correcta. El puerto de F0/1 se asignó a la VLAN 1; por lo tanto, no funciona como puerto de enlace troncal.

d. Examine el switch para ver las configuraciones de enlace troncal con los comandos show interfaces trunk y show interface f0/1 switchport. S1# show interfaces trunk S1# show interfaces f0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: static access Operational Mode: down


Página 4 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk associations: none Administrative private-vlan trunk mappings: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none

e. ¿Existe algún problema en la configuración de enlace troncal? ____________________________________________________________________________________ Sí. No hay puertos de enlace troncal, y F0/1 se configuró como puerto de acceso en lugar de como puerto de enlace troncal. f.

Examine la configuración en ejecución del switch para detectar posibles errores de configuración. ¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ Sí. Las interfaces F0/1 a 5 se configuraron como puertos de acceso, y todos los puertos en el switch están desactivados.

g. Corrija los errores relacionados con F0/1 y la VLAN 10 en el S1. Registre los comandos que utilizó en el espacio que se incluye a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# interface f0/1 S1(config-if)# no shutdown S1(config-if)# switchport mode trunk S1(config-if)# interface f0/6 S1(config-if)# no shutdown S1(config-if)# switchport access vlan 10 © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 5 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN h. Verifique que los comandos hayan tenido los efectos deseados mediante la emisión de los comandos show correspondientes. S1# show interface trunk Port Fa0/1

Mode on


Status trunking

Native vlan 1

Port Fa0/1


Port Fa0/1

Vlans allowed and active in management domain 1-2,10,30

Port Fa0/1

Vlans in spanning tree forwarding state and not pruned 1-2,10,30

S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Gi0/1, Gi0/2 2 Faculty active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18 10 Students active Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12 30 Guest active Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

i.

¿Se puede hacer ping de la PC-A a la PC-B? ______________ No

Paso 2. resolver problemas de la VLAN 10 en el S2. a. Con los comandos anteriores, examine el switch S2 para detectar posibles errores de configuración. ¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ Sí. No se asignó acceso a la VLAN 10 para ningún puerto, y los puertos f0/1 y f0/11 están desactivados. S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Gi0/1


Página 6 de 17


10 20

Students Faculty

active active

30

Guest

active

1002 1003 1004 1005



Gi0/2 Fa0/13, Fa0/17, Fa0/19, Fa0/23,

Fa0/14, Fa0/15, Fa0/16 Fa0/18 Fa0/20, Fa0/21, Fa0/22 Fa0/24

b. Corrija los errores relacionados con las interfaces y la VLAN 10 en el S2. Registre los comandos a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S2(config)# interface range f0/6 -12 S2(config-if-range)# switchport access vlan 10 S2(config-if-range)# interface f0/11 S2(config-if)# no shutdown c.

¿Se puede hacer ping de la PC-A a la PC-B? ______________ Sí

Parte 3. resolver problemas de la VLAN 20 En la parte 3, debe examinar la VLAN 20 en el S1 y el S2 para determinar si se configuró correctamente. Para verificar la funcionalidad, reasignará la PC-A a la VLAN 20 y, a continuación, resolverá los problemas de la situación hasta que se haya establecido la conectividad.

Paso 1. asignar la PC-A a la VLAN 20. a. En la PC-A, cambie la dirección IP a 192.168.20.2/24 con el gateway predeterminado 192.168.20.1. b. En el S1, asigne el puerto de la PC-A a la VLAN 20. Escriba los comandos necesarios para completar la configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# interface f0/6 S1(config-if)# switchport access vlan 20 c.

Verifique que el puerto de la PC-A se haya asignado a la VLAN 20. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5


Página 7 de 17


2

Faculty

active

10

Students

active

20 30

VLAN0020 Guest

active active

1002 1003 1004 1005



Gi0/1, Gi0/2 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12 Fa0/6 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24

d. ¿Se puede hacer ping de la PC-A a la PC-C? ______________ No

Paso 2. resolver problemas de la VLAN 20 en el S1. a. Con los comandos anteriores, examine el switch S1 para detectar posibles errores de configuración. ¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ ____________________________________________________________________________________ Sí. Se creó la VLAN 2 en lugar de la VLAN 20, y los puertos se asignaron a la VLAN 2 en lugar de a la VLAN 20. b. Corrija los errores relacionados con la VLAN 20. S1(config)# interface range f0/13-18 S1(config-if-range)# switchport access vlan 20 S1(config-if-range)# exit S1(config)# no vlan 2 S1(config)# vlan 20 S1(config-vlan)# name Faculty c.

¿Se puede hacer ping de la PC-A a la PC-C? ______________ No

Paso 3. resolver problemas de la VLAN 20 en el S2. a. Con los comandos anteriores, examine el switch S2 para detectar posibles errores de configuración. ¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ Sí. La interfaz de enlace troncal se configuró incorrectamente para permitir la comunicación de la VLAN 2 en lugar de la VLAN 20, y el puerto f0/18 está desactivado. S2# show interface trunk Port Fa0/1

Mode on


Port Fa0/1

Vlans allowed on trunk 1-2,10,30

Status trunking

Native vlan 1


Página 8 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN Port Fa0/1

Vlans allowed and active in management domain 1,10,30

Port Fa0/1

Vlans in spanning tree forwarding state and not pruned 1,10,30

S2# show run interface fa0/18 Building configuration...

Current configuration : 95 bytes ! interface FastEthernet0/18 switchport access vlan 20 switchport mode access shutdown end

b. Corrija los errores relacionados con la VLAN 20. Registre los comandos utilizados a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S2(config)# interface f0/18 S2(config-if)# no shutdown S2(config)# interface f0/1 S2(config-if)# switchport trunk allowed vlan remove 2 S2(config-if)# switchport trunk allowed vlan add 20 c.

¿Se puede hacer ping de la PC-A a la PC-C? ______________ Sí

Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.

Reflexión 1. ¿Por qué es fundamental que haya un puerto de enlace troncal bien configurado en un entorno de varias VLAN? _______________________________________________________________________________________ _______________________________________________________________________________________ Un puerto de enlace troncal 802.1Q permite la transmisión de varias VLAN a través de un enlace. Un puerto de enlace troncal mal configurado puede impedir que las VLAN se comuniquen a través de los switches. 2. ¿Con qué motivo un administrador de red limitaría el tráfico para VLAN específicas en un puerto de enlace troncal? _______________________________________________________________________________________ _______________________________________________________________________________________ Para evitar que se transfiera el tráfico de VLAN no deseado a través de ese puerto de enlace troncal.


Página 9 de 17


Configuraciones de dispositivos Nota para el instructor: las VLAN configuradas no se muestran en la configuración en ejecución, pero se almacenan en el archivo vlan.dat.

Switch S1 S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Gi0/1, Gi0/2 10 Students active Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12 20 Faculty active Fa0/6, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18 30 Guest active Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1#show run Building configuration... Current configuration : 3966 bytes ! version 15.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 5 $1$Hf8a$8iwF0hp1dYGtxw1UsJuE5/ ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! spanning-tree mode pvst © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 10 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport mode access shutdown ! interface FastEthernet0/3 switchport mode access shutdown ! interface FastEthernet0/4 switchport mode access shutdown ! interface FastEthernet0/5 switchport mode access shutdown ! interface FastEthernet0/6 switchport access vlan 20 switchport mode access ! interface FastEthernet0/7 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/8 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/9 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/10 switchport access vlan 10


Página 11 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN switchport mode access shutdown ! interface FastEthernet0/11 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/12 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/13 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/14 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/15 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/16 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/17 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/18 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/19 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/20


Página 12 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/21 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/22 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/23 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/24 switchport access vlan 30 switchport mode access shutdown ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.2 255.255.255.0 no ip route-cache ! ip http server ip http secure-server logging esm config ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 13 de 17


Switch S2 S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Gi0/1, Gi0/2 10 Students active Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12 20 Faculty active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18 30 Guest active Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S2# show run Building configuration... Current configuration : 3966 bytes ! ! Last configuration change at 00:07:17 UTC Mon Mar 1 1993 ! version 15.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname S2 ! boot-start-marker boot-end-marker ! enable secret 5 $1$T7f6$AYijjsmnLmWzgIAET.DDj/ ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending !


Página 14 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN ! ! ! ! ! interface FastEthernet0/1 switchport trunk allowed vlan 1,10,20,30 switchport mode trunk ! interface FastEthernet0/2 switchport mode access shutdown ! interface FastEthernet0/3 switchport mode access shutdown ! interface FastEthernet0/4 switchport mode access shutdown ! interface FastEthernet0/5 switchport mode access shutdown ! interface FastEthernet0/6 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/7 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/8 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/9 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/10 switchport access vlan 10 switchport mode access shutdown


Página 15 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN ! interface FastEthernet0/11 switchport access vlan 10 switchport mode access ! interface FastEthernet0/12 switchport access vlan 10 switchport mode access shutdown ! interface FastEthernet0/13 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/14 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/15 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/16 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/17 switchport access vlan 20 switchport mode access shutdown ! interface FastEthernet0/18 switchport access vlan 20 switchport mode access ! interface FastEthernet0/19 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/20 switchport access vlan 30 switchport mode access shutdown


Página 16 de 17

Práctica de laboratorio: resolución de problemas de configuración de VLAN ! interface FastEthernet0/21 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/22 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/23 switchport access vlan 30 switchport mode access shutdown ! interface FastEthernet0/24 switchport access vlan 30 switchport mode access shutdown ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.3 255.255.255.0 no ip route-cache ! ip http server ip http secure-server logging esm config ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 17 de 17

Práctica de laboratorio: implementación de seguridad de VLAN (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IP

Máscara de subred


S1

VLAN 99

172.17.99.11

255.255.255.0

172.17.99.1

S2

VLAN 99

172.17.99.12

255.255.255.0

172.17.99.1

PC-A

NIC

172.17.99.3

255.255.255.0

172.17.99.1

PC-B

NIC

172.17.10.3

255.255.255.0

172.17.10.1

PC-C

NIC

172.17.99.4

255.255.255.0

172.17.99.1

Asignaciones de VLAN VLAN

Nombre

10

Datos

99

Management&Native

999

BlackHole

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: implementar seguridad de VLAN en los switches


Página 1 de 16

Práctica de laboratorio: implementación de seguridad de VLAN

Información básica/situación La práctica recomendada indica que se deben configurar algunos parámetros básicos de seguridad para los puertos de enlace troncal y de acceso en los switches. Esto sirve como protección contra los ataques de VLAN y la posible detección del tráfico de la red dentro de esta. En esta práctica de laboratorio, configurará los dispositivos de red en la topología con algunos parámetros básicos, verificará la conectividad y, a continuación, aplicará medidas de seguridad más estrictas en los switches. Utilizará varios comandos show para analizar la forma en que se comportan los switches Cisco. Luego, aplicará medidas de seguridad. Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará los parámetros básicos en los switches y las computadoras. Consulte la tabla de direccionamiento para obtener información sobre nombres de dispositivos y direcciones.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los switches. Paso 3. configurar las direcciones IP en la PC-A, la PC-B y la PC-C. Consulte la tabla de direccionamiento para obtener la información de direcciones de las computadoras.

Paso 4. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.


d. Asigne cisco como la contraseña de VTY y la contraseña de consola, y habilite el inicio de sesión para las líneas de vty y de consola. e. Configure el inicio de sesión sincrónico para las líneas de vty y de consola.


Página 2 de 16


Paso 5. configurar las VLAN en cada switch. a. Cree las VLAN y asígneles nombres según la tabla de asignaciones de VLAN. b. Configure la dirección IP que se indica para la VLAN 99 en la tabla de direccionamiento en ambos switches. c.

Configure F0/6 en el S1 como puerto de acceso y asígnelo a la VLAN 99.

d. Configure F0/11 en el S2 como puerto de acceso y asígnelo a la VLAN 10. e. Configure F0/18 en el S2 como puerto de acceso y asígnelo a la VLAN 99. f.

Emita el comando show vlan brief para verificar las asignaciones de VLAN y de puertos. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gi0/1 Gi0/2 10 Data active 99 Management&Native active Fa0/6 999 BlackHole active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Data active Fa0/11 99 Management&Native active Fa0/18 999 BlackHole active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup


Página 3 de 16

Práctica de laboratorio: implementación de seguridad de VLAN ¿A qué VLAN pertenecería un puerto sin asignar, como F0/8 en el S2? ____________________________________________________________________________________ Todos los puertos se asignan a la VLAN 1 de manera predeterminada.

Paso 6. configurar la seguridad básica del switch. a. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado. b. Encripte todas las contraseñas. c.

Desactive todos los puertos físicos sin utilizar.

d. Deshabilite el servicio web básico en ejecución. S1(config)# no ip http server S2(config)# no ip http server e. Copie la configuración en ejecución en la configuración de inicio.

Paso 7. verificar la conectividad entre la información de VLAN y los dispositivos. a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ Sí, los pings se realizaron correctamente. La PC-A está en la misma VLAN que la dirección de administración del switch. b. Desde el S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ No, los pings fallaron. Las direcciones de administración en el S1 y el S2 están en la misma VLAN, pero la interfaz F0/1 en ambos switches no se configuró como puerto de enlace troncal. El puerto F0/1 todavía pertenece a la VLAN 1 y no a la VLAN 99. c.

En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ Todos los pings de la PC-B al S1, el S2, la PC-A y la PC-C fallaron. La PC-B está en la VLAN 10, y el S1, el S2, la PC-A y la PC-C están en la VLAN 99. No hay ningún dispositivo de capa 3 para enrutar entre las redes.

d. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2. ¿Tuvo éxito? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ Parcialmente. La PC-C está en la misma VLAN que el S1 y el S2. La PC-C puede hacer ping a la dirección de administración del S2, pero todavía no puede hacer ping al S1 porque aún no se estableció un enlace troncal entre el S1 y el S2. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.


Página 4 de 16


Parte 2. implementar seguridad de VLAN en los switches Paso 1. configurar puertos de enlace troncal en el S1 y el S2. a. Configure el puerto F0/1 en el S1 como puerto de enlace troncal. S1(config)# interface f0/1 S1(config-if)# switchport mode trunk b. Configure el puerto F0/1 en el S2 como puerto de enlace troncal. S2(config)# interface f0/1 S2(config-if)# switchport mode trunk c.

Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface trunk en los dos switches. S1# show interface trunk Port Fa0/1

Mode on


Status trunking

Native vlan 1

Port Fa0/1


Port Fa0/1


Port Fa0/1


Paso 2. cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2. Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal de la VLAN 1 a otra VLAN. a. ¿Cuál es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2? ____________________________________________________________________________________ La VLAN 1 es la VLAN nativa para ambos switches. b. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99 Management&Native. S1# config t S1(config)# interface f0/1 S1(config-if)# switchport trunk native vlan 99 c.

Espere unos segundos. Debería comenzar a recibir mensajes de error en la sesión de consola del S1. ¿Qué significa el mensaje %CDP-4-NATIVE_VLAN_MISMATCH:? ______________________________________________________________________________ Este es un mensaje de Cisco Discovery Protocol (CDP) que indica que las VLAN nativas del S1 y el S2 no coinciden. El S2 todavía tiene configurada la VLAN 1 como VLAN nativa. El S1 tiene configurada la VLAN 99 como nativa.

d. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2.


Página 5 de 16

Práctica de laboratorio: implementación de seguridad de VLAN S2(config)# interface f0/1 S2(config-if)# switchport trunk native vlan 99 e. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuación, se muestra el resultado del S1. S1# show interface trunk Port Fa0/1

Mode on

Port Fa0/1


Port Fa0/1


Port

Fa0/1


Status trunking

Native vlan 99

Vlans in spanning tree forwarding state and not pruned

10,999

Paso 3. verificar que el tráfico se pueda transmitir correctamente a través del enlace troncal. a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ Sí, los pings se realizaron correctamente. La PC-A está en la misma VLAN que la dirección de administración del switch. b. En la sesión de consola del S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ Sí, los pings se realizaron correctamente. Los enlaces troncales se establecieron correctamente, y ambos switches están en la VLAN 99. c.

En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué? ____________________________________________________________________________________ Todos los pings de la PC-B al S1, el S2, la PC-A y la PC-C fallaron. La PC-B está en la VLAN 10, y el S1, el S2, la PC-A y la PC-C están en la VLAN 99. No hay ningún dispositivo de capa 3 para enrutar entre las redes.

d. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2, y a la dirección IP de la PC-A. ¿Tuvo éxito? ¿Por qué? ____________________________________________________________________________________ Todos los pings se realizaron correctamente. La PC-C está en la misma VLAN que el S1, el S2 y la PC-A.

Paso 4. impedir el uso de DTP en el S1 y el S2. Cisco utiliza un protocolo exclusivo conocido como “protocolo de enlace troncal dinámico” (DTP) en los switches. Algunos puertos negocian el enlace troncal de manera automática. Se recomienda desactivar la negociación. Puede ver este comportamiento predeterminado mediante la emisión del siguiente comando:


Página 6 de 16

Práctica de laboratorio: implementación de seguridad de VLAN S1# show interface f0/1 switchport

Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On

a. Desactive la negociación en el S1. S1(config)# interface f0/1 S1(config-if)# switchport nonegotiate b. Desactive la negociación en el S2. S2(config)# interface f0/1 S2(config-if)# switchport nonegotiate c.

Verifique que la negociación esté desactivada mediante la emisión del comando show interface f0/1 switchport en el S1 y el S2. S1# show interface f0/1 switchport

Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off

Paso 5. implementar medidas de seguridad en los puertos de acceso del S1 y el S2. Aunque desactivó los puertos sin utilizar en los switches, si se conecta un dispositivo a uno de esos puertos y la interfaz está habilitada, se podría producir un enlace troncal. Además, todos los puertos están en la VLAN 1 de manera predeterminada. Se recomienda colocar todos los puertos sin utilizar en una VLAN de “agujero negro”. En este paso, deshabilitará los enlaces troncales en todos los puertos sin utilizar. También asignará los puertos sin utilizar a la VLAN 999. A los fines de esta práctica de laboratorio, solo se configurarán los puertos 2 a 5 en ambos switches. a. Emita el comando show interface f0/2 switchport en el S1. Observe el modo administrativo y el estado para la negociación de enlaces troncales. S1# show interface f0/2 switchport

Name: Fa0/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: On

b. Deshabilite los enlaces troncales en los puertos de acceso del S1. S1(config)# interface range f0/2 – 5


Página 7 de 16

Práctica de laboratorio: implementación de seguridad de VLAN S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 999 c.

Deshabilite los enlaces troncales en los puertos de acceso del S2. S2(config)# interface range f0/2 – 5 S2(config-if-range)# switchport mode access S2(config-if-range)# switchport access vlan 999

d. Verifique que el puerto F0/2 esté establecido en modo de acceso en el S1. S1# show interface f0/2 switchport

Name: Fa0/2 Switchport: Enabled Administrative Mode: static access Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 999 (BlackHole) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none

e. Verifique que las asignaciones de puertos de VLAN en ambos switches sean las correctas. A continuación, se muestra el S1 como ejemplo. S1# show vlan brief VLAN Name Status Ports ---- ------------------------------ --------- -----------------------------1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Data active 99 Management&Native active Fa0/6 999 BlackHole active Fa0/2, Fa0/3, Fa0/4, Fa0/5 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup Restrict VLANs allowed on trunk ports.

De manera predeterminada, se permite transportar todas las VLAN en los puertos de enlace troncal. Por motivos de seguridad, se recomienda permitir que solo se transmitan las VLAN deseadas y específicas a través de los enlaces troncales en la red. f.

Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y 99. S1(config)# interface f0/1 S1(config-if)# switchport trunk allowed vlan 10,99

g. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y 99.


Página 8 de 16

Práctica de laboratorio: implementación de seguridad de VLAN S2(config)# interface f0/1 S2(config-if)# switchport trunk allowed vlan 10,99 h. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo EXEC privilegiado en el S1 y el S2 S1# show interface trunk Port Fa0/1

Mode on


Status trunking

Native vlan 99

Port Fa0/1

Vlans allowed on trunk 10,99

Port Fa0/1

Vlans allowed and active in management domain 10,99

Port Fa0/1

Vlans in spanning tree forwarding state and not pruned 10,99

¿Cuál es el resultado? ____________________________________________________________________________________ Solo se permiten las VLAN 10 y 99 en el enlace troncal entre el S1 y el S2.

Reflexión ¿Qué problemas de seguridad, si los hubiera, tiene la configuración predeterminada de un switch Cisco? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ El hecho de que todos los puertos se asignen a la VLAN 1 de manera predeterminada es un posible problema de seguridad. Otro problema es que muchos switches Cisco tienen establecida la negociación automática de enlaces troncales, de modo que, si se conecta un switch malicioso, los enlaces troncales se pueden activar sin que usted lo sepa. Otra respuesta posible es que las contraseñas de consola y de VTY se muestran como texto no cifrado de manera predeterminada. Además, el servidor HTTP está habilitado de manera predeterminada.

Configuraciones de dispositivos Switch S1 S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2


Página 9 de 16

Práctica de laboratorio: implementación de seguridad de VLAN 10 99 999 1002 1003 1004 1005

Data Management&Native BlackHole fddi-default token-ring-default fddinet-default trnet-default

active active Fa0/6 active Fa0/2, Fa0/3, Fa0/4, Fa0/5 act/unsup act/unsup act/unsup act/unsup

S1#sh run Building configuration... Current configuration : 3821 bytes ! ersion 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport trunk native vlan 99 switchport trunk allowed vlan 10,99 switchport mode trunk switchport nonegotiate ! interface FastEthernet0/2 switchport access vlan 999 switchport mode access shutdown ! interface FastEthernet0/3 switchport access vlan 999


Página 10 de 16

Práctica de laboratorio: implementación de seguridad de VLAN switchport mode access shutdown ! interface FastEthernet0/4 switchport access vlan 999 switchport mode access shutdown ! interface FastEthernet0/5 switchport access vlan 999 switchport mode access shutdown ! interface FastEthernet0/6 switchport access vlan 99 switchport mode access ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11 shutdown ! interface FastEthernet0/12 shutdown ! interface FastEthernet0/13 shutdown ! interface FastEthernet0/14 shutdown ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17 shutdown


Página 11 de 16

Práctica de laboratorio: implementación de seguridad de VLAN ! interface FastEthernet0/18 shutdown ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 shutdown ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 172.17.99.11 255.255.255.0 ! no ip http server ip http secure-server ! banner motd ^CWarning. Unauthorized access is prohibited.^C ! line con 0 password 7 070C285F4D06 logging synchronous login line vty 0 4 password 7 070C285F4D06 logging synchronous login line vty 5 15


Página 12 de 16

Práctica de laboratorio: implementación de seguridad de VLAN password 7 070C285F4D06 logging synchronous login ! end

Switch S2 S2#show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 Data active Fa0/11 99 Management&Native active Fa0/18 999 BlackHole active Fa0/2, Fa0/3, Fa0/4, Fa0/5 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S2#sh run Building configuration... Current configuration : 3852 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id


Página 13 de 16

Práctica de laboratorio: implementación de seguridad de VLAN ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport trunk native vlan 99 switchport trunk allowed vlan 10,99 switchport mode trunk switchport nonegotiate ! interface FastEthernet0/2 switchport access vlan 999 switchport mode access shutdown ! interface FastEthernet0/3 switchport access vlan 999 switchport mode access shutdown ! interface FastEthernet0/4 switchport access vlan 999 switchport mode access shutdown ! interface FastEthernet0/5 switchport access vlan 999 switchport mode access shutdown ! interface FastEthernet0/6 shutdown interface FastEthernet0/6 shutdown ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11 switchport access vlan 10


Página 14 de 16

Práctica de laboratorio: implementación de seguridad de VLAN switchport mode access ! interface FastEthernet0/12 shutdown ! interface FastEthernet0/13 shutdown ! interface FastEthernet0/14 shutdown ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17 shutdown ! interface FastEthernet0/18 switchport access vlan 99 switchport mode access ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 shutdown ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1


Página 15 de 16

Práctica de laboratorio: implementación de seguridad de VLAN no ip address ! interface Vlan99 ip address 172.17.99.12 255.255.255.0 ! no ip http server ip http secure-server ! banner motd ^CWarning. Unauthorized access is prohibited.^C ! line con 0 password 7 00071A150754 logging synchronous login line vty 0 4 password 7 00071A150754 logging synchronous login line vty 5 15 password 7 070C285F4D06 logging synchronous login ! end


Página 16 de 16

Planificación de VLAN (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Implemente redes VLAN para segmentar una red de pequeña a mediana. Esta actividad de clase se centra en las ideas de los estudiantes sobre la forma en que se diseñan las VLAN. Para completar esta actividad de clase, cree grupos de dos o tres estudiantes.

Situación Usted diseña una red VLAN conmutada para su pequeña o mediana empresa. La empresa posee espacios en dos pisos de un edificio de gran altura. La VLAN debe tener en cuenta los siguientes elementos y el acceso de estos para fines de planificación: •

Management

•

Finanzas

•

Ventas

•

Recursos humanos

•

Administrador de redes

•

Visitas generales a la sede comercial

Usted posee dos switches Cisco 3560-24PS. Utilice un programa de software de procesamiento de texto para diseñar el esquema de red VLAN conmutada. En la sección 1 del diseño, debe incluir los nombres comunes de los departamentos, los nombres y números sugeridos para las VLAN, y los puertos de switch que se asignarán a cada VLAN. En la sección 2 del diseño, debe especificar cómo se planificará la seguridad para esta red conmutada. Una vez que termine con la planificación de la VLAN, conteste las preguntas de reflexión de esta actividad. Guarde el trabajo. Debe poder explicar y analizar su diseño de VLAN con otro grupo o con la clase.

Recursos necesarios Programa de procesamiento de texto

Reflexión 1. ¿Qué criterios usó para asignar los puertos a las VLAN? _______________________________________________________________________________________ La cantidad de usuarios, los tipos de terminales y la cantidad de direcciones MAC que se deberían asignar a cada puerto de la VLAN, si las hubiera. 2. ¿Cómo podrían acceder estos usuarios a la red si los switches no estuvieran físicamente disponibles para los usuarios generales a través de una conexión directa? _______________________________________________________________________________________ Se podría incorporar un dispositivo de red adicional a la red o quizás un punto de acceso inalámbrico o un router ISR con acceso a los puertos de switch de VLAN generales. Si se trata de un edificio nuevo, se podrían establecer conexiones por cable que permitan el acceso directo e independiente a los puertos de red integrados a las paredes de las oficinas o a las mesas de conferencia.


Página 1 de 3

Planificación de VLAN 3. ¿Podría reducir el número de puertos de switch asignados para los usuarios generales si usara otro dispositivo para conectarlos al switch de red VLAN? ¿Qué se vería afectado? __________________________________________________________________ Si los usuarios compartieran un puerto, se compartiría el ancho de banda.

Representación gráfica de la actividad de creación de modelos (los diseños varían) Notas para el instructor: este es un ejemplo representativo que podría “crearse” como resultado de esta actividad: En este diseño se usan tablas; los estudiantes pueden elegir mostrar su diseño de red conmutada en formato gráfico con notas que indiquen las asignaciones de puertos, las asociaciones de departamentos y routing entre VLAN, y las consideraciones de seguridad. En este ejemplo, ambos switches utilizan la misma información de asignaciones de puertos de switch y de VLAN para facilitar las tareas de administración de red. Los switches se conectan a través de una línea troncal configurada mediante uno de los puertos Gigabit. Los puertos Gigabit restantes se reservan para la conectividad a los dispositivos intermediarios, los servidores o las líneas troncales adicionales. Sección 1: nombres y números de VLAN, asignaciones de puertos de switch de VLAN Departamento

Nombre y número de VLAN asignados

Números de puertos de switch

Administración de red

Nativa90

Gi0/1 y Gi0/2

Management

Management10

Fa0/1 a 0/2

Finanzas

Finanzas20

Fa0/3 a Fa0/6

Ventas

Ventas30

Fa0/7 a Fa0/10

Recursos humanos

RRHH40

Fa0/13 a Fa0/16

Generalidades

General50

Fa0/17 a Fa0/22

(sin asignar)

Dejar en la VLAN1

(Los puertos Fa0/23 y Fa0/24 se desactivarán y se reservarán para VLAN futuras)

Sección 2: diseño de seguridad •

Los puertos Fa0/1 y Fa/02 se configurarán con dos direcciones MAC específicas; si una dirección MAC no especificada de una terminal accede a estos dos puertos, estos se desactivarán.

•

Se asignarán direcciones MAC específicas a Fa0/3 a Fa0/16. Las direcciones asignadas se elegirán según las direcciones registradas de las terminales que se encuentran en cada departamento. Si se infringe la seguridad, los puertos se desactivarán.

•

Los puertos Fa0/17 a Fa0/22 serán puertos abiertos para el uso general dentro de la pequeña o mediana empresa.

•

El administrador de red desactivará los puertos Fa23 y Fa24, y los reservará para futuras asignaciones de VLAN.


Página 2 de 3

Planificación de VLAN


VLAN

•

Enlaces troncales de VLAN

•

Dominios de VLAN

•

Asignación de VLAN

•

Seguridad de VLAN


Página 3 de 3

¿Realmente necesitamos un mapa? (Versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Describa las funciones y las características principales de un router. Los routers envían y reciben información de redes que reconocen. La tabla de routing es una herramienta muy importante para suministrar información al administrador de red sobre la forma en que una red envía datos de origen a destino entre redes. Esta actividad de creación de modelos se centra en las ideas de los estudiantes sobre la forma en que se asigna y se registra el routing.

Situación Mediante el uso de Internet y Google Maps, cuyo sitio es http://maps.google.com, busque una ruta entre la ciudad capital de su país y otra ciudad alejada, o entre dos lugares dentro de su propia ciudad. Preste mucha atención a las indicaciones que sugiere Google Maps para ir en automóvil o a pie. Tenga en cuenta que, en muchos casos, Google Maps sugiere más de una ruta entre las dos ubicaciones que usted eligió. También le permite especificar restricciones adicionales para la ruta, como evitar autopistas o peajes. •

Para esta actividad, copie las indicaciones de al menos dos rutas distintas que le sugiera Google Maps. Copie las rutas en un documento de procesamiento de textos y guárdelo para utilizarlo en el siguiente paso.

•

Abra el .pdf que acompaña esta actividad de creación de modelos y complételo con un compañero de curso. Analice las preguntas de reflexión incluidas en el .pdf y registre las respuestas.

Esté preparado para presentar sus respuestas a la clase.

Recursos •

Conexión a Internet

•

Navegador web

•

Google Maps, http://maps.google.com/

Reflexión 1. ¿Cuál es el aspecto de las indicaciones para ir a pie o en automóvil según los criterios que especificó y el de las que no incluyen autopistas? ¿Qué información exacta contienen? ¿Cómo se relacionan con el routing de IP? _______________________________________________________________________________________ Para cada ruta sugerida se indica la longitud y la duración totales. Los dos conjuntos de direcciones constan de instrucciones detalladas, paso por paso, para llegar a destino. En cada cruce importante, se le aconseja sobre el siguiente sentido que debe tomar y la distancia hasta el próximo cruce. Estas instrucciones se asemejan mucho a la información de las tablas de routing de los routers basados en IP. Cada cruce se puede comparar a un router en el cual se realiza la selección de la ruta siguiente. La longitud y la duración totales de la ruta corresponden a la métrica de ruta, o a una medida de su utilidad, desde el origen hasta el destino. El consejo para decidir qué sentido tomar en un cruce en particular se asemeja a una entrada en la tabla de routing del router específico que contiene información sobre el router de siguiente salto más cercano en la ruta hacia el destino. La distancia hasta el cruce siguiente es similar al


Página 1 de 3

¿Realmente necesitamos un mapa? denominado “costo” de una interfaz que los protocolos de routing usan para calcular la métrica resultante de una ruta. 2. Si Google Maps ofreciera un conjunto de rutas diferentes, ¿cuál sería la diferencia entre esta ruta y la primera? ¿Por qué elegiría una ruta en lugar de la otra? _______________________________________________________________________________________ Varias rutas atraviesan diferentes caminos para llegar al mismo destino. Estos caminos pueden diferir en varias características, ya que algunos requieren más tiempo para ir de origen a destino y otros son físicamente más largos debido a la distancia; por lo tanto, al comparar esta actividad con la transferencia en redes, la distancia y el tiempo pueden hacer una diferencia en las rutas que se muestran. 3. ¿Qué criterios se pueden usar para evaluar la utilidad de una ruta? _______________________________________________________________________________________ Algunos de los criterios incluyen lo siguiente: •

la cantidad de rutas diferentes disponibles de origen a destino, como las conexiones directas, a través de otros routers;

•

el tiempo que demora enviar datos de origen a destino, que se puede calcular según el ancho de banda y el retraso;

•

la confiabilidad de la ruta de origen a destino, como las rutas estáticas en comparación con las rutas dinámicas;

•

si la ruta es la ruta preferida o una ruta secundaria, como las rutas estáticas, las rutas predeterminadas y otras rutas informadas;

•

qué velocidades se pueden usar para transferir los paquetes de origen a destino, como el tipo de medios utilizados para conectar redes.

4. ¿Es sensato esperar que una única ruta pueda ser “la mejor”, es decir, que pueda satisfacer todos los requisitos? Justifique su respuesta. _______________________________________________________________________________________ Si la ruta dada cumple con todos los criterios solicitados, esa única ruta puede ser la mejor. Compare esto con una ruta predeterminada o con la única ruta disponible de origen a destino. 5. Como administrador o desarrollador de red, ¿cómo podría usar un mapa de red, o una tabla de routing, en sus actividades diarias de red? _______________________________________________________________________________________ Los mapas de red o las tablas de routing se pueden usar para concebir y documentar las mejores rutas para la entrega de datos en redes. También se pueden usar para estructurar rutas directas de una red a otra.

Representación gráfica de la actividad de creación de modelos (los diseños varían) Nota para el instructor: a continuación, se incluyen resultados representativos del sitio Google Maps solo para uso del instructor.


Página 2 de 3

¿Realmente necesitamos un mapa?

Identifique los elementos del modelo que corresponden a contenido relacionado con TI: • • • • • • • •

Rutas Tabla de enrutamiento Ancho de banda Retardo Costo Distancia administrativa Ruta predeterminada Ruta estática


Página 3 de 3

Práctica de laboratorio: realización de un esquema de Internet (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Parte 1: determinar la conectividad de la red a un host de destino Parte 2: rastrear una ruta a un servidor remoto mediante Tracert

Información básica/situación El software de rastreo de rutas es una utilidad que enumera las redes que atraviesan los datos desde el terminal del usuario que los origina hasta un dispositivo de destino remoto. Esta herramienta de red generalmente se ejecuta en la línea de comandos como: tracert (Sistemas Microsoft Windows) o traceroute (UNIX, sistemas Linux y dispositivos de Cisco, como switches y routers) Tanto tracert como traceroute determinan la ruta que siguen los paquetes a través de una red IP. Generalmente, la herramienta tracert (o traceroute) se usa para resolver problemas de redes. Al mostrar una lista de los routers atravesados, el usuario puede identificar la ruta que se toma para llegar a un destino determinado en la red o a través de internetworks. Cada router representa un punto en el que una red se conecta a otra y a través del cual se reenvió el paquete de datos. La cantidad de routers se conoce como la cantidad de saltos de los datos de origen a destino. La lista que se muestra puede ayudar a identificar problemas de flujo de datos cuando se intenta acceder a un servicio como, por ejemplo, un sitio web. También puede ser útil para realizar tareas, como la descarga de datos. Si hay varios sitios web (espejos) disponibles para el mismo archivo de datos, se puede rastrear cada espejo para tener una idea clara de cuál sería el más rápido para usar. En general, las herramientas de rastreo de rutas basadas en líneas de comandos están incorporadas en el sistema operativo de la terminal. Esta actividad debe realizarse en una computadora que tenga acceso a Internet y acceso a una línea de comandos. Nota para el instructor: algunas instituciones deshabilitan las respuestas de eco ICMP en la red. Antes de que los estudiantes comiencen esta actividad, asegúrese de que no haya restricciones locales sobre datagramas ICMP. En esta actividad se da por sentado que los datagramas ICMP no están restringidos por ninguna política de seguridad local .

Recursos necesarios Computadora con acceso a Internet

Parte 1. determinar la conectividad de la red a un host de destino Para rastrear la ruta hacia la red remota, la computadora que se use debe tener una conexión a Internet que funcione. Utilice el comando ping para probar si un host tiene posibilidad de conexión. Se envían paquetes de información al host remoto con instrucciones para responder. La computadora local mide si cada paquete recibe una respuesta y el tiempo que demora la transferencia de los paquetes a través de la red.


Página 1 de 3

Práctica de laboratorio: realización de un esquema de Internet a. En la petición de entrada de línea de comandos, escriba ping www.cisco.com para determinar si existe posibilidad de conexión.

b. Ahora, haga ping a uno de los sitios web del registro regional de Internet (RIR), ubicados en distintas partes del mundo, para determinar si existe posibilidad de conexión: África: www.afrinic.net Australia: www.apnic.net América del Sur: www.lacnic.net América del Norte: www.arin.net Nota: en el momento en que se redactó este documento, el RIR europeo, www.ripe.net no responde solicitudes de eco ICMP. El sitio web que seleccionó se usará en la parte 2 para utilizar con el comando tracert.

Parte 2. rastrear una ruta a un servidor remoto mediante Tracert Después de determinar si los sitios web que eligió tienen posibilidad de conexión mediante ping, usará tracert para determinar la ruta para llegar al servidor remoto. Es útil prestar especial atención a cada segmento de red que se atraviesa. Cada salto en los resultados de tracert muestra las rutas que los paquetes tomaron para llegar al destino final. La computadora envía tres paquetes de solicitud de eco ICMP al host remoto. Cada router en la ruta disminuye el valor de tiempo de vida (TTL) en 1 antes de pasarlo al siguiente sistema. Cuando el valor de TTL reducido llega a 0, el router envía un mensaje de tiempo superado de ICMP al origen, junto con la dirección IP y la hora actual. Cuando se llega al destino final, se envía una respuesta de eco ICMP al host de origen. Por ejemplo, el host de origen envía tres paquetes de solicitud de eco ICMP al primer salto (192.168.1.1) con el valor de TTL “1”. Cuando el router 192.168.1.1 recibe los paquetes de solicitud de eco, disminuye el valor de TTL a 0. El router envía un mensaje de tiempo superado de ICMP al origen. Este proceso continúa hasta que el host de origen envía los últimos tres paquetes de solicitud de eco ICMP con valores de TTL “8” (salto número 8 en el resultado a continuación), que es el destino final. Una vez que los paquetes de solicitud de eco ICMP llegan el destino final, el router responde al origen con respuestas de eco ICMP. Para los saltos 2 y 3, estas direcciones IP son direcciones privadas. Estos routers son la configuración típica para el punto de presencia (POP) del ISP. Los dispositivos POP permiten que los usuarios se conecten a una red ISP. Visite http://whois.domaintools.com/ para encontrar una herramienta whois basada en la Web. Dicha herramienta se utiliza para determinar los dominios que se atravesaron desde el origen hasta el destino.


Página 2 de 3

Práctica de laboratorio: realización de un esquema de Internet a. En la petición de entrada de línea de comandos, rastree la ruta hacia www.cisco.com. Guarde el resultado de tracert en un archivo de texto. Como alternativa, puede redirigir el resultado a un archivo de texto utilizando > o >>. C:\Users\User1> tracert www.cisco.com o C:\Users\User1> tracert www.cisco.com > tracert-cisco.txt Tracing route to e144.dscb.akamaiedge.net [23.67.208.170] over a maximum of 30 hops: 1 1 ms 2 14 ms 3 10 ms 4 11 ms 5 10 ms 6 60 ms 7 43 ms 8 33 ms [23.67.208.170]

<1 7 8 11 9 49 39 35

ms ms ms ms ms ms ms ms

<1 7 7 11 11 * 38 33

ms ms ms ms ms ms ms

192.168.1.1 10.39.0.1 172.21.0.118 70.169.73.196 70.169.75.157 68.1.2.109 Equinix-DFW2.netarch.akamai.com [206.223.118.102] a23-67-208-170.deploy.akamaitechnologies.com

Trace complete.

b. La herramienta basada en la Web que se encuentra en http://whois.domaintools.com/ se puede utilizar para determinar los propietarios de la dirección IP y los nombres de dominio que se muestran en el resultado de las herramientas Tracert. Ahora haga un tracert a uno de los sitios web del RIR de la parte 1 y guarde los resultados. África: www.afrinic.net Australia: www.apnic.net Europa: www.ripe.net América del Sur: www.lacnic.net América del Norte: www.arin.net A continuación, enumere los dominios de los resultados de tracert con la herramienta basada en la Web “whois”. ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían. cox.net, level3.com, registro.br c. Compare las listas de dominios que se atravesaron para llegar a los destinos finales.

Reflexión ¿Qué puede afectar los resultados de tracert? _______________________________________________________________________________________ _______________________________________________________________________________________ La respuesta varía, pero podría incluir lo siguiente: interrupciones de la red, cargas altas de tráfico, firewall que bloquea los paquetes ICMP, la ACL en los dispositivos intermediarios que impide la transferencia de paquetes ICMP y rutas de reenvío asimétricas.


Página 3 de 3

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Tabla de direccionamiento Dispositivo R1

Interfaz

Máscara de subred

Dirección IP


G0/0

192.168.0.1

255.255.255.0

N/A

G0/1

192.168.1.1

255.255.255.0

N/A

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.0.3

255.255.255.0

192.168.0.1

Objetivos Parte 1: establecer la topología e inicializar los dispositivos •

Realizar el cableado de los equipos para que coincidan con la topología de la red.

•

Inicializar y reiniciar el router y el switch.

Parte 2: configurar los dispositivos y verificar la conectividad •

Asignar información de IPv4 estática a las interfaces de la computadora.

•

Configurar los parámetros básicos del router.

•

Verificar la conectividad de la red

•

Configurar el router para el acceso por SSH.

Parte 3: mostrar la información del router •

Recuperar información del hardware y del software del router.

•

Interpretar el resultado de la configuración de inicio.

•

Interpretar el resultado de la tabla de routing.

•

Verificar el estado de las interfaces.

Parte 4: configurar IPv6 y verificar la conectividad


Página 1 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS

Información básica/situación Esta es una práctica de laboratorio integral para revisar comandos de router de IOS que se abarcaron anteriormente. En las partes 1 y 2, realizará el cableado de los equipos y completará las configuraciones básicas y las configuraciones de las interfaces IPv4 en el router. En la parte 3, utilizará SSH para conectarse de manera remota al router y usará comandos de IOS para recuperar la información del dispositivo para responder preguntas sobre el router. En la parte 4, configurará IPv6 en el router de modo que la PC-B pueda adquirir una dirección IP y luego verificará la conectividad. Para fines de revisión, esta práctica de laboratorio proporciona los comandos necesarios para las configuraciones de router específicas. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960 con IOS de Cisco, versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Consulte el apéndice A para conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Nota: las interfaces Gigabit Ethernet en los ISR Cisco 1941 cuentan con detección automática, y se puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco, puede ser necesario usar un cable cruzado Ethernet.

Parte 1: establecer la topología e inicializar los dispositivos Paso 1. realizar el cableado de red tal como se muestra en la topología. a. Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según sea necesario. b. Encienda todos los dispositivos de la topología.

Paso 2. inicializar y volver a cargar el router y el switch. Nota: en el apéndice A, se detallan los pasos para inicializar y volver a cargar los dispositivos.

Parte 2: Configurar dispositivos y verificar la conectividad Paso 1. Configure las interfaces de la PC. a. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-A. b. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-B.


Página 2 de 17


Paso 2. Configurar el router. a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado. Router> enable Router# b. Ingrese al modo de configuración global. Router# config terminal Router(config)# c.

Asigne un nombre de dispositivo al router. Router(config)# hostname R1

d. Deshabilite la búsqueda DNS para evitar que el router intente traducir los comandos incorrectamente introducidos como si fueran nombres de host. R1(config)# no ip domain-lookup e. Establezca el requisito de que todas las contraseñas tengan como mínimo 10 caracteres. R1(config)# security passwords min-length 10 Además de configurar una longitud mínima, enumere otras formas de aportar seguridad a las contraseñas. ____________________________________________________________________________________ Use letras mayúsculas, números y caracteres especiales en las contraseñas. f.

Asigne cisco12345 como la contraseña cifrada del modo EXEC privilegiado. R1(config)# enable secret cisco12345

g. Asigne ciscoconpass como la contraseña de consola, establezca un tiempo de espera, habilite el inicio de sesión y agregue el comando logging synchronous. El comando logging synchronous sincroniza la depuración y el resultado del software IOS de Cisco, y evita que estos mensajes interrumpan la entrada del teclado. R1(config)# line R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)# R1(config)#

con 0 password ciscoconpass exec-timeout 5 0 login logging synchronous exit

Para el comando exec-timeout, ¿qué representan el 5 y el 0? ____________________________________________________________________________________ La sesión expirará en 5 minutos y 0 segundos. h. Asigne ciscovtypass como la contraseña de vty, establezca un tiempo de espera, habilite el inicio de sesión y agregue el comando logging synchronous. R1(config)# line R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)#

vty 0 4 password ciscovtypass exec-timeout 5 0 login logging synchronous


Página 3 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS R1(config-line)# exit R1(config)# i.

Cifre las contraseñas de texto no cifrado. R1(config)# service password-encryption

j.

Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está prohibido. R1(config)# banner motd #Unauthorized access prohibited!#

k.

Configure una dirección IP y una descripción de interfaz. Active las dos interfaces en el router. R1(config)# int g0/0 R1(config-if)# description Connection R1(config-if)# ip address 192.168.0.1 R1(config-if)# no shutdown R1(config-if)# int g0/1 R1(config-if)# description Connection R1(config-if)# ip address 192.168.1.1 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# exit R1#

l.

to PC-B 255.255.255.0 to S1 255.255.255.0

Configure el reloj en el router, por ejemplo: R1# clock set 17:00:00 18 Feb 2013

m. Guarde la configuración en ejecución en el archivo de configuración de inicio. R1# copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK]

R1#

¿Qué resultado obtendría al volver a cargar el router antes de completar el comando copy runningconfig startup-config? ____________________________________________________________________________________ Se borraría el contenido de la configuración en ejecución. En esta práctica de laboratorio, el router no tendría una configuración de inicio. Después de un reinicio, se le preguntaría al usuario si desea ingresar al diálogo de configuración inicial.

Paso 3. Verificar la conectividad de la red a. Haga ping a la PC-B en un símbolo del sistema en la PC-A. Nota: quizá sea necesario deshabilitar el firewall de las computadoras. ¿Tuvieron éxito los pings? ____ Sí Después de completar esta serie de comandos, ¿qué tipo de acceso remoto podría usarse para acceder al R1? ____________________________________________________________________________________ Telnet


Página 4 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS b. Acceda de forma remota al R1 desde la PC-A mediante el cliente de Telnet de Tera Term. Abra Tera Term e introduzca la dirección IP de la interfaz G0/1 del R1 en el campo Host: de la ventana Tera Term: New Connection (Tera Term: nueva conexión). Asegúrese de que el botón de opción Telnet esté seleccionado y después haga clic en OK (Aceptar) para conectarse al router.

¿Pudo conectarse remotamente? ____ Sí ¿Por qué el protocolo Telnet es considerado un riesgo de seguridad? ____________________________________________________________________________________ La sesión de Telnet se puede ver en texto no cifrado. No está cifrada. Las contraseñas pueden verse fácilmente mediante un programa detector de paquetes.

Paso 4. configurar el router para el acceso por SSH. a. Habilite las conexiones SSH y cree un usuario en la base de datos local del router. R1# configure terminal R1(config)# ip domain-name CCNA-lab.com R1(config)# username admin privilege 15 secret adminpass1 R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local R1(config-line)# exit R1(config)# crypto key generate rsa modulus 1024 R1(config)# exit b. Acceda remotamente al R1 desde la PC-A con el cliente SSH de Tera Term. Abra Tera Term e introduzca la dirección IP de la interfaz G0/1 del R1 en el campo Host: de la ventana Tera Term: New Connection (Tera Term: nueva conexión). Asegúrese de que el botón de opción SSH esté seleccionado y después haga clic en OK para conectarse al router.


Página 5 de 17


¿Pudo conectarse remotamente? ____ Sí

Parte 3: mostrar la información del router En la parte 3, utilizará comandos show en una sesión SSH para recuperar información del router.

Paso 1. establecer una sesión SSH para el R1. Mediante Tera Term en la PC-B, abra una sesión SSH para el R1 en la dirección IP 192.168.0.1 e inicie sesión como admin y use la contraseña adminpass1.

Paso 2. recuperar información importante del hardware y el software. a. Use el comando show version para responder preguntas sobre el router. R1# show version

Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.2(4)M3, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2012 by Cisco Systems, Inc. Compiled Thu 26-Jul-12 19:34 by prod_rel_team ROM: System Bootstrap, Version 15.0(1r)M15, RELEASE SOFTWARE (fc1) R1 uptime is 10 minutes System returned to ROM by power-on System image file is "flash0:c1900-universalk9-mz.SPA.152-4.M3.bin" Last reload type: Normal Reload Last reload reason: power-on This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption.


Página 6 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to [email protected]. Cisco CISCO1941/K9 (revision 1.0) with 446464K/77824K bytes of memory. Processor board ID FTX1636848Z 2 Gigabit Ethernet interfaces 2 Serial(sync/async) interfaces 1 terminal line DRAM configuration is 64 bits wide with parity disabled. 255K bytes of non-volatile configuration memory. 250880K bytes of ATA System CompactFlash 0 (Read/Write)

License Info: License UDI: ------------------------------------------------Device# PID SN ------------------------------------------------*0 CISCO1941/K9 FTX1636848Z

Technology Package License Information for Module:'c1900' ----------------------------------------------------------------Technology Technology-package Technology-package Current Type Next reboot -----------------------------------------------------------------ipbase ipbasek9 Permanent ipbasek9 security None None None data None None None Configuration register is 0x2142 (will be 0x2102 at next reload)

¿Cuál es el nombre de la imagen de IOS que el router está ejecutando? ____________________________________________________________________________________ La versión de la imagen puede variar, pero las respuestas deberían ser algo así como c1900universalk9-mz.SPA.152-4.M3.bin.


Página 7 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS ¿Cuánta memoria de acceso aleatorio no volátil (NVRAM) tiene el router? ____________________________________________________________________________________ Las respuestas pueden variar, pero el resultado del comando show version en el router 1941 es: 255K bytes of non-volatile configuration memory. ¿Cuánta memoria flash tiene el router? ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas pueden variar, pero el resultado predeterminado del comando show version en el router 1941 es: 250880K bytes of ATA System CompactFlash 0 (Read/Write). b. Con frecuencia, los comandos show proporcionan varias pantallas de resultados. Filtrar el resultado permite que un usuario visualice determinadas secciones del resultado. Para habilitar el comando de filtrado, introduzca una barra vertical (|) después de un comando show, seguido de un parámetro de filtrado y una expresión de filtrado. Para que el resultado coincida con la instrucción de filtrado, puede usar la palabra clave include para ver todas las líneas del resultado que contienen la expresión de filtrado. Filtre el comando show version mediante show version | include register para responder la siguiente pregunta. R1# show version | include register Configuration register is 0x2142

¿Cuál es el proceso de arranque para el router en la siguiente recarga? ____________________________________________________________________________________ Las respuestas pueden variar. En la mayoría de los casos (0x2102), el router experimenta un arranque normal, carga el IOS desde la memoria flash y carga la configuración de inicio desde la NVRAM, en caso de existir. Si el registro de configuración es 0x2142, el router omite la configuración de inicio y comienza en el símbolo del sistema del modo usuario. Si el arranque inicial falla, el router ingresa al modo ROMMON.

Paso 3. mostrar la configuración de inicio. Use el comando show startup-config en el router para responder las siguientes preguntas. R1# show start

Using 1674 out of 262136 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! security passwords min-length 10 enable secret 4 3mxoP2KRPf3sFHYl6Vm6.ssJJi9tOJqqb6DMG/YH5No ! no aaa new-model


Página 8 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS ! no ipv6 cef ip source-route ! no ip domain lookup ip domain name CCNA-lab.com ip cef multilink bundle-name authenticated ! ! ! license udi pid CISCO2911/K9 sn FTX1636848Z ! ! username admin privilege 15 secret 7 1304131f020214B383779 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description Connection to PC-B ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 description Connection to S1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 200 0000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! !


Página 9 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS banner motd ^CUnauthorized access prohibited!^C ! line con 0 exec-timeout 5 0 password 7 060506324F410A160B0713181F logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 exec-timeout 5 0 password 7 060506324F411F0D1C0713181F logging synchronous login local transport input ssh ! scheduler allocate 20000 1000 end

¿De qué forma figuran las contraseñas en el resultado? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Las contraseñas están cifradas debido al comando service password-encryption. Las contraseña line con de ciscoconpass está cifrada como 060506324F410A160B0713181F. La contraseña de line vty de ciscovtypass está cifrada como 060506324F411F0D1C0713181F. Use el comando show startup-config | begin vty. line vty 0 4 exec-timeout 5 0 password 7 060506324F411F0D1C0713181F login local transport input ssh ! scheduler allocate 20000 1000 end

¿Qué resultado se obtiene al usar este comando? ____________________________________________________________________________________ ____________________________________________________________________________________ Un usuario recibe el resultado de la configuración de inicio que empieza con la línea que incluye la primera instancia de la expresión de filtrado.


Página 10 de 17


Paso 4. mostrar la tabla de routing en el router. Use el comando show ip route en el router para responder las siguientes preguntas. R1# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set

C L C L

192.168.0.0/24 is 192.168.0.0/24 192.168.0.1/32 192.168.1.0/24 is 192.168.1.0/24 192.168.1.1/32

variably subnetted, 2 subnets, 2 masks is directly connected, GigabitEthernet0/0 is directly connected, GigabitEthernet0/0 variably subnetted, 2 subnets, 2 masks is directly connected, GigabitEthernet0/1 is directly connected, GigabitEthernet0/1

¿Qué código se utiliza en la tabla de routing para indicar una red conectada directamente? _______________________________________________________________________________________ _______________________________________________________________________________________ La C designa una subred conectada directamente. Una L designa una interfaz local. Ambas respuestas son correctas. ¿Cuántas entradas de ruta están cifradas con un código C en la tabla de routing? _____ 2

Paso 5. mostrar una lista de resumen de las interfaces del router. Use el comando show ip interface brief en el router para responder la siguiente pregunta. R1# show ip interface brief Interface Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1 R1#

IP-Address unassigned 192.168.0.1 192.168.1.1 unassigned unassigned

OK? YES YES YES YES YES

Method unset manual manual unset unset

Status Protocol administratively down down up up up up administratively down down administratively down down

¿Qué comando cambió el estado de los puertos Gigabit Ethernet de administrativamente inactivo a activo? ____________________________________________________________________________________ no shutdown:


Página 11 de 17


Parte 4: configurar IPv6 y verificar la conectividad Paso 1. asignar direcciones IPv6 a la G0/0 del R1 y habilitar el routing IPv6. Nota: la asignación de una dirección IPv6, además de una dirección IPv4, en una interfaz se conoce como “dual stacking”, debido a que las pilas de protocolos IPv4 e IPv6 están activas. Al habilitar el routing de unidifusión IPv6 en el R1, la PC-B recibe el prefijo de red IPv6 de G0/0 del R1 y puede configurar automáticamente la dirección IPv6 y el gateway predeterminado. a. Asigne una dirección de unidifusión global IPv6 a la interfaz G0/0; asigne la dirección link-local en la interfaz, además de la dirección de unidifusión; y habilite el routing IPv6. R1# configure terminal R1(config)# interface g0/0 R1(config-if)# ipv6 address 2001:db8:acad:a::1/64 R1(config-if)# ipv6 address fe80::1 link-local R1(config-if)# no shutdown R1(config-if)# exit R1(config)# ipv6 unicast-routing R1(config)# exit b. Use el comando show ipv6 int brief para verificar la configuración de IPv6 en el R1. R1#show ipv6 int brief Em0/0 unassigned GigabitEthernet0/0 FE80::1 2001:DB8:ACAD:A::1 GigabitEthernet0/1 unassigned Serial0/0/0 unassigned Serial0/0/1 Unassigned

[administratively down/down] [up/up]

[up/up] [administratively down/down] [administratively down/down]

Si no se asignó una dirección IPv6 a la G0/1, ¿por qué se indica como [up/up]? ____________________________________________________________________________________ ____________________________________________________________________________________ El estado [up/up] refleja el estado de la capa 1 y la capa 2 de la interfaz y no depende de la capa 3. c.

Emita el comando ipconfig en la PC-B para examinar la configuración de IPv6. ¿Cuál es la dirección IPv6 asignada a la PC-B? ____________________________________________________________________________________ Las respuestas varían. Dirección IPv6 de 2001:db8:acad:a:d428:7de2:997c:b05a ¿Cuál es el gateway predeterminado asignado a la PC-B? ____________ fe80::1 En la PC-B, haga ping a la dirección link-local del gateway predeterminado del R1. ¿Tuvo éxito? ____ Sí En la PC-B, haga ping a la dirección IPv6 de unidifusión del R1 2001:db8:acad:a::1. ¿Tuvo éxito? ___ Sí


Página 12 de 17


Reflexión 1. Durante la investigación de un problema de conectividad de red, un técnico sospecha que no se habilitó una interfaz. ¿Qué comando show podría usar el técnico para resolver este problema? _______________________________________________________________________________________ Las respuestas pueden variar. Sin embargo, los comandos show ip interface brief o show startup-config proporcionarían la información. 2. Durante la investigación de un problema de conectividad de red, un técnico sospecha que se asignó una máscara de subred incorrecta a una interfaz. ¿Qué comando show podría usar el técnico para resolver este problema? _______________________________________________________________________________________ show startup-config o show running-config 3. Después de configurar IPv6 en la LAN de la PC-B en la interfaz G0/0 del R1, si hiciera ping de la PC-A a la dirección IPv6 de la PC-B, ¿el ping sería correcto? ¿Por qué o por qué no? _______________________________________________________________________________________ El ping fallaría, porque la interfaz G0/1 del R1 no se configuró con IPv6 y la PC-A solo tiene una dirección IPv4.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Apéndice A: inicialización y recarga de un router y un switch Paso 1. inicializar y volver a cargar el router. a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado.


Página 13 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS Router> enable Router# b. Escriba el comando erase startup-config para eliminar el archivo de configuración de inicio de la NVRAM. Router# erase startup-config


c.

Emita el comando reload para eliminar una configuración antigua de la memoria. Cuando reciba el mensaje Proceed with reload (Continuar con la recarga), presione Enter para confirmar. (Si presiona cualquier otra tecla, se cancela la recarga). Router# reload Proceed with reload? [confirm]

*Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.

Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el router. Escriba no y presione Enter. System configuration has been modified. Save? [yes/no]: no

d. Una vez que se vuelve a cargar el router, se le solicita introducir el diálogo de configuración inicial. Escriba no y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no

e. Se le solicita finalizar la instalación automática. Escriba yes (sí) y, luego, presione Enter. Would you like to terminate autoinstall? [yes]: yes

Paso 2. inicializar y volver a cargar el switch. a. Acceda al switch mediante el puerto de consola e ingrese al modo EXEC privilegiado. Switch> enable Switch# b. Utilice el comando show flash para determinar si se crearon VLAN en el switch. Switch# show flash Directory of flash:/ 2 3 4 5 6


1919 1632 13336 11607161 616

Mar Mar Mar Mar Mar

1 1 1 1 1

1993 1993 1993 1993 1993

00:06:33 00:06:33 00:06:33 02:37:06 00:07:13

+00:00 +00:00 +00:00 +00:00 +00:00



c.

Si se encontró el archivo vlan.dat en la memoria flash, elimínelo. Switch# delete vlan.dat



Página 14 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS d. Se le solicitará que verifique el nombre de archivo. En este momento, puede cambiar el nombre de archivo o, simplemente, presionar Enter si introdujo el nombre de manera correcta. e. Se le solicitará que confirme que desea eliminar este archivo. Presione Enter para confirmar la eliminación. (Si se presiona cualquier otra tecla, se anula la eliminación). Delete flash:/vlan.dat? [confirm] Switch#

f.

Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la NVRAM. Se le solicitará que confirme la eliminación del archivo de configuración. Presione Enter para confirmar que desea borrar este archivo. (Al pulsar cualquier otra tecla, se cancela la operación). Switch# erase startup-config

Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Switch#

g. Vuelva a cargar el switch para eliminar toda información de configuración antigua de la memoria. Se le solicitará que confirme la recarga del switch. Presione Enter para seguir con la recarga. (Si presiona cualquier otra tecla, se cancela la recarga). Switch# reload


Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el switch. Escriba no y presione Enter. System configuration has been modified. Save? [yes/no]: no

h. Una vez que se vuelve a cargar el switch, se le solicita introducir el diálogo de configuración inicial. Escriba no y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no

Switch>

Configuraciones de dispositivos Router R1 R1#show run Building configuration... Current configuration : 1742 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! security passwords min-length 10 © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 15 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS enable secret 4 3mxoP2KRPf3sFHYl6Vm6.ssJJi9tOJqqb6DMG/YH5No ! no aaa new-model ! ! ! ! ! ! ! no ip domain lookup ip domain name CCNA-lab.com ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated ! ! ! license udi pid CISCO1941/K9 sn FTX1636848Z license accept end user agreement ! ! username admin privilege 15 password 7 1304131F0202142B383779 ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description Connection to PC-B ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::1/64 ! interface GigabitEthernet0/1 description Connection to S1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0


Página 16 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! banner motd ^CUnauthorized access prohibited!^C ! line con 0 exec-timeout 5 0 password 7 03075218050022434019181604 logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 exec-timeout 5 0 password 7 14141B180F0B3C3F3D38322631 logging synchronous login local transport input ssh ! scheduler allocate 20000 1000 ! end


Página 17 de 17

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IP

Máscara de subred


G0/0

192.168.0.1

255.255.255.0

N/A

G0/1

192.168.1.1

255.255.255.0

N/A

S1

VLAN 1

N/A

N/A

N/A

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.0.3

255.255.255.0

192.168.0.1

Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los dispositivos y verificar la conectividad Parte 3: configurar el router para permitir el acceso de CCP Parte 4: (optativo) instalar y configurar CCP en la PC-A Parte 5: configurar los parámetros del R1 con CCP Parte 6: usar las utilidades de CCP

Información básica/situación Cisco Configuration Professional (CCP) es una aplicación basada en computadora que proporciona administración de dispositivos basados en GUI para routers de servicios integrados (ISR). Simplifica la configuración del routing, el firewall, la VPN, la WAN, la LAN y otras configuraciones por medio de menús y de asistentes fáciles de utilizar. En esta práctica de laboratorio, configurará los parámetros del router con la configuración de la práctica de laboratorio anterior en este capítulo. Se debe establecer conectividad de capa 3 entre la PC que ejecuta CCP (PC-A) y el R1 antes de que CCP pueda establecer una conexión. Además, se debe configurar el acceso y la autenticación HTTP en el R1. Descargará e instalará CCP en la computadora y luego lo utilizará para supervisar el estado de la interfaz del R1, configurará una interfaz, establecerá la fecha y hora, agregará un usuario a la base de datos local y editará la configuración de vty. También usará algunas de las utilidades incluidas en CCP.


Página 1 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP Nota: las configuraciones de router llevadas a cabo con CCP generan los comandos de CLI del IOS. CCP puede ser muy útil para configurar características más complejas del router, ya que no requiere un conocimiento específico de la sintaxis de los comandos de IOS de Cisco. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos. Nota para el instructor: el instructor puede optar por tener la versión 2.6 de CCP instalada en las computadoras del laboratorio antes de la asignación de la práctica de laboratorio. Nota para el instructor: esta práctica de laboratorio se incluye en el currículo CCNAv5 para exponer a los estudiantes a la utilidad de administración de routers basada en GUI desarrollada por Cisco. Las configuraciones de router realizadas con CCP generan los comandos de CLI del IOS. Las prácticas de laboratorio restantes se centrarán principalmente en el uso de la CLI del IOS.



•


•


•


•


Nota: los requisitos del sistema de la computadora para la versión 2.6 de CCP son los siguientes: •

Procesador de 2 GHz o más rápido

•

1 GB de DRAM como mínimo; se recomienda contar con 2 GB

•

400 MB de espacio en disco duro disponible

•

Internet Explorer 6.0 o más reciente

•

Resolución de pantalla de 1024x768 o superior

•

Java Runtime Environment (JRE), versión 1.6.0_11 o más reciente

•

Adobe Flash Player, versión 10.0 o más reciente, con la depuración configurada en No

Nota: las interfaces Gigabit Ethernet en los ISR Cisco 1941 cuentan con detección automática, y se puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco, puede ser necesario usar un cable cruzado Ethernet.

Parte 1. establecer la topología e inicializar los dispositivos Paso 1. realizar el cableado de red tal como se muestra en la topología. a. Conecte los dispositivos que se muestran en el diagrama de la topología y realice el cableado, según sea necesario. b. Encienda todos los dispositivos de la topología.


Página 2 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP

Paso 2. inicializar y volver a cargar el router y el switch.

Parte 2. Configurar dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos, como las direcciones IP de interfaz (solo G0/1), el acceso seguro a dispositivos y las contraseñas. Consulte la topología y la tabla de direccionamiento para conocer los nombres de los dispositivos y obtener información de direcciones.

Paso 1. Configure las interfaces de la PC. a. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-A. b. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-B.

Paso 2. Configurar el router. Nota: todavía NO configure la interfaz G0/0. Configurará esta interfaz con CCP más adelante en esta práctica de laboratorio. a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado. b. Ingrese al modo de configuración global. c.

Desactive la búsqueda del DNS.

d. Asigne un nombre de dispositivo al router. e. Establezca el requisito de que todas las contraseñas tengan como mínimo 10 caracteres. f.

Asigne cisco12345 como la contraseña cifrada del modo EXEC privilegiado.

g. Asigne ciscoconpass como la contraseña de consola y habilite el inicio de sesión. h. Asigne ciscovtypass como la contraseña de vty y habilite el inicio de sesión. i.

Configure logging synchronous en las líneas de consola y vty.

j.


k.

Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está prohibido.

l.

Configure las direcciones IP y una descripción de la interfaz, y active la interfaz G0/1 en el router.

m. Guarde la configuración en ejecución en el archivo de configuración de inicio.

Paso 3. Verificar la conectividad de la red Verifique que pueda hacer ping a la G0/1 del R1 desde la PC-A.

Parte 3. configurar el router para permitir el acceso de CCP En la parte 3, configurará el router para permitir el acceso de CCP al habilitar los servicios de servidores HTTP y HTTPS. También habilitará la autenticación HTTP para usar la base de datos local.

Paso 1. habilitar los servicios de servidores HTTP y HTTPS en el router. R1(config)# ip http server R1(config)# ip http secure-server

Paso 2. habilitar la autenticación HTTP para usar la base de datos local en el router. R1(config)# ip http authentication local


Página 3 de 20


Paso 3. configurar el router para el acceso de CCP. Asigne un usuario en la base de datos local del router para acceder a CCP con el nombre de usuario admin y la contraseña adminpass1. R1(config)# username admin privilege 15 secret adminpass1

Parte 4. (optativo) instalar y configurar CCP en la PC-A Paso 1. instalar CCP. Nota: si CCP ya está instalado en la PC-A, puede omitir este paso. a. Descargue CCP 2.6 del sitio web de Cisco: http://software.cisco.com/download/release.html?mdfid=281795035&softwareid=282159854&release=2.6 &rellifecycle=&relind=AVAILABLE&reltype=all b. Seleccione el archivo cisco-config-pro-k9-pkg-2_6-en.zip. Nota: verifique si seleccionó el archivo correcto de CCP y no CCP Express. Si hay una versión más actualizada de CCP, puede optar por descargarlo; sin embargo, en esta práctica de laboratorio se usa CCP 2.6. c.

Acepte los términos y condiciones y descargue y guarde el archivo en la ubicación deseada.

d. Abra el archivo ZIP y ejecute el archivo ejecutable de CCP. e. Siga las instrucciones en pantalla para instalar CCP 2.6 en la computadora.

Paso 2. cambiar la configuración para ejecutar como administrador. Si no se ejecuta como administrador, es posible que no pueda iniciar CCP correctamente. Puede cambiar la configuración de inicio para que se ejecute automáticamente en modo administrador. a. Haga clic con el botón secundario en el ícono del escritorio de CCP (o haga clic en el botón Inicio) y luego haga clic con el botón secundario en Cisco Configuration Professional. En la lista desplegable, seleccione Propiedades. b. En el cuadro de diálogo Properties, seleccione la ficha Compatibilidad. En la sección Nivel de privilegio, haga clic en la casilla de verificación Ejecutar este programa como administrador y luego haga clic en Aceptar.


Página 4 de 20


Paso 3. crear o administrar comunidades. a. En la PC-A, inicie CCP. (Haga doble clic en el ícono del escritorio de CCP o haga clic en Inicio > Cisco Configuration Professional. b. Si recibe un mensaje de advertencia de seguridad que le solicita que permita que el programa CiscoCP.exe realice cambios en la computadora, haga clic en Sí.

c.

Cuando se inicia CCP, aparece el cuadro de diálogo Select/Manage Community (Seleccionar/administrar comunidad). Introduzca la dirección IP para la G0/1 del R1, y el nombre de usuario admin y la contraseña adminpass1 que agregó a la base de datos local durante la configuración del router en la parte 2. Haga clic en Aceptar.


Página 5 de 20


d. En la venta Community Information (Información de comunidad), haga clic en Discover (Detectar).

Si configuró el router correctamente, el Discovery Status (Estado de detección) cambia de Not discovered (No detectado) a Discovered (Detectado) y el R1 aparece en la columna Router Hostname (Nombre de host del router). Nota: si hay un problema de configuración, verá el estado Discovery failed (Error de detección). Haga clic en Discovery Details (Detalles de detección) para determinar el motivo de la falla en el proceso de detección y luego resuelva el problema.


Página 6 de 20


Parte 5. configurar los parámetros del R1 con CCP En la parte 5, utilizará CCP para mostrar información sobre el R1, configurará la interfaz G0/0, establecerá la fecha y hora, agregará un usuario a la base de datos local y cambiará la configuración de vty.

Paso 1. ver el estado de las interfaces en el R1. a. En la barra de herramientas de CCP, haga clic en Monitor.

b. En el panel de navegación izquierdo, haga clic en Router > Overview (Router > Descripción general) para visualizar la pantalla Monitor Overview (Descripción general del monitor) en el panel de contenido derecho.

c.

Utilice las flechas arriba y abajo en el lado derecho de la lista de interfaces para desplazarse por la lista de interfaces del router.


Página 7 de 20


Paso 2. usar el asistente de LAN Ethernet para configurar la interfaz G0/0. a. En la barra de herramientas de CCP, haga clic en Configure (Configurar).

b. En el panel de navegación izquierdo, haga clic en Interface Management (Administración de interfaz) > Interface and Connections (Interfaz y conexiones) para visualizar la pantalla Interfaces and Connections (Interfaces y conexiones) en el panel de contenido derecho.

c.

Haga clic en Create New Connection (Crear conexión nueva) para iniciar el asistente de LAN Ethernet.

d. Cuando se le solicite habilitar AAA en el router, haga clic en No. e. Haga clic en Next (Siguiente) para avanzar por el proceso de creación de interfaces Ethernet de capa 3. f.

Mantenga seleccionado el botón de opción Configure this interface for straight routing (Configurar esta interfaz para routing directo) y haga clic en Next.

g. Introduzca 192.168.0.1 en el campo de dirección IP y 255.255.255.0 en el campo de máscara de subred y luego haga clic en Next. h. Mantenga seleccionado el botón de opción No en la pantalla del servidor de DHCP y haga clic en Next. i.

Revise la pantalla de resumen y haga clic en Finish (Finalizar).

j.

Haga clic en la casilla de verificación Save running config to device’s startup config (Guardar configuración en ejecución en la configuración de inicio del dispositivo) y luego haga clic en Deliver (Entregar). Esta acción agrega los comandos que aparecen en la ventana de vista previa a la configuración en ejecución y luego guarda esta última en la configuración de inicio en el router.

k.

Aparece la ventana Commands Delivery Status (Estado de entrega de comandos). Haga clic en OK para cerrar la ventana. Volverá a la pantalla Interfaces and Connections. G0/0 ahora debería estar de color verde y debería aparecer como Up (Activa) en la columna Status (Estado).


Página 8 de 20


Paso 3. establecer fecha y hora en el router. a. En el panel de navegación izquierdo, seleccione Router > Time > Date and Time (Router > Hora > Fecha y hora) para que aparezca la pantalla Additional Tasks > Date/Time (Tareas adicionales > Fecha/hora) en el panel de contenido derecho. Haga clic en Change Settings... (Cambiar configuración).

b. En la ventana Date and Time Properties (Propiedades de fecha y hora), edite Date (Fecha), Time (Hora) y Time Zone (Zona horaria). Haga clic en Apply (Aplicar).


Página 9 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP c.

En la ventana de configuración del reloj de Router, haga clic en OK. En la ventana Date and Time Properties, haga clic en Close (Cerrar).

Paso 4. Agregue una cuenta de usuario nueva a la base de datos local. a. En el panel de navegación izquierdo, seleccione Router > Router Access > User Accounts/View (Router > Acceso al router > Cuentas de usuario/Ver) para visualizar la pantalla Additional Tasks > User Accounts/View en el panel de contenido derecho. Haga clic en el botón Add… (Agregar).

b. Introduzca ccpadmin en el campo Username: (Nombre de usuario:). Introduzca ciscoccppass en los campos New Password: (Contraseña nueva:) y Confirm New Password: (Confirmar contraseña nueva:). Seleccione 15 en la lista desplegable Privilege Level: (Nivel de privilegio). Haga clic en OK para agregar este usuario a la base de datos local.


Página 10 de 20


En la ventana Deliver Configuration to Device (Entregar configuración al dispositivo), haga clic en la casilla de verificación Save running config to device’s startup config y luego haga clic en Deliver.

d. Revise la información en la ventana Commands Delivery Status y haga clic en OK. La cuenta de usuario nueva debería aparecer en el panel de contenido derecho.

Paso 5. editar la configuración de las líneas vty. a. En el panel de navegación izquierdo, seleccione Router Access > VTY (Acceso al router > VTY) para visualizar la ventana Additional Tasks > VTYs (Tareas adicionales > VTY) en el panel de contenido derecho. Haga clic en Edit… (Editar).

b. En la ventana Edit VTY Lines (Editar líneas vty), modifique el campo Time out: (Tiempo de espera) y establézcalo en 15 minutos. Haga clic en la casilla de verificación Input Protocol > Telnet (Protocolo de entrada > Telnet). Revise las otras opciones disponibles. También seleccione la casilla de verificación SSH. A continuación, haga clic en Aceptar.


Página 11 de 20


En la pantalla Deliver Configuration to Device, revise los comandos que se entregarán a la configuración en ejecución y haga clic en Deliver. En la ventana Commands Delivery Status, haga clic en OK. El panel de contenido derecho debería reflejar los cambios efectuados en el valor de tiempo de espera de ejecución.

Parte 6.

usar utilidades de CCP

En la parte 6, utilizará el panel Utilities (Utilidades) para guardar la configuración en ejecución del router en la configuración de inicio. Usará la utilidad Ping para probar la conectividad de red y la utilidad View (Ver) para visualizar la configuración en ejecución del router. Por último, cerrará CCP.

Paso 1. guardar la configuración en ejecución del router en la configuración de inicio. a. En la parte inferior del panel de navegación izquierdo, busque el panel Utilities (Utilidades). Haga clic en Write to Startup Configuration (Escribir en la configuración de inicio).

b. El panel de contenido muestra una pantalla de confirmación. Haga clic en Confirmar. Aparece una ventana que le informa que la configuración se guardó correctamente. Haga clic en Aceptar.

Paso 2. usar la utilidad Ping para probar la conectividad a la PC-B. a. En el panel Utilities (Utilidades), haga clic en Ping and Traceroute (Ping y traceroute) para mostrar la pantalla Ping and Traceroute en el panel de contenido. Introduzca 192.168.0.3 en el campo Destination*: (Destino*:) y luego haga clic en Ping. Use la barra de desplazamiento ubicada a la derecha del cuadro de resultados para ver los resultados del ping.


Página 12 de 20


Paso 3. Use la utilidad View para visualizar la configuración en ejecución del router. a. En el panel Utilities, haga clic en View > IOS Show Commands (Ver > Comandos show de IOS) para visualizar la pantalla IOS Show Commands en el panel de contenido.

b. Seleccione show run en la lista desplegable y haga clic en Show (Mostrar). La configuración en ejecución del router se muestra en el panel de contenido.


Página 13 de 20


Paso 4. cerrar CCP. Cierre la ventana de CCP. Cuando aparezca una ventana de confirmación de Windows Internet Explorer, haga clic en Salir de esta página.

Reflexión 1. ¿Qué protocolo de transporte usa CCP para acceder al router, y qué comandos se usan para permitir el acceso? _______________________________________________________________________________________ _______________________________________________________________________________________ CCP utiliza el protocolo HTTP o HTTPS para acceder al router. Para permitir el acceso de CCP, se usan los comandos ip http server o ip http secure-server.


Página 14 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP 2. ¿Qué comando del router le indica a CCP que use la base de datos local para la autenticación? _______________________________________________________________________________________ ip http authentication local 3. ¿Qué otros comandos show se encuentran disponibles en el panel Utilities de CCP? _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar, pero incluyen: show run, show flash, show startup-config, show access-lists, show diag, show interfaces, show version, show tech-support, show environment. 4. ¿Por qué usaría CCP en vez de la CLI del IOS? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Si tiene que configurar características complejas como una VPN o un firewall, CCP puede facilitar el proceso con menús y asistentes, y no requiere que tenga un conocimiento profundo de los comandos IOS. Además, al introducir comandos de IOS, se pueden cometer errores de pulsación de tecla. CCP genera los comandos de IOS equivalentes.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)



Página 15 de 20


Configuraciones de dispositivos Router R1 (después de las partes 1 y 2 de esta práctica de laboratorio) R1#sh run Building configuration... Current configuration : 1794 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! security passwords min-length 10 enable secret 5 $1$z2a8$xBZifGGO9oPkH2emGuNFd0 ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! no ip domain lookup ip domain name CCNA-lab.com multilink bundle-name authenticated ! crypto pki token default removal timeout 0 ! username admin privilege 15 secret 5 $1$MYCd$USPXpT5/TkHN6TZjZND4O/ ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 duplex auto speed auto ! interface GigabitEthernet0/1 description Connection to S1 F0/5 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto


Página 16 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP ! Interface Serial0/0/0 no ip address shutdown clock rate 200 0000 ! Interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! banner motd ^C Unauthorized access prohibited! ^C ! line con 0 exec-timeout 5 0 password 7 060506324F410A160B0713181F login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 exec-timeout 5 0 password 7 104D000A0618041F15142B3837 login local transport input ssh ! scheduler allocate 20000 1000 end

Router R1 (final) R1#sh run Building configuration... Current configuration : 3576 bytes


Página 17 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! security passwords min-length 10 enable secret 5 $1$z2a8$xBZifGGO9oPkH2emGuNFd0 ! no aaa new-model memory-size iomem 10 clock timezone Arizona -7 0 ! no ip domain lookup ip domain name CCNA-lab.com ip cef no ipv6 cef multilink bundle-name authenticated ! crypto pki trustpoint TP-self-signed-2463995903 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2463995903 revocation-check none rsakeypair TP-self-signed-2463995903 ! crypto pki certificate chain TP-self-signed-2463995903 certificate self-signed 01 3082022B 30820194 A0030201 02020101 300D0609 2A864886 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 69666963 6174652D 32343633 39393539 3033301E 170D3133 35335A17 0D323030 31303130 30303030 305A3031 312F302D 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 39353930 3330819F 300D0609 2A864886 F70D0101 01050003 8100EACF 6CE8CF7D 97DAAF17 BA2F5368 A5529133 5184C2A5 5828FCBA 975BDAFC 02FB1AD7 28C8F900 12AC227E A0C5FCD0 4A79BB3B A0D6AEF4 760ED122 EEB9BFAA C68E76DE 180C64AD 8264BC03 4EDA5D1F B829762C B050E993 89B52977 008F8E87 5BD70203 010001A3 53305130 0F060355 1D130101 FF040530 551D2304 18301680 14ADC716 DB4F937D 4F4AF51B 8F0A6A03 03551D0E 04160414 ADC716DB 4F937D4F 4AF51B8F 0A6A0383 2A864886 F70D0101 05050003 81810084 5AF24507 9D50DC5E C5A93AD6 831A47E1 81CCD68E E24DCCF5 00B55F9A E65A630B A498CA1F F6DC675A CE12344F 6DC8457C D0C4C13A BFE8D951 058CC8F1 D2CFDD9F 4848FD53 BA010956 10DADCC6 7A31FB89

F70D0101 6E65642D 30323139 06035504 74652D32 818D0030 2F3208C0 0659E501 5B82F9DB 14ABB782 030101FF 83665A9A 665A9A7C 57BC957D FCBCFF0C ABB2C969 DBEB1EDF

05050030 43657274 31363538 03132649 34363339 81890281 6A94B90B 0B9B350F 6A4CCEFE 38826D13 301F0603 7C301D06 300D0609 500A590C E25AF701 71F3100D 624AAF99


Página 18 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP 526BB3F5 60801F04 DD52971E 9AD735 quit

! username admin privilege 15 secret 5 $1$MYCd$USPXpT5/TkHN6TZjZND4O/ username cccpadmin privilege 15 secret 5 $1$5oPi$xdns6VVp516JIqjQ4k/lH/ ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description $ETH-LAN$ ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 description Connection to S1 F0/5 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! ip http server ip http authentication local ip http secure-server ! control-plane ! banner motd ^C Unauthorized access prohibited! ^C ! line con 0 exec-timeout 5 0 password 7 060506324F410A160B0713181F login


Página 19 de 20

Práctica de laboratorio: configuración de los parámetros básicos del router con CCP line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 exec-timeout 15 0 password 7 104D000A0618041F15142B3837 login local transport input telnet ssh ! scheduler allocate 20000 1000 ! end


Página 20 de 20

¡Nos vendría muy bien un mapa! (Versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Describir los tres tipos de rutas que se llenan en una tabla de routing (incluir: conectada directamente, estática y dinámica). Esta actividad de creación de modelos ayudará a los estudiantes a sentirse más cómodos al leer una tabla de routing. Los estudiantes recibirán dos tablas de routing. Leerán las tablas, identificarán información de routing y reflexionarán sobre la forma en que la información se registró en ellas.

Situación Utilice las tablas de routing Ashland y Richmond que se muestran a continuación. Con la ayuda de un compañero de clase, diseñe una topología de la red a partir de la información de las tablas. Como ayuda para esta actividad, siga estas pautas: •

Comience con el router Ashland: utilice su tabla de routing para identificar los puertos y las direcciones o redes IP.

•

Agregue el router Richmond: utilice su tabla de routing para identificar los puertos y las direcciones o redes IP.

•

Agregue cualquier otro dispositivo intermediario y cualquier otra terminal según lo especificado en las tablas.

Además, registre las respuestas de su grupo a las preguntas de reflexión proporcionadas con esta actividad. Esté preparado para compartir su trabajo con otro grupo o con la clase.


Página 1 de 4

¡Nos vendría muy bien un mapa!

Recursos Ashland> show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/1 L 192.168.1.1/32 is directly connected, GigabitEthernet0/1 192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.2.0/24 is directly connected, Serial0/0/0 L 192.168.2.1/32 is directly connected, Serial0/0/0 D 192.168.3.0/24 [90/2170368] via 192.168.4.2, 01:53:50, GigabitEthernet0/0 192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.4.0/24 is directly connected, GigabitEthernet0/0 L 192.168.4.1/32 is directly connected, GigabitEthernet0/0 D 192.168.5.0/24 [90/3072] via 192.168.4.2, 01:59:14, GigabitEthernet0/0 S 192.168.6.0/24 [1/0] via 192.168.2.2 Ashland>


Página 2 de 4

¡Nos vendría muy bien un mapa! Richmond> show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set S 192.168.1.0/24 [1/0] via 192.168.3.1 D 192.168.2.0/24 [90/2170368] via 192.168.5.2, 01:55:09, GigabitEthernet0/1 192.168.3.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.3.0/24 is directly connected, Serial0/0/0 L 192.168.3.2/32 is directly connected, Serial0/0/0 D 192.168.4.0/24 [90/3072] via 192.168.5.2, 01:55:09, GigabitEthernet0/1 192.168.5.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.5.0/24 is directly connected, GigabitEthernet0/1 L 192.168.5.1/32 is directly connected, GigabitEthernet0/1 192.168.6.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.6.0/24 is directly connected, GigabitEthernet0/0 L 192.168.6.1/32 is directly connected, GigabitEthernet0/0 Richmond>

Reflexión 1. ¿Cuántas rutas conectadas directamente se enumeran en el router Ashland? ¿Qué letra representa una conexión directa a una red en una tabla de routing? _______________________________________________________________________________________ Hay tres conexiones directas en el router Ashland, representadas por la letra C. 2. Busque la ruta a la red 192.168.6.0/24. ¿Qué tipo de ruta es esta? ¿La detectó dinámicamente el router Ashland o la configuró de forma manual un administrador de red en el router Ashland? _______________________________________________________________________________________ La ruta de Ashland a la red 192.168.6.0/24 es una ruta estática y se configuró manualmente. 3. Si deseara configurar una ruta predeterminada (ruta estática) a cualquier red desde el router Ashland y quisiera enviar todos los datos a 192.168.2.2 (el siguiente salto) para fines de routing, ¿cómo la escribiría? _______________________________________________________________________________________ Ashland(config)# ip route 0.0.0.0 0.0.0.0 192.168.2.2 4. Si deseara configurar una ruta predeterminada (ruta estática) a cualquier red desde el router Ashland y quisiera enviar todos los datos a través de la interfaz de salida, ¿cómo la escribiría? Ashland(config)# ip route 0.0.0.0 0.0.0.0 S0/0/0 5. ¿En qué ocasiones elegiría usar routing estático, en vez de permitir que el routing dinámico se encargue de las rutas de routing? _______________________________________________________________________________________ Si un router tiene un puerto muy confiable para usar, quizá desee enrutar todo el tráfico a través de ese puerto, o hasta él, ya que esto disminuye la carga de procesamiento en el router. Además, a veces, los administradores de red enrutan el tráfico hacia determinadas redes a través de ciertos puertos para proteger las redes.


Página 3 de 4

¡Nos vendría muy bien un mapa! 6. ¿Qué significa la L en el lado izquierdo de la tabla de routing? _____________________________________________________________________________________ Indica la dirección “link local” del puerto en el router que configura el administrador de red.

Representación gráfica de la actividad de creación de modelos (recurso solo para el instructor) Nota para el instructor: este es un modelo de ejemplo que podría “crearse” como resultado de esta actividad:

Identifique los elementos del modelo que corresponden a contenido relacionado con TI: • • • • • • • • •

Rutas Tabla de enrutamiento Interfaz de salida Interfaz de siguiente salto Ruta estática Routing predeterminado Enrutamiento estático Enrutamiento dinámico Link Local


Página 4 de 4

Switching a canales de la red local (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Configurar el routing entre VLAN en una red de una pequeña a mediana empresa. Esta actividad introduce el concepto del uso de switches y routers para permitir que las redes virtuales se comuniquen entre sí.

Situación Usted trabaja en una empresa pequeña o mediana. Como administrador de red, es responsable de garantizar que la red funcione de manera eficaz y segura. Hace varios años, creó redes VLAN en el único switch para dos de sus departamentos, Contabilidad y Ventas. Con el crecimiento de la empresa, se comprobó que, en ocasiones, estos dos departamentos deben compartir recursos de red y archivos corporativos. Usted analiza esta situación con los administradores de red de algunas sucursales de la empresa, quienes le sugieren que considere el uso de routing entre VLAN. Investigue el concepto de routing entre VLAN. Diseñe una presentación simple para mostrar al gerente la forma en que utilizaría el routing entre VLAN para lograr que los departamentos de Contabilidad y Ventas permanezcan separados y, a la vez, compartan recursos de red y archivos corporativos.

Recursos •


•

Programa de software de presentación

Instrucciones Para completar esta actividad, trabaje con un compañero.

Paso 1. Use la conexión a Internet para investigar la forma en que funciona el routing entre VLAN. a. Utilice un motor de búsqueda para buscar algunos elementos básicos, o videos cortos, que analicen el concepto de routing entre VLAN. b. Lea los artículos, o vea los videos, y tome notas sobre la forma en que funcionan las VLAN. c.

Registre las fuentes de la información para que pueda incluirlas en el paso 2 de esta actividad.

Paso 2. crear una presentación para el gerente. a. Diseñe una presentación breve de no más de cinco diapositivas para explicar al gerente la forma en que usted configuraría una red basada en routing entre VLAN para su pequeña o mediana empresa. b. Incluya diapositivas que se centren en lo siguiente: 1) Una sinopsis de las razones por las que cambiaría la red actual por una red conmutada entre VLAN. Reafirme lo que intenta lograr en la propuesta de diseño. 2) Una definición básica y fácil de comprender, y los beneficios del uso de routing entre VLAN.


Página 1 de 2

Switching a canales de la red local 3) Un gráfico que represente la forma en que modificaría la red actual para usar routing entre VLAN. a) La red actual utiliza un switch Cisco 2960 y un router Cisco de la serie 1941. b) No hay fondos para equipos nuevos. 4) La forma en que el routing entre VLAN seguirá ayudando con el tráfico de la red y, al mismo tiempo, permitirá que los departamentos se comuniquen entre sí. 5) La forma en que el routing entre VLAN se expandiría en el futuro. c.

Cite las fuentes sobre las cuales basa la presentación.

Paso 3. Presente la propuesta ante toda la clase.

Información de recursos para el instructor Dos fuentes posibles de sitios de información en Internet para respaldar esta actividad son las siguientes: •

VLAN Guide for Networking Professionals - http://www.computerweekly.com/tutorial/VLAN-guide-fornetworking-professionals

•

InterVLAN Routing Tutorial – Premium Tutorial http://www.9tut.com/intervlan-routing-tutorial

•

Chapter 5. Inter-VLAN Routing http://www.informit.com/library/content.aspx?b=CCNP_Studies_Switching&seqNum=44

•

Basic Configuration of VLANS, Switchports and InterVLAN Routing http://www.youtube.com/watch?v=ojh8_BDcXyI


Definición de routing entre VLAN

•

Diseño de routing entre VLAN

•

Dominios de difusión entre VLAN


Página 2 de 2

Práctica de laboratorio: configuración de routing entre VLAN por interfaz (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Máscara de subred

Dirección IP


G0/0

192.168.20.1

255.255.255.0

N/A

G0/1

192.168.10.1

255.255.255.0

N/A

S1

VLAN 10

192.168.10.11

255.255.255.0

192.168.10.1

S2

VLAN 10

192.168.10.12

255.255.255.0

192.168.10.1

PC-A

NIC

192.168.10.3

255.255.255.0

192.168.10.1

PC-B

NIC

192.168.20.3

255.255.255.0

192.168.20.1

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar switches con VLAN y enlaces troncales Parte 3: verificar enlaces troncales, VLAN, routing y conectividad


Página 1 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz

Información básica/situación El routing entre VLAN antiguo se usa con poca frecuencia en las redes actuales. Sin embargo, es útil configurar y entender este tipo de routing antes de pasar al routing entre VLAN con router-on-a-stick (basado en enlaces troncales) o de configurar switching de capa 3. Además, es posible que encuentre routing entre VLAN por interfaz en organizaciones con redes muy pequeñas. Uno de los beneficios del routing entre VLAN antiguo es que es fácil de configurar. En esta práctica de laboratorio, configurará un router con dos switches conectados mediante las interfaces Gigabit Ethernet del router. Configurará dos VLAN por separado en los switches y establecerá el routing entre las VLAN. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el router y los switches. Los comandos requeridos para la configuración de VLAN en los switches se proporcionan en el apéndice A de esta práctica de laboratorio. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará la topología de la red y borrará cualquier configuración, si es necesario.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers y switches. Paso 3. configurar los parámetros básicos para R1. a. Desactive la búsqueda del DNS. b. Asigne el nombre del dispositivo. c.

Asigne class como la contraseña cifrada del modo EXEC privilegiado.

d. Asigne cisco como la contraseña de consola y de línea de vty, y habilite el inicio de sesión.


Página 2 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz e. Configure el direccionamiento en G0/0 y G0/1 y habilite ambas interfaces.

Paso 4. configurar los parámetros básicos en el S1 y el S2. a. Desactive la búsqueda del DNS. b. Asigne el nombre del dispositivo. c.


d. Asigne cisco como la contraseña de consola y de línea de vty, y habilite el inicio de sesión.

Paso 5. configurar los parámetros básicos en la PC-A y la PC-B. Configure la PC-A y la PC-B con direcciones IP y una dirección de gateway predeterminado, según la tabla de direccionamiento.

Parte 2. configurar los switches con las VLAN y los enlaces troncales En la parte 2, configurará los switches con las VLAN y los enlaces troncales.

Paso 1. Configurar las VLAN en S1. a. En el S1, cree la VLAN 10. Asigne Student como nombre de la VLAN. b. Cree la VLAN 20. Asigne Faculty-Admin como nombre de la VLAN. c.

Configure F0/1 como puerto de enlace troncal.

d. Asigne los puertos F0/5 y F0/6 a la VLAN 10 y configúrelos como puertos de acceso. e. Asigne una dirección IP a la VLAN 10 y habilítela. Consulte la tabla de direccionamiento. f.

Configure el gateway predeterminado, según la tabla de direccionamiento.

Paso 2. configurar las VLAN en el S2. a. En el S2, cree la VLAN 10. Asigne Student como nombre de la VLAN. b. Cree la VLAN 20. Asigne Faculty-Admin como nombre de la VLAN. c.

Configure F0/1 como puerto de enlace troncal.

d. Asigne los puertos F0/11 y F0/18 a la VLAN 20 y configúrelos como puertos de acceso. e. Asigne una dirección IP a la VLAN 10 y habilítela. Consulte la tabla de direccionamiento. f.

Configure el gateway predeterminado, según la tabla de direccionamiento.

Parte 3. verificar enlaces troncales, VLAN, routing y conectividad Paso 1. verificar la tabla de routing del R1. a. En el R1, emita el comando show ip route. ¿Qué rutas se indican en el R1? ____________________________________________________________________________________ ____________________________________________________________________________________ En el R1, se indican las redes 192.168.10.0/24 y 192.168.20.0/24. R1# show ip route

*Mar 25 15:05:00.003: %SYS-5-CONFIG_I: Configured from console by console Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP


Página 3 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set 192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.10.0/24 is directly connected, GigabitEthernet0/1 L 192.168.10.1/32 is directly connected, GigabitEthernet0/1 192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.20.0/24 is directly connected, GigabitEthernet0/0 L 192.168.20.1/32 is directly connected, GigabitEthernet0/0

b. Emita el comando show interface trunk en el S1 y el S2. ¿El puerto F0/1 está configurado como puerto de enlace troncal en ambos switches? ______ Sí S1# show interface trunk

c.

Port Fa0/1

Mode on


Status trunking

Native vlan 1

Port Fa0/1


Port Fa0/1


Port Fa0/1


Emita un comando show vlan brief en el S1 y el S2. Verifique que las VLAN 10 y 20 estén activas y que los puertos adecuados en los switches estén en las VLAN correctas. ¿Por qué F0/1 no se indica en ninguna de las VLAN activas? ____________________________________________________________________________________ Es un puerto de enlace troncal y no está asignado a una VLAN. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 Student active Fa0/5, Fa0/6 20 Faculty-Admin active 1002 fddi-default act/unsup


Página 4 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz 1003 token-ring-default 1004 fddinet-default 1005 trnet-default


S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 Student active 20 Faculty-Admin active Fa0/11, Fa0/18 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

d. Haga ping de la PC-A en la VLAN 10 a las PC-B en la VLAN 20. Si el routing entre VLAN funciona como corresponde, los pings entre las redes 192.168.10.0 y 192.168.20.0 deben realizarse correctamente. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas. e. Verifique la conectividad entre los dispositivos. Debería poder hacer ping a todos los dispositivos. Resuelva los problemas si los pings no son correctos.

Reflexión ¿Cuál es la ventaja de usar routing entre VLAN antiguo? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar. La configuración del router y los switches es relativamente fácil y directa. No se requieren subinterfaces en el router y NO es necesario configurar enlaces troncales entre el router y el switch.


Página 5 de 14





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Apéndice A: comandos de configuración Switch S1 S1(config)# vlan 10 S1(config-vlan)# name Student S1(config-vlan)# exit S1(config)# vlan 20 S1(config-vlan)# name Faculty-Admin S1(config-vlan)# exit S1(config)# interface f0/1 S1(config-if)# switchport mode trunk S1(config-if)# interface range f0/5 – 6 S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 10 S1(config-if-range)# interface vlan 10 S1(config-if)# ip address 192.168.10.11 255.255.255.0 S1(config-if)# no shut S1(config-if)# exit S1(config)# ip default-gateway 192.168.10.1


Página 6 de 14


Switch S2 S2(config)# vlan 10 S2(config-vlan)# name Student S2(config-vlan)# exit S2(config)# vlan 20 S2(config-vlan)# name Faculty-Admin S2(config-vlan)# exit S2(config)# interface f0/1 S2(config-if)# switchport mode trunk S2(config-if)# interface f0/11 S2(config-if)# switchport mode access S2(config-if)# switchport access vlan 20 S2(config-if)# interface f0/18 S2(config-if)# switchport mode access S2(config-if)# switchport access vlan 20 S2(config-if-range)# interface vlan 10 S2(config-if)#ip address 192.168.10.12 255.255.255.0 S2(config-if)# no shut S2(config-if)# exit S2(config)# ip default-gateway 192.168.10.1

Configuraciones de dispositivos Nota para el instructor: las VLAN configuradas no se muestran en la configuración en ejecución del switch, pero se almacenan en el archivo vlan.dat.

Router R1 R1#show run Building configuration... Current configuration : 1640 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! ! © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 7 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! redundancy ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.20.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.10.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! !


Página 8 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz ! control-plane ! ! ! line con 0 password cisco login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Switch S1 S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 Student active Fa0/5, Fa0/6 20 Faculty-Admin active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1#show run Building configuration... Current configuration : 1644 bytes ! version 15.0


Página 9 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S1 ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access ! interface FastEthernet0/6 switchport access vlan 10 switchport mode access ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 !


Página 10 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! interface Vlan10 ip address 192.168.10.11 255.255.255.0 ! ip default-gateway 192.168.10.1 ip http server ip http secure-server ! ! line con 0 password cisco login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 11 de 14


Switch S2 S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 Student active 20 Faculty-Admin active Fa0/11, Fa0/18 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S2#sh run Building configuration... Current configuration : 1644 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S2 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/10 ! interface FastEthernet0/11 switchport access vlan 20 switchport mode access !


Página 12 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 switchport access vlan 20 switchport mode access ! !interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address shutdown ! interface Vlan10 ip address 192.168.10.12 255.255.255.0 ! ip default-gateway 192.168.10.1 ip http server ip http secure-server ! line con 0 line vty 0 4 password cisco login line vty 5 15 password cisco


Página 13 de 14

Práctica de laboratorio: configuración de routing entre VLAN por interfaz login end


Página 14 de 14

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q


Interfaz

Dirección IP

Máscara de subred


G0/1.1

192.168.1.1

255.255.255.0

N/A

G0/1.10

192.168.10.1

255.255.255.0

N/A

G0/1.20

192.168.20.1

255.255.255.0

N/A

Lo0

209.165.200.225

255.255.255.224

N/A

S1

VLAN 1

192.168.1.11

255.255.255.0

192.168.1.1

S2

VLAN 1

192.168.1.12

255.255.255.0

192.168.1.1

PC-A

NIC

192.168.10.3

255.255.255.0

192.168.10.1

PC-B

NIC

192.168.20.3

255.255.255.0

192.168.20.1


Asignaciones

Red

S1 F0/1


N/A

S2 F0/1


N/A

S1 F0/5


N/A

S1 F0/6

VLAN 10: Estudiantes

192.168.10.0/24

S2 F0/18

VLAN 20: Cuerpo docente

192.168.20.0/24

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar switches con VLAN y enlaces troncales Parte 3: configurar routing entre VLAN basado en enlaces troncales

Información básica/situación Un segundo método para proporcionar routing y conectividad a varias VLAN es mediante el uso de un enlace troncal 802.1Q entre uno o más switches y una única interfaz del router. Este método también se conoce como “routing entre VLAN con router-on-a-stick”. En este método, se divide la interfaz física del router en varias subinterfaces que proporcionan rutas lógicas a todas las VLAN conectadas. En esta práctica de laboratorio, configurará el routing entre VLAN basado en enlaces troncales y verificará la conectividad a los hosts en diferentes VLAN y con un loopback en el router. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el routing entre VLAN basado en enlaces troncales. Sin embargo, los comandos requeridos para la configuración se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los


Página 2 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.


1 router (Cisco 1941 con IOS de Cisco, versión 15.2(4)M3, imagen universal o similar)

•

2 switches (Cisco 2960 con IOS de Cisco, versión 15.0(2), imagen lanbasek9 o similar)

•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará la topología de la red y configurará los parámetros básicos en los equipos host, los switches y el router.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Paso 3. inicializar y volver a cargar los routers y switches, según sea necesario. Paso 4. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.


d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure logging synchronous para la línea de consola. f.

Configure la dirección IP que se indica en la tabla de direccionamiento para la VLAN 1 en ambos switches.

g. Configure el gateway predeterminado en los dos switches. h. Desactive administrativamente todos los puertos que no se usen en el switch. i.


Paso 5. configurar los parámetros básicos para el router. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología.


Página 3 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q c.

Configure la dirección IP Lo0, como se muestra en la tabla de direccionamiento. No configure las subinterfaces en esta instancia; esto lo hará en la parte 3.

d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Asigne class como la contraseña del modo EXEC privilegiado. f.

Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.

g. Copie la configuración en ejecución en la configuración de inicio

Parte 2: configurar los switches con las VLAN y los enlaces troncales En la parte 2, configurará los switches con las VLAN y los enlaces troncales. Nota: los comandos requeridos para la parte 2 se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar el S1 y el S2 sin consultar el apéndice.

Paso 1. Configurar las VLAN en S1. a. En el S1, configure las VLAN y los nombres que se indican en la tabla Especificaciones de la asignación de puertos de switch. En el espacio proporcionado, escriba los comandos que utilizó. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# vlan S1(config-vlan)# S1(config-vlan)# S1(config-vlan)# S1(config-vlan)#

10 name Students vlan 20 name Faculty exit

b. En el S1, configure la interfaz conectada al R1 como enlace troncal. También configure la interfaz conectada al S2 como enlace troncal. En el espacio proporcionado, escriba los comandos que utilizó. ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# interface f0/5 S1(config-if)# switchport mode trunk S1(config-if)# interface f0/1 S1(config-if)# switchport mode trunk c.

En el S1, asigne el puerto de acceso para la PC-A a la VLAN 10. En el espacio proporcionado, escriba los comandos que utilizó. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# interface f0/6 S1(config-if)# switchport mode access

S1(config-if)# switchport access vlan 10


Página 4 de 17


Paso 2. configurar las VLAN en el switch 2. a. En el S2, configure las VLAN y los nombres que se indican en la tabla Especificaciones de la asignación de puertos de switch. b. En el S2, verifique que los nombres y números de las VLAN coincidan con los del S1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S2# show vlan brief S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gi0/1 Gi0/2 10 Students active 20 Faculty active 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active

c.

En el S2, asigne el puerto de acceso para la PC-B a la VLAN 20.

d. En el S2, configure la interfaz conectada al S1 como enlace troncal.

Parte 3: configurar routing entre VLAN basado en enlaces troncales En la parte 3, configurará el R1 para enrutar a varias VLAN mediante la creación de subinterfaces para cada VLAN. Este método de routing entre VLAN se denomina “router-on-a-stick”. Nota: los comandos requeridos para la parte 3 se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar el routing entre VLAN basado en enlaces troncales o con router-on-a-stick sin consultar el apéndice.

Paso 1. configurar una subinterfaz para la VLAN 1. a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 1 y use el 1 como ID de la subinterfaz. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R1(config)# interface g0/1.1 b. Configure la subinterfaz para que opere en la VLAN 1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R1(config-subif)# encapsulation dot1Q 1


Página 5 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q c.

Configure la subinterfaz con la dirección IP de la tabla de direccionamiento. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R1(config-subif)# ip address 192.168.1.1 255.255.255.0

Paso 2. configurar una subinterfaz para la VLAN 10. a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 10 y use el 10 como ID de la subinterfaz. b. Configure la subinterfaz para que opere en la VLAN 10. c.

Configure la subinterfaz con la dirección de la tabla de direccionamiento.

Paso 3. configurar una subinterfaz para la VLAN 20. a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 20 y use el 20 como ID de la subinterfaz. b. Configure la subinterfaz para que opere en la VLAN 20. c.

Configure la subinterfaz con la dirección de la tabla de direccionamiento.

Paso 4. habilitar la interfaz G0/1. Habilite la interfaz G0/1. En el espacio proporcionado, escriba los comandos que utilizó. _______________________________________________________________________________________ R1(config)# interface g0/1 R1(config-if)# no shutdown

Paso 5. Verifique la conectividad. Introduzca el comando para ver la tabla de routing en el R1. ¿Qué redes se enumeran? _______________________________________________________________________________________ 192.168.1.0, 192.168.10.0, 192.168.20.0 y 209.165.200.224 R1# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set

C L C L C

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/1.1 192.168.1.1/32 is directly connected, GigabitEthernet0/1.1 192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.10.0/24 is directly connected, GigabitEthernet0/1.10 192.168.10.1/32 is directly connected, GigabitEthernet0/1.10 192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.20.0/24 is directly connected, GigabitEthernet0/1.20


Página 6 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q L C L

192.168.20.1/32 is directly connected, GigabitEthernet0/1.20 209.165.200.0/24 is variably subnetted, 2 subnets, 2 masks 209.165.200.224/27 is directly connected, Loopback0 209.165.200.225/32 is directly connected, Loopback0

¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 10? _____ Sí ¿Es posible hacer ping de la PC-A a la PC-B? _____ Sí ¿Es posible hacer ping de la PC-A a la interfaz Lo0? _____ Sí ¿Es posible hacer ping de la PC-A al S2? _____ Sí Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija los errores.

Reflexión ¿Cuáles son las ventajas del routing entre VLAN basado en enlaces troncales comparado con el routing entre VLAN con router-on-a-stick? _______________________________________________________________________________________ _______________________________________________________________________________________ El routing entre VLAN con router-on-a-stick permite que una interfaz enrute a varias VLAN, a diferencia del método de routing entre VLAN antiguo, que requiere un puerto por VLAN.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)



Página 7 de 17


Apéndice A: comandos de configuración Switch S1 S1(config)# vlan 10 S1(config-vlan)# name Students S1(config-vlan)# vlan 20 S1(config-vlan)# name Faculty S1(config-vlan)# exit S1(config)# interface f0/1 S1(config-if)# switchport mode trunk S1(config-if)# interface f0/5 S1(config-if)# switchport mode trunk S1(config-if)# interface f0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 10

Switch S2 S2(config)# vlan 10 S2(config-vlan)# name Students S2(config-vlan)# vlan 20 S2(config-vlan)# name Faculty S2(config)# interface f0/1 S2(config-if)# switchport mode trunk

S2(config-if)# interface f0/18 S2(config-if)# switchport mode access S2(config-if)# switchport access vlan 20

Router R1 R1(config)# interface g0/1.1 R1(config-subif)# encapsulation dot1Q 1 R1(config-subif)# ip address 192.168.1.1 255.255.255.0 R1(config-subif)# interface g0/1.10 R1(config-subif)# encapsulation dot1Q 10 R1(config-subif)# ip address 192.168.10.1 255.255.255.0 R1(config-subif)# interface g0/1.20 R1(config-subif)# encapsulation dot1Q 20 R1(config-subif)# ip address 192.168.20.1 255.255.255.0 R1(config-subif)# exit R1(config)# interface g0/1 R1(config-if)# no shutdown

Configuraciones de dispositivos Nota para el instructor: las VLAN configuradas no se muestran en la configuración en ejecución del switch, pero se almacenan en el archivo vlan.dat. Se proporciona el resultado del comando show vlan brief.


Página 8 de 17


Router R1 R1# show run Building configuration... Current configuration : 1731 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! redundancy ! ! ! ! ! ! ! ! ! ! ! !


Página 9 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 1 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/1.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface GigabitEthernet0/1.20 encapsulation dot1Q 20 ip address 192.168.20.1 255.255.255.0 ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ! ! !


Página 10 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Switch S1 S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Students active Fa0/6 20 Faculty active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1# show run Building configuration... Current configuration : 1627 bytes ! version 15.0


Página 11 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 switchport mode trunk


Página 12 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q ! interface FastEthernet0/6 switchport access vlan 10 switchport mode access ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11 shutdown ! interface FastEthernet0/12 shutdown ! interface FastEthernet0/13 shutdown ! interface FastEthernet0/14 shutdown ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17 shutdown ! interface FastEthernet0/18 shutdown ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown


Página 13 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q ! interface FastEthernet0/22 shutdown ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 ip address 192.168.1.11 255.255.255.0 ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! ! ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end

Switch S2 S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2


Página 14 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q 10 20 1002 1003 1004 1005

Students Faculty fddi-default token-ring-default fddinet-default trnet-default

active active Fa0/18 act/unsup act/unsup act/unsup act/unsup

S2# show run Building configuration... Current configuration : 1633 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1


Página 15 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q switchport mode trunk ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 shutdown ! interface FastEthernet0/6 shutdown ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11 shutdown ! interface FastEthernet0/12 shutdown ! interface FastEthernet0/13 shutdown ! interface FastEthernet0/14 shutdown ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17 shutdown


Página 16 de 17

Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q ! interface FastEthernet0/18 switchport access vlan 20 switchport mode access ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 shutdown ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 ip address 192.168.1.12 255.255.255.0 ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 17 de 17

Práctica de laboratorio: resolución de problemas de routing entre VLAN (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN


Interfaz

Dirección IP

Máscara de subred


G0/1.1

192.168.1.1

255.255.255.0

N/A

G0/1.10

192.168.10.1

255.255.255.0

N/A

G0/1.20

192.168.20.1

255.255.255.0

N/A

Lo0

209.165.200.225

255.255.255.224

N/A

S1

VLAN 1

192.168.1.11

255.255.255.0

192.168.1.1

S2

VLAN 1

192.168.1.12

255.255.255.0

192.168.1.1

PC-A

NIC

192.168.10.3

255.255.255.0

192.168.10.1

PC-B

NIC

192.168.20.3

255.255.255.0

192.168.20.1


Asignaciones

Red

S1 F0/1


N/A

S2 F0/1


N/A

S1 F0/5


N/A

S1 F0/6

VLAN 10 – R&D

192.168.10.0/24

S2 F0/18

VLAN 20: ingeniería

192.168.20.0/24

Objetivos Parte 1: armar la red y cargar las configuraciones de los dispositivos Parte 2: resolver problemas de configuración de routing entre VLAN Parte 3: verificar la configuración de VLAN, la asignación de puertos y los enlaces troncales Parte 4: probar la conectividad de capa 3

Información básica/situación La red está diseñada y configurada para admitir tres VLAN. Un router externo con un enlace troncal 802.1Q, también conocido como router-on-a-stick, proporciona routing entre VLAN. El R1 también proporciona el routing a un servidor web remoto, que es simulado por Lo0. Sin embargo, no funciona de conformidad con el diseño, y las quejas de los usuarios no proporcionaron demasiada información sobre el origen de los problemas. En esta práctica de laboratorio, primero debe definir qué es lo que no funciona como se esperó y luego debe analizar las configuraciones existentes para determinar y corregir el origen de los problemas. Habrá completado esta práctica de laboratorio cuando pueda demostrar la conectividad IP entre cada una de las VLAN del usuario y la red del servidor web externa, y entre la VLAN de administración del switch y la red del servidor web. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros


Página 2 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1. armar la red y cargar las configuraciones de los dispositivos En la parte 1, configurará la topología de la red y configurará los parámetros básicos en los equipos host, los switches y el router.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Consulte la tabla de direccionamiento para obtener información de direcciones de los equipos host.

Paso 3. cargar las configuraciones del router y los switches. Cargue las siguientes configuraciones en el router o switch apropiados. Todos los dispositivos tienen las mismas contraseñas; la contraseña de enable es class y la contraseña de line es cisco. Configuración del router R1: hostname R1 enable secret class no ip domain lookup line con 0 password cisco login logging synchronous line vty 0 4 password cisco login interface loopback0 ip address 209.165.200.225 255.255.255.224 interface gigabitEthernet0/1 no ip address ! no shutdown


Página 3 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN interface gigabitEthernet0/1.1 encapsulation dot1q 11 ! encapsulation dot1q 1 ip address 192.168.1.1 255.255.255.0 interface gigabitEthernet0/1.10 encapsulation dot1q 10 ip address 192.168.11.1 255.255.255.0 ! ip address 192.168.10.1 255.255.255.0 interface gigabitEthernet0/1.20 encapsulation dot1q 20 ip address 192.168.20.1 255.255.255.0 end Configuración del switch S1: hostname S1 enable secret class no ip domain-lookup line con 0 password cisco login logging synchronous line vty 0 15 password cisco login vlan 10 name R&D exit !vlan 20 ! name Engineering ! exit interface fastethernet0/1 switchport mode access ! switchport mode trunk interface fastethernet0/5 switchport mode trunk !interface fastethernet0/6 ! switchport access vlan 10 ! switchport mode access interface vlan1 ip address 192.168.1.11 255.255.255.0 ip default-gateway 192.168.1.1 end Configuración del switch S2: hostname S2 enable secret class


Página 4 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN no ip domain-lookup line con 0 password cisco login logging synchronous line vty 0 15 password cisco login !vlan 10 ! name R&D ! exit vlan 20 name Engineering exit interface fastethernet0/1 switchport mode trunk interface fastethernet0/18 switchport access vlan 10 switchport mode access ! switchport access vlan 20 interface vlan1 ip address 192.168.1.12 255.255.255.0 ip default-gateway 192.168.1.1 end

Paso 4. Guardar la configuración en ejecución en la configuración de inicio.

Parte 2. resolver problemas de configuración de routing entre VLAN En la parte 2, verificará la configuración del routing entre VLAN. a. En el R1, introduzca el comando show ip route para ver la tabla de routing. R1# show ip route


C L

209.165.200.0/24 is variably subnetted, 2 subnets, 2 masks 209.165.200.224/27 is directly connected, Loopback0 209.165.200.225/32 is directly connected, Loopback0


Página 5 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN ¿Qué redes se enumeran? ____________________________________________________________________________________ Solo la red 209.165.200.224. ¿Hay redes que no figuran en la tabla de routing? Si es así, ¿qué redes? ____________________________________________________________________________________ 192.168.1.0, 192.168.10.0, 192.168.20.0 ¿Cuál es un motivo posible de que una ruta no figure en la tabla de routing? ____________________________________________________________________________________ Interfaz administrativamente inactiva, ninguna dirección IP b. En el R1, emita el comando show ip interface brief. R1# show ip interface brief Interface IP-Address Embedded-Service-Engine0/0 unassigned GigabitEthernet0/0 unassigned GigabitEthernet0/1 unassigned GigabitEthernet0/1.1 192.168.1.1 GigabitEthernet0/1.10 192.168.11.1 GigabitEthernet0/1.20 192.168.20.1 Serial0/0/0 unassigned Serial0/0/1 unassigned Loopback0 209.165.200.225

OK? YES YES YES YES YES YES YES YES YES

Method unset unset unset manual manual manual unset unset manual

Status administratively administratively administratively administratively administratively administratively administratively administratively up

down down down down down down down down

Protocol down down down down down down down down up

Sobre la base del resultado, ¿existen problemas de interfaz en el router? Si es así, ¿con qué comandos se resolverían los problemas? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ R1(config)# interface g0/1 R1(config-if)# no shutdown R1(config-if)# interface g0/1.10 R1(configs-if) ip address 192.168.10.1 255.255.255.0 c.

En el R1, vuelva a emitir el comando show ip route. R1# show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set


Página 6 de 21


C L C L C L C L

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/1.1 192.168.1.1/32 is directly connected, GigabitEthernet0/1.1 192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.11.0/24 is directly connected, GigabitEthernet0/1.10 192.168.11.1/32 is directly connected, GigabitEthernet0/1.10 192.168.20.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.20.0/24 is directly connected, GigabitEthernet0/1.20 192.168.20.1/32 is directly connected, GigabitEthernet0/1.20 209.165.200.0/24 is variably subnetted, 2 subnets, 2 masks 209.165.200.224/27 is directly connected, Loopback0 209.165.200.225/32 is directly connected, Loopback0

Verifique que todas las redes estén disponibles en la tabla de routing. Si no es así, continúe con la resolución de problemas hasta que todas las redes aparezcan en la tabla.

Parte 3. verificar la configuración de VLAN, la asignación de puertos y los enlaces troncales En la parte 3, verificará que el S1 y el S2 tengan las VLAN correctas y que los enlaces troncales estén configurados como corresponde.

Paso 1. verificar la configuración de VLAN y las asignaciones de puertos. a. En el S1, introduzca el comando show vlan brief para ver la base de datos de VLAN. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gi0/1 Gi0/2 10 R&D active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

¿Qué redes VLAN se enumeran? Omita las VLAN 1002 a 1005. ____________________________________________________________________________________ VLAN 1, VLAN 10 ¿Hay algún número o nombre de VLAN que no figure en el resultado? Si es así, indíquelos. ____________________________________________________________________________________ VLAN 20; nombre: Ingeniería


Página 7 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN ¿Los puertos de acceso están asignados a las VLAN correctas? Si no es así, indique las asignaciones faltantes o incorrectas. ____________________________________________________________________________________ Fa0/6 tiene que estar asignado a la VLAN 10. Si es necesario, ¿con qué comandos se resolverían los problemas de VLAN? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# vlan 20 S1(config-vlan)# name Engineering S1(config-vlan)# exit S1(config)# interface fa0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 10 b. En el S1, vuelva a emitir el comando show vlan brief para verificar la configuración. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 R&D active Fa0/6 20 Engineering active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

c.

En el S2, introduzca el comando show vlan brief para ver la base de datos de VLAN. S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 VLAN0010 active Fa0/18 20 Engineering active 1002 fddi-default act/unsup


Página 8 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN 1003 token-ring-default 1004 fddinet-default 1005 trnet-default


¿Qué redes VLAN se enumeran? Omita las VLAN 1002 a 1005. ____________________________________________________________________________________ VLAN 1, VLAN 10, VLAN 20 ¿Hay algún número o nombre de VLAN que no figure en el resultado? Si es así, indíquelos. ____________________________________________________________________________________ VLAN 10; nombre faltante: I + D ¿Los puertos de acceso están asignados a las VLAN correctas? Si no es así, indique las asignaciones faltantes o incorrectas. ____________________________________________________________________________________ F0/18 tiene que estar asignado a la VLAN 20 en vez de a la VLAN 10. Si es necesario, ¿con qué comandos se resolverían los problemas de VLAN? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S2(config)# vlan 10 S2(config-vlan)# name R&D S2(config-vlan)# exit S2(config)# interface fa0/18 S2(config-if)# switchport access vlan 20 d. En el S2, vuelva a emitir el comando show vlan brief para verificar los cambios en la configuración. S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 R&D active 20 Engineering active Fa0/18 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup

Paso 2. verificar las interfaces de enlace troncal. a. En el S1, introduzca el comando show interface trunk para ver las interfaces de enlace troncal. S1# show interface trunk


Página 9 de 21


Port Fa0/5

Mode on


Status trunking

Native vlan 1

Port Fa0/5


Port Fa0/5


Port Fa0/5


¿Qué puertos están en modo de enlace troncal? ____________________________________________________________________________________ F0/5 ¿Hay puertos que no figuran en el resultado? Si es así, indíquelos. ____________________________________________________________________________________ F0/1 Si es necesario, ¿con qué comandos se resolverían los problemas de puertos de enlace troncal? ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# interface fa0/1 S1(configs-if)# switchport mode trunk b. En el S1, vuelva a emitir el comando show interface trunk para verificar los cambios en la configuración. S1# show interface trunk

c.

Port Fa0/1 Fa0/5

Mode on on

Encapsulation 802.1q 802.1q

Status trunking trunking

Native vlan 1 1

Port Fa0/1 Fa0/5

Vlans allowed on trunk 1-4094 1-4094

Port Fa0/1 Fa0/5

Vlans allowed and active in management domain 1,10,20 1,10,20

Port Fa0/1 Fa0/5

Vlans in spanning tree forwarding state and not pruned none 1,10,20

En el S2, introduzca el comando show interface trunk para ver las interfaces de enlace troncal. S2# show interface trunk


Página 10 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN Port Fa0/1

Mode on


Status trunking

Native vlan 1

Port Fa0/1


Port Fa0/1


Port Fa0/1


¿Qué puertos están en modo de enlace troncal? ____________________________________________________________________________________ F0/1 ¿Hay puertos que no figuran en el resultado? Si es así, indíquelos. ____________________________________________________________________________________ None Si es necesario, ¿con qué comandos se resolverían los problemas de puertos de enlace troncal? ____________________________________________________________________________________ ____________________________________________________________________________________ Todos los puertos de enlace troncal están configurados correctamente.

Parte 4. probar la conectividad de capa 3 a. Ahora que corrigió varios problemas de configuración, probemos la conectividad. ¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 10? _____ Sí. ¿Es posible hacer ping de la PC-A a la PC-B? _____ Sí. ¿Es posible hacer ping de la PC-A a la interfaz Lo0? _____ Sí. Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija el error. Nota: quizá sea necesario deshabilitar el firewall de las computadoras para que los pings entre estas se realicen correctamente. ¿Es posible hacer ping de la PC-A al S1? _____ No. ¿Es posible hacer ping de la PC-A al S2? _____ No. Enumere algunos de los problemas que aún podrían evitar que los pings a los switches se realicen correctamente. ____________________________________________________________________________________ ____________________________________________________________________________________ Asignación incorrecta de VLAN en la subinterfaz del router; dirección IP incorrecta en el switch; falta de gateway predeterminado en el switch. b. Una manera de detectar dónde se produce el error es hacer un tracert de la PC-A al S1. C:\Users\User1> tracert 192.168.1.11


Página 11 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN Tracing route to 192.168.1.11 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 192.168.10.1 2 * * * Request timed out. 3 * * * Request timed out.

Este resultado muestra que la solicitud de la PC-A llega al gateway predeterminado en la interfaz g0/1.10 del R1, pero el paquete se detiene en el router. c.

Ya verificó las entradas en la tabla de routing del R1, ahora ejecute el comando show run | section interface para verificar la configuración de VLAN. Enumere todos los errores de configuración. ____________________________________________________________________________________ La interfaz g0/1.1 está asignada a la VLAN 11 en vez de estar asignada a la VLAN 1. R1# show run | section interface

interface Loopback0 ip address 209.165.200.225 255.255.255.224 interface Embedded-Service-Engine0/0 no ip address shutdown interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto interface GigabitEthernet0/1 no ip address duplex auto speed auto interface GigabitEthernet0/1.1 encapsulation dot1Q 11 ip address 192.168.1.1 255.255.255.0 interface GigabitEthernet0/1.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 interface GigabitEthernet0/1.20 encapsulation dot1Q 20 ip address 192.168.20.1 255.255.255.0 interface Serial0/0/0 no ip address shutdown clock rate 2000000 interface Serial0/0/1 no ip address shutdown

¿Con qué comandos se resolverían los problemas detectados? ____________________________________________________________________________________ R1(config)# interface g0/1.1 R1(config-if)# encapsulation dot1q 1


Página 12 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN d. Verifique que los pings de la PC-A ahora lleguen al S1 y al S2. ¿Es posible hacer ping de la PC-A al S1? _____ Sí. ¿Es posible hacer ping de la PC-A al S2? _____ Sí.

Reflexión ¿Cuáles son las ventajas de ver la tabla de routing para fines de resolución de problemas? _______________________________________________________________________________________ _______________________________________________________________________________________ Se indican todas las interfaces y subinterfaces configuradas, y se pueden examinar fácilmente para detectar errores.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Nota para el instructor: las VLAN configuradas no se muestran en la configuración en ejecución del switch, pero se almacenan en el archivo vlan.dat.

Router R1 R1# show run Building configuration... Current configuration : 1522 bytes !


Página 13 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ip cef ! ! ! ! ! ! no ip domain lookup no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto


Página 14 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 1 ip address 192.168.1.1 255.255.255.0 ! interface GigabitEthernet0/1.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface GigabitEthernet0/1.20 encapsulation dot1Q 20 ip address 192.168.20.1 255.255.255.0 ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none


Página 15 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Switch S1 S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 R&D active Fa0/6 20 Engineering active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1# show run Building configuration... Current configuration : 1453 bytes ! ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 !


Página 16 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 switchport mode trunk ! interface FastEthernet0/6 switchport access vlan 10 switchport mode access ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 !


Página 17 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.11 255.255.255.0 ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! ! ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login


Página 18 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN ! end

Switch S2 S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 R&D active 20 Engineering active Fa0/18 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S2# show run Building configuration... Current configuration : 1458 bytes ! ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! !


Página 19 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 !


Página 20 de 21

Práctica de laboratorio: resolución de problemas de routing entre VLAN interface FastEthernet0/18 switchport access vlan 20 switchport mode access ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.12 255.255.255.0 ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 21 de 21

Una posición ventajosa (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Explicar la forma en que los switches de capa 3 reenvían datos en una LAN de una pequeña a mediana empresa. Los estudiantes elegirán qué tipo de routing entre VLAN preferirían para el diseño de una red para comunicaciones de red de área local.

Situación Su empresa acaba de comprar un edificio de tres pisos. Usted es el administrador de red y debe diseñar el esquema de red de routing entre VLAN de la empresa para permitir el acceso de algunos empleados en cada piso. En el primer piso, se encuentra el departamento de Recursos Humanos; en el segundo piso, el departamento de TI; y en el tercer piso, el departamento de Ventas. Si bien todos los departamentos deben poder comunicarse entre sí, sus respectivas redes de trabajo se deben mantener separadas. Usted trajo tres switches Cisco 2960 y un router Cisco de la serie 1941 de la sede anterior para brindar conectividad de red en el nuevo edificio. No pueden adquirirse nuevos equipos. Consulte el PDF correspondiente a esta actividad para obtener instrucciones adicionales.

Recursos •

Programa de software de presentación

Instrucciones Para completar esta actividad, trabaje con un compañero.

Paso 1. diseñar la topología. a. Utilice un switch 2960 por piso en el nuevo edificio. b. Asigne un departamento a cada switch. c.

Elija uno de los switches para conectarlo al router serie 1941.

Paso 2. planificar el esquema de VLAN. a. Elija los nombres y los números de VLAN para los departamentos de RR. HH., TI y Ventas. b. Incluya una VLAN de administración, posiblemente con el nombre Administración o Nativa, con un número de su elección. c.

Use un esquema de direccionamiento IPv4 o v6 para las LAN. Si usa IPv4, también debe utilizar VLSM.

Paso 3. diseñar un gráfico para mostrar el diseño de VLAN y el esquema de direcciones. Paso 4. elegir el método de routing entre VLAN. a. Antiguo (por interfaz)


Página 1 de 2

Una posición ventajosa b. Router-on-a-stick c.

Switching multicapa

Paso 5. Cree una presentación que justifique su método elegido de routing entre VLAN. a. Para la presentación, no se pueden crear más de ocho diapositivas. b. Presente el diseño de su grupo a la clase o al instructor. 1) Prepárese para explicar el método que eligió. ¿Qué lo distingue de los otros dos métodos o qué lo hace más conveniente para su empresa? 2) Prepárese para mostrar la forma en que los datos se transfieren en la red. Explique verbalmente la forma en que las redes pueden comunicarse mediante el método de routing entre VLAN que eligió.

Información de recursos para el instructor •

Todos los estudiantes tienen que poder diferenciar entre los tres métodos de routing entre VLAN.

•

Todos los estudiantes tienen que poder explicar la forma en que eligieron el método de routing entre VLAN para su empresa.

•

Todos los estudiantes tienen que poder explicar la forma en que los datos fluyen en el método elegido de routing entre VLAN.


Routing entre VLAN antiguo o por interfaz

•

Routing entre VLAN con router-on-a-stick

•

Routing entre VLAN de switching multicapa


Página 2 de 2

¿Qué camino debemos tomar? (Versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Explicar los beneficios del uso de rutas estáticas. Este capítulo se centra en el routing estático y el routing dinámico. En esta actividad de creación de modelos, se ayuda a los estudiantes a pensar sobre la forma en que pueden elegir una ruta diferente de la mejor ruta para la comunicación de red.

Situación Un evento deportivo de gran envergadura tendrá lugar en su ciudad. Para asistir al evento, usted hizo planes precisos de modo de llegar con puntualidad al estadio para ver el juego completo. Para ir al evento, hay dos caminos que puede tomar: •

Autopista: es fácil de seguir y está permitido conducir a altas velocidades.

•

Ruta directa alternativa: encontró esta ruta en un mapa de la ciudad. Según ciertas condiciones, como la cantidad de tráfico o la congestión, esta podría ser la forma de llegar al estadio a tiempo.

Con un compañero, analice estas opciones. Elija una ruta de preferencia para llegar al estadio a tiempo para ver cada segundo del gran evento deportivo. Compare sus opciones de preferencia con el tráfico de la red, ¿qué ruta elegiría para transmitir comunicaciones de datos para su pequeña o mediana empresa? ¿Elegiría la ruta más rápida, la más fácil o la ruta alternativa, directa? Justifique su elección. Complete el archivo .pdf con la actividad de creación de modelos y prepárese para justificar sus respuestas ante la clase o con otro grupo.

Recursos necesarios None

Reflexión 1. ¿Qué ruta eligió como su primera opción de preferencia? ¿Según qué criterios tomó esta decisión? _______________________________________________________________________________________ Las respuestas de los estudiantes varían. Algunos preferirán la ruta más rápida y fácil, y algunos preferirán la ruta alternativa y directa. Los criterios mencionados pueden incluir límites de tiempo, la velocidad de la ruta, la congestión del tráfico en la ruta y la facilidad para seguir la ruta. 2. En el caso de haber congestión en cualquiera de las rutas, ¿esto cambiaría la ruta que tomaría para llegar al estadio? Justife su respuesta. _______________________________________________________________________________________ La mayoría de los estudiantes cambiarán la ruta para llegar al estadio a tiempo. Otros decidirán seguir en la misma ruta hacia el estadio, con la esperanza de que la congestión del tráfico disminuya. En ambos casos, la mayoría valorará poder elegir entre varias rutas.


Página 1 de 2

¿Qué camino debemos tomar? 3. Una frase conocida que se puede discutir es “la distancia más corta entre dos puntos es una línea recta”. ¿Esto siempre es así con la entrega de datos de red? ¿Cómo compara su respuesta con esta situación de la actividad de creación de modelos? _______________________________________________________________________________________ De nuevo, el tráfico puede tener un impacto en la ruta elegida. A veces puede ser necesario elegir una ruta alternativa para la entrega de datos. En ocasiones, la ruta alternativa permite que los datos se entreguen con mayor rapidez que la que ofrece la ruta más rápida.


Los routers usan protocolos de routing para registrar rutas dinámicas en las tablas de routing, a fin de indicar la mejor ruta para la entrega de datos.

•

El método de entrega a través de la mejor ruta se puede cambiar por el de una ruta configurada manualmente que se denomina “ruta estática”.

•

Se puede configurar una ruta estática flotante en un router para proporcionar una ruta alternativa o de respaldo en caso de que la ruta dinámica no funcione en algún momento.


Página 2 de 2

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4


Interfaz

Dirección IP

Máscara de subred


G0/1

192.168.0.1

255.255.255.0

N/A

S0/0/1

10.1.1.1

255.255.255.252

N/A

G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/0 (DCE)

10.1.1.2

255.255.255.252

N/A

Lo0

209.165.200.225

255.255.255.224

N/A

Lo1

198.133.219.1

255.255.255.0

N/A

PC-A

NIC

192.168.0.10

255.255.255.0

192.168.0.1

PC-C

NIC

192.168.1.10

255.255.255.0

192.168.1.1

R3

Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los parámetros básicos de los dispositivos y verificar la conectividad Parte 3: configurar rutas estáticas •

Configurar una ruta estática recursiva.

•

Configurar una ruta estática conectada directamente.

•

Configurar y eliminar rutas estáticas.

Parte 4: configurar y verificar una ruta predeterminada

Información básica/situación Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes. La tabla de routing consta de un conjunto de rutas que describen el gateway o la interfaz que el router usa para llegar a una red especificada. Inicialmente, la tabla de routing contiene solo redes conectadas directamente. Para comunicarse con redes distantes, se deben especificar las rutas, que deben agregarse a la tabla de routing. En esta práctica de laboratorio, configurará manualmente una ruta estática a una red distante especificada sobre la base de una dirección IP del siguiente salto o una interfaz de salida. También configurará una ruta estática predeterminada. Una ruta predeterminada es un tipo de ruta estática que especifica el gateway que se va a utilizar cuando la tabla de routing no incluye una ruta para la red de destino. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el routing estático. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos.


Página 2 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.


2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)

•


•


•


•

Cables Ethernet y seriales, como se muestra en la topología

Parte 1. establecer la topología e inicializar los dispositivos Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch.

Parte 2. configurar los parámetros básicos de los dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos, como las direcciones IP de interfaz, el acceso a dispositivos y las contraseñas. Verificará la conectividad LAN e identificará las rutas que se indican en las tablas de routing del R1 y el R3.

Paso 1. Configure las interfaces de la PC. Paso 2. configurar los parámetros básicos en los routers. a. Configure los nombres de los dispositivos, como se muestra en la topología y en la tabla de direccionamiento. b. Desactive la búsqueda del DNS. c.

Asigne class como la contraseña de enable y asigne cisco como la contraseña de consola y la contraseña de vty.

d. Guarde la configuración en ejecución en el archivo de configuración de inicio.

Paso 3. configurar los parámetros IP en los routers. a. Configure las interfaces del R1 y el R3 con direcciones IP según la tabla de direccionamiento. b. La conexión S0/0/0 es la conexión DCE y requiere el comando clock rate. A continuación, se muestra la configuración de la interfaz S0/0/0 del R3. Nota para el instructor: para los routers Cisco 1941, el DCE se detecta de manera automática y la frecuencia de reloj se establece automáticamente en 2 000 000, y no es necesario configurarlo. R3(config)# interface s0/0/0 R3(config-if)# ip address 10.1.1.2 255.255.255.252 R3(config-if)# clock rate 128000 R3(config-if)# no shutdown © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 3 de 17


Paso 4. verificar la conectividad de las LAN. a. Para probar la conectividad, haga ping de cada computadora al gateway predeterminado que se configuró para ese host. ¿Es posible hacer ping de la PC-A al gateway predeterminado? __________ Sí ¿Es posible hacer ping de la PC-C al gateway predeterminado? __________ Sí b. Para probar la conectividad, haga ping entre los routers conectados directamente. ¿Es posible hacer ping del R1 a la interfaz S0/0/0 del R3? __________ Sí Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija el error. c.

Pruebe la conectividad entre los dispositivos que no están conectados directamente. ¿Es posible hacer ping de la PC-A a la PC-C? __________ No ¿Es posible hacer ping de la PC-A a la interfaz Lo0? __________ No ¿Es posible hacer ping de la PC-A a la interfaz Lo1? __________ No ¿Los pings eran correctos? ¿Por qué o por qué no? ____________________________________________________________________________________ ____________________________________________________________________________________ No, el router no contiene rutas a las redes distantes. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.

Paso 5. reunir información. a. Revise el estado de las interfaces en el R1 con el comando show ip interface brief. R1# show ip interface brief Interface Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1

IP-Address unassigned unassigned 192.168.0.1 unassigned 10.1.1.1


Method unset unset manual unset manual

Status Protocol administratively down down administratively down down up up administratively down down up up

¿Cuántas interfaces están activadas en el R1? __________ dos b. Revise el estado de las interfaces en el R3. R3# show ip interface brief Interface Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1 Loopback0 Loopback1

IP-Address unassigned unassigned 192.168.1.1 10.1.1.2 unassigned 209.165.200.225 198.133.219.1

OK? YES YES YES YES YES YES YES

Method unset unset manual manual unset manual manual

Status Protocol administratively down down administratively down down up up up up administratively down down up up up up

¿Cuántas interfaces están activadas en el R3? __________ cuatro c.

Vea la información de la tabla de routing del R1 con el comando show ip route.


Página 4 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 R1# show ip route


C L C L

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/1 10.1.1.1/32 is directly connected, Serial0/0/1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.0/24 is directly connected, GigabitEthernet0/1 192.168.0.1/32 is directly connected, GigabitEthernet0/1

¿Qué redes están presentes en la tabla de direccionamiento de esta práctica de laboratorio, pero no en la tabla de routing del R1? ____________________________________________________________________________________ 192.168.1.0, 198.133.219.0, 209.165.200.224 d. Vea la información de la tabla de routing para el R3. R3# show ip route


10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.2/32 is directly connected, Serial0/0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, GigabitEthernet0/1 L 192.168.1.1/32 is directly connected, GigabitEthernet0/1 198.133.219.0/24 is variably subnetted, 2 subnets, 2 masks C 198.133.219.0/24 is directly connected, Loopback1 L 198.133.219.1/32 is directly connected, Loopback1 209.165.200.0/24 is variably subnetted, 2 subnets, 2 masks C 209.165.200.224/27 is directly connected, Loopback0 L 209.165.200.225/32 is directly connected, Loopback0 C L


Página 5 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 ¿Qué redes están presentes en la tabla de direccionamiento de esta práctica de laboratorio, pero no en la tabla de routing del R3? ____________________________________________________________________________________ 192.168.0.0 ¿Por qué ninguna de las redes está presente en las tablas de enrutamiento para cada uno de los routers? ____________________________________________________________________________________ ____________________________________________________________________________________ Los routers no están configurados con routing estático ni dinámico. Por eso, los routers solo detectan las redes conectadas directamente.

Parte 3. Configure las rutas estáticas. En la parte 3, empleará varias formas de implementar rutas estáticas y predeterminadas, confirmará si las rutas se agregaron a las tablas de routing del R1 y el R3, y verificará la conectividad sobre la base de las rutas introducidas. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el routing estático. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice.

Paso 1. Configure una ruta estática recursiva. Con una ruta estática recursiva, se especifica la dirección IP del siguiente salto. Debido a que solo se especifica la IP de siguiente salto, el router tiene que hacer varias búsquedas en la tabla de routing antes de reenviar paquetes. Para configurar rutas estáticas recursivas, utilice la siguiente sintaxis: Router(config)# ip route dirección-red máscara-subred dirección-ip a. En el router R1, configure una ruta estática a la red 192.168.1.0 utilizando la dirección IP de la interfaz serial 0/0/0 del R3 como la dirección de siguiente salto. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R1(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.2 b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. R1# show ip route


C L

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/1 10.1.1.1/32 is directly connected, Serial0/0/1


Página 6 de 17


C L S

192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.0/24 is directly connected, GigabitEthernet0/1 192.168.0.1/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 [1/0] via 10.1.1.2

¿Cómo se indica esta ruta nueva en la tabla de routing? ____________________________________________________________________________________ S

192.168.1.0/24 [1/0] via 10.1.1.2

¿Es posible hacer ping del host PC-A host a al host PC-C? __________ No Estos pings deben fallar. Si la ruta estática recursiva se configuró correctamente, el ping llega a la PC-C. La PC-C envía un ping de respuesta a la PC-A. Sin embargo, este ping se descarta en el R3, porque el R3 no tiene una ruta de retorno a la red 192.168.0.0 en la tabla de routing.

Paso 2. configurar una ruta estática conectada directamente. Con una ruta estática conectada directamente, se especifica el parámetro interfaz-salida, que permite que el router resuelva una decisión de reenvío con una sola búsqueda. En general, una ruta estática conectada directamente se utiliza con una interfaz serial punto a punto. Para configurar rutas estáticas conectadas directamente con una interfaz de salida especificada, utilice la siguiente sintaxis: Router(config)# ip route dirección-red máscara-subred interfaz-salida a. En el router R3, configure una ruta estática a la red 192.168.0.0 con la interfaz S0/0/0 como la interfaz de salida. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R3(config)# ip route 192.168.0.0 255.255.255.0 s0/0/0 b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. R3# show ip route


C L S C L C L

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.2/32 is directly connected, Serial0/0/0 192.168.0.0/24 is directly connected, Serial0/0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/1 192.168.1.1/32 is directly connected, GigabitEthernet0/1 198.133.219.0/24 is variably subnetted, 2 subnets, 2 masks 198.133.219.0/24 is directly connected, Loopback1 198.133.219.1/32 is directly connected, Loopback1 209.165.200.0/24 is variably subnetted, 2 subnets, 2 masks


Página 7 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 C L

209.165.200.224/27 is directly connected, Loopback0 209.165.200.225/32 is directly connected, Loopback0


c.

192.168.0.0/24 is directly connected, Serial0/0/0

¿Es posible hacer ping del host PC-A host a al host PC-C? __________ Sí Este ping debe tener éxito. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.

Paso 3. configurar una ruta estática. a. En el router R1, configure una ruta estática a la red 198.133.219.0 utilizando una de las opciones de configuración de ruta estática de los pasos anteriores. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R1(config)# ip route 198.133.219.0 255.255.255.0 S0/0/1 or R1(config)# ip route 198.133.219.0 255.255.255.0 10.1.1.2 b. En el router R1, configure una ruta estática a la red 209.165.200.224 en el R3 utilizando la otra opción de configuración de ruta estática de los pasos anteriores. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R1(config)# ip route 209.165.200.224 255.255.255.224 S0/0/1 or R1(config)# ip route 209.165.200.224 255.255.255.224 10.1.1.2 c.

Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. Nota: es posible que los estudiantes obtengan resultados diferentes de la tabla de routing, según el tipo de rutas estáticas configuradas. R1# show ip route


C L

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/1 10.1.1.1/32 is directly connected, Serial0/0/1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks


Página 8 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 C L S S S

192.168.0.0/24 is directly connected, GigabitEthernet0/1 192.168.0.1/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 [1/0] via 10.1.1.2 198.133.219.0/24 is directly connected, Serial0/0/1 209.165.200.0/27 is subnetted, 1 subnets 209.165.200.224 [1/0] via 10.1.1.2



or S

198.133.219.0/24 [1/0] via 10.1.1.2

d. ¿Es posible hacer ping del host PC-A a la dirección 198.133.219.1 del R1? __________ Sí Este ping debe tener éxito.

Paso 4. Elimine las rutas estáticas de las direcciones de loopback. a. En el R1, utilice el comando no para eliminar las rutas estáticas de las dos direcciones de loopback de la tabla de routing. En el espacio proporcionado, escriba los comandos que utilizó. __________________________________________________________________________________ R1(config)# no ip route 209.165.200.224 255.255.255.224 10.1.1.2 R1(config)# no ip route 198.133.219.0 255.255.255.0 S0/0/1 Nota: se puede utilizar el comando no para eliminar una ruta estática sin especificar la interfaz de salida ni la dirección IP del siguiente salto, como se muestra a continuación. R1(config)# no ip route 209.165.200.224 255.255.255.224 R1(config)# no ip route 198.133.219.0 255.255.255.0 b. Observe la tabla de routing para verificar si se eliminaron las rutas. R1# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set C L C L S

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/1 10.1.1.1/32 is directly connected, Serial0/0/1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.0/24 is directly connected, GigabitEthernet0/1 192.168.0.1/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 [1/0] via 10.1.1.2

¿Cuántas rutas de red se indican en la tabla de routing del R1? ____________ Tres


Página 9 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 ¿El gateway de último recurso está establecido? __________ No

Parte 4. configurar y verificar una ruta predeterminada En la parte 4, implementará una ruta predeterminada, confirmará si la ruta se agregó a la tabla de routing y verificará la conectividad sobre la base de la ruta introducida. Una ruta predeterminada identifica el gateway al cual el router envía todos los paquetes IP para los que no tiene una ruta descubierta o estática. Una ruta estática predeterminada es una ruta estática con 0.0.0.0 como dirección IP y máscara de subred de destino. Comúnmente, esta ruta se denomina “ruta de cuádruple cero”. En una ruta predeterminada, se puede especificar la dirección IP del siguiente salto o la interfaz de salida. Para configurar una ruta estática predeterminada, utilice la siguiente sintaxis: Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address or exit-intf} a. Configure el router R1 con una ruta predeterminada que utilice la interfaz de salida S0/0/1. En el espacio proporcionado, escriba el comando que utilizó. _____________________________________________________________________________ R1(config)# ip route 0.0.0.0 0.0.0.0 s0/0/1 b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. R1#show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* C L C L S

0.0.0.0/0 is directly connected, Serial0/0/1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/1 10.1.1.1/32 is directly connected, Serial0/0/1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.0/24 is directly connected, GigabitEthernet0/1 192.168.0.1/32 is directly connected, GigabitEthernet0/1 192.168.1.0/24 [1/0] via 10.1.1.2

¿Cómo se indica esta ruta nueva en la tabla de routing? ____________________________________________________________________________________ S*


¿Cuál es el gateway de último recurso? ____________________________________________________________________________________ Gateway of last resort is 0.0.0.0 to network 0.0.0.0 c.

¿Es posible hacer ping del host PC-A a 209.165.200.225? __________ Sí

d. ¿Es posible hacer ping del host PC-A a 198.133.219.1? __________ Sí


Página 10 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 Estos pings deben tener éxito.

Reflexión 1. Una nueva red 192.168.3.0/24 está conectada a la interfaz G0/0 del R1. ¿Qué comandos podrían utilizarse para configurar una ruta estática a esa red desde el R3? _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas varían. ip route 192.168.3.0 255.255.255.0 10.1.1.1, ip route192.168.3.0 255.255.255.0 s0/0/0 o ip route 0.0.0.0 0.0.0.0 s0/0/0. 2. ¿Ofrece alguna ventaja configurar una ruta estática conectada directamente, en vez de una ruta estática? _______________________________________________________________________________________ _______________________________________________________________________________________ La configuración de una ruta estática conectada directamente permite que la tabla de routing resuelva la interfaz de salida en una sola búsqueda, en vez de en dos búsquedas, como se requiere para las rutas estáticas recursivas. 3. ¿Por qué es importante configurar una ruta predeterminada en un router? _______________________________________________________________________________________ Una ruta predeterminada evita que el router descarte paquetes en destinos desconocidos.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)



Página 11 de 17


Apéndice A: comandos de configuración para las partes 2, 3 y 4 Los comandos que se indican en el apéndice A sirven exclusivamente como referencia. Este apéndice no incluye todos los comandos específicos que se necesitan para completar esta práctica de laboratorio.

Configuración básica de los dispositivos Configure los parámetros IP en el router. R3(config)# interface s0/0/0 R3(config-if)# ip address 10.1.1.2 255.255.255.252 R3(config-if)# clock rate 128000 R3(config-if)# no shutdown

Configuraciones de rutas estáticas Configure una ruta estática recursiva. R1(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.2 Configure una ruta estática conectada directamente. R3(config)# ip route 192.168.0.0 255.255.255.0 s0/0/0 Elimine las rutas estáticas. R1(config)# no ip route 209.165.200.224 255.255.255.224 serial0/0/1 o R1(config)# no ip route 209.165.200.224 255.255.255.224 10.1.1.2 o R1(config)# no ip route 209.165.200.224 255.255.255.224

Configuración de rutas predeterminadas R1(config)# ip route 0.0.0.0 0.0.0.0 s0/0/1

Configuraciones de dispositivos: R1 y R3 Router R1 (después de la parte 4) R1#show run Building configuration... Current configuration : 1547 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker !


Página 12 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! redundancy ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 !


Página 13 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 interface Serial0/0/1 ip address 10.1.1.1 255.255.255.252 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 Serial0/0/1 ip route 192.168.1.0 255.255.255.0 10.1.1.2 ! ! ! ! control-plane ! ! banner motd ^CUnauthorized access prohibited!^C ! line con 0 password 7 01100F175804 logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 01100F175804 logging synchronous login transport input all ! scheduler allocate 20000 1000 ! end

Router R3 R3#show run Building configuration... Current configuration : 1700 bytes ! version 15.2 service timestamps debug datetime msec


Página 14 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 service timestamps log datetime msec service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! vtp domain TSHOOT vtp mode transparent ! redundancy ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface Loopback0


Página 15 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 ip address 209.165.200.225 255.255.255.224 ! interface Loopback1 ip address 198.133.219.1 255.255.255.0 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 clock rate 256000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 192.168.0.0 255.255.255.0 Serial0/0/0 ! ! ! ! control-plane ! ! banner motd ^CUnauthorized access prohibited!^C ! line con 0 password 7 110A1016141D logging synchronous login line aux 0 line 2


Página 16 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 00071A150754 logging synchronous login transport input all ! scheduler allocate 20000 1000 ! end


Página 17 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IPv6/longitud de prefijo


G0/1

2001:DB8:ACAD:A::/64 eui-64

N/A

S0/0/1

FC00::1/64

N/A

G0/1

2001:DB8:ACAD:B::/64 eui-64

N/A

S0/0/0

FC00::2/64

N/A

PC-A

NIC

SLAAC

SLAAC

PC-C

NIC

SLAAC

SLAAC

R3

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos •

Habilitar el routing de unidifusión IPv6 y configurar el direccionamiento IPv6 en los routers.

•

Deshabilitar el direccionamiento IPv4 y habilitar SLAAC de IPv6 para las interfaces de red de las computadoras.

•

Usar ipconfig y ping para verificar la conectividad LAN.

•

Usar los comandos show para verificar la configuración de IPv6.


Página 1 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 Parte 2: configurar rutas estáticas y predeterminadas IPv6 •

Configurar una ruta estática IPv6 conectada directamente.

•

Configurar una ruta estática IPv6 recursiva.

•

Configurar una ruta estática predeterminada IPv6.

Información básica/situación En esta práctica de laboratorio, configurará toda la red para establecer la comunicación solo con direccionamiento IPv6. Esto incluye la configuración de los routers y las computadoras. Usará la configuración automática de dirección sin estado (SLAAC) para configurar las direcciones IPv6 para los hosts. También configurará rutas estáticas y predeterminadas IPv6 en los routers para habilitar la comunicación con redes remotas que no están conectadas directamente. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, realizará el cableado de la red y la configurará para que establezca la comunicación utilizando direccionamiento IPv6.

Paso 1. Realice el cableado de red tal como se muestra en el diagrama de topología. Paso 2. inicializar y volver a cargar los routers y los switches. Paso 3. habilitar el routing de unidifusión IPv6 y configurar el direccionamiento IPv6 en los routers. a. Mediante Tera Term, acceda al router etiquetado R1 en el diagrama de la topología mediante el puerto de consola y asígnele el nombre R1. b. En el modo de configuración global, habilite el routing IPv6 en el R1.


Página 2 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 R1(config)# ipv6 unicast-routing c.

Configure las interfaces de red en el R1 con direcciones IPv6. Observe que IPv6 está habilitado en cada interfaz. La interfaz G0/1 tiene una dirección de unidifusión enrutable globalmente, y se utiliza EUI-64 para crear la porción del identificador de la interfaz de la dirección. La interfaz S0/0/1 tiene una dirección local única y enrutable de forma privada, que se recomienda para las conexiones seriales punto a punto. R1(config)# interface g0/1 R1(config-if)# ipv6 address 2001:DB8:ACAD:A::/64 eui-64 R1(config-if)# no shutdown R1(config-if)# interface serial 0/0/1 R1(config-if)# ipv6 address FC00::1/64 R1(config-if)# no shutdown R1(config-if)# exit

d. Asigne un nombre de dispositivo al router R3. e. En el modo de configuración global, habilite el routing IPv6 en el R3. R3(config)# ipv6 unicast-routing f.

Configure las interfaces de red en el R3 con direcciones IPv6. Observe que IPv6 está habilitado en cada interfaz. La interfaz G0/1 tiene una dirección de unidifusión enrutable globalmente, y se utiliza EUI-64 para crear la porción del identificador de la interfaz de la dirección. La interfaz S0/0/0 tiene una dirección local única y enrutable de forma privada, que se recomienda para las conexiones seriales punto a punto. La frecuencia de reloj está establecida, porque es el extremo del DCE del cable serial. R3(config)# interface gigabit 0/1 R3(config-if)# ipv6 address 2001:DB8:ACAD:B::/64 eui-64 R3(config-if)# no shutdown R3(config-if)# interface serial 0/0/0 R3(config-if)# ipv6 address FC00::2/64 R3(config-if)# clock rate 128000 R3(config-if)# no shutdown R3(config-if)# exit

Paso 4. deshabilitar el direccionamiento IPv4 y habilitar SLAAC de IPv6 para las interfaces de red de las computadoras. a. En la PC-A y la PC-C, navegue hasta el menú Inicio > Panel de control. Haga clic en el enlace Centro de redes y recursos compartidos en la vista por íconos. En la ventana Centro de redes y recursos compartidos, haga clic en el enlace Cambiar configuración del adaptador, que se encuentra en el lado izquierdo de la ventana, para abrir la ventana Conexiones de red. b. En la ventana Conexiones de red, verá los íconos de los adaptadores de interfaz de red. Haga doble clic en el ícono de Conexión de área local de la interfaz de red de la computadora que está conectada al switch. Haga clic en Propiedades para abrir la ventana de diálogo Propiedades de conexión de área local. c.

Con la ventana Propiedades de conexión de área local abierta, desplácese hacia abajo por los elementos y desactive la casilla de verificación del elemento Protocolo de Internet versión 4 (TCP/IPv4) para deshabilitar el protocolo IPv4 en la interfaz de red.

d. Con la ventana Propiedades de conexión de área local todavía abierta, haga clic en la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y luego en Propiedades.


Página 3 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 e. Con la ventana Propiedades > Protocolo de Internet versión 6 (TCP/IPv6) abierta, verifique que los botones de opción Obtener una dirección IPv6 automáticamente y Obtener la dirección del servidor DNS automáticamente estén seleccionados. Si no lo están, selecciónelos. f.

Si las computadoras están configuradas para obtener una dirección IPv6 automáticamente, se comunicarán con los routers para obtener la información del gateway y de la subred de la red y configurarán automáticamente la información de la dirección IPv6. En el siguiente paso, verificará la configuración.

Paso 5. usar ipconfig y ping para verificar la conectividad LAN. a. En la PC-A, abra un símbolo del sistema, escriba ipconfig /all y presione Enter. El resultado debe ser similar al que se muestra a continuación. En el resultado, debería ver que la computadora ahora tiene una dirección IPv6 de unidifusión global, una dirección IPv6 link-local y una dirección IPv6 link-local de gateway predeterminado. Es posible que también vea una dirección IPv6 temporal y, en direcciones del servidor DNS, tres direcciones locales de sitio que empiezan con FEC0. Las direcciones locales de sitio son direcciones privadas que tienen compatibilidad retrospectiva con NAT. Sin embargo, no son compatibles con IPv6, y se reemplazaron con direcciones locales únicas. C:\Users\User1> ipconfig /all Windows IP Configuration Ethernet adapter Local Area Connection: Connection-specific DNS Suffix Description . . . . . . . . . . Physical Address. . . . . . . . DHCP Enabled. . . . . . . . . . Autoconfiguration Enabled . . . IPv6 Address. . . . . . . . . . Temporary IPv6 Address. . . . . Link-local IPv6 Address . . . . Default Gateway . . . . . . . . DNS Servers . . . . . . . . . .

. . . . . . . . . .

: : : : : : : : : :

Intel(R) 82577LC Gigabit Network Connection 1C-C1-DE-91-C3-5D No Yes 2001:db8:acad:a:7c0c:7493:218d:2f6c(Preferred) 2001:db8:acad:a:bc40:133a:54e7:d497(Preferred) fe80::7c0c:7493:218d:2f6c%13(Preferred) fe80::6273:5cff:fe0d:1a61%13 fec0:0:0:ffff::1%1 fec0:0:0:ffff::2%1 fec0:0:0:ffff::3%1 NetBIOS over Tcpip. . . . . . . . : Disabled

Sobre la base de la implementación de la red y el resultado del comando ipconfig /all, ¿la PC-A recibió información de direccionamiento IPv6 del R1? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Si el router tiene la interfaz Gigabit Ethernet y el routing de unidifusión IPv6 configurados, entonces la respuesta debería ser sí. Nota: quizá se produzca una demora de algunos segundos mientras la computadora negocia automáticamente la información de la dirección IPv6 del router. b. ¿Cuál es la dirección IPv6 de unidifusión global de la PC-A? ____________________________________________________________________________________


Página 4 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 Las respuestas varían debido a la naturaleza única de la ID del host eui-64. En el ejemplo del paso 5a, las dirección de unidifusión global es 2001:db8:acad:a:7c0c:7493:218d:2f6c(Preferred). c.

¿Cuál es la dirección IPv6 link-local de la PC-A? ____________________________________________________________________________________ Las respuestas varían debido a la naturaleza única de la dirección link-local. En el ejemplo del paso 5a, la dirección link-local es fe80::7c0c:7493:218d:2f6c%13(Preferred).

d. ¿Cuál es la dirección IPv6 de gateway predeterminado de la PC-A? ____________________________________________________________________________________ Las respuestas varían debido a la naturaleza única de la dirección link-local de gateway predeterminado. e. En la PC-A, use el comando ping -6 para emitir un ping IPv6 a la dirección link-local de gateway predeterminado. Debería ver respuestas del router R1. C:\Users\User1> ping -6 C:\Users\User1> ping -6 fe80::6273:5cff:fe0d:1a61%13 Pinging fe80::6273:5cff:fe0d:1a61%13 with 32 bytes of data: Reply from fe80::6273:5cff:fe0d:1a61%13: time<1ms Reply from fe80::6273:5cff:fe0d:1a61%13: time<1ms Reply from fe80::6273:5cff:fe0d:1a61%13: time<1ms Reply from fe80::6273:5cff:fe0d:1a61%13: time<1ms Ping statistics for fe80::6273:5cff:fe0d:1a61%13: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms

¿La PC-A recibió respuestas al ping hizo que al R1? ____________________________________________________________________________________ Si la computadora recibió información de dirección IP del router, entonces la respuesta debería ser “sí”. f.

Repita el paso 5a en la PC-C. ¿La PC-C recibió información de direccionamiento IPv6 del R3? ____________________________________________________________________________________ Si el router tiene la interfaz Gigabit Ethernet y el routing de unidifusión IPv6 configurados, entonces la respuesta debería ser sí. Nota: quizá se produzca una demora de algunos segundos mientras la computadora negocia automáticamente la información de la dirección IPv6 del router.

g. ¿Cuál es la dirección IPv6 de unidifusión global de la PC-C? ____________________________________________________________________________________ Las respuestas variarán debido a la naturaleza única del identificador del host eui-64. h. ¿Cuál es la dirección IPv6 link-local de la PC-C? ____________________________________________________________________________________ Las respuestas variarán debido a la naturaleza única de la dirección link-local.


Página 5 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 i.

¿Cuál es la dirección IPv6 de gateway predeterminado de la PC-C? ____________________________________________________________________________________ Las respuestas varían debido a la naturaleza única de la dirección link-local de gateway predeterminado.

j.

En la PC-C, use el comando ping -6 para hacer ping al gateway predeterminado de la PC-C. ¿La PC-C recibió respuestas a los pings que hizo al R3? ____________________________________________________________________________________ Si la computadora recibió información de dirección IP del router, entonces la respuesta debería ser “sí”.

k.

Intente hacer ping -6 IPv6 de la PC-A a la dirección IPv6 de la PC-C. C:\Users\User1> ping -6 PC-C-IPv6-address ¿El ping se realizó correctamente? ¿Por qué o por qué no? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ La respuesta debería ser “no”, porque los routers no tienen configuración de routing estático ni dinámico y solo detectaron las redes conectadas directamente. Sin las rutas apropiadas, los routers descartan paquetes con destino a redes desconocidas.

Paso 6. Use los comandos show para verificar la configuración de IPv6. a. Revise el estado de las interfaces en el R1 con el comando show ipv6 interface brief. R1# show ipv6 interface brief Em0/0 [administratively down/down] unassigned GigabitEthernet0/0 [administratively down/down] unassigned GigabitEthernet0/1 [up/up] FE80::6273:5CFF:FE0D:1A61 2001:DB8:ACAD:A:6273:5CFF:FE0D:1A61 Serial0/0/0 [administratively down/down] unassigned Serial0/0/1 [up/up] FE80::6273:5CFF:FE0D:1A60 FC00::1 ¿Cuáles son las dos direcciones IPv6 de la interfaz G0/1 y qué tipo de direcciones IPv6 son? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían en función de la porción del identificador de la interfaz de la dirección. Según el resultado del comando anterior, la respuesta es: una dirección link-local en FE80::6273:5CFF:FE0D:1A61 y una dirección de unidifusión global en 2001:DB8:ACAD:A:6273:5CFF:FE0D:1A61


Página 6 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 ¿Cuáles son las dos direcciones IPv6 de la interfaz S0/0/1 y qué tipo de direcciones IPv6 son? ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían en función de la porción del identificador de la interfaz de la dirección. Según el resultado del comando anterior, la respuesta es: una dirección link-local en FE80::6273:5CFF:FE0D:1A60 y una dirección local única en FC00::1. b. Para ver información más detallada sobre las interfaces IPv6, escriba el comando show ipv6 interface en el R1 y presione Enter. R1# show ipv6 interface

GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::6273:5CFF:FE0D:1A61 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A:6273:5CFF:FE0D:1A61, subnet is 2001:DB8:ACAD:A::/64 [EUI] Joined group address(es): FF02::1 FF02::2 FF02::1:FF0D:1A61 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses. Serial0/0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::6273:5CFF:FE0D:1A60 No Virtual link-local address(es): Global unicast address(es): FC00::1, subnet is FC00::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 FF02::1:FF0D:1A60 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND RAs are suppressed (periodic) Hosts use stateless autoconfig for addresses.


Página 7 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 ¿Cuáles son las direcciones del grupo de multidifusión de la interfaz Gigabit Ethernet 0/1? ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían un poco. Sobre la base del resultado del comando anterior: FF02::1, FF02::2, FF02::1:FF0D:1A61 ¿Cuáles son las direcciones del grupo de multidifusión de la interfaz S0/0/1? ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían un poco. Sobre la base del resultado del comando anterior: FF02::1, FF02::2, FF02::1:FF00:1, FF02::1:FF0D:1A60 ¿Para qué se usa la dirección de multidifusión FF02::1? ____________________________________________________________________________________ Para la multidifusión a todos los nodos en el segmento de red local. ¿Para qué se usa la dirección de multidifusión FF02::2? ____________________________________________________________________________________ Para la multidifusión a todos los routers en el segmento de red local. ¿Qué tipo de direcciones de multidifusión son FF02::1:FF00:1 y FF02::1:FF0D:1A60 y para qué se usan? ____________________________________________________________________________________ ____________________________________________________________________________________ Direcciones de multidifusión de nodo solicitado. Cada dirección de unidifusión de interfaz o dirección anycast tiene que tener una dirección de multidifusión de nodo solicitado para resolver las direcciones vecinas en la dirección link-local. c.

Vea la información de la tabla de routing IPv6 del R1 con el comando show ipv6 route. La tabla de routing IPv6 debe tener dos rutas conectadas, una para cada interfaz, y tres rutas locales, una para cada interfaz y otra para el tráfico de multidifusión a una interfaz Null0. R1# show ipv6 route

IPv6 Routing Table - default - 5 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 C 2001:DB8:ACAD:A::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD:A:6273:5CFF:FE0D:1A61/128 [0/0] via GigabitEthernet0/1, receive C FC00::/64 [0/0] via Serial0/0/1, directly connected L FC00::1/128 [0/0] via Serial0/0/1, receive L FF00::/8 [0/0]


Página 8 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 via Null0, receive

¿De qué forma el resultado de la tabla de routing del R1 revela el motivo por el que no pudo hacer ping de la PC-A a la PC-C? ____________________________________________________________________________________ ____________________________________________________________________________________ El ping a la PC-C fue incorrecto, porque no hay una ruta a la red 2001:DB8:ACAD:B::/64 en la tabla de routing.

Parte 2. configurar rutas estáticas y predeterminadas IPv6 En la parte 2, configurará rutas estáticas y predeterminadas IPv6 de tres maneras distintas. Confirmará que las rutas se agreguen a las tablas de routing y verificará que la conectividad entre la PC-A y la PC-C sea correcta. Configurará tres tipos de rutas estáticas IPv6: •

Ruta estática IPv6 conectada directamente: una ruta estática conectada directamente se crea al especificar la interfaz de salida.

•

Ruta estática IPv6 recursiva: una ruta estática recursiva se crea al especificar la dirección IP del siguiente salto. Este método requiere que el router ejecute una búsqueda recursiva en la tabla de routing para identificar la interfaz de salida.

•

Ruta estática predeterminada IPv6: similar a una ruta IPv4 de cuádruple cero, una ruta estática predeterminada IPv6 se crea al hacer que el prefijo IPv6 de destino y la longitud de prefijo sean todos ceros, :: /0.

Paso 1. configurar una ruta estática IPv6 conectada directamente. En una ruta estática IPv6 conectada directamente, la entrada de ruta especifica la interfaz de salida del router. En general, una ruta estática conectada directamente se utiliza con una interfaz serial punto a punto. Para configurar una ruta estática IPv6 conectada directamente, utilice el siguiente formato de comando: Router(config)# ipv6 route a. En el router R1, configure una ruta estática IPv6 a la red 2001:DB8:ACAD:B::/64 en el R3 mediante la interfaz de salida S0/0/1 del R1. R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1 R1(config)# b. Consulte la tabla de routing IPv6 para verificar la entrada de la ruta estática nueva. R1# show ipv6 route

IPv6 Routing Table - default - 6 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 C 2001:DB8:ACAD:A::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD:A:6273:5CFF:FE0D:1A61/128 [0/0] via GigabitEthernet0/1, receive S 2001:DB8:ACAD:B::/64 [1/0]


Página 9 de 17


C L L

via Serial0/0/1, directly connected FC00::/64 [0/0] via Serial0/0/1, directly connected FC00::1/128 [0/0] via Serial0/0/1, receive FF00::/8 [0/0] via Null0, receive

¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta que se agregó recientemente a la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ S

c.

2001:DB8:ACAD:B::/64 [1/0] via Serial0/0/1, directly connected

Ahora que la ruta estática se configuró en el R1, ¿es posible hacer ping de la PC-A al host PC-C? ____________________________________________________________________________________ La respuesta es “no”, todavía no. Estos pings deben fallar. Si la ruta estática recursiva se configuró correctamente, el ping llega a la PC-C. La PC-C envía un ping de respuesta a la PC-A. Sin embargo, ese ping se descarta en el R3, porque el R3 no tiene una ruta de retorno a la red 2001:DB8:ACAD:A::/64 en la tabla de routing. Para hacer ping correctamente a través de la red, también debe crear una ruta estática en el R3.

d. En el router R3, configure una ruta estática IPv6 a la red 2001:DB8:ACAD:A::/64, mediante la interfaz de salida S0/0/0 del R3. R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0 R3(config)# e. Ahora que ambos routers tienen rutas estáticas, intente hacer ping -6 de IPv6 desde la PC-A hasta la dirección IPv6 de unidifusión global de la PC-C. C:\Users\User1>ping -6 2001:db8:acad:b:8cf0:f8ab:f36e:dfa8 Pinging 2001:db8:acad:b:8cf0:f8ab:f36e:dfa8 with 32 bytes of data: Reply from 2001:db8:acad:b:8cf0:f8ab:f36e:dfa8: time=17ms Reply from 2001:db8:acad:b:8cf0:f8ab:f36e:dfa8: time=6ms Reply from 2001:db8:acad:b:8cf0:f8ab:f36e:dfa8: time=6ms Reply from 2001:db8:acad:b:8cf0:f8ab:f36e:dfa8: time=6ms Ping statistics for 2001:db8:acad:b:8cf0:f8ab:f36e:dfa8: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 6ms, Maximum = 17ms, Average = 8ms ¿El ping se realizó correctamente? ¿Por qué? ____________________________________________________________________________________ Con rutas estáticas configuradas en el R1 y el R3, el ping debería realizarse correctamente.


Página 10 de 17


Paso 2. configurar una ruta estática IPv6 recursiva. En una ruta estática IPv6 recursiva, la entrada de ruta tiene la dirección IPv6 del router del siguiente salto. Para configurar una ruta estática IPv6 recursiva, utilice el siguiente formato de comando: Router(config)# ipv6 route a. En el router R1, elimine la ruta estática conectada directamente y agregue una ruta estática recursiva. R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1 R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 FC00::2 R1(config)# exit b. En el router R3, elimine la ruta estática conectada directamente y agregue una ruta estática recursiva. R3(config)# no ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0 R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 FC00::1 R3(config)# exit c.

Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta estática nueva. R1# show ipv6 route

IPv6 Routing Table - default - 6 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 C 2001:DB8:ACAD:A::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD:A:6273:5CFF:FE0D:1A61/128 [0/0] via GigabitEthernet0/1, receive S 2001:DB8:ACAD:B::/64 [1/0] via FC00::2 C FC00::/64 [0/0] via Serial0/0/1, directly connected L FC00::1/128 [0/0] via Serial0/0/1, receive L FF00::/8 [0/0] via Null0, receive

¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta que se agregó recientemente a la tabla de routing? ____________________________________________________________________________________ S

2001:DB8:ACAD:B::/64 [1/0] via FC00::2

d. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la PC-C. ¿El ping se realizó correctamente? _________________ Sí Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.


Página 11 de 17


Paso 3. configurar una ruta estática predeterminada IPv6. En una ruta estática predeterminada, el prefijo IPv6 de destino y la longitud de prefijo son todos ceros. Router(config)# ipv6 route ::/0 {and/or} a. En el router R1, elimine la ruta estática recursiva y agregue una ruta estática predeterminada. R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 FC00::2 R1(config)# ipv6 route ::/0 serial 0/0/1 R1(config)# b. En el R3, elimine la ruta estática recursiva y agregue una ruta estática predeterminada. R3(config)# no ipv6 route 2001:DB8:ACAD:A::/64 FC00::1 R3(config)# ipv6 route ::/0 serial 0/0/0 R3(config)# c.

Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta estática nueva. R1# show ipv6 route

IPv6 Routing Table - default - 6 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 S ::/0 [1/0] via Serial0/0/1, directly connected C 2001:DB8:ACAD:A::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD:A:6273:5CFF:FE0D:1A61/128 [0/0] via GigabitEthernet0/1, receive C FC00::/64 [0/0] via Serial0/0/1, directly connected L FC00::1/128 [0/0] via Serial0/0/1, receive L FF00::/8 [0/0] via Null0, receive

¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta predeterminada que se agregó recientemente a la tabla de routing? ____________________________________________________________________________________ S

::/0 [1/0] via Serial0/0/1, directly connected

d. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la PC-C. ¿El ping se realizó correctamente? __________________ Sí Nota: quizás sea necesario inhabilitar el firewall de las computadoras para hacer ping entre estas.


Página 12 de 17


Reflexión 1. Esta práctica de laboratorio se centra en la configuración de rutas estáticas y predeterminadas IPv6. ¿Puede pensar en una situación en la que tendría que configurar rutas estáticas y predeterminadas IPv6 e IPv4 en un router? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Muchos proveedores de servicios de Internet (ISP) están implementando redes IPv6 y es posible que en el futuro cercano requieran que sus clientes utilicen el direccionamiento IPv6 para conectarse a sus redes. En esta situación, es posible que los administradores de red decidan implementar redes IPv4 e IPv6 y, por lo tanto, necesiten configurar routing IPv6 e IPv4. 2. En la práctica, la configuración de rutas estáticas y predeterminadas IPv6 es muy similar a la configuración de rutas estáticas y predeterminadas IPv4. Independientemente de las diferencias obvias entre el direccionamiento IPv6 e IPv4, ¿cuáles son algunas otras diferencias que se observan al configurar y verificar una ruta estática IPv6 en comparación con una ruta estática IPv4? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Al configurar una ruta estática IPv6, se utiliza el comando ipv6 route en vez del comando ip route. Otra diferencia importante es la necesidad de utilizar el comando show ipv6 route para ver la tabla de routing IPv6, mientras que para ver la tabla de routing IPv4 se utiliza el comando show ip route.


Página 13 de 17





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router R1 R1#show run Building configuration... Current configuration : 1222 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! no aaa new-model ! ipv6 unicast-routing ipv6 cef !


Página 14 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 ip cef multilink bundle-name authenticated ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ipv6 address 2001:DB8:ACAD:A::/64 eui-64 ipv6 enable ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address ipv6 address FC00::1/64 ipv6 enable ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 route ::/0 Serial0/0/1 ! control-plane ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1


Página 15 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 ! end

Router R3 R3#show run Building configuration... Current configuration : 1241 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! no aaa new-model ! ipv6 unicast-routing ipv6 cef ! ip cef multilink bundle-name authenticated ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ipv6 address 2001:DB8:ACAD:B::/64 eui-64 ipv6 enable


Página 16 de 17

Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv6 ! interface Serial0/0/0 no ip address ipv6 address FC00::2/64 ipv6 enable clock rate 256000 ! interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 route ::/0 Serial0/0/0 ! control-plane ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 ! end


Página 17 de 17

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Objetivos Parte 1: examinar los requisitos de la red Parte 2: diseñar el esquema de direcciones VLSM Parte 3: realizar el cableado y configurar la red IPv4

Información básica/situación La máscara de subred de longitud variable (VLSM) se diseñó para conservar direcciones IP. Con VLSM, una red se divide en subredes, que luego se subdividen nuevamente. Este proceso se puede repetir varias veces para crear subredes de distintos tamaños, según el número de hosts requerido en cada subred. El uso eficaz de VLSM requiere la planificación de direcciones. En esta práctica de laboratorio, se le asigna la dirección de red 172.16.128.0/17 para que desarrolle un esquema de direcciones para la red que se muestra en el diagrama de la topología. Se usará VLSM para que se pueda cumplir con los requisitos de direccionamiento. Después de diseñar el esquema de direcciones VLSM, configurará las interfaces en los routers con la información de dirección IP adecuada. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos.


Página 1 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos. Nota para el instructor: esta práctica de laboratorio es una revisión de los conceptos de VLSM que se abarcaron en el curso de CCNA anterior. Si el tiempo es un problema, la práctica de laboratorio se puede llevar a cabo en varias sesiones. Las partes 1 y 2 están diseñadas para desarrollarse en papel y pueden asignarse como tarea. La parte 3 es práctica y requiere equipos de laboratorio.



•

1 computadora (con un programa de emulación de terminal, como Tera Term, para configurar los routers)

•

Cable de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola

•

Cables Ethernet (optativo) y seriales, como se muestra en la topología

•

Calculadora de Windows (optativo)

Parte 1: examinar los requisitos de la red En la parte 1, examinará los requisitos de la red y utilizará la dirección de red 172.16.128.0/17 para desarrollar un esquema de direcciones VLSM para la red que se muestra en el diagrama de la topología. Nota: puede utilizar la aplicación Calculadora de Windows y la calculadora de subredes IP de www.ipcalc.org como ayuda para sus cálculos.

Paso 1. determinar la cantidad de direcciones host disponibles y la cantidad de subredes que se necesitan. ¿Cuántas direcciones host se encuentran disponibles en una red /17? ________ 32 766 ¿Cuál es la cantidad total de direcciones host que se necesitan en el diagrama de la topología? ________ 31 506 ¿Cuántas subredes se necesitan en la topología de la red? ______ 9

Paso 2. determinar la subred más grande que se necesita. Descripción de la subred (p. ej., enlace BR1 G0/1 LAN o BR1-HQ WAN) _________________ HQ G0/0 LAN ¿Cuántas direcciones IP se necesitan en la subred más grande? __________ 16 000 ¿Cuál es la subred más pequeña que admite esa cantidad de direcciones? _____________________ /18 o 255.255.192.0 ¿Cuántas direcciones host admite esa subred? _________ 16 382 ¿Se puede dividir la red 172.16.128.0/17 en subredes para admitir esta subred? _____ sí ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________ 172.16.128.0/18 _____________________ 172.16.192.0/18 Utilice la primera dirección de red para esta subred.


Página 2 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM

Paso 3. determinar la segunda subred más grande que se necesita. Descripción de la subred _____________________________ HQ G0/1 LAN ¿Cuántas direcciones IP se necesitan para la segunda subred más grande? ______ 8000 ¿Cuál es la subred más pequeña que admite esa cantidad de hosts? ___________________ /19 o 255.255.224.0 ¿Cuántas direcciones host admite esa subred? __________ 8190 ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ sí ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________ 172.16.192.0/19 _____________________ 172.16.224.0/19 Utilice la primera dirección de red para esta subred.

Paso 4. determinar la siguiente subred más grande que se necesita. Descripción de la subred _____________________________ BR1 G0/1 LAN ¿Cuántas direcciones IP se necesitan para la siguiente subred más grande? ______ 4000 ¿Cuál es la subred más pequeña que admite esa cantidad de hosts? ___________________ /20 o 255.255.240.0 ¿Cuántas direcciones host admite esa subred? __________ 4094 ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ sí ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________ 172.16.224.0/20 _____________________ 172.16.240.0/20 Utilice la primera dirección de red para esta subred.


Paso 6. determinar la siguiente subred más grande que se necesita. Descripción de la subred _____________________________ BR2 G0/1 LAN


Página 3 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM ¿Cuántas direcciones IP se necesitan para la siguiente subred más grande? ______ 1000 ¿Cuál es la subred más pequeña que admite esa cantidad de hosts? ___________________ /22 o 255.255.252.0 ¿Cuántas direcciones host admite esa subred? __________ 1022 ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ sí ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________ 172.16.248.0/22 _____________________ 172.16.252.0/22 Utilice la primera dirección de red para esta subred.


Paso 8. determinar las subredes que se necesitan para admitir los enlaces seriales. ¿Cuántas direcciones host se necesitan para cada enlace de subred serial? ______ 2 ¿Cuál es la subred más pequeña que admite esa cantidad de direcciones host? ___________________ /30 o 255.255.255.252 a. Divida la subred restante en subredes y, a continuación, escriba las direcciones de red que se obtienen de esta división. ___________________ 172.16.254.0/24 ___________________ 172.16.255.0/24 b. Siga dividiendo en subredes la primera subred de cada subred nueva hasta obtener cuatro subredes /30. Escriba las primeras tres direcciones de red de estas subredes /30 a continuación. ___________________ 172.16.254.0/30 ___________________ 172.16.254.4/30 ___________________ 172.16.254.8/30 c. Introduzca las descripciones de las subredes de estas tres subredes a continuación. ____________________________ Enlace serial HQ - BR1 ____________________________ Enlace serial HQ - BR2 ____________________________ Enlace serial BR1 - BR2


Página 4 de 13


Parte 2: diseñar el esquema de direcciones VLSM Paso 1. calcular la información de subred. Utilice la información que obtuvo en la parte 1 para completar la siguiente tabla. Descripción de la subred

Cantidad de hosts necesarios

Dirección de red/CIDR

Primera dirección de host

Dirección de broadcast

HQ G0/0

16 000

172.16.128.0/18

172.16.128.1

172.16.191.255

HQ G0/1

8 000

172.16.192.0/19

172.16.192.1

172.16.223.255

BR1 G0/1

4 000

172.16.224.0/20

172.16.224.1

172.16.239.255

BR1 G0/0

2 000

172.16.240.0/21

172.16.240.1

172.16.247.255

BR2 G0/1

1.000

172.16.248.0/22

172.16.248.1

172.16.251.255

BR2 G0/0

500

172.16.252.0/23

172.16.252.1

172.16.253.255

HQ S0/0/0-BR1 S0/0/0

2

172.16.254.0/30

172.16.254.1

172.16.254.3

HQ S0/0/1-BR2 S0/0/1

2

172.16.254.4/30

172.16.254.5

172.16.254.7

BR1 S0/0/1-BR2 S0/0/0

2

172.16.254.8/30

172.16.254.9

172.168.254.11

Paso 2. completar la tabla de direcciones de interfaces de dispositivos. Asigne la primera dirección host en la subred a las interfaces Ethernet. A HQ se le debería asignar la primera dirección host en los enlaces seriales a BR1 y BR2. A BR1 se le debería asignar la primera dirección host para el enlace serial a BR2. Dispositivo

HQ

BR1

BR2

Interfaz

Dirección IP

Máscara de subred

Interfaz del dispositivo

G0/0

172.16.128.1

255.255.192.0

LAN de 16 000 hosts

G0/1

172.16.192.1

255.255.224.0

LAN de 8000 hosts

S0/0/0

172.16.254.1

255.255.255.252

BR1 S0/0/0

S0/0/1

172.16.254.5

255.255.255.252

BR2 S0/0/1

G0/0

172.16.240.1

255.255.248.0

LAN de 2000 hosts

G0/1

172.16.224.1

255.255.240.0

LAN de 4000 hosts

S0/0/0

172.16.254.2

255.255.255.252

HQ S0/0/0

S0/0/1

172.16.254.9

255.255.255.252

BR2 S0/0/0

G0/0

172.16.252.1

255.255.254.0

LAN de 500 hosts

G0/1

172.16.248.1

255.255.252.0

LAN de 1000 hosts

S0/0/0

172.16.254.10

255.255.255.252

BR1 S0/0/1

S0/0/1

172.16.254.6

255.255.255.252

HQ S0/0/1


Página 5 de 13


Parte 3: realizar el cableado y configurar la red IPv4 En la parte 3, realizará el cableado de la topología de la red y configurará los tres routers con el esquema de direcciones VLSM que elaboró en la parte 2.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los parámetros básicos en cada router. a. Asigne el nombre de dispositivo al router. b. Deshabilite la búsqueda DNS para evitar que el router intente traducir los comandos incorrectamente introducidos como si fueran nombres de host. c.


d. Asigne cisco como la contraseña de consola y habilite el inicio de sesión. e. Asigne cisco como la contraseña de vty y habilite el inicio de sesión. f.


g. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está prohibido.

Paso 3. configurar las interfaces en cada router. a. Asigne una dirección IP y una máscara de subred a cada interfaz utilizando la tabla que completó en la parte 2. b. Configure una descripción de interfaz para cada interfaz. c.

Establezca la frecuencia de reloj en 128000 en todas las interfaces seriales DCE. HQ(config-if)# clock rate 128000

d. Active las interfaces.

Paso 4. guardar la configuración en todos los dispositivos. Paso 5. Probar la conectividad a. Haga ping de HQ a la dirección de la interfaz S0/0/0 de BR1. b. Haga ping de HQ a la dirección de la interfaz S0/0/1 de BR2. c.

Haga ping de BR1 a la dirección de la interfaz S0/0/0 de BR2.

d. Si los pings no se realizaron correctamente, resuelva los problemas de conectividad. Nota: los pings a las interfaces GigabitEthernet en otros routers no son correctos. Las LAN definidas para las interfaces GigabitEthernet son simuladas. Debido a que no hay ningún dispositivo conectado a estas LAN, están en estado down/down. Debe haber un protocolo de routing para que otros dispositivos detecten esas subredes. Las interfaces de GigabitEthernet también deben estar en estado up/up para que un protocolo de routing pueda agregar las subredes a la tabla de routing. Estas interfaces permanecen en el estado down/down hasta que se conecta un dispositivo al otro extremo del cable de interfaz Ethernet. Esta práctica de laboratorio se centra en VLSM y en la configuración de interfaces.


Página 6 de 13


Reflexión ¿Puede pensar en un atajo para calcular las direcciones de red de las subredes /30 consecutivas? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar. Una red /30 tiene cuatro espacios de dirección: la dirección de red, dos direcciones host y una dirección de difusión. Otra técnica para obtener la siguiente dirección de red /30 sería tomar la dirección de red de la red /30 anterior y agregar 4 al último octeto.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router R1 (configuración final) BR1#sh run Building configuration... Current configuration : 1555 bytes ! version 15.2 service timestamps debug datetime msec


Página 7 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM service timestamps log datetime msec service password-encryption ! hostname BR1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description LAN with 2,000 hosts. ip address 172.16.240.1 255.255.248.0 duplex auto speed auto ! interface GigabitEthernet0/1 description LAN with 4,000 hosts. ip address 172.16.224.1 255.255.240.0 duplex auto speed auto ! interface Serial0/0/0 description Connection to HQ S0/0/0. ip address 172.16.254.2 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 description Connection to BR2 S0/0/0. ip address 172.16.254.9 255.255.255.252 ! ip forward-protocol nd ! no ip http server


Página 8 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM no ip http secure-server ! ! control-plane ! ! banner motd ^C Warning: Unauthorzed access is prohibited! ^C ! line con 0 password 7 14141B180F0B login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 094F471A1A0A login transport input all ! scheduler allocate 20000 1000 ! end

Router R2 (configuración final) HQ#sh run Building configuration... Current configuration : 1554 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname HQ ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 !


Página 9 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM no aaa new-model memory-size iomem 15 ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description LAN with 16,000 hosts. ip address 172.16.128.1 255.255.192.0 duplex auto speed auto ! interface GigabitEthernet0/1 description LAN with 8,000 hosts. ip address 172.16.192.1 255.255.224.0 duplex auto speed auto ! interface Serial0/0/0 description Connection to BR1 S0/0/0. ip address 172.16.254.1 255.255.255.252 ! interface Serial0/0/1 description Connection to BR2 S0/0/1. ip address 172.16.254.5 255.255.255.252 clock rate 128000 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! control-plane ! ! banner motd ^C Warning: Unauthorzed access is prohibited! ^C ! line con 0


Página 10 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM password 7 02050D480809 login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 00071A150754 login transport input all ! scheduler allocate 20000 1000 ! end

Router R3 (configuración final) BR2#sh run Building configuration... Current configuration : 1593 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname BR2 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! interface Embedded-Service-Engine0/0


Página 11 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM no ip address shutdown ! interface GigabitEthernet0/0 description LAN with 500 hosts. ip address 172.16.252.1 255.255.254.0 duplex auto speed auto ! interface GigabitEthernet0/1 description LAN with 1,000 hosts. ip address 172.16.248.1 255.255.252.0 duplex auto speed auto ! interface Serial0/0/0 description Connection to BR1 S0/0/1. ip address 172.16.254.10 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 description Connection to HQ S0/0/1. ip address 172.16.254.6 255.255.255.252 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! ! banner motd ^C Warning: Unauthorzed access is prohibited! ^C ! line con 0 password 7 070C285F4D06 login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 0822455D0A16


Página 12 de 13

Práctica de laboratorio: diseño e implementación de direccionamiento IPv4 con VLSM login transport input all ! scheduler allocate 20000 1000 ! end


Página 13 de 13

Práctica de laboratorio: cálculo de rutas resumidas IPv4 e IPv6 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Tabla de direccionamiento Subred

Dirección IPv4

Dirección IPv6

LAN1 de HQ

192.168.64.0/23

2001:DB8:ACAD:E::/64

LAN2 de HQ

192.168.66.0/23

2001:DB8:ACAD:F::/64

LAN1 de EAST

192.168.68.0/24

2001:DB8:ACAD:1::/64

LAN2 de EAST

192.168.69.0/24

2001:DB8:ACAD:2::/64

LAN1 de WEST

192.168.70.0/25

2001:DB8:ACAD:9::/64

LAN2 de WEST

192.168.70.128/25

2001:DB8:ACAD:A::/64

Enlace desde HQ a ESTE

192.168.71.4/30

2001:DB8:ACAD:1000::/64

Enlace desde HQ a WEST

192.168.71.0/30

2001:DB8:ACAD:2000::/64

Enlace desde HQ a ISP

209.165.201.0/30

2001:DB8:CC1E:1::/64

Objetivos Parte 1: calcular rutas resumidas IPv4 •

Determinar la ruta resumida para las LAN de HQ.

•

Determinar la ruta resumida para las LAN ESTE.


Página 1 de 8

Práctica de laboratorio: cálculo de rutas resumidas IPv4 e IPv6 •

Determinar la ruta resumida para las LAN OESTE.

•

Determinar la ruta resumida para las LAN de HQ, ESTE y OESTE.

Parte 2: calcular rutas resumidas IPv6 •

Determinar la ruta resumida para las LAN de HQ.

•

Determinar la ruta resumida para las LAN ESTE.

•

Determinar la ruta resumida para las LAN OESTE.

•

Determinar la ruta resumida para las LAN de HQ, ESTE y OESTE.

Información básica/situación Las rutas resumidas reducen el número de entradas en las tablas de routing y hacen que el proceso de búsqueda en dichas tablas sea más eficaz. Este proceso también disminuye los requisitos de memoria del router. Se puede usar una sola ruta estática para representar unas pocas rutas o miles de rutas. En esta práctica de laboratorio, determinará las rutas resumidas de diferentes subredes de una red. Después determinará la ruta resumida de toda la red. Determinará rutas resumidas para direcciones IPv4 e IPv6. Debido a que IPv6 usa valores hexadecimales, tendrá que convertir el valor hexadecimal en valor binario. Nota para el instructor: esta actividad se puede realizar en clase o se puede asignar como tarea. Si se realiza en clase, quizá desee que los estudiantes trabajen en forma individual o en equipos de dos. Se sugiere que el primer problema se haga en clase para orientar a los estudiantes en cuanto a la forma de proceder con el resto de la asignación.


1 computadora (Windows 7, Vista o XP, con acceso a Internet)

•

Optativo: calculadora para convertir los valores hexadecimales y decimales en valores binarios

Parte 1. calcular rutas resumidas IPv4 En la parte 1, determinará las rutas resumidas que se pueden utilizar para reducir el tamaño de las tablas de routing. Después de cada conjunto de pasos, complete las tablas con la información apropiada de direccionamiento IPv4.

Paso 1. Indique la máscara de subred de la dirección IP de la LAN1 de HQ y la LAN2 de HQ en formato decimal. Paso 2. Indique la dirección IP de la LAN1 de HQ y la LAN2 de HQ en formato binario. Paso 3. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos redes? __________ 22 b. Indique la máscara de subred para la ruta resumida en formato decimal.

Paso 4. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 de HQ y la LAN2 de HQ. b. Agregue ceros para conformar el resto de la dirección de red en formato binario.


Página 2 de 8

Práctica de laboratorio: cálculo de rutas resumidas IPv4 e IPv6 c.

Indique las direcciones de red resumidas en formato decimal. Subred

Dirección IPv4

Máscara de subred

Dirección IP de la subred en formato binario

LAN1 de HQ

192.168.64.0

255.255.254.0

11000000.10101000.01000000.00000000

LAN2 de HQ

192.168.66.0

255.255.254.0

11000000.10101000.01000010.00000000

Dirección de resumen de las LAN de HQ

192.168.64.0

255.255.252.0

11000000.10101000.01000000.00000000

Paso 5. indicar la máscara de subred de la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato decimal. Paso 6. indicar la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato binario. Paso 7. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos redes? __________ 23 b. Indique la máscara de subred para la ruta resumida en formato decimal.

Paso 8. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2 ESTE. b. Agregue ceros para conformar el resto de la dirección de red en formato binario. c.


Dirección IPv4

Máscara de subred

Dirección de subred en formato binario

LAN1 de EAST

192.168.68.0

255.255.255.0

11000000.10101000.01000100.00000000

LAN2 de EAST

192.168.69.0

255.255.255.0

11000000.10101000.01000101.00000000

Dirección de resumen de las LAN ESTE

192.168.68.0

255.255.254.0

11000000.10101000.01000100.00000000

Paso 9. indicar la máscara de subred de la dirección IP de la LAN1 OESTE y la LAN2 OESTE en formato decimal. Paso 10. indicar la dirección IP de la LAN1 OESTE y la LAN2 OESTE en formato binario. Paso 11. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos redes? __________ 24


Página 3 de 8

Práctica de laboratorio: cálculo de rutas resumidas IPv4 e IPv6 b. Indique la máscara de subred para la ruta resumida en formato decimal.

Paso 12. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la LAN2 OESTE. b. Agregue ceros para conformar el resto de la dirección de red en formato binario. c.


Dirección IPv4

Máscara de subred


LAN1 de WEST

192.168.70.0

255.255.255.128

11000000.10101000.01000110.00000000

LAN2 de WEST

192.168.70.128

255.255.255.128

11000000.10101000.01000110.10000000

Dirección de resumen de las LAN OESTE

192.168.70.0

255.255.255.0

11000000.10101000.01000110.00000000

Paso 13. indicar la dirección IP y la máscara de subred de la ruta resumida de HQ, ESTE y OESTE en formato decimal. Paso 14. indicar la dirección IP de la ruta resumida de HQ, ESTE y OESTE en formato binario. Paso 15. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las tres redes? ___________ 21 b. Indique la máscara de subred para la ruta resumida en formato decimal.

Paso 16. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE. b. Agregue ceros para conformar el resto de la dirección de red en formato binario. c.


Dirección IPv4

Máscara de subred


HQ

192.168.64.0

255.255.252.0

11000000.10101000.01000000.00000000

EAST

192.168.68.0

255.255.254.0

11000000.10101000.01000100.00000000

WEST

192.168.70.0

255.255.255.0

11000000.10101000.01000110.00000000

Ruta resumida de la dirección de red

192.168.64.0

255.255.248.0

11000000.10101000.01000000.00000000


Página 4 de 8

Práctica de laboratorio: cálculo de rutas resumidas IPv4 e IPv6

Parte 2. calcular rutas resumidas IPv6 En la parte 2, determinará las rutas resumidas que se pueden utilizar para reducir el tamaño de las tablas de routing. Después de cada conjunto de pasos, complete las tablas con la información apropiada de direccionamiento IPv6.

Topología

Tabla de direccionamiento Subred

Dirección IPv6

LAN1 de HQ

2001:DB8:ACAD:E::/64

LAN2 de HQ

2001:DB8:ACAD:F::/64

LAN1 de EAST

2001:DB8:ACAD:1::/64

LAN2 de EAST

2001:DB8:ACAD:2::/64

LAN1 de WEST

2001:DB8:ACAD:9::/64

LAN2 de WEST

2001:DB8:ACAD:A::/64

Enlace desde HQ a ESTE

2001:DB8:ACAD:1000::/64

Enlace desde HQ a WEST

2001:DB8:ACAD:2000::/64

Enlace desde HQ a ISP

2001:DB8:CC1E:1::/64

Paso 1. indicar los primeros 64 bits de la máscara de subred de la dirección IP de la LAN1 de HQ y la LAN2 de HQ en formato hexadecimal. Paso 2. indicar la ID de subred (bits 48 a 64) de la LAN1 de HQ y la LAN2 de HQ en formato binario.


Página 5 de 8


Paso 3. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos ID de subred? ______ 63 b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal.

Paso 4. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios de la ID de subred coincidentes para las subredes LAN1 de HQ y LAN2 de HQ. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.


Dirección IPv6

Máscara de subred de los primeros 64 bits

ID de subred en formato binario

LAN1 de HQ

2001:DB8:ACAD:E::/64

FFFF:FFFF:FFFF:FFFF

0000000000001110

LAN2 de HQ

2001:DB8:ACAD:F::/64

FFFF:FFFF:FFFF:FFFF

0000000000001111

Dirección de resumen de las LAN de HQ

2001:DB8:ACAD:E::/63

FFFF:FFFF:FFFF:FFFE

0000000000001110

Paso 5. indicar los primeros 64 bits de la máscara de subred de la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato hexadecimal. Paso 6. indicar la ID de subred (bits 48 a 64) de la LAN1 ESTE y la LAN2 ESTE en formato binario. Paso 7. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos ID de subred? ______ 62 b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal.

Paso 8. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2 ESTE. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.

Indique las direcciones de red resumidas en formato decimal.


Página 6 de 8




Subred

Dirección IPv6

LAN1 de EAST

2001:DB8:ACAD:1::/64

FFFF:FFFF:FFFF:FFFF

0000000000000001

LAN2 de EAST

2001:DB8:ACAD:2::/64

FFFF:FFFF:FFFF:FFFF

0000000000000010

Dirección de resumen de las LAN ESTE

2001:DB8:ACAD::/62

FFFF:FFFF:FFFF:FFFC

0000000000000000

Paso 9. indicar los primeros 64 bits de la máscara de subred de la dirección IP de la LAN1 OESTE y la LAN2 OESTE en formato decimal. Paso 10. indicar la ID de subred (bits 48 a 64) de la LAN1 OESTE y la LAN2 OESTE en formato binario. Paso 11. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos ID de subred? _____ 62 b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal.

Paso 12. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la LAN2 OESTE. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.

Indique las direcciones de red resumidas en formato decimal. Máscara de subred de los primeros 64 bits


Subred

Dirección IPv6

LAN1 de WEST

2001:DB8:ACAD:9::/64

FFFF:FFFF:FFFF:FFFF

0000000000001001

LAN2 de WEST

2001:DB8:ACAD:A::/64

FFFF:FFFF:FFFF:FFFF

0000000000001010

Dirección de resumen de las LAN OESTE

2001:DB8:ACAD:8::/62

FFFF:FFFF:FFFF:FFFC

0000000000001000

Paso 13. indicar la dirección IP de la ruta resumida y los primeros 64 bits de la máscara de subred de HQ, ESTE y OESTE en formato decimal. Paso 14. indicar la ID de subred de la ruta resumida de HQ, ESTE y OESTE en formato binario.


Página 7 de 8


Paso 15. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las tres ID de subred? ______ 60 b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal.

Paso 16. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.

Indique las direcciones de red resumidas en formato decimal.

Subred

Dirección IPv6



HQ

2001:DB8:ACAD:E::/63

FFFF:FFFF:FFFF:FFFE

0000000000001110

EAST

2001:DB8:ACAD::/62

FFFF:FFFF:FFFF:FFFC

0000000000000000

WEST

2001:DB8:ACAD:8::/62

FFFF:FFFF:FFFF:FFFC

0000000000001000

Ruta resumida de la dirección de red

2001:DB8:ACAD::/60

FFFF:FFFF:FFFF:FFF0

0000000000000000

Reflexión 1. ¿Qué diferencia existe entre determinar la ruta resumida para IPv4 y determinarla para IPv6? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ No existe una diferencia importante, excepto que IPv4 usa 32 bits e IPv6, 128 bits. Además, IPv4 se convierte de decimal a binario e IPv6 se convierte de hexadecimal a binario. 2. ¿Por qué las rutas resumidas son beneficiosas para una red? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Hacen que el proceso de búsqueda en la tabla de routing sea más eficaz y reducen los requisitos de memoria del router.


Página 8 de 8

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6


Interfaz

Dirección IP


G0/1

192.168.0.1/25 2001:DB8:ACAD::1/64 FE80::1 link-local

No aplicable

S0/0/0 (DCE)

10.1.1.2/30 2001:DB8:ACAD::20:2/64

No aplicable

S0/0/1

192.168.0.253/30 2001:DB8:ACAD:2::1/30

No aplicable

G0/0

172.16.3.1/24 2001:DB8:ACAD:30::1/64 FE80::1 link-local

No aplicable

S0/0/0

10.1.1.1/30 2001:DB8:ACAD:20::/64

No aplicable

G0/1

192.168.1.1/24 2001:DB8:ACAD:1::1/64 FE80::1 link-local

No aplicable

S0/0/0 (DCE)

192.168.0.254/30 2001:DB8:ACAD:2::2/64

No aplicable

S1

VLAN 1

No aplicable

No aplicable

S3

VLAN 1

No aplicable

No aplicable

PC-A

NIC

192.168.0.3/25 2001:DB8:ACAD::3/64

192.168.0.1 FE80::1

Servidor web

NIC

172.16.3.3/24 2001:DB8:ACAD:30::3/64

172.16.3.1 FE80::1

PC-C

NIC

192.168.1.3/24 2001:DB8:ACAD:1::3/64

192.168.1.1 FE80::1

HQ

ISP

BRANCH

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de rutas estáticas en una red IPv4 Parte 3: resolver problemas de rutas estáticas en una red IPv6

Información básica/situación Como administrador de red, debe poder configurar el routing del tráfico con rutas estáticas. Saber configurar el routing estático y resolver problemas relacionados con este es un requisito. Las rutas estáticas suelen usarse para redes de rutas internas y rutas predeterminadas. El ISP de la empresa lo contrató para resolver problemas de conectividad en la red. Tendrá acceso a los routers HQ, BRANCH e ISP.


Página 2 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 En este laboratorio, comenzará con la carga de secuencias de comandos de configuración en cada uno de los routers. Estos guiones contienen errores que impedirán la comunicación de extremo a extremo a través de la red. Necesitará solucionar los problemas de cada router para determinar los errores de configuración y luego utilizar los comandos adecuados para corregir las configuraciones. Una vez corregidos todos los errores de configuración, los hosts de la red tienen que poder comunicarse entre sí. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará la topología de la red y los routers y switches con algunos parámetros básicos, como contraseñas y direcciones IP. También se proporcionan configuraciones predefinidas para la configuración inicial del router. Además, configurará los parámetros de IP de las computadoras en la topología.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Conecte los dispositivos como se muestra en el diagrama de la topología y realice el cableado, según sea necesario.

Paso 2. inicializar y volver a cargar los routers y los switches. Paso 3. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.


d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.


Página 3 de 24


Paso 4. configurar los hosts y el servidor web. a. Configure las direcciones IP para IPv4 e IPv6. b. Configure el gateway predeterminado IPv4.

Paso 5. cargar las configuraciones de los routers. Router HQ hostname HQ ipv6 unicast-routing interface GigabitEthernet0/1 ipv6 address 2001:DB8:ACAD::1/64 ip address 192.168.0.1 255.255.255.128 ipv6 address FE80::1 link-local !no shutdown interface Serial0/0/0 ipv6 address 2001:DB8:ACAD:20::2/64 ip address 10.1.1.2 255.255.255.252 clock rate 800000 no shutdown interface Serial0/0/1 ipv6 address 2001:DB8:ACAD:2::3/64 !ipv6 address 2001:DB8:ACAD:2::1/64 ip address 192.168.0.253 255.255.255.252 no shutdown ip route 172.16.3.0 255.255.255.0 10.1.1.1 ip route 192.168.1.0 255.255.255.0 192.16.0.254 !ip route 192.168.1.0 255.255.255.0 192.168.0.254 ipv6 route 2001:DB8:ACAD:1::/64 2001:DB8:ACAD:2::2 ipv6 route 2001:DB8:ACAD:30::/64 2001:DB8:ACAD::20:1 !ipv6 route 2001:DB8:ACAD:30::/64 2001:DB8:ACAD:20::1 Router ISP hostname ISP ipv6 unicast-routing interface GigabitEthernet0/0 ipv6 address 2001:DB8:ACAD:30::1/64 ip address 172.16.3.11 255.255.255.0 !ip address 172.16.3.1 255.255.255.0 ipv6 address FE80::1 link-local no shutdown interface Serial0/0/0 ipv6 address 2001:DB8::ACAD:20:1/64 !ipv6 address 2001:DB8:ACAD:20::1/64 ip address 10.1.1.1 255.255.255.252 no shutdown ip route 192.168.1.0 255.255.255.0 10.1.1.2 © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 4 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 !ip route 192.168.0.0 255.255.254.0 10.1.1.2 ipv6 route 2001:DB8:ACAD::/62 2001:DB8:ACAD:20::2 Router BRANCH hostname BRANCH ipv6 unicast-routing interface GigabitEthernet0/1 ipv6 address 2001:DB8:ACAD:1::1/64 ip address 192.168.1.1 255.255.255.0 ipv6 address FE80::1 link-local no shutdown interface Serial0/0/0 ipv6 address 2001:DB8:ACAD:2::2/64 clock rate 128000 ip address 192.168.0.249 255.255.255.252 !ip address 192.168.0.254 255.255.255.252 clock rate 128000 no shutdown ip route 0.0.0.0 0.0.0.0 10.1.1.2 !ip route 0.0.0.0 0.0.0.0 192.168.0.253 !ipv6 unicast-routing ipv6 route ::/0 2001:DB8:ACAD::1 !ipv6 route ::/0 2001:DB8:ACAD:2::1


Página 5 de 24


Parte 2. resolver problemas de rutas estáticas en una red IPv4 Tabla de direccionamiento IPv4 Dispositivo HQ

Interfaz

Máscara de subred

Dirección IP


G0/1

192.168.0.1

255.255.255.0

N/A

S0/0/0 (DCE)

10.1.1.2

255.255.255.252

N/A

S0/0/1

192.168.0.253

255.255.255.252

N/A

G0/0

172.16.3.1

255.255.255.0

N/A

S0/0/0

10.1.1.1

255.255.255.252

N/A

G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/0 (DCE)

192.168.0.254

255.255.255.252

N/A

S1

VLAN 1

192.168.0.11

255.255.255.128

192.168.0.1

S3

VLAN 1

192.168.1.11

255.255.255.0

192.168.1.1

PC-A

NIC

192.168.0.3

255.255.255.128

192.168.0.1

Servidor web

NIC

172.16.3.3

255.255.255.0

172.16.3.1

PC-C

NIC

192.168.1.3

255.255.255.0

192.168.1.1

ISP BRANCH

Paso 1. Resolver los problemas del router HQ El router HQ es el enlace entre el router ISP y el router BRANCH. El router ISP representa la red externa, mientras que el router BRANCH representa la red corporativa. El router HQ está configurado con rutas estáticas a las redes de los routers ISP y BRANCH. a. Muestre el estado de las interfaces en el HQ. Introduzca show ip interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ El estado de la interfaz g0/1 es administratively down y el estado del protocolo es down. Emita el comando no shutdown en la interfaz g0/1 para resolver el problema. HQ# show ip interface brief Interface Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1

IP-Address unassigned unassigned 192.168.0.1 10.1.1.2 192.168.0.253


Method unset unset manual manual manual

Status Protocol administratively down down administratively down down administratively down down up up up up

b. Haga ping del router HQ al router BRANCH (192.168.0.254). ¿Tuvieron éxito los pings? ________ No c.

Haga ping del router HQ al router ISP (10.1.1.1). ¿Tuvieron éxito los pings? ________ Sí

d. Haga ping de la PC-A al gateway predeterminado. ¿Tuvieron éxito los pings? ________ Sí e. Haga ping de la PC-A a la PC-C. ¿Tuvieron éxito los pings? ________ No


Página 6 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 f.

Haga ping de la PC-A al servidor web. ¿Tuvieron éxito los pings? ________ No

g. Muestre la tabla de routing en HQ. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ static route to 172.16.3.0/24 via 10.1.1.1. no route to 192.168.1.0/24 HQ# show ip route

Gateway of last resort is not set

C L S C L

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.2/32 is directly connected, Serial0/0/0 172.16.0.0/24 is subnetted, 1 subnets 172.16.3.0 [1/0] via 10.1.1.1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.252/30 is directly connected, Serial0/0/1 192.168.0.253/32 is directly connected, Serial0/0/1

h. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red?

____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Existe una ruta estática a la red de la PC-C, pero no aparece en la tabla de rutas. Se debe volver a introducir la ruta de con la IP de destino correcta. Existe una ruta estática a la red 172.16.3.0, pero no se puede llegar al servidor web. HQ# show run | include ip route ip route 172.16.3.0 255.255.255.0 10.1.1.1 ip route 192.168.1.0 255.255.255.0 192.16.0.254

i.

¿Qué comandos (si hubiere) hay que introducir para resolver problemas de routing? Registre los comandos.

____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ HQ(config)# no ip route 192.168.1.0 255.255.255.0 192.16.0.254 HQ(config)# ip route 192.168.1.0 255.255.255.0 192.168.0.254 j.

Repita alguno de los pasos de b a f para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________


Página 7 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 No se resolvieron los problemas de routing. El router HQ todavía no puede hacer ping al router BRANCH. Esto quizá indique que existe un problema en el router BRANCH que impide que la PC-A haga ping a la PC-C correctamente. El router HQ puede llegar al router ISP, pero la PC-A no puede hacer ping al servidor web. Es posible que exista un problema en el router ISP. HQ# show ip route


C L S C L S

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.2/32 is directly connected, Serial0/0/0 172.16.0.0/24 is subnetted, 1 subnets 172.16.3.0 [1/0] via 10.1.1.1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.252/30 is directly connected, Serial0/0/1 192.168.0.253/32 is directly connected, Serial0/0/1 192.168.1.0/24 [1/0] via 192.168.0.254

Paso 2. Resolver los problemas del router ISP Para el router ISP, debe existir una ruta a los routers HQ y BRANCH. Se configura una ruta estática en el router ISP para llegar a las redes 192.168.1.0/24, 192.168.0.0/25 y 192.168.0.252/30. a. Muestre el estado de las interfaces en el ISP. Introduzca show ip interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ La dirección IP de G0/0 está configurada incorrectamente.

ISP(config)# interface GigabitEthernet0/0 ISP(config-if)# ip address 172.16.3.1 255.255.255.0 ISP# show ip interface brief Interface Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1

IP-Address unassigned 172.16.3.11 unassigned 10.1.1.1 unassigned


Method unset manual unset manual unset

Status Protocol administratively down down up up administratively down down up up administratively down down

b. Haga ping del router ISP al router HQ (10.1.1.2). ¿Tuvieron éxito los pings? ________ Sí c.

Haga ping del servidor web al gateway predeterminado. ¿Tuvieron éxito los pings? ________ Sí

d. Haga ping del servidor web a la PC-A. ¿Tuvieron éxito los pings? ________ No e. Haga ping del servidor web a la PC-C. ¿Tuvieron éxito los pings? ________ No f.

Muestre la tabla de routing en ISP. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________


Página 8 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 Ruta estática a 192.168.1.0/24 a través de 10.1.1.2 No hay ruta a 192.168.0.252/30 ISP# show ip route


C L C L S

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.1/32 is directly connected, Serial0/0/0 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 172.16.3.0/24 is directly connected, GigabitEthernet0/0 172.16.3.1/32 is directly connected, GigabitEthernet0/0 192.168.1.0/24 [1/0] via 10.1.1.2

g. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red?

____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Se necesita una ruta resumida a 192.168.0.0/23 para llegar a las redes 192.168.1.0/24 y 192.168.0.252/30. h.


(Sugerencia: el ISP requiere solamente una ruta resumida a las redes 192.168.1.0/24, 192.168.0.0/25 y 192.168.0.252/32 de la empresa). ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ISP(config)# no ip route 192.168.1.0 255.255.255.0 10.1.1.2 ISP(config)# ip route 192.168.0.0 255.255.254.0 10.1.1.2 i.

Repita alguno de los pasos de b a e para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Después de la corrección, el servidor web puede llegar a la PC-A. Sin embargo, todavía no puede hacer ping a la PC-C. Aún hay más problemas sin resolver en la red. ISP# show ip route


C

10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0


Página 9 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 L C L S

10.1.1.1/32 is directly connected, Serial0/0/0 172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks 172.16.3.0/24 is directly connected, GigabitEthernet0/0 172.16.3.1/32 is directly connected, GigabitEthernet0/0 192.168.0.0/23 [1/0] via 10.1.1.2

Paso 3. Resolver los problemas del router BRANCH Para el router BRANCH, hay una ruta predeterminada establecida para llegar al resto de la red y al ISP. a. Muestre el estado de las interfaces en BRANCH. Introduzca show ip interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ La dirección IP de S0/0/1 está configurada incorrectamente. BRANCH(config)# interface s0/0/0 BRANCH(config-if)# ip address 192.168.0.254 255.255.255.252 BRANCH# show ip interface brief Interface Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1

IP-Address unassigned unassigned 192.168.1.1 192.168.0.249 unassigned


Method unset unset manual manual unset

Status Protocol administratively down down administratively down down up up up up administratively down down

b. Haga ping del router BRANCH al router HQ (192.168.0.253). ¿Tuvieron éxito los pings? ________ Sí c.

Haga ping de la PC-C al gateway predeterminado. ¿Tuvieron éxito los pings? ________ Sí

d. Haga ping de la PC-C a la PC-A. ¿Tuvieron éxito los pings? ________ No e. Haga ping de la PC-C al servidor web. ¿Tuvieron éxito los pings? ________ No f.

Muestre la tabla de routing en BRANCH. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ Ninguna. BRANCH# show ip route


C L C L

192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.252/30 is directly connected, Serial0/0/0 192.168.0.254/32 is directly connected, Serial0/0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/1 192.168.1.1/32 is directly connected, GigabitEthernet0/1


Página 10 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 g. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red?

____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ No hay rutas estáticas en la tabla de routing. La ruta predeterminada se configuró de forma incorrecta. BRANCH# show run | include ip route ip route 0.0.0.0 0.0.0.0 10.1.1.2

h.


____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ BRANCH(config)# no ip route 0.0.0.0 0.0.0.0 10.1.1.2 BRANCH(config)# ip route 0.0.0.0 0.0.0.0 192.168.0.253 i.

Repita alguno de los pasos de b a e para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ BRANCH# show ip route

Gateway of last resort is 192.168.0.253 to network 0.0.0.0 S* C L C L

0.0.0.0/0 [1/0] via 192.168.0.253 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.0.252/30 is directly connected, Serial0/0/0 192.168.0.254/32 is directly connected, Serial0/0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/1 192.168.1.1/32 is directly connected, GigabitEthernet0/1


Página 11 de 24


Parte 3. resolver problemas de rutas estáticas en una red IPv6 Dispositivo HQ

Interfaz

Dirección IPv6

Longitud de prefijo


G0/1

2001:DB8:ACAD::1

64

N/A

S0/0/0 (DCE)

2001:DB8:ACAD::20:2

64

N/A

S0/0/1

2001:DB8:ACAD:2::1

64

N/A

G0/0

2001:DB8:ACAD:30::1

64

N/A

S0/0/0

2001:DB8:ACAD:20::1

64

N/A

G0/1

2001:DB8:ACAD:1::1

64

N/A

S0/0/0 (DCE)

2001:DB8:ACAD:2::2

64

N/A

PC-A

NIC

2001:DB8:ACAD::3

64

FE80::1

Servidor web

NIC

2001:DB8:ACAD:30::3

64

FE80::1

PC-C

NIC

2001:DB8:ACAD:1::3

64

FE80::1

ISP BRANCH

Paso 1. Resolver los problemas del router HQ El router HQ es el enlace entre el router ISP y el router BRANCH. El router ISP representa la red externa, mientras que el router BRANCH representa la red corporativa. El router HQ está configurado con rutas estáticas a las redes de los routers ISP y BRANCH. a. Muestre el estado de las interfaces en el HQ. Introduzca show ipv6 interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ La dirección IPv6 de S0/0/1 está configurada incorrectamente. HQ(config)# interface s0/0/1 HQ(config-if)# no ipv6 address 2001:DB8:ACAD:2::3/64 HQ(config-if)# ipv6 address 2001:DB8:ACAD:2::1/64 HQ# show ipv6 interface brief Em0/0 [administratively down/down] unassigned GigabitEthernet0/0 [administratively down/down] unassigned GigabitEthernet0/1 [up/up] FE80::1 2001:DB8:ACAD::1 Serial0/0/0 [up/up] FE80::D68C:B5FF:FECE:A0C0 2001:DB8:ACAD:20::2 Serial0/0/1 [up/up] FE80::D68C:B5FF:FECE:A0C0 2001:DB8:ACAD:2::3ping


Página 12 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 b. Haga ping del router HQ al router BRANCH (2001:DB8:ACAD:2::2). ¿Tuvieron éxito los pings? ______ Sí c.

Haga ping del router HQ al router ISP (2001:DB8:ACAD:20::1). ¿Tuvieron éxito los pings? ________ No

d. Haga ping de la PC-A al gateway predeterminado. ¿Tuvieron éxito los pings? ________ Sí e. Haga ping de la PC-A al servidor web. ¿Tuvieron éxito los pings? ________ No f.

Haga ping de la PC-A a la PC-C. ¿Tuvieron éxito los pings? ________ No

g. Emita el comando show ipv6 route para mostrar la tabla de routing. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Ruta estática a 2001:DB8:ACAD:1::/64 a través de 2001:DB8:ACAD:2::2 Ruta estática a 2001:DB8:ACAD:30::/64 a través de 2001:DB8:ACAD::20:1 HQ# show ipv6 route

IPv6 Routing Table - default - 9 entries C 2001:DB8:ACAD::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD::1/128 [0/0] via GigabitEthernet0/1, receive S 2001:DB8:ACAD:1::/64 [1/0] via 2001:DB8:ACAD:2::2 C 2001:DB8:ACAD:2::/64 [0/0] via Serial0/0/1, directly connected L 2001:DB8:ACAD:2::1/128 [0/0] via Serial0/0/1, receive C 2001:DB8:ACAD:20::/64 [0/0] via Serial0/0/0, directly connected L 2001:DB8:ACAD:20::2/128 [0/0] via Serial0/0/0, receive S 2001:DB8:ACAD:30::/64 [1/0] via 2001:DB8:ACAD::20:1 L FF00::/8 [0/0] via Null0, receive


____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ La ruta estática a 2001:DB8:ACAD:30::/64 tiene una dirección de siguiente salto configurada incorrectamente. i.


____________________________________________________________________________________ ____________________________________________________________________________________


Página 13 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 HQ(config)# no ipv6 route 2001:DB8:ACAD:30::/64 2001:DB8:ACAD::20:1 HQ(config)# ipv6 route 2001:DB8:ACAD:30::/64 2001:DB8:ACAD:20::1 j.

Repita alguno de los pasos de b a f para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ No se resolvieron los problemas de routing. El router HQ todavía no puede hacer ping al router ISP. Es probable que el router ISP tenga un problema de dirección IP. La PC-A todavía no puede hacer ping a la PC-C ni al servidor web. HQ# show ipv6 route

IPv6 Routing Table - default - 9 entries C 2001:DB8:ACAD::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD::1/128 [0/0] via GigabitEthernet0/1, receive S 2001:DB8:ACAD:1::/64 [1/0] via 2001:DB8:ACAD:2::2 C 2001:DB8:ACAD:2::/64 [0/0] via Serial0/0/1, directly connected L 2001:DB8:ACAD:2::1/128 [0/0] via Serial0/0/1, receive C 2001:DB8:ACAD:20::/64 [0/0] via Serial0/0/0, directly connected L 2001:DB8:ACAD:20::2/128 [0/0] via Serial0/0/0, receive S 2001:DB8:ACAD:30::/64 [1/0] via 2001:DB8:ACAD:20::1 L FF00::/8 [0/0] via Null0, receive

Paso 2. Resolver los problemas del router ISP En el router ISP, está configurada una ruta estática para llegar a todas las redes de los routers HQ y BRANCH. a. Muestre el estado de las interfaces en ISP. Introduzca show ipv6 interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ La dirección IPv6 de S0/0/0 está configurada incorrectamente. ISP(config)# interface s0/0/0 ISP(config-if)# no ipv6 address 2001:DB8::ACAD:20:1/64 ISP(config-if)# ipv6 address 2001:DB8:ACAD:20::1/64 ISP# show ipv6 interface brief Em0/0

[administratively down/down]


Página 14 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 unassigned GigabitEthernet0/0 [up/up] FE80::1 2001:DB8:ACAD:30::1 GigabitEthernet0/1 [administratively down/down] unassigned Serial0/0/0 [up/up] FE80::FE99:47FF:FE71:78A0 2001:DB8::ACAD:20:1 Serial0/0/1 [administratively down/down] unassigned

b. Haga ping del router ISP al router HQ (2001:DB8:ACAD:20::2). ¿Tuvieron éxito los pings? ________ Sí c.

Haga ping del servidor web al gateway predeterminado. ¿Tuvieron éxito los pings? ________ Sí

d. Haga ping del servidor web a la PC-A. ¿Tuvieron éxito los pings? ________ Sí e. Haga ping del servidor web a la PC-C. ¿Tuvieron éxito los pings? ________ No f.

Muestre la tabla de routing. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ Ruta estática a 2001:DB8:ACAD::/62 a través de 2001:DB8:ACAD:20::2 ISP# show ipv6 route

IPv6 Routing Table - default - 6 entries S 2001:DB8:ACAD::/62 [1/0] via 2001:DB8:ACAD:20::2 C 2001:DB8:ACAD:20::/64 [0/0] via Serial0/0/0, directly connected L 2001:DB8:ACAD:20::1/128 [0/0] via Serial0/0/0, receive C 2001:DB8:ACAD:30::/64 [0/0] via GigabitEthernet0/0, directly connected L 2001:DB8:ACAD:30::1/128 [0/0] via GigabitEthernet0/0, receive L FF00::/8 [0/0] via Null0, receive

g. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red?

____________________________________________________________________________________ No existen problemas relacionados con la ruta estática. h.


____________________________________________________________________________________ None


Página 15 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 i.

Repita alguno de los pasos de b a e para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ No se resolvieron todos los problemas de routing. El servidor web todavía no puede hacer ping a la PC-C.

Paso 3. Resolver los problemas del router BRANCH Para los routers BRANCH, hay una ruta predeterminada al router HQ. Esta ruta predeterminada permite que la red de BRANCH llegue al router ISP y al servidor web. a. Muestre el estado de las interfaces en BRANCH. Introduzca show ipv6 interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ Según la tabla de direccionamiento, todas las interfaces se configuraron correctamente. BRANCH# show ipv6 interface brief Em0/0 [administratively down/down] unassigned GigabitEthernet0/0 [administratively down/down] unassigned GigabitEthernet0/1 [up/up] FE80::1 2001:DB8:ACAD:1::1 Serial0/0/0 [up/up] FE80::FE99:47FF:FE71:7A20 2001:DB8:ACAD:2::2 Serial0/0/1 [administratively down/down] unassigned

b. Haga ping del router BRANCH al router HQ (2001:DB8:ACAD:2::1). ¿Tuvieron éxito los pings? ______ Sí c.

Haga ping del router BRANCH al router ISP (2001:DB8:ACAD:20::1). ¿Tuvieron éxito los pings? ____ No

d. Haga ping de la PC-C al gateway predeterminado. ¿Tuvieron éxito los pings? ________ Sí e. Haga ping de la PC-C a la PC-A. ¿Tuvieron éxito los pings? ________ No f.

Haga ping de la PC-C al servidor web. ¿Tuvieron éxito los pings? ________ No

g. Muestre la tabla de routing. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ None BRANCH# show ipv6 route

IPv6 Routing Table - default - 5 entries C 2001:DB8:ACAD:1::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD:1::1/128 [0/0]


Página 16 de 24


C L L

via GigabitEthernet0/1, receive 2001:DB8:ACAD:2::/64 [0/0] via Serial0/0/0, directly connected 2001:DB8:ACAD:2::2/128 [0/0] via Serial0/0/0, receive FF00::/8 [0/0] via Null0, receive


____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ No hay ninguna ruta predeterminada en la tabla. La dirección de siguiente salto se configuró incorrectamente. i.


____________________________________________________________________________________ ____________________________________________________________________________________ BRANCH(config)# no ipv6 route ::/0 2001:DB8:ACAD::1 BRANCH(config)# ipv6 route ::/0 2001:DB8:ACAD:2::1 j.

Repita alguno de los pasos de b a f para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ BRANCH# show ipv6 route

IPv6 Routing Table - default - 6 entries S ::/0 [1/0] via 2001:DB8:ACAD:2::1 C 2001:DB8:ACAD:1::/64 [0/0] via GigabitEthernet0/1, directly connected L 2001:DB8:ACAD:1::1/128 [0/0] via GigabitEthernet0/1, receive C 2001:DB8:ACAD:2::/64 [0/0] via Serial0/0/0, directly connected L 2001:DB8:ACAD:2::2/128 [0/0] via Serial0/0/0, receive L FF00::/8 [0/0] via Null0, receive


Página 17 de 24





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router HQ (corregido) HQ# show run Building configuration... Current configuration : 1652 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15


Página 18 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 ! ! ! ! ! ! ! ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.0.1 255.255.255.128 duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD::1/64 ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ipv6 address 2001:DB8:ACAD:20::2/64 clock rate 2000000 ! interface Serial0/0/1 ip address 192.168.0.253 255.255.255.252 ipv6 address 2001:DB8:ACAD:2::1/64 ! ip forward-protocol nd !


Página 19 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 no ip http server no ip http secure-server ! ip route 172.16.3.0 255.255.255.0 10.1.1.1 ip route 192.168.1.0 255.255.255.0 192.168.0.254 ! ipv6 route 2001:DB8:ACAD:1::/64 2001:DB8:ACAD:2::2 ipv6 route 2001:DB8:ACAD:30::/64 2001:DB8:ACAD:20::1 ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router ISP (corregido) ISP# show run Building configuration... Current configuration : 1493 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! boot-start-marker


Página 20 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ! ! ! ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 172.16.3.1 255.255.255.0 duplex auto speed auto ipv6 address Fe80::1 link-local ipv6 address 2001:DB8:ACAD:30::1/64 ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ipv6 address 2001:DB8:ACAD:20::1/64 !


Página 21 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 interface Serial0/0/1 no ip address shutdown clock rate 2000000 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 192.168.0.0 255.255.254.0 10.1.1.2 ! ipv6 route 2001:DB8:ACAD::/62 2001:DB8:ACAD:20::2 ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router BRANCH (corregido) BRANCH# show run Building configuration... Current configuration : 1522 bytes !

version 15.2 service timestamps debug datetime msec © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 22 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 service timestamps log datetime msec no service password-encryption ! hostname BRANCH ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! ! ! ! ! ! ! ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:1::1/64


Página 23 de 24

Práctica de laboratorio: resolución de problemas de rutas estáticas IPv4 e IPv6 ! interface Serial0/0/0 ip address 192.168.0.254 255.255.255.252 ipv6 address 2001:DB8:ACAD:2::2/64 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 192.168.0.253 ! ipv6 route ::/0 2001:DB8:ACAD:2::1 ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 24 de 24

Crear una ruta estática (Versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Configurar una ruta estática. En esta actividad de creación de modelos, se revisa el contenido del currículo respecto de la forma en que se escriben y configuran las rutas estáticas predeterminadas para direcciones de red IPv6. A medida que el uso del direccionamiento IPv6 se torna predominante, es importante que los administradores de red puedan dirigir el tráfico de la red entre los routers. Para demostrar que es capaz de dirigir el tráfico IPv6 de manera correcta y de revisar los conceptos de rutas estáticas predeterminadas IPv6 en el currículo, utilice la topología tal como se muestra en el archivo .pdf que se entregó específicamente para esta actividad. Trabaje con un compañero en la redacción de una instrucción IPv6 para cada una de las tres situaciones. Intente redactar las instrucciones de ruta sin la ayuda de las prácticas de laboratorio realizadas ni los archivos Packet Tracer, etcétera. •

Situación 1 La ruta estática predeterminada IPv6 del R2 dirige todos los datos a través de la interfaz S0/0/0 hasta la dirección del siguiente salto en el R1.

•


•


Al finalizar, reúnanse con otro grupo y comparen las respuestas. Analicen las diferencias que encuentren en las comparaciones.

Recursos Diagrama de topología


Página 1 de 3

Crear una ruta estática •

Situación 1 La ruta estática predeterminada IPv6 del R2 dirige todos los datos a la dirección del siguiente salto en el R1.

Comando de configuración

Red IPv6 para enrutar

Dirección IPv6 del siguiente salto

R2(config)# ipv6 route

•






•






Referencia de la actividad para el instructor •





::/0


2001:DB8:ACAD:4::1


Página 2 de 3

Crear una ruta estática •



R3(config)# ipv6 route •


::/0


2001:DB8:ACAD:5::2





::/0


2001:DB8:ACAD:5::1

Identifique los elementos del modelo que corresponden a contenido relacionado con TI: • • • • •

Dirección IPv6 Dirección de siguiente salto Interfaz de salida Ruta predeterminada Ruta estática


Página 3 de 3

¿Cuánto cuesta? (Versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Explicar el funcionamiento de los protocolos de routing dinámico. Para prepararse para los conceptos que se aprenderán en este capítulo, los estudiantes crearán rutas físicas, registrarán el progreso de la transferencia en las rutas físicas y compararán los resultados registrados. En esta actividad, se hace énfasis en la cantidad de saltos (o pasos) usados; el tiempo registrado que le toma a los datos iniciar y completar la ruta; y los datos descartados si no se llega al final de la ruta dentro de ciertos parámetros.

Situación En esta actividad de creación de modelos, se ilustra el concepto de red de costo de routing. Para completar las situaciones de la actividad, formará parte de un equipo de cinco estudiantes que recorren distintas rutas. Cada grupo debe contar con una cámara digital o un dispositivo portátil (BYOD) con cámara, un cronómetro y el archivo para estudiantes de esta actividad. Una persona, seleccionada por cada grupo, se desempeñará como fotógrafo y secretario del evento. Los cuatro miembros del equipo restantes participarán activamente en las situaciones que se describen a continuación. Para desarrollar estas actividades, pueden utilizarse un aula, un pasillo, el área de atletismo al aire libre o el estacionamiento de la escuela o universidad, o cualquier otra ubicación. Actividad 1 La persona más alta del grupo establece una línea de salida y una de llegada mediante la marcación de 15 pasos desde el inicio hasta la meta, lo que indica la distancia de la ruta del equipo. Cada estudiante dará 15 pasos desde la línea de salida hasta la de llegada y se detendrá en el decimoquinto paso; no puede dar ningún paso más. Nota: es posible que no todos los estudiantes cubran la misma distancia desde la línea de salida, debido a las diferencias de altura y de longitud del paso. El fotógrafo tomará una foto grupal de la ubicación final del equipo completo después de dar los 15 pasos requeridos. Actividad 2 Se establecerá una nueva línea de salida y de llegada; sin embargo, esta vez se establecerá una distancia más larga que la especificada en la actividad 1 para la ruta. Para crear esta ruta específica, no hay un máximo de pasos como base. De a uno por vez, los estudiantes “recorrerán la nueva ruta de principio a fin, dos veces”. Cada miembro del equipo debe contar los pasos que necesitó para completar la ruta. El secretario medirá el tiempo de cada estudiante y, cuando cada miembro del equipo finalice la ruta, registrará el tiempo que le llevó completar toda la ruta y cuántos pasos fueron necesarios, según el recuento de cada miembro del equipo y el registro en el archivo para estudiantes. Una vez que se hayan completado ambas actividades, los equipos usarán la fotografía digital tomada para la actividad 1 y los datos que se registraron en el archivo de la actividad 2 para responder las preguntas de reflexión. Si el tiempo lo permite, las respuestas grupales se pueden analizar en clase.


Página 1 de 3

¿Cuánto cuesta?


Cámara digital o BYOD para registrar los resultados del equipo en la actividad 1. Los datos de la actividad 2 se basan únicamente en la cantidad de pasos que se den y el tiempo que se necesite para completar la ruta, por lo que no se necesita una cámara para la actividad 2.

•

Cronómetro.

•

Archivo para estudiantes que se proporciona con la actividad de creación de modelos para que se puedan registrar los resultados de la actividad 2 a medida que cada estudiante completa la ruta.

Situación: matriz de registro para la parte 2

Nombre del miembro del equipo

Tiempo utilizado para completar la ruta

Cantidad de pasos que se dieron para completar la ruta

Preguntas de reflexión 1. El fotógrafo tomó una fotografía del progreso del equipo después de que se dieron los 15 pasos de la actividad 1. Probablemente, algunos miembros del equipo no llegaron a la línea de llegada después de dar el paso n.º 15, debido a la diferencia de altura y de longitud del paso. ¿Qué cree que ocurriría si los datos de la red no llegaran a la línea de llegada, o el destino, en la cantidad permitida de saltos o pasos? _______________________________________________________________________________________ Los datos no se entregarían correctamente. Se descartarían de la ruta de la red. 2. ¿Qué se podría hacer para ayudar a los miembros del equipo a llegar a la meta si no la alcanzaron en la actividad 1? _______________________________________________________________________________________ Las respuestas varían, pero los estudiantes deberían mencionar la posibilidad de aumentar la cantidad de pasos (saltos) permitidos o eliminar la restricción de 15 pasos. 3. ¿Cuál sería la persona indicada para entregar los datos según la ruta de red completada en la actividad 2? Justifique su respuesta. _______________________________________________________________________________________ El tiempo necesario para entregar los datos varió, pero todos los miembros del equipo los entregaron. El miembro del equipo que tardó menos tiempo sería la persona indicada para entregar los datos. 4. Con los datos registrados durante la actividad 2 y un límite de 255 pasos, o saltos, ¿todos los miembros del equipo dieron más de 255 pasos para completar la ruta? ¿Qué ocurriría si tuvieran que parar en el paso, o salto, n.º 254? _______________________________________________________________________________________ No se completaría la ruta (vea el mismo resultado de la actividad 1 y el límite de 15 saltos), por lo que la ruta no se completaría y se descartarían los datos.


Página 2 de 3

¿Cuánto cuesta? 5. Use los datos que se registraron en la actividad 2. Si todos los miembros del equipo llegaron a la meta en 255 pasos o menos, ¿diría que los parámetros para la ruta bastaron para completarla correctamente? Justifique su respuesta. _______________________________________________________________________________________ Sí, no se superó la cantidad de pasos permitidos, por lo que los datos se entregaron correctamente. 6. En el routing de red, se establecen diferentes parámetros para los protocolos de routing. Use los datos registrados en la actividad 2. ¿Seleccionaría el tiempo, la cantidad de pasos (o saltos) o una combinación de ambos como su tipo preferido de routing? Incluya, al menos, tres razones para su respuesta. _______________________________________________________________________________________ Las respuestas varían, pero los estudiantes pueden mencionar lo siguiente: •

Tiempo: la menor cantidad de tiempo que demoró un miembro del equipo podría ser la ruta preferida.

•

Saltos: si todos los miembros del equipo completaron la ruta dentro del límite de 255 pasos, o saltos, esta podría ser la ruta preferida.

•

Ambos: la menor cantidad de saltos que dio un miembro específico del equipo en la menor cantidad de tiempo podría ser la ruta preferida.


Los routers usan las métricas de cantidad de saltos, ancho de banda, retraso y costo para determinar la mejor ruta para la comunicación de red.

•

Las tablas de routing muestran registros de las mejores rutas para la entrega de datos con los protocolos configurados para el tráfico de la red e informados por dicho tráfico.

•

Los administradores de red pueden elegir los tipos de protocolos de routing que desean usar para la entrega de datos de red.

•

Siempre y cuando los parámetros de un protocolo de routing específico se respeten, los datos se entregarán correctamente de origen a destino.


Página 3 de 3

Práctica de laboratorio: configuración básica de RIPv2 y RIPng (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng


Interfaz

Dirección IP

Máscara de subred


G0/1

172.30.10.1

255.255.255.0

N/A

S0/0/0 (DCE)

10.1.1.1

255.255.255.252

N/A

G0/0

209.165.201.1

255.255.255.0

N/A

S0/0/0

10.1.1.2

255.255.255.252

N/A

S0/0/1 (DCE)

10.2.2.2

255.255.255.252

N/A

G0/1

172.30.30.1

255.255.255.0

N/A

S0/0/1

10.2.2.1

255.255.255.252

N/A

S1

N/A

VLAN 1

N/A

N/A

S3

N/A

VLAN 1

N/A

N/A

PC-A

NIC

172.30.10.3

255.255.255.0

172.30.10.1

PC-B

NIC

209.165.201.2

255.255.255.0

209.165.201.1

PC-C

NIC

172.30.30.3

255.255.255.0

172.30.30.1

R2

R3

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar y verificar el routing RIPv2 •

Configurar y verificar que se esté ejecutando RIPv2 en los routers.

•

Configurar una interfaz pasiva.

•

Examinar las tablas de routing.

•

Desactivar la sumarización automática.

•

Configurar una ruta predeterminada.

•

Verificar la conectividad de extremo a extremo.

Parte 3: configurar IPv6 en los dispositivos Parte 4: configurar y verificar el routing RIPng •

Configurar y verificar que se esté ejecutando RIPng en los routers.

•

Examinar las tablas de routing.

•

Configurar una ruta predeterminada.

•

Verificar la conectividad de extremo a extremo.

Información básica/situación RIP versión 2 (RIPv2) se utiliza para enrutar direcciones IPv4 en redes pequeñas. RIPv2 es un protocolo de routing vector distancia sin clase, según la definición de RFC 1723. Debido a que RIPv2 es un protocolo de routing sin clase, las máscaras de subred se incluyen en las actualizaciones de routing. De manera predeterminada, RIPv2 resume automáticamente las redes en los límites de redes principales. Cuando se


Página 2 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng deshabilita la sumarización automática, RIPv2 ya no resume las redes a su dirección con clase en routers fronterizos. RIP de última generación (RIPng) es un protocolo de routing vector distancia para enrutar direcciones IPv6, según la definición de RFC 2080. RIPng se basa en RIPv2 y tiene la misma distancia administrativa y limitación de 15 saltos. En esta práctica de laboratorio, configurará la topología de la red con routing RIPv2, deshabilitará la sumarización automática, propagará una ruta predeterminada y usará comandos de CLI para ver y verificar la información de routing RIP. Luego, configurará la topología de la red con direcciones IPv6, configurará RIPng, propagará una ruta predeterminada y usará comandos de CLI para ver y verificar la información de routing RIPng. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos.

Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch. Paso 3. configurar los parámetros básicos para cada router y switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.

Configurar la encriptación de contraseñas.

d. Asigne class como la contraseña del modo EXEC privilegiado. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.

Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.


Página 3 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng g. Configure logging synchronous para la línea de consola. h. Configure la dirección IP que se indica en la tabla de direccionamiento para todas las interfaces. i.

Configure una descripción para cada interfaz con una dirección IP.

j.

Configure la frecuencia de reloj, si corresponde, para la interfaz serial DCE.

k.

Copie la configuración en ejecución en la configuración de inicio.


Paso 5. Probar la conectividad. En este momento, las computadoras no pueden hacerse ping entre sí. a. Cada estación de trabajo debe tener capacidad para hacer ping al router conectado. Verifique y resuelva los problemas, si es necesario. b. Los routers deben poder hacerse ping entre sí. Verifique y resuelva los problemas, si es necesario.

Parte 2: configurar y verificar el routing RIPv2 En la parte 2, configurará el routing RIPv2 en todos los routers de la red y, luego, verificará que las tablas de routing se hayan actualizado correctamente. Una vez que haya verificado RIPv2, deshabilitará el sumarización automática, configurará una ruta predeterminada y verificará la conectividad de extremo a extremo.

Paso 1. Configurar el enrutamiento RIPv2. a. En el R1, configure RIPv2 como el protocolo de routing y anuncie las redes correspondientes. R1# config t R1(config)# router R1(config-router)# R1(config-router)# R1(config-router)# R1(config-router)#

rip version 2 passive-interface g0/1 network 172.30.0.0 network 10.0.0.0

El comando passive-interface evita que las actualizaciones de routing se envíen a través de la interfaz especificada. Este proceso evita tráfico de routing innecesario en la LAN. Sin embargo, la red a la que pertenece la interfaz especificada aún se anuncia en las actualizaciones de routing enviadas por otras interfaces. b. Configure RIPv2 en el R3 y utilice la instrucción network para agregar las redes apropiadas y evitar actualizaciones de routing en la interfaz LAN. c.

Configure RIPv2 en el R2. No anuncie la red 209.165.201.0. Nota: no es necesario establecer la interfaz G0/0 como pasiva en el R2, porque la red asociada a esta interfaz no se está anunciando.

Paso 2. examinar el estado actual de la red. a. Se pueden verificar los dos enlaces seriales rápidamente mediante el comando show ip interface brief en R2. R2# show ip interface brief Interface

IP-Address

OK? Method Status


Protocol

Página 4 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1

unassigned 209.165.201.1 unassigned 10.1.1.2 10.2.2.2

YES YES YES YES YES

unset manual unset manual manual

administratively down down up up administratively down down up up up up

b. Verifique la conectividad entre las computadoras. ¿Es posible hacer ping de la PC-A a la PC-B? _________ ¿Por qué? No, el R2 no anuncia la ruta a la PC-B. ¿Es posible hacer ping de la PC-A a la PC-C? _________ ¿Por qué? No, el R1 y el R3 no tienen rutas a las subredes específicas en el router remoto. ¿Es posible hacer ping de la PC-C a la PC-B? _________ ¿Por qué? No, el R2 no anuncia la ruta a la PC-B. ¿Es posible hacer ping de la PC-C a la PC-A? _________ ¿Por qué? No, el R1 y el R3 no tienen rutas a las subredes específicas en el router remoto. c.

Verifique que RIPv2 se ejecute en los routers. Puede usar los comandos debug ip rip, show ip protocols y show run para confirmar que RIPv2 esté en ejecución. A continuación, se muestra el resultado del comando show ip protocols para el R1. R1# show ip protocols

Routing Protocol is "rip" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Sending updates every 30 seconds, next due in 7 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Redistributing: rip Default version control: send version 2, receive 2 Interface Send Recv Triggered RIP Key-chain Serial0/0/0 2 2 Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 10.0.0.0 172.30.0.0 Passive Interface(s): GigabitEthernet0/1 Routing Information Sources: Gateway Distance Last Update 10.1.1.2 120 Distance: (default is 120)

Al emitir el comando debug ip rip en el R2, ¿qué información se proporciona que confirma que RIPv2 está en ejecución? ____________________________________________________________________________________ RIP: sending v2 updates to 224.0.0.9 via Serial 0/0/0 (10.1.1.2). Cuando haya terminado de observar los resultados de la depuración, emita el comando undebug all en la petición de entrada del modo EXEC privilegiado.


Página 5 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng Al emitir el comando show run en el R3, ¿qué información se proporciona que confirma que RIPv2 está en ejecución? ____________________________________________________________________________________ ____________________________________________________________________________________ router rip version 2 d. Examinar el sumarización automática de las rutas. Las LAN conectadas al R1 y el R3 se componen de redes no contiguas. El R2 muestra dos rutas de igual costo a la red 172.30.0.0/16 en la tabla de routing. El R2 solo muestra la dirección de red principal con clase 172.30.0.0 y no muestra ninguna de las subredes de esta red. R2# show ip route

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks C 10.1.1.0/30 is directly connected, Serial0/0/0 L 10.1.1.2/32 is directly connected, Serial0/0/0 C 10.2.2.0/30 is directly connected, Serial0/0/1 L 10.2.2.2/32 is directly connected, Serial0/0/1 R 172.30.0.0/16 [120/1] via 10.2.2.1, 00:00:23, Serial0/0/1 [120/1] via 10.1.1.1, 00:00:09, Serial0/0/0 209.165.201.0/24 is variably subnetted, 2 subnets, 2 masks C 209.165.201.0/24 is directly connected, GigabitEthernet0/0 L 209.165.201.1/32 is directly connected, GigabitEthernet0/0

El R1 solo muestra sus propias subredes para la red 172.30.0.0. El R1 no tiene ninguna ruta para las subredes 172.30.0.0 en el R3. R1# show ip route 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.1.1.0/30 is directly connected, Serial0/0/0 L 10.1.1.1/32 is directly connected, Serial0/0/0 R 10.2.2.0/30 [120/1] via 10.1.1.2, 00:00:21, Serial0/0/0 172.30.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.30.10.0/24 is directly connected, GigabitEthernet0/1 L 172.30.10.1/32 is directly connected, GigabitEthernet0/1

El R3 solo muestra sus propias subredes para la red 172.30.0.0. El R3 no tiene ninguna ruta para las subredes 172.30.0.0 en el R1. R3# show ip route 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.2.2.0/30 is directly connected, Serial0/0/1 L 10.2.2.1/32 is directly connected, Serial0/0/1 R 10.1.1.0/30 [120/1] via 10.2.2.2, 00:00:23, Serial0/0/1 172.30.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.30.30.0/24 is directly connected, GigabitEthernet0/1 L 172.30.30.1/32 is directly connected, GigabitEthernet0/1


Página 6 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng Utilice el comando debug ip rip en el R2 para determinar las rutas recibidas en las actualizaciones RIP del R3 e indíquelas a continuación. ________________________________________________________________________________ 172.30.0.0/16 El R3 no está envía ninguna de las subredes 172.30.0.0, solo la ruta resumida 172.30.0.0/16, incluida la máscara de subred. Por lo tanto, las tablas de routing del R1 y el R2 no muestran las subredes 172.30.0.0 en el R3.

Paso 3. Desactivar la sumarización automática. a. El comando no auto-summary se utiliza para desactivar la sumarización automática en RIPv2. Deshabilite la sumarización automática en todos los routers. Los routers ya no resumirán las rutas en los límites de las redes principales con clase. Aquí se muestra R1 como ejemplo. R1(config)# router rip R1(config-router)# no auto-summary b. Emita el comando clear ip route * para borrar la tabla de routing. R1(config-router)# end R1# clear ip route * c.

Examinar las tablas de enrutamiento Recuerde que la convergencia de las tablas de routing demora un tiempo después de borrarlas. Las subredes LAN conectadas al R1 y el R3 ahora deberían aparecer en las tres tablas de routing. R2# show ip route


C L C L R R R C L

10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.2/32 is directly connected, Serial0/0/0 10.2.2.0/30 is directly connected, Serial0/0/1 10.2.2.2/32 is directly connected, Serial0/0/1 172.30.0.0/16 is variably subnetted, 3 subnets, 2 masks 172.30.0.0/16 [120/1] via 10.2.2.1, 00:01:01, Serial0/0/1 [120/1] via 10.1.1.1, 00:01:15, Serial0/0/0 172.30.10.0/24 [120/1] via 10.1.1.1, 00:00:21, Serial0/0/0 172.30.30.0/24 [120/1] via 10.2.2.1, 00:00:04, Serial0/0/1 209.165.201.0/24 is variably subnetted, 2 subnets, 2 masks 209.165.201.0/24 is directly connected, GigabitEthernet0/0 209.165.201.1/32 is directly connected, GigabitEthernet0/0

R1# show ip route


C L R

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.1/32 is directly connected, Serial0/0/0 10.2.2.0/30 [120/1] via 10.1.1.2, 00:00:12, Serial0/0/0 172.30.0.0/16 is variably subnetted, 3 subnets, 2 masks


Página 7 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng C L R

172.30.10.0/24 is directly connected, GigabitEthernet0/1 172.30.10.1/32 is directly connected, GigabitEthernet0/1 172.30.30.0/24 [120/2] via 10.1.1.2, 00:00:12, Serial0/0/0

R3# show ip route

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.2.2.0/30 is directly connected, Serial0/0/1 L 10.2.2.1/32 is directly connected, Serial0/0/1 R 10.1.1.0/30 [120/1] via 10.2.2.2, 00:00:23, Serial0/0/1 172.30.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.30.30.0/24 is directly connected, GigabitEthernet0/1 L 172.30.30.1/32 is directly connected, GigabitEthernet0/1 R 172.30.10.0 [120/2] via 10.2.2.2, 00:00:16, Serial0/0/1

d. Utilice el comando debug ip rip en el R2 para examinar las actualizaciones RIP. R2# debug ip rip Después de 60 segundos, emita el comando no debug ip rip. ¿Qué rutas que se reciben del R3 se encuentran en las actualizaciones RIP? ________________________________________________________________________________ 172.30.30.0/24 ¿Se incluyen ahora las máscaras de las subredes en las actualizaciones de enrutamiento? _________ sí

Paso 4. Configure y redistribuya una ruta predeterminada para el acceso a Internet. a. Desde el R2, cree una ruta estática a la red 0.0.0.0 0.0.0.0, con el comando ip route. Esto envía todo tráfico de dirección de destino desconocida a la interfaz G0/0 del R2 hacia la PC-B y simula Internet al establecer un gateway de último recurso en el router R2. R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.2 b. El R2 anunciará una ruta a los otros routers si se agrega el comando default-information originate a la configuración de RIP. R2(config)# router rip R2(config-router)# default-information originate

Paso 5. Verificar la configuración de enrutamiento. c.

Consulte la tabla de routing en el R1. R1# show ip route

Gateway of last resort is 10.1.1.2 to network 0.0.0.0 R* C L R C

0.0.0.0/0 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.1/32 is directly connected, Serial0/0/0 10.2.2.0/30 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0 172.30.0.0/16 is variably subnetted, 3 subnets, 2 masks 172.30.10.0/24 is directly connected, GigabitEthernet0/1


Página 8 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng L R

172.30.10.1/32 is directly connected, GigabitEthernet0/1 172.30.30.0/24 [120/2] via 10.1.1.2, 00:00:13, Serial0/0/0

¿Cómo se puede saber, a partir de la tabla de routing, que la red dividida en subredes que comparten el R1 y el R3 tiene una ruta para el tráfico de Internet? ____________________________________________________________________________________ ____________________________________________________________________________________ Hay un gateway de último recurso, y la ruta predeterminada aparece en la tabla como detectada a través de RIP. d. Consulte la tabla de routing en el R2. ¿En qué forma se proporciona la ruta para el tráfico de Internet en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ El R2 tiene una ruta estática predeterminada a 0.0.0.0 a través de 209.165.201.2, que está conectada directamente a G0/0.

Paso 6. Verifique la conectividad. a. Simule el envío de tráfico a Internet haciendo ping de la PC-A y la PC-C a 209.165.201.2. ¿Tuvieron éxito los pings? ______ Sí b. Verifique que los hosts dentro de la red dividida en subredes tengan posibilidad de conexión entre sí haciendo ping entre la PC-A y la PC-C. ¿Tuvieron éxito los pings? ______ Sí Nota: quizá sea necesario deshabilitar el firewall de las computadoras.

Parte 3: configurar IPv6 en los dispositivos En la parte 3, configurará todas las interfaces con direcciones IPv6 y verificará la conectividad.


Página 9 de 22



Dirección IPv6/longitud de prefijo

Interfaz


G0/1

2001:DB8:ACAD:A::1/64 FE80::1 link-local

No aplicable

S0/0/0

2001:DB8:ACAD:12::1/64 FE80::1 link-local

No aplicable

G0/0

2001:DB8:ACAD:B::2/64 FE80::2 link-local

No aplicable

S0/0/0


No aplicable

S0/0/1


No aplicable

G0/1

2001:DB8:ACAD:C::3/64 FE80::3 link-local

No aplicable

S0/0/1


No aplicable

PC-A

NIC

2001:DB8:ACAD:A::A/64

FE80::1

PC-B

NIC

2001:DB8:ACAD:B::B/64

FE80::2

PC-C

NIC

2001:DB8:ACAD:C::C/64

FE80::3

R1

R2

R3


Paso 2. configurar IPv6 en los routers. Nota: la asignación de una dirección IPv6 además de una dirección IPv4 en una interfaz se conoce como “dual-stacking” (o apilamiento doble). Esto se debe a que las pilas de protocolos IPv4 e IPv6 están activas. a. Para cada interfaz del router, asigne la dirección global y la dirección link local de la tabla de direccionamiento. b. Habilite el routing IPv6 en cada router. c.

Introduzca el comando apropiado para verificar las direcciones IPv6 y el estado de enlace. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ show ipv6 interface brief R1# show ipv6 interface brief GigabitEthernet0/0 GigabitEthernet0/1 FE80::1 2001:DB8:ACAD:A::1 Serial0/0/0

[administratively down/down] [up/up]

[up/up]


Página 10 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng FE80::1 2001:DB8:ACAD:12::1 Serial0/0/1

[administratively down/down]

d. Cada estación de trabajo debe tener capacidad para hacer ping al router conectado. Verifique y resuelva los problemas, si es necesario. e. Los routers deben poder hacerse ping entre sí. Verifique y resuelva los problemas, si es necesario.

Parte 4: configurar y verificar el routing RIPng En la parte 4, configurará el routing RIPng en todos los routers, verificará que las tablas de routing estén correctamente actualizadas, configurará y distribuirá una ruta predeterminada, y verificará la conectividad de extremo a extremo.

Paso 1. configurar el routing RIPng. Con IPv6, es común tener varias direcciones IPv6 configuradas en una interfaz. La instrucción network se eliminó en RIPng. En cambio, el routing RIPng se habilita en el nivel de la interfaz y se identifica por un nombre de proceso pertinente en el nivel local, ya que se pueden crear varios procesos con RIPng. a. Emita el comando ipv6 rip Test1 enable para cada interfaz en el R1 que participará en el routing RIPng, donde Test1 es el nombre de proceso pertinente en el nivel local. R1(config)# R1(config)# R1(config)# R1(config)#

interface g0/1 ipv6 rip Test1 enable interface s0/0/0 ipv6 rip Test1 enable

b. Configure RIPng para las interfaces seriales en el R2, con Test2 como el nombre de proceso. No lo configure para la interfaz G0/0 R2(config)# R2(config)# R2(config)# R2(config)# c.

interface s0/0/0 ipv6 rip Test2 enable interface s0/0/1 ipv6 rip Test2 enable

Configure RIPng para cada interfaz en el R3, con Test3 como el nombre de proceso. R3(config)# R3(config)# R3(config)# R3(config)#

interface g0/1 ipv6 rip Test3 enable interface s0/0/1 ipv6 rip Test3 enable

d. Verifique que RIPng se esté ejecutando en los routers. Los comandos show ipv6 protocols, show run, show ipv6 rip database y show ipv6 rip nombre de proceso se pueden usar para confirmar que se esté ejecutando RIPng En el R1, emita el comando show ipv6 protocols. R1# show ipv6 protocols

IPv6 Routing Protocol is "connected" IPv6 Routing Protocol is "ND" IPv6 Routing Protocol is "rip Test1" Interfaces: Serial0/0/0 GigabitEthernet0/1 Redistribution:


Página 11 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng None

¿En qué forma se indica RIPng en el resultado? ____________________________________________________________________________________ RIPng se indica por nombre de proceso. e. Emita el comando show ipv6 rip Test1. R1# show ipv6 rip Test1

RIP process "Test1", port 521, multicast-group FF02::9, pid 314 Administrative distance is 120. Maximum paths is 16 Updates every 30 seconds, expire after 180 Holddown lasts 0 seconds, garbage collect after 120 Split horizon is on; poison reverse is off Default routes are not generated Periodic updates 1, trigger updates 0 Full Advertisement 0, Delayed Events 0 Interfaces: GigabitEthernet0/1 Serial0/0/0 Redistribution: None

¿Cuáles son las similitudes entre RIPv2 y RIPng? ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían. RIPv2 y RIPng tienen una distancia administrativa de 120, usan el conteo de saltos como métrica y envían actualizaciones cada 30 segundos. f.

Inspecciones la tabla de routing IPv6 en cada router. Escriba el comando apropiado que se usa para ver la tabla de routing en el espacio a continuación. ____________________________________________________________________________________ show ipv6 route R1# show ipv6 route

IPv6 Routing Table - 7 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external C 2001:DB8:ACAD:A::/64 [0/0] via ::, GigabitEthernet0/1 L 2001:DB8:ACAD:A::1/128 [0/0] via ::, GigabitEthernet0/1 R 2001:DB8:ACAD:C::/64 [120/3] via FE80::2, Serial0/0/0 C 2001:DB8:ACAD:12::/64 [0/0] via ::, Serial0/0/0 L 2001:DB8:ACAD:12::1/128 [0/0]


Página 12 de 22


R L

via ::, Serial0/0/0 2001:DB8:ACAD:23::/64 [120/2] via FE80::2, Serial0/0/0 FF00::/8 [0/0] via ::, Null0

En el R1, ¿cuántas rutas se descubrieron mediante RIPng? _________ 2 En el R2, ¿cuántas rutas se descubrieron mediante RIPng? _________ 2 En el R3, ¿cuántas rutas se descubrieron mediante RIPng? _________ 2 g. Verifique la conectividad entre las computadoras. ¿Es posible hacer ping de la PC-A a la PC-B? _________ no ¿Es posible hacer ping de la PC-A a la PC-C? _________ sí ¿Es posible hacer ping de la PC-C a la PC-B? _________ no ¿Es posible hacer ping de la PC-C a la PC-A? _________ sí ¿Por qué algunos pings tuvieron éxito y otros no? ____________________________________________________________________________________ No se anunció ninguna ruta a la red 2001:DB8:ACAD:B::/64.

Paso 2. configurar y volver a distribuir una ruta predeterminada. a. Desde el R2, cree una ruta estática predeterminada a la red:: 0/64 con el comando ipv6 route y la dirección IP de la interfaz de salida G0/0. Esto reenvía todo tráfico de dirección de destino desconocida a la interfaz G0/0 del R2 hacia la PC-B y simula Internet. Escriba el comando que utilizó en el espacio a continuación. ____________________________________________________________________________________ R2(config)# ipv6 route ::0/64 2001:db8:acad:b::b b. Las rutas estáticas se pueden incluir en las actualizaciones RIPng mediante el comando ipv6 rip nombre de proceso default-information originate en el modo de configuración de interfaz. Configure los enlaces seriales en el R2 para enviar la ruta predeterminada en actualizaciones RIPng. R2(config)# int R2(config-rtr)# R2(config)# int R2(config-rtr)#

s0/0/0 ipv6 rip Test2 default-information originate s0/0/1 ipv6 rip Test2 default-information originate

Paso 3. Verificar la configuración de enrutamiento. a. Consulte la tabla de routing IPv6 en el router R2. R2# show ipv6 route

IPv6 Routing Table - 10 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external S ::/64 [1/0]


Página 13 de 22


R C L R C L C L L

via 2001:DB8:ACAD:B::B 2001:DB8:ACAD:A::/64 [120/2] via FE80::1, Serial0/0/0 2001:DB8:ACAD:B::/64 [0/0] via ::, GigabitEthernet0/1 2001:DB8:ACAD:B::2/128 [0/0] via ::, GigabitEthernet0/1 2001:DB8:ACAD:C::/64 [120/2] via FE80::3, Serial0/0/1 2001:DB8:ACAD:12::/64 [0/0] via ::, Serial0/0/0 2001:DB8:ACAD:12::2/128 [0/0] via ::, Serial0/0/0 2001:DB8:ACAD:23::/64 [0/0] via ::, Serial0/0/1 2001:DB8:ACAD:23::2/128 [0/0] via ::, Serial0/0/1 FF00::/8 [0/0] via ::, Null0

¿Cómo se puede saber, a partir de la tabla de routing, que el R2 tiene una ruta para el tráfico de Internet? ________________________________________________________________________________ La ruta estática predeterminada aparece en la tabla de routing del R2. S

::/64 [1/0] via 2001:DB8:ACAD:B::B

b. Consulte las tablas de routing del R1 y el R3. ¿Cómo se proporciona la ruta para el tráfico de Internet en sus tablas de enrutamiento? ________________________________________________________________________________ La ruta predeterminada aparece como una ruta RIPng distribuida con el valor de métrica 2. R1: R

R3: R

::/0 [120/2] via FE80::2, Serial0/0/0 ::/0 [120/2] via FE80::2, Serial0/0/1

Paso 4. Verifique la conectividad. Simule el envío de tráfico a Internet haciendo ping de la PC-A y la PC-C a 2001:DB8:ACAD:B::B/64. ¿Tuvieron éxito los pings? ______ Sí


Página 14 de 22


Reflexión 1. ¿Por qué desactivaría la sumarización automática para RIPv2? _______________________________________________________________________________________ Para que los routers no resuman las rutas en los límites de las redes principales con clase. 2. En ambas situaciones, ¿en qué forma descubrieron la ruta a Internet el R1 y el R3? _______________________________________________________________________________________ Por las actualizaciones de routing RIP recibidas del router en el que estaba configurada la ruta predeterminada (R2). 3. ¿En qué se diferencian la configuración de RIPv2 y la de RIPng? _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar. RIPv2 se configura mediante instrucciones network, mientras que RIPng se configura en las interfaces.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos, final Router R1 R1# show run Building configuration...


Página 15 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng Current configuration : 1787 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! no ip domain lookup ip cef ipv6 unicast-routing ipv6 cef ! multilink bundle-name authenticated ! ! redundancy ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 description R1 LAN ip address 172.30.10.1 255.255.255.0 duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::1/64 ipv6 rip Test1 enable ! interface Serial0/0/0 description Link to R2 ip address 10.1.1.1 255.255.255.252 ipv6 address FE80::1 link-local


Página 16 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng ipv6 address 2001:DB8:ACAD:12::1/64 ipv6 rip Test1 enable clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! router rip version 2 passive-interface GigabitEthernet0/1 network 10.0.0.0 network 172.30.0.0 no auto-summary ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 router rip Test1 ! control-plane ! banner motd ^CUnauthorized access is strictly prohibited.^C ! line con 0 password 7 045802150C2E logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 060506324F41 login transport input all ! scheduler allocate 20000 1000 ! end

Router R2 R2#show run


Página 17 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng Building configuration... Current configuration : 2073 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! no ip domain lookup ip cef ipv6 unicast-routing ipv6 cef ! ! ! ! redundancy ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description R2 LAN ip address 209.165.201.1 255.255.255.0 duplex auto speed auto ipv6 address FE80::2 link-local ipv6 address 2001:DB8:ACAD:B::1/64 ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 description Link to R1 ip address 10.1.1.2 255.255.255.252


Página 18 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng ipv6 address FE80::2 link-local ipv6 address 2001:DB8:ACAD:12::2/64 ipv6 rip Test2 enable ipv6 rip Test2 default-information originate ! interface Serial0/0/1 description Link to R3 ip address 10.2.2.2 255.255.255.252 ipv6 address FE80::2 link-local ipv6 address 2001:DB8:ACAD:23::2/64 ipv6 rip Test2 enable ipv6 rip Test2 default-information originate clock rate 2000000 ! router rip version 2 network 10.0.0.0 default-information originate no auto-summary ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 209.165.201.2 ! ipv6 route ::/64 2001:DB8:ACAD:B::B ipv6 router rip Test2 ! control-plane ! banner motd ^CUnauthorized access is strictly prohibited.^C ! line con 0 password 7 0822455D0A16 logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 110A1016141D login


Página 19 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng transport input all ! scheduler allocate 20000 1000 ! end

Router R3 R3#show run Building configuration... Current configuration : 1847 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip cef ipv6 unicast-routing ipv6 cef ! multilink bundle-name authenticated ! ! redundancy ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 description R3 LAN


Página 20 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng ip address 172.30.30.1 255.255.255.0 duplex auto speed auto ipv6 address FE80::3 link-local ipv6 address 2001:DB8:ACAD:C::3/64 ipv6 rip Test3 enable ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 description Link to R2 ip address 10.2.2.1 255.255.255.252 ipv6 address FE80::3 link-local ipv6 address 2001:DB8:ACAD:23::3/64 ipv6 rip Test3 enable ! router rip version 2 passive-interface GigabitEthernet0/1 network 10.0.0.0 network 172.30.0.0 no auto-summary ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 router rip Test3 ! control-plane ! banner motd ^CUnauthorized access is strictly prohibited.^C ! line con 0 password 7 02050D480809 logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1


Página 21 de 22

Práctica de laboratorio: configuración básica de RIPv2 y RIPng line vty 0 4 password 7 14141B180F0B login transport input all ! scheduler allocate 20000 1000 ! end


Página 22 de 22

IPv6: detalles y más detalles (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Analice una tabla de routing para determinar el origen de la ruta, la distancia administrativa y la métrica de una ruta determinada para incluir IPv4/IPv6. Esta actividad se centra en la revisión de conceptos y entradas de tablas de routing IPv6.

Situación Después de estudiar los conceptos presentados en este capítulo relacionados con IPv6, debería poder leer una tabla de routing e interpretar la información de routing IPv6 incluida en dicha tabla con facilidad. Con un compañero, utilice el diagrama de la tabla de routing IPv6 y el archivo .pdf que se entregaron con esta actividad. Registren sus respuestas a las preguntas de reflexión. A continuación, comparen sus respuestas con, al menos, uno de los demás grupos de la clase.


Diagrama de la tabla de routing (incluido a continuación)

•

Dos computadoras o dispositivos portátiles (BYOD): en una PC o BYOD se mostrará el diagrama de la tabla de routing al que accederá el grupo, y registrarán las respuestas a las preguntas reflexión en la otra PC o el otro BYOD.

Diagrama de la tabla de routing R3# show ipv6 route IPv6 Routing Table - default - 8 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 R 2001:DB8:CAFE:1::/64 [120/3] via FE80::FE99:47FF:FE71:78A0, Serial0/0/1 R 2001:DB8:CAFE:2::/64 [120/2] via FE80::FE99:47FF:FE71:78A0, Serial0/0/1 C 2001:DB8:CAFE:3::/64 [0/0] via GigabitEthernet0/0, directly connected L 2001:DB8:CAFE:3::1/128 [0/0] via GigabitEthernet0/0, receive (output omitted)


Página 1 de 3

IPv6: detalles y más detalles

Reflexión 1. ¿Cuántas redes IPv6 diferentes se muestran en el diagrama de la tabla de routing? Enumérelas en la tabla proporcionada a continuación. _______________________________________________________________________________________ Tres. No se cuenta la ruta L, debido a que ya se la tiene en cuenta en la ruta C. Redes IPv6 de la tabla de routing

2001:DB8:CAFE:1::/64 2001:DB8:CAFE:2::/64 2001:DB8:CAFE:3::/64

2. La ruta 2001:DB8:CAFE:3:: aparece dos veces en la tabla de routing, una vez con /64 y otra con /128. ¿Cuál es la importancia de esta entrada de red doble? _______________________________________________________________________________________ 2001:DB8:CAFE:3::/64 indica una red IPv6 específica, como lo representan los primeros 64 bits de red. 2001:DB8:CAFE:3::1/128 indica una entrada de ruta local. El prefijo /128 proporciona ayuda para los procesos de búsqueda de rutas para los paquetes cuyo destino son las interfaces. 3. ¿Cuántas rutas en esta tabla son rutas RIP? ¿Qué tipo de rutas RIP se incluyen: RIP, RIPv2 o RIPng? _______________________________________________________________________________________ Dos rutas son rutas RIP y ambas son RIPng porque muestran direcciones de red IPv6. 4. Utilice la primera ruta RIP incluida en la tabla de routing como referencia. ¿Cuál es la distancia administrativa de esta ruta? ¿Cuál es el costo? ¿Cuál es la importancia de estos dos valores? _______________________________________________________________________________________ La distancia administrativa es 120. Este valor se asigna automáticamente cuando se configura RIP sin hacer cambios específicos. El costo de esta ruta es 3, que indica la cantidad de saltos que se necesitan para llegar a la red especificada. 5. Utilice la segunda ruta RIP, según la referencia en el diagrama de la tabla de routing. ¿Cuántos saltos se necesitarían para llegar a la red 2001:DB8:CAFE:2::/64? ¿Qué ocurriría con esta entrada de la tabla de routing si el costo de esta ruta superara los 15 saltos? _______________________________________________________________________________________ Se necesitarían dos saltos para llegar a 2001:DB8:CAFE:2::/64. Si el conteo de saltos aumentara a un costo de 16, la ruta desaparecería. 6. Está diseñando un esquema de direccionamiento IPv6 para agregar otro router a la topología física de la red. Utilice el prefijo /64 para este esquema de direccionamiento y una base de red IPv6 2001:DB8:CAFF:2::/64.


Página 2 de 3

IPv6: detalles y más detalles ¿Cuál sería la siguiente asignación de red numérica que podría usar si los primeros tres hextetos permanecieran iguales? Justifique su respuesta. _______________________________________________________________________________________ Posiblemente, el siguiente espacio de direcciones físicas se podría asignar como 2001:DB8:CAFF:3::/64. Si los primeros tres hextetos permanecieran iguales, los incrementos se aplicarían al cuarto hexteto. Los últimos 64 bits se reservarían para el direccionamiento de host, a menos que el prefijo /64 cambie.


Direcciones IPv6

•

Protocolo de routing RIPng

•

Distancia administrativa

•

Costo

•

Direcciones link-local

•

Hextetos

•

Prefijos de red


Página 3 de 3

¿Los submarinos pueden nadar? (Versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Explicar el proceso mediante el cual los routers de estado de enlace descubren otras redes. Con esta actividad de creación de modelos, se pretende que los estudiantes se centren en la idea básica de usar la ruta más corta para descubrir la mejor ruta de la red para las comunicaciones de datos.

Situación Edsger Wybe Dijkstra fue un famoso programador informático y físico teórico. Una de sus citas más famosas fue: “Preguntar si una computadora puede pensar es como preguntar si un submarino puede nadar”. El trabajo de Dijkstra se aplicó, entre otras cosas, a los protocolos de routing. Dijkstra creó el algoritmo SPF (Shortest Path First) para el routing de red.

•

Visite el sitio web de la Association for Computing Machinery (ACM) en http://amturing.acm.org/award_winners/dijkstra_1053701.cfm. Lea el artículo acerca de la vida de Dijkstra. Enumere cinco datos que se mencionen en el artículo que le hayan parecido interesantes sobre él y su trabajo.

•

Luego, vea la animación de Dijkstra sobre cómo encontrar primero la ruta más corta que se encuentra en http://upload.wikimedia.org/wikipedia/commons/5/57/Dijkstra_Animation.gif. Mientras observa la animación, preste mucha atención a lo que ocurre. Tome nota de tres observaciones sobre la animación.

•

Por último, vea el gráfico que se encuentra en http://upload.wikimedia.org/wikipedia/commons/3/37/Ricerca_operativa_percorso_minimo_01.gif. Tómese unos minutos para ver la imagen y apunte tres observaciones sobre la representación visual. (Nota: utilice un traductor web si no conoce el significado de las palabras “Casa” y “Ufficio”).

Ahora, abra el PDF que se proporciona con esta actividad y responda las preguntas de reflexión. Guarde el trabajo. Reúnase con dos de sus compañeros de clase para comparar las respuestas.

Recursos •


•

Navegador de Internet

Reflexión 1. Indique cinco datos sobre la vida de Edsger Wybe Dijkstra que le hayan resultado interesantes. ______________________________________________________________________________________ Las respuestas varían según la preferencia de los estudiantes después de leer la información del sitio. Algunas respuestas quizás sean: Dijkstra era oriundo de los Países Bajos. Era un programador informático. Cambió la denominación de su profesión de “programador” a “físico teórico” cuando en los Países Bajos le negaron una licencia de matrimonio. Trabajó para Burroughs Corporation. Pasó 20 años de su vida en la Universidad de Texas/Austin, en el departamento de Ciencias de la Informática. Tardó solo 20 minutos en desarrollar el algoritmo para encontrar la ruta más corta primero, el cual se basó en un esquema de cuadrados.


Página 1 de 2

¿Los submarinos pueden nadar? 2. Indique tres observaciones sobre la animación ubicada en http://upload.wikimedia.org/wikipedia/commons/5/57/Dijkstra_Animation.gif. _______________________________________________________________________________________ Se muestran diferentes rutas de origen a destino. Los números se muestran para calcular el costo de la ruta de un lugar a otro. Algunas rutas son más cortas que otras; por eso, encontrar la ruta más corta es clave para encontrar la ruta más corta de origen a destino. 3. Indique tres observaciones sobre la imagen que se muestra en http://commons.wikimedia.org/wiki/File:Ricerca_operativa_percorso_minimo_01.gif. _______________________________________________________________________________________ Casa y Ufficio indican las ubicaciones de origen y destino en el diagrama. Los números se proporcionan para indicar el costo de viajar de origen a destino en cada línea. Algunos costos (cuando se sumen) serán más bajos o más altos que otros en el traslado de origen a destino. 4. Los protocolos de routing vector distancia básicamente dependen de la cantidad de saltos para encontrar la mejor ruta de origen a destino. Si aplica la información que aprendió en esta actividad de introducción al routing, ¿los saltos serían el factor principal para encontrar la mejor ruta de origen a destino? Si se compara con la comunicación de red, ¿hay otra posibilidad mejor de encontrar la mejor ruta mediante una métrica diferente del conteo de saltos? Justifique su respuesta. _______________________________________________________________________________________ Con la información obtenida en esta actividad de investigación, parece que la métrica de la ruta puede variar de origen a destino. El conteo de saltos se puede usar para encontrar la mejor ruta para las comunicaciones de red, o bien se puede usar una métrica diferente. Los cálculos se pueden realizar sobre la base de números, los que se pueden sumar para encontrar la mejor ruta de origen a destino. Por lo tanto, los números o el costo, en lugar de los saltos, pueden proporcionar una métrica alternativa para encontrar la mejor ruta de origen a destino.

Identifique los elementos del modelo que corresponden a contenido relacionado con TI: • • • •

Rutas Dijkstra Ruta más corta primero Métricas


Página 2 de 2

Práctica de laboratorio: configuración de OSPFv2 básico de área única (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única


Interfaz

Dirección IP

Máscara de subred


G0/0

192.168.1.1

255.255.255.0

N/A

S0/0/0 (DCE)

192.168.12.1

255.255.255.252

N/A

S0/0/1

192.168.13.1

255.255.255.252

N/A

G0/0

192.168.2.1

255.255.255.0

N/A

S0/0/0

192.168.12.2

255.255.255.252

N/A

S0/0/1 (DCE)

192.168.23.1

255.255.255.252

N/A

G0/0

192.168.3.1

255.255.255.0

N/A

S0/0/0 (DCE)

192.168.13.2

255.255.255.252

N/A

S0/0/1

192.168.23.2

255.255.255.252

N/A

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.2.3

255.255.255.0

192.168.2.1

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

R2

R3

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar y verificar el routing OSPF Parte 3: cambiar las asignaciones de ID del router Parte 4: configurar interfaces OSPF pasivas Parte 5: cambiar las métricas de OSPF

Información básica/situación El protocolo OSPF (Open Shortest Path First) es un protocolo de routing de estado de enlace para las redes IP. Se definió OSPFv2 para redes IPv4, y OSPFv3 para redes IPv6. OSPF detecta cambios en la topología, como fallas de enlace, y converge en una nueva estructura de routing sin bucles muy rápidamente. Computa cada ruta con el algoritmo de Dijkstra, un algoritmo SPF (Shortest Path First). En esta práctica de laboratorio, configurará la topología de la red con routing OSPFv2, cambiará las asignaciones de ID de router, configurará interfaces pasivas, ajustará las métricas de OSPF y utilizará varios comandos de CLI para ver y verificar la información de routing OSPF. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.


Página 2 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host y los routers.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar los routers según sea necesario. Paso 3: configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.


d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure un aviso de mensaje del día (MOTD) para advertir a los usuarios que el acceso no autorizado está prohibido. f.

Configure logging synchronous para la línea de consola.

g. Configure la dirección IP que se indica en la tabla de direccionamiento para todas las interfaces. h. Establezca la frecuencia de reloj para todas las interfaces seriales DCE en 128000. i.


Paso 4: configurar los equipos host. Paso 5: Probar la conectividad. Los routers deben poder hacerse ping entre sí, y cada computadora debe poder hacer ping a su gateway predeterminado. Las computadoras no pueden hacer ping a otras computadoras hasta que no se haya configurado el routing OSPF. Verifique y resuelva los problemas, si es necesario.

Parte 2: Configurar y verificar el enrutamiento OSPF En la parte 2, configurará el routing OSPFv2 en todos los routers de la red y, luego, verificará que las tablas de routing se hayan actualizado correctamente. Después de verificar OSPF, configurará la autenticación de OSPF en los enlaces para mayor seguridad.


Página 3 de 29


Paso 1: Configure el protocolo OSPF en R1. a. Use el comando router ospf en el modo de configuración global para habilitar OSPF en el R1. R1(config)# router ospf 1 Nota: la ID del proceso OSPF se mantiene localmente y no tiene sentido para los otros routers de la red. b. Configure las instrucciones network para las redes en el R1. Utilice la ID de área 0. R1(config-router)# network 192.168.1.0 0.0.0.255 area 0 R1(config-router)# network 192.168.12.0 0.0.0.3 area 0 R1(config-router)# network 192.168.13.0 0.0.0.3 area 0

Paso 2: Configure OSPF en el R2 y el R3. Use el comando router ospf y agregue las instrucciones network para las redes en el R2 y el R3. Cuando el routing OSPF está configurado en el R2 y el R3, se muestran mensajes de adyacencia de vecino en el R1. R1# 00:22:29: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.23.1 on Serial0/0/0 from LOADING to FULL, Loading Done R1# 00:23:14: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.23.2 on Serial0/0/1 from LOADING to FULL, Loading Done R1#

Paso 3: verificar los vecinos OSPF y la información de routing. a. Emita el comando show ip ospf neighbor para verificar que cada router indique a los demás routers en la red como vecinos. R1# show ip ospf neighbor Neighbor ID 192.168.23.2 192.168.23.1

Pri 0 0

State FULL/ FULL/

-

Dead Time 00:00:33 00:00:30

Address 192.168.13.2 192.168.12.2

Interface Serial0/0/1 Serial0/0/0

b. Emita el comando show ip route para verificar que todas las redes aparezcan en la tabla de routing de todos los routers. R1# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set

C L O O

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/0 192.168.1.1/32 is directly connected, GigabitEthernet0/0 192.168.2.0/24 [110/65] via 192.168.12.2, 00:32:33, Serial0/0/0 192.168.3.0/24 [110/65] via 192.168.13.2, 00:31:48, Serial0/0/1


Página 4 de 29


C L

192.168.12.0/24 is 192.168.12.0/30 192.168.12.1/32 192.168.13.0/24 is 192.168.13.0/30 192.168.13.1/32 192.168.23.0/30 is 192.168.23.0/30

C L O

variably subnetted, 2 subnets, 2 masks is directly connected, Serial0/0/0 is directly connected, Serial0/0/0 variably subnetted, 2 subnets, 2 masks is directly connected, Serial0/0/1 is directly connected, Serial0/0/1 subnetted, 1 subnets [110/128] via 192.168.12.2, 00:31:38, Serial0/0/0 [110/128] via 192.168.13.2, 00:31:38, Serial0/0/1

¿Qué comando utilizaría para ver solamente las rutas OSPF en la tabla de routing? _______________________________________________________________________________________ show ip route ospf

Paso 4: verificar la configuración del protocolo OSPF. El comando show ip protocols es una manera rápida de verificar información fundamental de configuración de OSPF. Esta información incluye la ID del proceso OSPF, la ID del router, las redes que anuncia el router, los vecinos de los que el router recibe actualizaciones y la distancia administrativa predeterminada, que para OSPF es 110. R1# show ip protocols

*** IP Routing is NSF aware *** Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 192.168.13.1 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 0 192.168.12.0 0.0.0.3 area 0 192.168.13.0 0.0.0.3 area 0 Routing Information Sources: Gateway Distance Last Update 192.168.23.2 110 00:19:16 192.168.23.1 110 00:20:03 Distance: (default is 110)

Paso 5: verificar la información del proceso OSPF. Use el comando show ip ospf para examinar la ID del proceso OSPF y la ID del router. Este comando muestra información de área OSPF y la última vez que se calculó el algoritmo SPF. R1# show ip ospf

Routing Process "ospf 1" with ID 192.168.13.1 Start time: 00:20:23.260, Time elapsed: 00:25:08.296 Supports only single TOS(TOS0) routes Supports opaque LSA Supports Link-local Signaling (LLS) Supports area transit capability


Página 5 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Supports NSSA (compatible with RFC 3101) Event-log enabled, Maximum number of events: 1000, Mode: cyclic Router is not originating router-LSAs with maximum metric Initial SPF schedule delay 5000 msecs Minimum hold time between two consecutive SPFs 10000 msecs Maximum wait time between two consecutive SPFs 10000 msecs Incremental-SPF disabled Minimum LSA interval 5 secs Minimum LSA arrival 1000 msecs LSA group pacing timer 240 secs Interface flood pacing timer 33 msecs Retransmission pacing timer 66 msecs Number of external LSA 0. Checksum Sum 0x000000 Number of opaque AS LSA 0. Checksum Sum 0x000000 Number of DCbitless external and opaque AS LSA 0 Number of DoNotAge external and opaque AS LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Number of areas transit capable is 0 External flood list length 0 IETF NSF helper support enabled Cisco NSF helper support enabled Reference bandwidth unit is 100 mbps Area BACKBONE(0) Number of interfaces in this area is 3 Area has no authentication SPF algorithm last executed 00:22:53.756 ago SPF algorithm executed 7 times Area ranges are Number of LSA 3. Checksum Sum 0x019A61 Number of opaque link LSA 0. Checksum Sum 0x000000 Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0

Paso 6: verificar la configuración de la interfaz OSPF. a. Emita el comando show ip ospf interface brief para ver un resumen de las interfaces con OSPF habilitado. R1# show ip ospf interface brief Interface Se0/0/1 Se0/0/0 Gi0/0

PID 1 1 1

Area 0 0 0

IP Address/Mask 192.168.13.1/30 192.168.12.1/30 192.168.1.1/24

Cost 64 64 1

State P2P P2P DR

Nbrs F/C 1/1 1/1 0/0

b. Para obtener una lista detallada de todas las interfaces con OSPF habilitado, emita el comando show ip ospf interface. R1# show ip ospf interface

Serial0/0/1 is up, line protocol is up Internet Address 192.168.13.1/30, Area 0, Attached via Network Statement


Página 6 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Process ID 1, Router ID 192.168.13.1, Network Type POINT_TO_POINT, Cost: 64 Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:01 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 3/3, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.2 Suppress hello for 0 neighbor(s) Serial0/0/0 is up, line protocol is up Internet Address 192.168.12.1/30, Area 0, Attached via Network Statement Process ID 1, Router ID 192.168.13.1, Network Type POINT_TO_POINT, Cost: 64 Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:03 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 2/2, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.1 Suppress hello for 0 neighbor(s) GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.1.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 192.168.13.1, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.13.1, Interface address 192.168.1.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:01 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled


Página 7 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

Paso 7: Verificar la conectividad de extremo a extremo. Se debería poder hacer ping entre todas las computadoras de la topología. Verifique y resuelva los problemas, si es necesario. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.

Parte 3: cambiar las asignaciones de ID del router El ID del router OSPF se utiliza para identificar de forma única el router en el dominio de enrutamiento OSPF. Los routers Cisco derivan la ID del router en una de estas tres formas y con la siguiente prioridad: 1) Dirección IP configurada con el comando de OSPF router-id, si la hubiera 2) Dirección IP más alta de cualquiera de las direcciones de loopback del router, si la hubiera 3) Dirección IP activa más alta de cualquiera de las interfaces físicas del router Dado que no se ha configurado ningún ID o interfaz de loopback en los tres routers, el ID de router para cada ruta se determina según la dirección IP más alta de cualquier interfaz activa. En la parte 3, cambiará la asignación de ID del router OSPF con direcciones de loopback. También usará el comando router-id para cambiar la ID del router.

Paso 1: Cambie las ID de router con direcciones de loopback. a. Asigne una dirección IP al loopback 0 en el R1. R1(config)# interface lo0 R1(config-if)# ip address 1.1.1.1 255.255.255.255 R1(config-if)# end b. Asigne direcciones IP al loopback 0 en el R2 y el R3. Utilice la dirección IP 2.2.2.2/32 para el R2 y 3.3.3.3/32 para el R3. c.

Guarde la configuración en ejecución en la configuración de inicio de todos los routers.

d. Debe volver a cargar los routers para restablecer la ID del router a la dirección de loopback. Emita el comando reload en los tres routers. Presione Enter para confirmar la recarga. Nota para el instructor: el comando clear ip ospf process no restablece la ID del router a la dirección de loopback; volver a cargar el router lo hace. e. Una vez que se haya completado el proceso de recarga del router, emita el comando show ip protocols para ver la nueva ID del router. R1# show ip protocols

*** IP Routing is NSF aware *** Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set


Página 8 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Router ID 1.1.1.1 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 0 192.168.12.0 0.0.0.3 area 0 192.168.13.0 0.0.0.3 area 0 Routing Information Sources: Gateway Distance Last Update 3.3.3.3 110 00:01:00 2.2.2.2 110 00:01:14 Distance: (default is 110)

f.

Emita el comando show ip ospf neighbor para mostrar los cambios de ID de router de los routers vecinos. R1# show ip ospf neighbor Neighbor ID 3.3.3.3 2.2.2.2 R1#

Pri 0 0

State FULL/ FULL/

-

Dead Time 00:00:35 00:00:32

Address 192.168.13.2 192.168.12.2


Paso 2: cambiar la ID del router R1 con el comando router-id. El método de preferencia para establecer la ID del router es mediante el comando router-id. a. Emita el comando router-id 11.11.11.11 en el R1 para reasignar la ID del router. Observe el mensaje informativo que aparece al emitir el comando router-id. R1(config)# router ospf 1 R1(config-router)# router-id 11.11.11.11

Reload or use "clear ip ospf process" command, for this to take effect

R1(config)# end

b. Recibirá un mensaje informativo en el que se le indique que debe volver a cargar el router o usar el comando clear ip ospf process para que se aplique el cambio. Emita el comando clear ip ospf process en los tres routers. Escriba yes (sí) como respuesta al mensaje de verificación de restablecimiento y presione Enter. c.

Establezca la ID del router R2 22.22.22.22 y la ID del router R3 33.33.33.33. Luego, use el comando clear ip ospf process para restablecer el proceso de routing de OSPF.

d. Emita el comando show ip protocols para verificar que la ID del router R1 haya cambiado. R1# show ip protocols

*** IP Routing is NSF aware *** Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 11.11.11.11 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 0


Página 9 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única 192.168.12.0 0.0.0.3 area 0 192.168.13.0 0.0.0.3 area 0 Passive Interface(s): GigabitEthernet0/1 Routing Information Sources: Gateway Distance 33.33.33.33 110 22.22.22.22 110 3.3.3.3 110 2.2.2.2 110 Distance: (default is 110)

Last Update 00:00:19 00:00:31 00:00:41 00:00:41

e. Emita el comando show ip ospf neighbor en el R1 para verificar que se muestren las nuevas ID de los routers R2 y R3. R1# show ip ospf neighbor Neighbor ID 33.33.33.33 22.22.22.22

Pri 0 0

State FULL/ FULL/

-

Dead Time 00:00:36 00:00:32

Address 192.168.13.2 192.168.12.2


Parte 4: configurar las interfaces pasivas de OSPF El comando passive-interface evita que se envíen actualizaciones de routing a través de la interfaz de router especificada. Esto se hace comúnmente para reducir el tráfico en las redes LAN, ya que no necesitan recibir comunicaciones de protocolo de routing dinámico. En la parte 4, utilizará el comando passiveinterface para configurar una única interfaz como pasiva. También configurará OSPF para que todas las interfaces del router sean pasivas de manera predeterminada y, luego, habilitará anuncios de routing OSPF en interfaces seleccionadas.

Paso 1: configurar una interfaz pasiva. a. Emita el comando show ip ospf interface g0/0 en el R1. Observe el temporizador que indica cuándo se espera el siguiente paquete de saludo. Los paquetes de saludo se envían cada 10 segundos y se utilizan entre los routers OSPF para verificar que sus vecinos estén activos. R1# show ip ospf interface g0/0

GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.1.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 11.11.11.11, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 11.11.11.11, Interface address 192.168.1.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0)


Página 10 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

b. Emita el comando passive-interface para cambiar la interfaz G0/0 en el R1 a pasiva. R1(config)# router ospf 1 R1(config-router)# passive-interface g0/0 c.

Vuelva a emitir el comando show ip ospf interface g0/0 para verificar que la interfaz G0/0 ahora sea pasiva. R1# show ip ospf interface g0/0

GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.1.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 11.11.11.11, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 11.11.11.11, Interface address 192.168.1.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 No Hellos (Passive interface) Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

d. Emita el comando show ip route en el R2 y el R3 para verificar que todavía haya disponible una ruta a la red 192.168.1.0/24. R2# show ip route


C O

2.0.0.0/32 is subnetted, 1 subnets 2.2.2.2 is directly connected, Loopback0 192.168.1.0/24 [110/65] via 192.168.12.1, 00:58:32, Serial0/0/0


Página 11 de 29


C L O C L O

C L

192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.2.0/24 is directly connected, GigabitEthernet0/0 192.168.2.1/32 is directly connected, GigabitEthernet0/0 192.168.3.0/24 [110/65] via 192.168.23.2, 00:58:19, Serial0/0/1 192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.12.0/30 is directly connected, Serial0/0/0 192.168.12.2/32 is directly connected, Serial0/0/0 192.168.13.0/30 is subnetted, 1 subnets 192.168.13.0 [110/128] via 192.168.23.2, 00:58:19, Serial0/0/1 [110/128] via 192.168.12.1, 00:58:32, Serial0/0/0 192.168.23.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.23.0/30 is directly connected, Serial0/0/1 192.168.23.1/32 is directly connected, Serial0/0/1

Paso 2: establecer la interfaz pasiva como la interfaz predeterminada en un router. a. Emita el comando show ip ospf neighbor en el R1 para verificar que el R2 aparezca como un vecino OSPF. R1# show ip ospf neighbor Neighbor ID 33.33.33.33 22.22.22.22

Pri 0 0

State FULL/ FULL/

-

Dead Time 00:00:31 00:00:32

Address 192.168.13.2 192.168.12.2


b. Emita el comando passive-interface default en el R2 para establecer todas las interfaces OSPF como pasivas de manera predeterminada. R2(config)# router ospf 1 R2(config-router)# passive-interface default R2(config-router)#

*Apr 3 00:03:00.979: %OSPF-5-ADJCHG: Process 1, Nbr 11.11.11.11 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached *Apr 3 00:03:00.979: %OSPF-5-ADJCHG: Process 1, Nbr 33.33.33.33 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached

c.

Vuelva a emitir el comando show ip ospf neighbor en el R1. Una vez que el temporizador de tiempo muerto haya caducado, el R2 ya no se mostrará como un vecino OSPF. R1# show ip ospf neighbor Neighbor ID 33.33.33.33

Pri 0

State FULL/

-

Dead Time 00:00:34

Address 192.168.13.2

Interface Serial0/0/1

d. Emita el comando show ip ospf interface S0/0/0 en el R2 para ver el estado de OSPF de la interfaz S0/0/0. R2# show ip ospf interface s0/0/0

Serial0/0/0 is up, line protocol is up Internet Address 192.168.12.2/30, Area 0, Attached via Network Statement Process ID 1, Router ID 22.22.22.22, Network Type POINT_TO_POINT, Cost: 64 Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5


Página 12 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única oob-resync timeout 40 No Hellos (Passive interface) Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 2/2, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

e. Si todas las interfaces en el R2 son pasivas, no se anuncia ninguna información de routing. En este caso, el R1 y el R3 ya no deberían tener una ruta a la red 192.168.2.0/24. Esto se puede verificar mediante el comando show ip route. f.

En el R2, emita el comando no passive-interface para que el router envíe y reciba actualizaciones de routing OSPF. Después de introducir este comando, verá un mensaje informativo que explica que se estableció una adyacencia de vecino con el R1. R2(config)# router ospf 1 R2(config-router)# no passive-interface s0/0/0 R2(config-router)#

*Apr 3 00:18:03.463: %OSPF-5-ADJCHG: Process 1, Nbr 11.11.11.11 on Serial0/0/0 from LOADING to FULL, Loading Done

g. Vuelva a emitir los comandos show ip route y show ipv6 ospf neighbor en el R1 y el R3, y busque una ruta a la red 192.168.2.0/24. O

192.168.2.0/24 [110/129] via 192.168.13.1, 00:00:04, Serial0/0/0

¿Qué interfaz usa el R3 para enrutarse a la red 192.168.2.0/24? ____________ S0/0/0 ¿Cuál es la métrica de costo acumulado para la red 192.168.2.0/24 en el R3? _________ 129 ¿El R2 aparece como vecino OSPF en el R1? ________ Sí ¿El R2 aparece como vecino OSPF en el R3? ________ No ¿Qué indica esta información? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían, pero todo el tráfico hacia la red 192.168.2.0/24 desde el R3 se enrutará a través del R1. La interfaz S0/0/1 en el R2 sigue configurada como interfaz pasiva, por lo que la información de routing OSPF no se anuncia en esa interfaz. El costo acumulado de 129 se debe a que el tráfico del R3 a la red 192.168.2.0/24 debe pasar a través de dos enlaces seriales T1 (1,544 Mb/s) (con un costo igual de 64 cada uno), además del enlace LAN Gigabit 0/0 del R2 (con un costo de 1). h. Cambie la interfaz S0/0/1 en el R2 para permitir que anuncie las rutas OSPF. Registre los comandos utilizados a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________


Página 13 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única R2(config)# router ospf 1 R2(config-router)# no passive-interface s0/0/1 i.

Vuelva a emitir el comando show ip route en el R3. O

192.168.2.0/24 [110/65] via 192.168.23.1, 00:00:00, Serial0/0/1

¿Qué interfaz usa el R3 para enrutarse a la red 192.168.2.0/24? ____________ S0/0/1 ¿Cuál es la métrica de costo acumulado para la red 192.168.2.0/24 en el R3 y cómo se calcula? ____________________________________________________________________________________ 65 (un enlace serial T1 (1,544 Mb/s) (con un costo de 64) más el enlace LAN Gigabit 0/0 del R2 (con un costo de 1). ¿El R2 aparece como vecino OSPF del R3? ________ Sí

Parte 5: cambiar las métricas de OSPF En la parte 3, cambiará las métricas de OSPF con los comandos auto-cost reference-bandwidth, bandwidth e ip ospf cost. Nota: en la parte 1, se deberían haber configurado todas las interfaces DCE con una frecuencia de reloj de 128000.

Paso 1: cambiar el ancho de banda de referencia en los routers. El ancho de banda de referencia predeterminado para OSPF es 100 Mb/s (velocidad Fast Ethernet). Sin embargo, la mayoría de los dispositivos de infraestructura moderna tienen enlaces con una velocidad superior a 100 Mb/s. Debido a que la métrica de costo de OSPF debe ser un número entero, todos los enlaces con velocidades de transmisión de 100 Mb/s o más tienen un costo de 1. Esto da como resultado interfaces Fast Ethernet, Gigabit Ethernet y 10G Ethernet con el mismo costo. Por eso, se debe cambiar el ancho de banda de referencia a un valor más alto para admitir redes con enlaces más rápidos que 100 Mb/s. a. Emita el comando show interface en el R1 para ver la configuración del ancho de banda predeterminado para la interfaz G0/0. R1# show interface g0/0

GigabitEthernet0/0 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is c471.fe45.7520 (bia c471.fe45.7520) MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full Duplex, 100Mbps, media type is RJ45 output flow-control is unsupported, input flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:17:31, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles


Página 14 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 279 packets output, 89865 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 1 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out

Nota: si la interfaz del equipo host solo admite velocidad Fast Ethernet, la configuración de ancho de banda de G0/0 puede diferir de la que se muestra arriba. Si la interfaz del equipo host no admite velocidad de gigabit, es probable que el ancho de banda se muestre como 100 000 Kbit/s. b. Emita el comando show ip route ospf en el R1 para determinar la ruta a la red 192.168.3.0/24. R1# show ip route ospf

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O

192.168.3.0/24 [110/65] via 192.168.13.2, 00:00:57, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/128] via 192.168.13.2, 00:00:57, Serial0/0/1 [110/128] via 192.168.12.2, 00:01:08, Serial0/0/0

Nota: el costo acumulado del R1 a la red 192.168.3.0/24 es 65. c.

Emita el comando show ip ospf interface en el R3 para determinar el costo de routing para G0/0. R3# show ip ospf interface g0/0

GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.3.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 3.3.3.3, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.23.2, Interface address 192.168.3.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:05 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0)


Página 15 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

d. Emita el comando show ip ospf interface s0/0/1 en el R1 para ver el costo de routing para S0/0/1. R1# show ip ospf interface s0/0/1

Serial0/0/1 is up, line protocol is up Internet Address 192.168.13.1/30, Area 0, Attached via Network Statement Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_POINT, Cost: 64 Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:04 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 3/3, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.2 Suppress hello for 0 neighbor(s)

La suma de los costos de estas dos interfaces es el costo acumulado de la ruta a la red 192.168.3.0/24 en el R3 (1 + 64 = 65), como puede observarse en el resultado del comando show ip route. e. Emita el comando auto-cost reference-bandwidth 10000 en el R1 para cambiar la configuración de ancho de banda de referencia predeterminado. Con esta configuración, las interfaces de 10 Gb/s tendrán un costo de 1, las interfaces de 1 Gb/s tendrán un costo de 10, y las interfaces de 100 Mb/s tendrán un costo de 100. R1(config)# router ospf 1 R1(config-router)# auto-cost reference-bandwidth 10000

% OSPF: Reference bandwidth is changed. Please ensure reference bandwidth is consistent across all routers.

f.

Emita el comando auto-cost reference-bandwidth 10000 en los routers R2 y R3.

g. Vuelva a emitir el comando show ip ospf interface para ver el nuevo costo de G0/0 en el R3 y de S0/0/1 en el R1. R3# show ip ospf interface g0/0

GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.3.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 3.3.3.3, Network Type BROADCAST, Cost: 10 Topology-MTID Cost Disabled Shutdown Topology Name 0 10 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.23.2, Interface address 192.168.3.1 No backup designated router on this network


Página 16 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

Nota: si el dispositivo conectado a la interfaz G0/0 no admite velocidad de Gigabit Ethernet, el costo será diferente del que se muestra en el resultado. Por ejemplo, el costo será de 100 para la velocidad Fast Ethernet (100 Mb/s). R1# show ip ospf interface s0/0/1

Serial0/0/1 is up, line protocol is up Internet Address 192.168.13.1/30, Area 0, Attached via Network Statement Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_POINT, Cost: 6476 Topology-MTID Cost Disabled Shutdown Topology Name 0 6476 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:05 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 3/3, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.2 Suppress hello for 0 neighbor(s)

h. Vuelva a emitir el comando show ip route ospf para ver el nuevo costo acumulado de la ruta 192.168.3.0/24 (10 + 6476 = 6486). Nota: si el dispositivo conectado a la interfaz G0/0 no admite velocidad de Gigabit Ethernet, el costo total será diferente del que se muestra en el resultado. Por ejemplo, el costo acumulado será 6576 si G0/0 está funcionando con velocidad Fast Ethernet (100 Mb/s). R1# show ip route ospf

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP


Página 17 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única + - replicated route, % - next hop override Gateway of last resort is not set O O O

192.168.2.0/24 [110/6486] via 192.168.12.2, 00:05:40, Serial0/0/0 192.168.3.0/24 [110/6486] via 192.168.13.2, 00:01:08, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/12952] via 192.168.13.2, 00:05:17, Serial0/0/1 [110/12952] via 192.168.12.2, 00:05:17, Serial0/0/

Nota: cambiar el ancho de banda de referencia en los routers de 100 a 10 000 cambió los costos acumulados de todas las rutas en un factor de 100, pero el costo de cada enlace y ruta de interfaz ahora se refleja con mayor precisión. i.

Para restablecer el ancho de banda de referencia al valor predeterminado, emita el comando auto-cost reference-bandwidth 100 en los tres routers. R1(config)# router ospf 1 R1(config-router)# auto-cost reference-bandwidth 100

% OSPF: Reference bandwidth is changed. Please ensure reference bandwidth is consistent across all routers.

¿Por qué querría cambiar el ancho de banda de referencia OSPF predeterminado? _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar, pero los equipos actuales admiten velocidades de enlace más rápidas que 100 Mb/s. Para obtener un cálculo más preciso del costo de estos enlaces más rápidos, se necesita una configuración del ancho de banda de referencia predeterminado más alta.

Paso 2: cambiar el ancho de banda de una interfaz. En la mayoría de los enlaces seriales, la métrica del ancho de banda será 1544 Kbits de manera predeterminada (la de un T1). Si esta no es la velocidad real del enlace serial, se deberá cambiar la configuración del ancho de banda para que coincida con la velocidad real, a fin de permitir que el costo de la ruta se calcule correctamente en OSPF. Use el comando bandwidth para ajusta la configuración del ancho de banda de una interfaz. Nota: un concepto erróneo habitual es suponer que con el comando bandwidth se cambia el ancho de banda físico, o la velocidad, del enlace. El comando modifica la métrica de ancho de banda que utiliza OSPF para calcular los costos de routing, pero no modifica el ancho de banda real (la velocidad) del enlace. a. Emita el comando show interface s0/0/0 en el R1 para ver la configuración actual del ancho de banda de S0/0/0. Aunque la velocidad de enlace/frecuencia de reloj en esta interfaz estaba configurada en 128 Kb/s, el ancho de banda todavía aparece como 1544 Kb/s. R1# show interface s0/0/0

Serial0/0/0 is up, line protocol is up Hardware is WIC MBRD Serial Internet address is 192.168.12.1/30 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set Keepalive set (10 sec)


Página 18 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única b. Emita el comando show ip route ospf en el R1 para ver el costo acumulado de la ruta a la red 192.168.23.0/24 con S0/0/0. Observe que hay dos rutas con el mismo costo (128) a la red 192.168.23.0/24, una a través de S0/0/0 y otra a través de S0/0/1. R1# show ip route ospf


c.


Emita el comando bandwidth 128 para establecer el ancho de banda en S0/0/0 en 128 Kb/s. R1(config)# interface s0/0/0 R1(config-if)# bandwidth 128

d. Vuelva a emitir el comando show ip route ospf. En la tabla de routing, ya no se muestra la ruta a la red 192.168.23.0/24 a través de la interfaz S0/0/0. Esto es porque la mejor ruta, la que tiene el costo más bajo, ahora es a través de S0/0/1. R1# show ip route ospf


192.168.3.0/24 [110/65] via 192.168.13.2, 00:04:51, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/128] via 192.168.13.2, 00:04:51, Serial0/0/1

e. Emita el comando show ip ospf interface brief. El costo de S0/0/0 cambió de 64 a 781, que es una representación precisa del costo de la velocidad del enlace. R1# show ip ospf interface brief Interface Se0/0/1 Se0/0/0 Gi0/0

PID 1 1 1

Area 0 0 0

IP Address/Mask 192.168.13.1/30 192.168.12.1/30 192.168.1.1/24

Cost 64 781 1

State P2P P2P DR

Nbrs F/C 1/1 1/1 0/0


Página 19 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única f.

Cambie el ancho de banda de la interfaz S0/0/1 a la misma configuración que S0/0/0 en el R1. R1(config)# interface s0/0/1 R1(config-if)# bandwidth 128

g. Vuelva a emitir el comando show ip route ospf para ver el costo acumulado de ambas rutas a la red 192.168.23.0/24. Observe que otra vez hay dos rutas con el mismo costo (845) a la red 192.168.23.0/24: una a través de S0/0/0 y otra a través de S0/0/1. R1# show ip route ospf



Explique la forma en que se calcularon los costos del R1 a las redes 192.168.3.0/24 y 192.168.23.0/30. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Costo a 192.168.3.0/24: S0/0/1 del R1 + G0/0 del R3 (781+1=782). Costo a 192.168.23.0/30: S0/0/1 del R1 y S0/0/1 del R3 (781+64=845). h. Emita el comando show ip route ospf en el R3. El costo acumulado de 192.168.1.0/24 todavía se muestra como 65. A diferencia del comando clock rate, el comando bandwidth se tiene que aplicar en ambos extremos de un enlace serial. R3# show ip route ospf

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O

192.168.1.0/24 [110/65] via 192.168.13.1, 00:30:58, Serial0/0/0 192.168.12.0/30 is subnetted, 1 subnets


Página 20 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única O

i.

192.168.12.0 [110/128] via 192.168.23.1, 00:30:58, Serial0/0/1 [110/128] via 192.168.13.1, 00:30:58, Serial0/0/0

Emita el comando bandwidth 128 en todas las interfaces seriales restantes de la topología. ¿Cuál es el nuevo costo acumulado a la red 192.168.23.0/24 en el R1? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ 1562. Ahora, cada enlace serial tiene un costo de 781 y la ruta a la red 192.168.23.0/24 atraviesa dos enlaces seriales. 781 + 781 = 1562.

Paso 3: cambiar el costo de la ruta. De manera predeterminada, OSPF utiliza la configuración de ancho de banda para calcular el costo de un enlace. Sin embargo, puede reemplazar este cálculo si configura manualmente el costo de un enlace mediante el comando ip ospf cost. Al igual que el comando bandwidth, el comando ip ospf cost solo afecta el lado del enlace en el que se aplicó. a. Emita el comando show ip route ospf en el R1. R1# show ip route ospf

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O O

192.168.2.0/24 [110/782] via 192.168.12.2, 00:00:26, Serial0/0/0 192.168.3.0/24 [110/782] via 192.168.13.2, 00:02:50, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/1562] via 192.168.13.2, 00:02:40, Serial0/0/1 [110/1562] via 192.168.12.2, 00:02:40, Serial0/0/0

b. Aplique el comando ip ospf cost 1565 a la interfaz S0/0/1 en el R1. Un costo de 1565 es mayor que el costo acumulado de la ruta a través del R2, que es 1562. R1(config)# int s0/0/1 R1(config-if)# ip ospf cost 1565 c.

Vuelva a emitir el comando show ip route ospf en el R1 para mostrar el efecto que produjo este cambio en la tabla de routing. Todas las rutas OSPF para el R1 ahora se enrutan a través del R2. R1# show ip route ospf

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP


Página 21 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única + - replicated route, % - next hop override Gateway of last resort is not set O O O

192.168.2.0/24 [110/782] via 192.168.12.2, 00:02:06, Serial0/0/0 192.168.3.0/24 [110/1563] via 192.168.12.2, 00:05:31, Serial0/0/0 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/1562] via 192.168.12.2, 01:14:02, Serial0/0/0

Nota: la manipulación de costos de enlace mediante el comando ip ospf cost es el método de preferencia y el más fácil para cambiar los costos de las rutas OSPF. Además de cambiar el costo basado en el ancho de banda, un administrador de red puede tener otros motivos para cambiar el costo de una ruta, como la preferencia por un proveedor de servicios específico o el costo monetario real de un enlace o de una ruta. Explique la razón por la que la ruta a la red 192.168.3.0/24 en el R1 ahora atraviesa el R2. _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ OSPF elige la ruta con el menor costo acumulado. La ruta con el menor costo acumulado es: S0/0/0 del R1 + S0/0/1 del R2 + G0/0 del R3, o 781 + 781 + 1 = 1563. Este métrica es menor que el costo acumulado de S0/0/1 R1 + G0/0 R3, o 1565 + 1 = 1566.

Reflexión 1. ¿Por qué es importante controlar la asignación de ID de router al utilizar el protocolo OSPF? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las asignaciones de ID de router controlan el proceso de elección de router designado (DR) y router designado de respaldo (BDR) en una red de accesos múltiples. Si la ID del router está asociada a una interfaz activa, puede cambiar si la interfaz deja de funcionar. Por esta razón, se debe establecer con la dirección IP de una interfaz loopback (que siempre está activa) o con el comando router-id. 2. ¿Por qué el proceso de elección de DR/BDR no es una preocupación en esta práctica de laboratorio? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ El proceso de elección de DR/BDR es solo un problema en una red de accesos múltiples, como Ethernet o Frame Relay. Los enlaces seriales que se usan en esta práctica de laboratorio son enlaces punto a punto, así que no se realiza una elección de DR/BDR. 3. ¿Por qué querría configurar una interfaz OSPF como pasiva? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas varían, pero configurar una interfaz LAN como pasiva elimina la información de routing OSPF innecesaria en esa interfaz y libera ancho de banda. El router seguirá anunciando la red a sus vecinos.


Página 22 de 29





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos, final Router R1 R1#sh run Building configuration... Current configuration : 1794 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15


Página 23 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 bandwidth 128 ip address 192.168.12.1 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 bandwidth 128 ip address 192.168.13.1 255.255.255.252 ip ospf cost 1565 ! router ospf 1 router-id 11.11.11.11 passive-interface GigabitEthernet0/0 network 192.168.1.0 0.0.0.255 area 0 network 192.168.12.0 0.0.0.3 area 0 network 192.168.13.0 0.0.0.3 area 0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! !


Página 24 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 password cisco login transport input all line vty 1 4 login transport input all ! scheduler allocate 20000 1000 ! end

Router R2 R2#sh run Building configuration... Current configuration : 1912 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 !


Página 25 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 bandwidth 128 ip address 192.168.12.2 255.255.255.252 ! interface Serial0/0/1 bandwidth 128 ip address 192.168.23.1 255.255.255.252 clock rate 128000 ! router ospf 1 router-id 22.22.22.22 passive-interface default no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 network 192.168.2.0 0.0.0.255 area 0 network 192.168.12.0 0.0.0.3 area 0 network 192.168.23.0 0.0.0.3 area 0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! banner motd ^C


Página 26 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única Unauthorized Access is Prohibited! ^C ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 password cisco login transport input all line vty 1 4 login transport input all ! scheduler allocate 20000 1000 ! end

Router R3 R3#sh run Building configuration... Current configuration : 1674 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! no ip domain lookup


Página 27 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única ip cef no ipv6 cef multilink bundle-name authenticated ! interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.3.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 bandwidth 128 ip address 192.168.13.2 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 bandwidth 128 ip address 192.168.23.2 255.255.255.252 ! router ospf 1 router-id 33.33.33.33 network 192.168.3.0 0.0.0.255 area 0 network 192.168.13.0 0.0.0.3 area 0 network 192.168.23.0 0.0.0.3 area 0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0


Página 28 de 29

Práctica de laboratorio: configuración de OSPFv2 básico de área única password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 29 de 29

Práctica de laboratorio: configuración de OSPFv3 básico de área única (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 17



Interfaz

Dirección IPv6


G0/0

2001:DB8:ACAD:A::1/64 FE80::1 link-local

No aplicable

S0/0/0 (DCE)


No aplicable

S0/0/1


No aplicable

G0/0

2001:DB8:ACAD:B::2/64 FE80::2 link-local

No aplicable

S0/0/0


No aplicable

S0/0/1 (DCE)


No aplicable

G0/0

2001:DB8:ACAD:C::3/64 FE80::3 link-local

No aplicable

S0/0/0 (DCE)


No aplicable

S0/0/1


No aplicable

PC-A

NIC

2001:DB8:ACAD:A::A/64

FE80::1

PC-B

NIC

2001:DB8:ACAD:B::B/64

FE80::2

PC-C

NIC

2001:DB8:ACAD:C::C/64

FE80::3

R1

R2

R3

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar y verificar el routing OSPFv3 Parte 3: configurar interfaces pasivas OSPFv3

Información básica/situación El protocolo OSPF (Open Shortest Path First) es un protocolo de routing de estado de enlace para las redes IP. Se definió OSPFv2 para redes IPv4, y OSPFv3 para redes IPv6. En esta práctica de laboratorio, configurará la topología de la red con routing OSPFv3, asignará ID de router, configurará interfaces pasivas y utilizará varios comandos de CLI para ver y verificar la información de routing OSPFv3. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio.


Página 2 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host y los routers.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar los routers según sea necesario. Paso 3: configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.


d. Asigne cisco como la contraseña de vty. e. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado. f.


g. Cifre las contraseñas de texto no cifrado. h. Configure las direcciones link-local y de unidifusión IPv6 que se indican en la tabla de direccionamiento para todas las interfaces. i.

Habilite el routing de unidifusión IPv6 en cada router.

j.


Paso 4: configurar los equipos host. Paso 5: Probar la conectividad. Los routers deben poder hacerse ping entre sí, y cada computadora debe poder hacer ping a su gateway predeterminado. Las computadoras no pueden hacer ping a otras computadoras hasta que no se haya configurado el routing OSPFv3. Verifique y resuelva los problemas, si es necesario.


Página 3 de 17


Parte 2: configurar el routing OSPFv3 En la parte 2, configurará el routing OSPFv3 en todos los routers de la red y, luego, verificará que las tablas de routing se hayan actualizado correctamente.

Paso 1: asignar ID a los routers. OSPFv3 sigue utilizando una dirección de 32 bits para la ID del router. Debido a que no hay direcciones IPv4 configuradas en los routers, asigne manualmente la ID del router mediante el comando router-id. a. Emita el comando ipv6 router ospf para iniciar un proceso OSPFv3 en el router. R1(config)# ipv6 router ospf 1 Nota: la ID del proceso OSPF se mantiene localmente y no tiene sentido para los otros routers de la red. b. Asigne la ID de router OSPFv3 1.1.1.1 al R1. R1(config-rtr)# router-id 1.1.1.1 c.

Inicie el proceso de routing de OSPFv3 y asigne la ID de router 2.2.2.2 al R2 y la ID de router 3.3.3.3 al R3.

d. Emita el comando show ipv6 ospf para verificar las ID de router de todos los routers. R2# show ipv6 ospf

Routing Process "ospfv3 1" with ID 2.2.2.2 Event-log enabled, Maximum number of events: 1000, Mode: cyclic Router is not originating router-LSAs with maximum metric

Paso 2: configurar OSPFv6 en el R1. Con IPv6, es común tener varias direcciones IPv6 configuradas en una interfaz. La instrucción network se eliminó en OSPFv3. En cambio, el routing OSPFv3 se habilita en el nivel de la interfaz. a. Emita el comando ipv6 ospf 1 area 0 para cada interfaz en el R1 que participará en el routing OSPFv3. R1(config)# interface g0/0 R1(config-if)# ipv6 ospf 1 area 0 R1(config-if)# interface s0/0/0 R1(config-if)# ipv6 ospf 1 area 0 R1(config-if)# interface s0/0/1 R1(config-if)# ipv6 ospf 1 area 0 Nota: la ID del proceso debe coincidir con la ID del proceso que usó en el paso 1a. b. Asigne las interfaces en el R2 y el R3 al área 0 de OSPFv3. Al agregar las interfaces al área 0, debería ver mensajes de adyacencia de vecino. R1# *Mar 19 LOADING R1# *Mar 19 LOADING

22:14:43.251: %OSPFv3-5-ADJCHG: Process 1, Nbr 2.2.2.2 on Serial0/0/0 from to FULL, Loading Done 22:14:46.763: %OSPFv3-5-ADJCHG: Process 1, Nbr 3.3.3.3 on Serial0/0/1 from to FULL, Loading Done


Página 4 de 17


Paso 3: verificar vecinos de OSPFv3. Emita el comando show ipv6 ospf neighbor para verificar que el router haya formado una adyacencia con los routers vecinos. Si no se muestra la ID del router vecino o este no se muestra en el estado FULL, los dos routers no formaron una adyacencia OSPF. R1# show ipv6 ospf neighbor OSPFv3 Router with ID (1.1.1.1) (Process ID 1) Neighbor ID 3.3.3.3 2.2.2.2

Pri 0 0

State FULL/ FULL/

-

Dead Time 00:00:39 00:00:36

Interface ID 6 6


Paso 4: verificar la configuración del protocolo OSPFv3. El comando show ipv6 protocols es una manera rápida de verificar información fundamental de configuración de OSPFv3, incluidas la ID del proceso OSPF, la ID del router y las interfaces habilitadas para OSPFv3. R1# show ipv6 protocols

IPv6 Routing Protocol is "connected" IPv6 Routing Protocol is "ND" IPv6 Routing Protocol is "ospf 1" Router ID 1.1.1.1 Number of areas: 1 normal, 0 stub, 0 nssa Interfaces (Area 0): Serial0/0/1 Serial0/0/0 GigabitEthernet0/0 Redistribution: None

Paso 5: verificar las interfaces OSPFv3. a. Emita el comando show ipv6 ospf interface para mostrar una lista detallada de cada interfaz habilitada para OSPF. R1# show ipv6 ospf interface

Serial0/0/1 is up, line protocol is up Link Local Address FE80::1, Interface ID 7 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type POINT_TO_POINT, Cost: 64 Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:05 Graceful restart helper support enabled Index 1/3/3, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 3.3.3.3


Página 5 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única Suppress hello for 0 neighbor(s) Serial0/0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 6 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type POINT_TO_POINT, Cost: 64 Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:00 Graceful restart helper support enabled Index 1/2/2, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 1, maximum is 2 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 2.2.2.2 Suppress hello for 0 neighbor(s) GigabitEthernet0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 3 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 1.1.1.1, local address FE80::1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:03 Graceful restart helper support enabled Index 1/1/1, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

b. Para mostrar un resumen de las interfaces con OSPFv3 habilitado, emita el comando show ipv6 ospf interface brief. R1# show ipv6 ospf interface brief Interface Se0/0/1 Se0/0/0 Gi0/0

PID 1 1 1

Area 0 0 0

Intf ID 7 6 3

Cost 64 64 1

State P2P P2P DR

Nbrs F/C 1/1 1/1 0/0

Paso 6: verificar la tabla de routing IPv6. Emita el comando show ipv6 route para verificar que todas las redes aparezcan en la tabla de routing. R2# show ipv6 route

IPv6 Routing Table - default - 10 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect


Página 6 de 17


O C L O C L O

C L L

O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 2001:DB8:ACAD:A::/64 [110/65] via FE80::1, Serial0/0/0 2001:DB8:ACAD:B::/64 [0/0] via GigabitEthernet0/0, directly connected 2001:DB8:ACAD:B::2/128 [0/0] via GigabitEthernet0/0, receive 2001:DB8:ACAD:C::/64 [110/65] via FE80::3, Serial0/0/1 2001:DB8:ACAD:12::/64 [0/0] via Serial0/0/0, directly connected 2001:DB8:ACAD:12::2/128 [0/0] via Serial0/0/0, receive 2001:DB8:ACAD:13::/64 [110/128] via FE80::3, Serial0/0/1 via FE80::1, Serial0/0/0 2001:DB8:ACAD:23::/64 [0/0] via Serial0/0/1, directly connected 2001:DB8:ACAD:23::2/128 [0/0] via Serial0/0/1, receive FF00::/8 [0/0] via Null0, receive

¿Qué comando utilizaría para ver solamente las rutas OSPF en la tabla de routing? _______________________________________________________________________________________ show ipv6 route ospf

Paso 7: Verificar la conectividad de extremo a extremo. Se debería poder hacer ping entre todas las computadoras de la topología. Verifique y resuelva los problemas, si es necesario. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.

Parte 3: configurar las interfaces pasivas de OSPFv3 El comando passive-interface evita que se envíen actualizaciones de routing a través de la interfaz de router especificada. Esto se hace comúnmente para reducir el tráfico en las redes LAN, ya que no necesitan recibir comunicaciones de protocolo de routing dinámico. En la parte 3, utilizará el comando passiveinterface para configurar una única interfaz como pasiva. También configurará OSPFv3 para que todas las interfaces del router sean pasivas de manera predeterminada y, luego, habilitará anuncios de routing OSPF en interfaces seleccionadas.

Paso 1: configurar una interfaz pasiva. a. Emita el comando show ipv6 ospf interface g0/0 en el R1. Observe el temporizador que indica cuándo se espera el siguiente paquete de saludo. Los paquetes de saludo se envían cada 10 segundos y se utilizan entre los routers OSPF para verificar que sus vecinos estén activos. R1# show ipv6 ospf interface g0/0

GigabitEthernet0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 3


Página 7 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 1.1.1.1, local address FE80::1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:05 Graceful restart helper support enabled Index 1/1/1, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

b. Emita el comando passive-interface para cambiar la interfaz G0/0 en el R1 a pasiva. R1(config)# ipv6 router ospf 1 R1(config-rtr)# passive-interface g0/0 c.

Vuelva a emitir el comando show ipv6 ospf interface g0/0 para verificar que la interfaz G0/0 ahora sea pasiva. R1# show ipv6 ospf interface g0/0

GigabitEthernet0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 3 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State WAITING, Priority 1 No designated router on this network No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 No Hellos (Passive interface) Wait time before Designated router selection 00:00:34 Graceful restart helper support enabled Index 1/1/1, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

d. Emita el comando show ipv6 route ospf en el R2 y el R3 para verificar que todavía haya disponible una ruta a la red 2001:DB8:ACAD:A::/64. R2# show ipv6 route ospf

IPv6 Routing Table - default - 10 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2


Página 8 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única O O O

2001:DB8:ACAD:A::/64 [110/65] via FE80::1, Serial0/0/0 2001:DB8:ACAD:C::/64 [110/65] via FE80::3, Serial0/0/1 2001:DB8:ACAD:13::/64 [110/128] via FE80::3, Serial0/0/1 via FE80::1, Serial0/0/0

Paso 2: establecer la interfaz pasiva como la interfaz predeterminada en el router. a. Emita el comando passive-interface default en el R2 para establecer todas las interfaces OSPFv3 como pasivas de manera predeterminada. R2(config)# ipv6 router ospf 1 R2(config-rtr)# passive-interface default b. Emita el comando show ipv6 ospf neighbor en el R1. Una vez que el temporizador de tiempo muerto caduca, el R2 ya no se muestra como un vecino OSPF. R1# show ipv6 ospf neighbor OSPFv3 Router with ID (1.1.1.1) (Process ID 1) Neighbor ID 3.3.3.3

c.

Pri 0

State FULL/

-

Dead Time 00:00:37

Interface ID 6

Interface Serial0/0/1

En el R2, emita el comando show ipv6 ospf interface s0/0/0 para ver el estado OSPF de la interfaz S0/0/0. R2# show ipv6 ospf interface s0/0/0

Serial0/0/0 is up, line protocol is up Link Local Address FE80::2, Interface ID 6 Area 0, Process ID 1, Instance ID 0, Router ID 2.2.2.2 Network Type POINT_TO_POINT, Cost: 64 Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 No Hellos (Passive interface) Graceful restart helper support enabled Index 1/2/2, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 2, maximum is 3 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)

d. Si todas las interfaces OSPFv3 en el R2 son pasivas, no se anuncia ninguna información de routing. Si este es el caso, el R1 y el R3 ya no deberían tener una ruta a la red 2001:DB8:ACAD:B::/64. Esto se puede verificar mediante el comando show ipv6 route. e. Ejecute el comando no passive-interface para cambiar S0/0/1 en el R2 a fin de que envíe y reciba actualizaciones de routing OSPFv3. Después de introducir este comando, aparece un mensaje informativo que explica que se estableció una adyacencia de vecino con el R3. R2(config)# ipv6 router ospf 1 R2(config-rtr)# no passive-interface s0/0/1


Página 9 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única *Apr 8 19:21:57.939: %OSPFv3-5-ADJCHG: Process 1, Nbr 3.3.3.3 on Serial0/0/1 from LOADING to FULL, Loading Done f.

Vuelva a emitir los comandos show ipv6 route y show ipv6 ospf neighbor en el R1 y el R3, y busque una ruta a la red 2001:DB8:ACAD:B::/64. O

2001:DB8:ACAD:B::/64 [110/129] via FE80::3, Serial0/0/1

¿Qué interfaz usa el R1 para enrutarse a la red 2001:DB8:ACAD:B::/64? _________ S0/0/1 ¿Cuál es la métrica de costo acumulado para la red 2001:DB8:ACAD:B::/64 en el R1? _______ 129 ¿El R2 aparece como vecino OSPFv3 en el R1? ________ No ¿El R2 aparece como vecino OSPFv3 en el R3? ________ Sí ¿Qué indica esta información? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían, pero todo el tráfico hacia la red 2001:DB8:ACAD:B::/64 desde el R1 se enrutará a través del R3. La interfaz S0/0/0 en el R2 sigue configurada como interfaz pasiva, por lo que la información de routing OSPFv3 no se anuncia en esa interfaz. El costo acumulado de 129 se debe a que el tráfico del R3 a la red 192.168.2.0/24 debe pasar a través de dos enlaces seriales T1 (1,544 Mb/s) (con un costo igual de 64 cada uno), además del enlace LAN Gigabit 0/0 del R2 (con un costo de 1). g. En el R2, emita el comando no passive-interface S0/0/0 para permitir que se anuncien las actualizaciones de routing OSPFv3 en esa interfaz. h. Verifique que el R1 y el R2 ahora sean vecinos OSPFv3.

Reflexión 1. Si la configuración OSPFv6 del R1 tiene la ID de proceso 1 y la configuración OSPFv3 del R2 tiene la ID de proceso 2, ¿se puede intercambiar información de routing entre ambos routers? ¿Por qué? _______________________________________________________________________________________ _______________________________________________________________________________________ Sí. La ID del proceso OSPFv3 se usa solo localmente en el router, no es necesario que coincida con la ID del proceso que se usa en los otros routers en el área OSPFv3. 2. ¿Cuál podría haber sido la razón para eliminar el comando network en OSPFv3? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas varían, pero eliminar la instrucción network ayuda a evitar erratas en direcciones IPv6. Además, una interfaz IPv6 puede tener varias direcciones IPv6 asignadas a ella. Al asignar una interfaz a un área OSPFv3, todas las redes de multidifusión en esa interfaz se asignan automáticamente al área OSPFv6 y se crea una ruta para ellas en la tabla de routing IPv6.


Página 10 de 17





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos, final Router R1 R1#sh run Building configuration... Current configuration : 1673 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 !


Página 11 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::1/64 ipv6 ospf 1 area 0 ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:12::1/64 ipv6 ospf 1 area 0 clock rate 2000000 ! interface Serial0/0/1 no ip address ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:13::1/64 ipv6 ospf 1 area 0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ipv6 router ospf 1 router-id 1.1.1.1 passive-interface GigabitEthernet0/0 ! control-plane


Página 12 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 exec-timeout 0 0 logging synchronous line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 030752180500 login transport input all ! scheduler allocate 20000 1000 ! end

Router R2 R2#sh run Building configuration... Current configuration : 1736 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ip cef ! no ip domain lookup


Página 13 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ipv6 address FE80::2 link-local ipv6 address 2001:DB8:ACAD:B::2/64 ipv6 ospf 1 area 0 ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address ipv6 address FE80::2 link-local ipv6 address 2001:DB8:ACAD:12::2/64 ipv6 ospf 1 area 0 ! interface Serial0/0/1 no ip address ipv6 address FE80::2 link-local ipv6 address 2001:DB8:ACAD:23::2/64 ipv6 ospf 1 area 0 clock rate 2000000 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 router ospf 1 router-id 2.2.2.2 passive-interface default no passive-interface Serial0/0/0 no passive-interface Serial0/0/1 ! control-plane ! banner motd ^C


Página 14 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única Unauthorized Access is Prohibited! ^C ! line con 0 logging synchronous line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 045802150C2E login transport input all ! scheduler allocate 20000 1000 ! end

Router R3 R3#sh run Building configuration... Current configuration : 1680 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated


Página 15 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ipv6 address FE80::3 link-local ipv6 address 2001:DB8:ACAD:C::3/64 ipv6 ospf 1 area 0 ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address ipv6 address FE80::3 link-local ipv6 address 2001:DB8:ACAD:13::3/64 ipv6 ospf 1 area 0 clock rate 2000000 ! interface Serial0/0/1 no ip address ipv6 address FE80::3 link-local ipv6 address 2001:DB8:ACAD:23::3/64 ipv6 ospf 1 area 0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 router ospf 1 router-id 3.3.3.3 ! control-plane ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 logging synchronous line aux 0


Página 16 de 17

Práctica de laboratorio: configuración de OSPFv3 básico de área única line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 1511021F0725 login transport input all ! scheduler allocate 20000 1000 ! end


Página 17 de 17

Paso a paso por OSPFv3 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivos Explicar el proceso mediante el cual los routers de estado de enlace descubren otras redes. Esta actividad de clase se diseñó para grupos de tres estudiantes. El objetivo es revisar el proceso de routing Shortest Path First.

Situación Esta actividad de clase está diseñada para grupos de tres estudiantes. El objetivo es revisar el proceso de routing SPF (Shortest Path First). Diseñará una red y realizará el direccionamiento de esta, comunicará el esquema de direcciones de red y el funcionamiento de los enlaces de red a los miembros del grupo y calculará el SPF. Complete los pasos como se muestra en el PDF de esta actividad de clase. Si tiene tiempo, comparta su diseño de red y el proceso OSPF (Open Shortest Path First) con otro grupo.

Recursos Como preparación para esta actividad, necesitará dos números de redes IPv6 y costos diferentes. Los números de red IPv6 se deben elegir con el siguiente formato: 2002:DB8:AAAA:?::0/64, donde ? es un número de red seleccionado por el estudiante. Tiene dos opciones para el costo: 10 (red Fast Ethernet) o 1 (red Gigabit Ethernet). Lleve los dos números de redes IPv6 y costos al grupo. Un estudiante del grupo se desempeñará como secretario y dibujará tres círculos en un papel y los conectará. Cada círculo representará el router de un estudiante, y las líneas de conexión representarán las redes y los enlaces que se acordarán. Cada miembro del grupo debe seguir los pasos 1 a 4 (a continuación) en el orden que se indica. A medida que el grupo avanza por la actividad, cada estudiante debe tomar notas personales sobre su propio router, incluida la información sobre la adyacencia de vecino, las notificaciones de estado de enlace, las entradas en la tabla de topología y el algoritmo SPF.

Instrucciones Paso 1: a. Hable con el compañero a su izquierda. Compare los números de red y de costo que llevó al grupo. Pónganse de acuerdo sobre los números de red IPv6, enlaces y costo que quieran usar entre sus dos routers. Recuerde, puede utilizar solamente 1 (Gigabit Ethernet) o 10 (Fast Ethernet) para el costo. Cuando se hayan puesto de acuerdo sobre la red y los números de enlace y hayan determinado el costo de la ruta, registren la información en el gráfico en papel que creó el secretario del grupo. b. Realice el mismo proceso con el compañero a su derecha. c.

Al hablar con sus dos vecinos directos, se pusieron de acuerdo sobre dos redes con direcciones de enlace y el costo de la ruta. Registre la información en el gráfico en papel.

Paso 2: a. Cada estudiante hablará solo con sus vecinos directos. Compartirán todos los números de redes IPv6 y enlaces y el costo de las redes a las que están conectados. Casi inmediatamente, todas las personas en el grupo conocerán todas las redes, los enlaces y el costo de las redes individuales entre vecinos.


Página 1 de 2

Paso a paso por OSPFv3 b. Revise con los miembros del grupo que todos tengan la misma información para trabajar en el paso 3.

Paso 3: a. En su propia hoja, cree una tabla que incluya todas las rutas posibles a las otras redes. Utilice la fórmula que se proporciona en este capítulo n(n – 1)/2. Tendrá un total de cuatro rutas posibles para incluir en su tabla. b. En la tabla creada en el paso 3 a, agregue una columna con los encabezados Número de red IPv6 y Costo. c.

Complete la tabla con la información que conoce sobre las redes en la topología de su grupo.

Paso 4: a. Vuelva a la tabla creada en el paso 3. b. Coloque un asterisco al lado de las rutas con el costo más bajo a todos los otros routers. Cuando haya completado estos cuatro pasos, habrá establecido adyacencias de vecinos, intercambiado notificaciones de estado de enlace, armado una tabla de topología y creado una tabla de routing con el mejor costo a todas las demás redes dentro del grupo o área. Si tiene tiempo, consulte su tabla de topología y arme la red con equipos reales o en Packet Tracer. Utilice alguno o todos los comandos que se indican a continuación para probar el funcionamiento de OSPF: R1# R1# R1# R1#

show show show show

ipv6 interface brief ipv6 protocols ip protocols ipv6 route

Reflexión 1. ¿Qué paso del procesamiento OSPFv3 se revisa en el paso 1 de esta actividad? _______________________________________________________________________________________ En el paso 1, se revisa la creación de adyacencias con vecinos directos. 2. ¿Qué paso del procesamiento OSPFv3 se revisa en el paso 2 de esta actividad? _______________________________________________________________________________________ En el paso 2, se revisa el proceso de notificación de estado de enlace OSPFv3. 3. ¿Qué proceso de OSPFv3 se revisa en el paso 3 de esta actividad? __________________________________________________________________ En el paso 3, se revisa la forma en que se arma una tabla de topología para toda la red. 4. ¿Qué paso del proceso de OSPFv3 se revisa en el paso 4 de esta actividad? _______________________________________________________________________________________ En el paso 4, se revisa el uso del proceso SPF para calcular las entradas de la tabla de routing.


Topología física

•

Adyacencias de vecinos

•

Procesos y comandos de verificación de OSPFv3

•

Notificaciones de estado de enlace

•

•

Red IPv6 y direccionamiento de enlaces

Tabla de topología

•

•

Costo

Tabla de routing IPv6

•

Comandos de operación de OSPFv3


Página 2 de 2

Permítame que lo ayude (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Explicar el propósito y el funcionamiento de las ACL. Los estudiantes diseñarán un proceso para seleccionar un candidato para la acreditación de seguridad. Se formarán grupos y se les permitirá o denegará la realización de un trabajo a los “candidatos”.

Situación •

Cada persona de la clase registrará cinco preguntas que le haría a un candidato que solicita una acreditación de seguridad para un puesto de asistente de red en una pequeña o mediana empresa. La lista de preguntas se debe armar en orden de importancia para seleccionar un buen candidato para el puesto. También deben registrarse las respuestas preferidas.

•

Después de tres minutos de intercambiar ideas para la lista de preguntas, el instructor les solicitará a dos estudiantes que actúen como entrevistadores. Estos dos estudiantes usarán solo su lista de preguntas y respuestas en la siguiente parte de esta actividad. El instructor le explicará solamente a los dos entrevistadores que, a su criterio y en cualquier momento, pueden detener el proceso y decir “tiene permiso para avanzar al siguiente nivel de entrevistas” o “lo lamentamos, pero no tiene las calificaciones para avanzar al siguiente nivel de entrevistas”. El entrevistador no necesita hacer todas las preguntas de la lista.

•

El resto de la clase se dividirá en dos mitades, y cada mitad se asignará a uno de los entrevistadores.

•

Una vez que se hayan formado los grupos para cada entrevistador, comenzarán las entrevistas a los candidatos.

•

Los dos entrevistadores seleccionados harán la primera pregunta de la lista que crearon, por ejemplo: “¿Es mayor de 18 años?”. Si el candidato no cumple con los requisitos de edad, según lo especificado por las preguntas y respuestas originales de los entrevistadores, el candidato será eliminado del grupo de candidatos y deberá ir a otra área de la sala, desde donde observará el resto del proceso de solicitud de empleo. En este momento, o más adelante en el proceso, es posible que los instructores deseen decir: “Tienen 2 minutos para completar el proceso de entrevista”, a fin de administrar el tiempo de la actividad.

Luego, el entrevistador hará la siguiente pregunta. Si los candidatos contestan correctamente, pueden permanecer en el grupo de candidatos. A continuación, toda la clase se reunirá y expondrá sus observaciones con respecto al proceso para permitirles o denegarles a los candidatos la oportunidad de pasar el siguiente nivel de entrevistas.


Página 1 de 2

Permítame que lo ayude

Reflexión 1. ¿Qué factores tuvo en cuanta al armar su lista de criterios para la acreditación de seguridad del asistente de red? _______________________________________________________________________________________ Las respuestas varían: edad, experiencia, conocimiento sobre redes, etcétera. 2. ¿Qué tan difícil fue pensar cinco preguntas de seguridad para hacer durante las entrevistas? ¿Por qué se le pidió que ordenara las preguntas según la importancia para la selección de un buen candidato? _______________________________________________________________________________________ Todos los estudiantes deben mencionar que las calificaciones más importantes deben enumerarse primero a fin de eliminar rápidamente a los candidatos que no cumplen con los criterios. 3. ¿Por qué podría detenerse el proceso de eliminación, aun si quedaran algunos candidatos disponibles? _______________________________________________________________________________________ Las respuestas varían, pero la respuesta más probable sería para proporcionar un conjunto de candidatos a los que se les permitirá o denegará la oportunidad de pasar al siguiente nivel del proceso de solicitud de empleo. 4. ¿En qué forma podrían aplicarse esta situación y estos resultados al tráfico de la red? _______________________________________________________________________________________ En las redes, parte del tráfico se permite y parte se deniega.

Ejemplo de Packet Tracer (las respuestas varían) Nota para el instructor: identifique los elementos del modelo que corresponden a contenido relacionado con TI. •

Las ACL son procesos que determinan el tráfico de la red deseado y no deseado.

•

Los criterios deben establecerse antes de permitir o denegar el tráfico de la red.

•

El orden de importancia debe establecerse al elaborar los criterios para permitir o denegar la participación en la red.

•

Al finalizar el proceso, es posible que se le deniegue o se le permita la participación en la red a más de un host, según los criterios especificados.


Página 2 de 2

Práctica de laboratorio: configuración y verificación de ACL estándar (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar


Interfaz

Máscara de subred

Dirección IP


G0/1

192.168.10.1

255.255.255.0

N/A

Lo0

192.168.20.1

255.255.255.0

N/A

S0/0/0 (DCE)

10.1.1.1

255.255.255.252

N/A

S0/0/0

10.1.1.2

255.255.255.252

N/A

S0/0/1 (DCE)

10.2.2.2

255.255.255.252

N/A

Lo0

209.165.200.225

255.255.255.224

N/A

G0/1

192.168.30.1

255.255.255.0

N/A

Lo0

192.168.40.1

255.255.255.0

N/A

S0/0/1

10.2.2.1

255.255.255.252

N/A

S1

VLAN 1

192.168.10.11

255.255.255.0

192.168.10.1

S3

VLAN 1

192.168.30.11

255.255.255.0

192.168.30.1

PC-A

NIC

192.168.10.3

255.255.255.0

192.168.10.1

PC-C

NIC

192.168.30.3

255.255.255.0

192.168.30.1

ISP

R3

Objetivos Parte 1: establecer la topología e inicializar los dispositivos •

Configurar los equipos para que coincidan con la topología de la red.

•

Inicializar y volver a cargar los routers y los switches.

Parte 2: configurar los dispositivos y verificar la conectividad •

Asignar una dirección IP estática a las computadoras.

•

Configurar los parámetros básicos en los routers.

•

Configurar los parámetros básicos en los switches.

•

Configurar los procesos de routing EIGRP en el R1, el ISP y el R3.

•

Verificar la conectividad entre los dispositivos.

Parte 3: configurar y verificar ACL estándar numeradas y con nombre •

Configurar, aplicar y verificar una ACL estándar numerada.

•

Configurar, aplicar y verificar una ACL con nombre.

Parte 4: modificar una ACL estándar •

Modificar y verificar una ACL estándar con nombre.

•

Probar la ACL.


Página 2 de 18


Información básica/situación La seguridad de red es una cuestión importante al diseñar y administrar redes IP. La capacidad para configurar reglas apropiadas para filtrar los paquetes, sobre la base de las políticas de seguridad establecidas, es una aptitud valiosa. En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas representadas por el R1 y el R3. La administración estableció algunas políticas de acceso entre las redes LAN ubicadas en el R1 y el R3, que usted debe implementar. El router ISP que se ubica entre el R1 y el R3 no tendrá ninguna ACL. Usted no tiene permitido el acceso administrativo al router ISP, debido a que solo puede controlar y administrar sus propios equipos. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1: establecer la topología e inicializar los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, en caso de ser necesario.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar los routers y los switches.

Parte 2: Configurar dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos en los routers, los switches y las computadoras. Consulte la topología y la tabla de direccionamiento para conocer los nombres de los dispositivos y obtener información de direcciones.

Paso 1: configurar las direcciones IP en la PC-A y en la PC-C. Paso 2: configurar los parámetros básicos de los routers. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología.


Página 3 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar c.

Cree interfaces loopback en cada router como se muestra en la tabla de direccionamiento.

d. Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento. e. Configure class como la contraseña del modo EXEC privilegiado. f.

Asigne la frecuencia de reloj 128000 a las interfaces seriales DCE.

g. Asigne cisco como la contraseña de consola. h. Asigne cisco como la contraseña de vty y habilite acceso por Telnet.

Paso 3: (optativo) configurar los parámetros básicos en los switches. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.

Configure la dirección IP de la interfaz de administración, como se muestra en la topología y en la tabla de direccionamiento.

d. Configure class como la contraseña del modo EXEC privilegiado. e. Configure un gateway predeterminado. f.

Asigne cisco como la contraseña de consola.

g. Asigne cisco como la contraseña de vty y habilite acceso por Telnet.

Paso 4: Configure los procesos de routing de EIGRP en el R1, el ISP y el R3. a. Configure el sistema autónomo (AS) número 10 y anuncie todas las redes en el R1, el ISP y el R3. Desactivar la sumarización automática. b. Después de configurar EIGRP en el R1, el ISP y el R3, verifique que todos los routers tengan tablas de routing completas con todas las redes. De lo contrario, resuelva el problema.

Paso 5: verificar la conectividad entre los dispositivos. Nota: es muy importante probar si la conectividad funciona antes de configurar y aplicar listas de acceso. Tiene que asegurarse de que la red funcione adecuadamente antes de empezar a filtrar el tráfico. a. Desde la PC-A, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron correctamente? _______ Sí b. Desde el R1, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron correctamente? _______ Sí c.

Desde la PC-C, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron correctamente? _______ Sí

d. Desde el R3, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron correctamente? _______ Sí


Página 4 de 18


Parte 3: configurar y verificar ACL estándar numeradas y con nombre Paso 1: configurar una ACL estándar numerada. Las ACL estándar filtran el tráfico únicamente sobre la base de la dirección IP de origen. Una práctica recomendada típica para las ACL estándar es configurarlas y aplicarlas lo más cerca posible del destino. Para la primera lista de acceso, cree una ACL estándar numerada que permita que el tráfico proveniente de todos los hosts en la red 192.168.10.0/24 y de todos los hosts en la red 192.168.20.0/24 acceda a todos los hosts en la red 192.168.30.0/24. La política de seguridad también indica que debe haber una entrada de control de acceso (ACE) deny any, también conocida como “instrucción de ACL”, al final de todas las ACL. ¿Qué máscara wildcard usaría para permitir que todos los hosts en la red 192.168.10.0/24 accedan a la red 192.168.30.0/24? _______________________________________________________________________________________ 0.0.0.255 Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? ___________ R3 ¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría? _______________________________________________________________________________________ G0/1. La ACL debe aplicarse en sentido de salida. Es posible que la respuesta de los estudiantes sea colocar la ACL en la interfaz S0/0/1 del R3 en sentido de entrada. Destaque que esto también bloquearía el acceso de todas las LAN del R1 a la red 192.168.40.0/24. a. Configure la ACL en el R3. Use 1 como el número de lista de acceso. R3(config)# R3(config)# R3(config)# R3(config)#

access-list access-list access-list access-list

1 1 1 1

remark Allow R1 LANs Access permit 192.168.10.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 deny any

b. Aplique la ACL a la interfaz apropiada en el sentido correcto. R3(config)# interface g0/1 R3(config-if)# ip access-group 1 out c.

Verifique una ACL numerada. El uso de diversos comandos show puede ayudarle a verificar la sintaxis y la colocación de las ACL en el router. ¿Qué comando usaría para ver la lista de acceso 1 en su totalidad, con todas las ACE? ____________________________________________________________________________________ R3# show access-lists 1 or R3# show access-lists ¿Qué comando usaría para ver dónde se aplicó la lista de acceso y en qué sentido? ____________________________________________________________________________________ R3# show ip interface g0/1 or R3# show ip interface


Página 5 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar 1) En el R3, emita el comando show access-lists 1. R3# show access-list 1

Standard IP access list 1 10 permit 192.168.10.0, wildcard bits 0.0.0.255 20 permit 192.168.20.0, wildcard bits 0.0.0.255 30 deny any

2) En el R3, emita el comando show ip interface g0/1. R3# show ip interface g0/1

GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.30.1/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 1 Inbound access list is not set Output omitted

3) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.10.0/24 acceda a la red 192.168.30.0/24. Desde el símbolo del sistema en la PC-A, haga ping a la dirección IP de la PC-C. ¿Tuvieron éxito los pings? _______ Sí 4) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.20.0/24 acceda a la red 192.168.30.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R1 como origen. Haga ping a la dirección IP de la PC-C. ¿Tuvieron éxito los pings? _______ Sí R1# ping Protocol [ip]: Target IP address: 192.168.30.3 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.20.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]:

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.3, timeout is 2 seconds: Packet sent with a source address of 192.168.20.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms


Página 6 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar d. Desde la petición de entrada del R1, vuelva a hacer ping a la dirección IP de la PC-C. R1# ping 192.168.3.3 ¿El ping se realizó correctamente? ¿Por qué o por qué no? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ No, los pings fallaron. Cuando hace ping desde el router, este usa la interfaz más cercana al destino como la dirección de origen. La dirección de origen de los pings era 10.1.1.1. La lista de acceso en el R3 solo permite el acceso de las redes 192.168.10.0/24 y 192.168.20.0/24.

Paso 2: configurar una ACL estándar con nombre. Cree una ACL estándar con nombre que se ajuste a la siguiente política: permitir que el tráfico de todos los hosts en la red 192.168.40.0/24 tenga acceso a todos los hosts en la red 192.168.10.0/24. Además, solo debe permitir el acceso del host PC-C a la red 192.168.10.0/24. El nombre de esta lista de acceso debe ser BRANCH-OFFICE-POLICY. Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? ___________ R1 ¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría? _______________________________________________________________________________________ G0/1. La ACL debe aplicarse en sentido de salida. Es posible que la respuesta de los estudiantes sea colocar la ACL en la interfaz S0/0/0 del R1 en sentido de entrada. Destaque que esto también bloquearía el acceso de todo el tráfico de las LAN del R3 a la red 192.168.20.0/24. a. Cree la ACL estándar con nombre BRANCH-OFFICE-POLICY en el R1. R1(config)# ip access-list standard BRANCH-OFFICE-POLICY R1(config-std-nacl)# permit host 192.168.30.3 R1(config-std-nacl)# permit 192.168.40.0 0.0.0.255 R1(config-std-nacl)# end R1#

*Feb 15 15:56:55.707: %SYS-5-CONFIG_I: Configured from console by console

Observe la primera ACE permit en la lista de acceso. ¿Cuál sería otra forma de escribir esto? ____________________________________________________________________________________ R1(config-std-nacl)# permit 192.168.30.3 0.0.0.0 b. Aplique la ACL a la interfaz apropiada en el sentido correcto. R1# config t R1(config)# interface g0/1 R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out c.

Verifique una ACL con nombre. 1) En el R1, emita el comando show access-lists. R1# show access-lists

Standard IP access list BRANCH-OFFICE-POLICY 10 permit 192.168.30.3 20 permit 192.168.40.0, wildcard bits 0.0.0.255


Página 7 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar ¿Hay alguna diferencia entre esta ACL en el R1 y la ACL en el R3? Si es así, ¿cuál es? ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ Aunque no hay una línea 30 con deny any en el R1, la instrucción está implícita. Quizá desee hacer énfasis en esto. Es aconsejable que configuren realmente la ACE deny any, ya que esto refuerza el concepto debido a que aparece en la ACL cuando se emite un comando show access-lists. Es fácil olvidar la instrucción deny any implícita cuando se resuelven problemas en las ACL. Esto podría provocar que se deniegue el acceso a tráfico que se debería haber permitido. 2) En el R1, emita el comando show ip interface g0/1. R1# show ip interface g0/1

GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.10.1/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is BRANCH-OFFICE-POLICY Inbound access list is not set

3) Pruebe la ACL. Desde el símbolo del sistema en la PC-C, haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? _______ Sí 4) Pruebe la ACL para asegurarse de que solo el host PC-C tenga acceso a la red 192.168.10.0/24. Debe hacer un ping extendido y usar la dirección G0/1 en el R3 como origen. Haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? _______ No R3# ping Protocol [ip]: Target IP address: 192.168.10.3 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.30.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]:

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds:


Página 8 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar Packet sent with a source address of 192.168.30.1 U.U.U

5) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.40.0/24 acceda a la red 192.168.10.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R3 como origen. Haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? _______ Sí R3# ping Protocol [ip]: Target IP address: 192.168.10.3 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.40.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]:

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.10.3, timeout is 2 seconds: Packet sent with a source address of 192.168.40.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/40/60 ms

Parte 4: modificar una ACL estándar En el ámbito empresarial, es común que las políticas de seguridad cambien. Por este motivo, quizá sea necesario modificar las ACL. En la parte 4, cambiará una de las ACL que configuró anteriormente para que coincida con una nueva política de administración que se debe implementar. La administración decidió que los usuarios de la red 209.165.200.224/27 no deben tener acceso total a la red 192.168.10.0/24. La administración también desea que las ACL en todos sus routers se ajusten a reglas coherentes. Se debe colocar una ACE deny any al final de todas las ACL. Debe modificar la ACL BRANCHOFFICE-POLICY. Agregará dos líneas adicionales a esta ACL. Hay dos formas de hacer esto: OPCIÓN 1: emita un comando no ip access-list standard BRANCH-OFFICE-POLICY en el modo de configuración global. Esto quitaría la ACL completa del router. Según el IOS del router, ocurriría una de las siguientes situaciones: se cancelaría todo el filtrado de paquetes y se permitiría el acceso de todos los paquetes al router o bien, debido a que no quitó el comando ip access-group de la interfaz G0/1, el filtrado se sigue implementando. Independientemente de lo que suceda, una vez que la ACL ya no esté, puede volver a escribir toda la ACL o cortarla y pegarla con un editor de texto. OPCIÓN 2: puede modificar las ACL implementadas y agregar o eliminar líneas específicas dentro de las ACL. Esto puede ser práctico, especialmente con las ACL que tienen muchas líneas de código. Al volver a escribir toda la ACL, o al cortarla y pegarla, se pueden producir errores con facilidad. La modificación de las líneas específicas dentro de la ACL se logra fácilmente. Nota: para esta práctica de laboratorio, utilice la opción 2.


Página 9 de 18


Paso 1: modificar una ACL estándar con nombre. a. En el modo EXEC privilegiado en el R1, emita el comando show access-lists. R1# show access-lists

Standard IP access list BRANCH-OFFICE-POLICY 10 permit 192.168.30.3 (8 matches) 20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches)

b. Agregue dos líneas adicionales al final de la ACL. En el modo de configuración global, modifique la ACL BRANCH-OFFICE-POLICY. R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31 R1(config-std-nacl)# 40 deny any R1(config-std-nacl)# end c.

Verifique la ACL. 1) En el R1, emita el comando show access-lists. R1# show access-lists

Standard IP access list BRANCH-OFFICE-POLICY 10 permit 192.168.30.3 (8 matches) 20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches) 30 permit 209.165.200.224, wildcard bits 0.0.0.31 40 deny any

¿Debe aplicar la ACL BRANCH-OFFICE-POLICY a la interfaz G0/1 en el R1? ________________________________________________________________________________ ________________________________________________________________________________ No, el comando ip access-group BRANCH-OFFICE-POLICY out todavía está implementado en G0/1. 2) Desde la entrada de comandos del ISP, emita un ping extendido. Pruebe la ACL para ver si permite que el tráfico de la red 209.165.200.224/27 acceda a la red 192.168.10.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el ISP como origen. Haga ping a la dirección IP de la PCA. ¿Tuvieron éxito los pings? _______ Sí

Reflexión 1. Como puede observar, las ACL estándar son muy eficaces y funcionan muy bien. ¿Por qué tendría la necesidad de usar ACL extendidas? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las ACL estándar solo realizan filtrado según la dirección de origen. Además, no son granulares. Permiten o deniegan TODO (protocolos y servicios). Si bien las ACL extendidas son más difíciles de componer, son adecuadas para las redes complejas en las que quizá necesite permitir solo el acceso de ciertos puertos a las redes y denegar otros.


Página 10 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar 2. Generalmente, se requiere escribir más al usar una ACL con nombre que una ACL numerada. ¿Por qué elegiría ACL con nombre en vez de ACL numeradas? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Los estudiantes podrían mencionar dos razones aquí. La primera razón es que usar ACL con nombre le proporciona la capacidad de modificar líneas específicas dentro de la ACL, sin necesidad de volver a escribir todo. NOTA: las versiones más recientes del IOS permiten la modificación de las ACL numeradas del mismo modo que las ACL con nombre. En segundo lugar, se recomienda tener una ACL con nombre, ya que ayuda a registrar el propósito de la ACL con un nombre descriptivo.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router R1 R1#sh run Building configuration... Current configuration : 1590 bytes ! version 15.2 service timestamps debug datetime msec


Página 11 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY ! no aaa new-model ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! interface Loopback0 ip address 192.168.20.1 255.255.255.0 ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.10.1 255.255.255.0 ip access-group BRANCH-OFFICE-POLICY out duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown clock rate 128000 ! ! router eigrp 10 network 10.1.1.0 0.0.0.3 network 192.168.10.0 network 192.168.20.0 ! ip forward-protocol nd ! no ip http server


Página 12 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar no ip http secure-server ! ! ip access-list standard BRANCH-OFFICE-POLICY permit 192.168.30.3 permit 192.168.40.0 0.0.0.255 permit 209.165.200.224 0.0.0.31 deny any control-plane ! ! ! line con 0 line aux 0 line vty 0 4 password class login transport input all ! scheduler allocate 20000 1000 ! end

Router R3 R3#sh run Building configuration... Current configuration : 1506 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY ! no aaa new-model ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated


Página 13 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar ! ! ! ! interface Loopback0 ip address 192.168.40.1 255.255.255.0 ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.30.1 255.255.255.0 ip access-group 1 out duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 ! ! router eigrp 10 network 10.2.2.0 0.0.0.3 network 192.168.30.0 network 192.168.40.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! access-list 1 remark Allow R1 LANs Access access-list 1 permit 192.168.10.0 0.0.0.255 access-list 1 permit 192.168.20.0 0.0.0.255 access-list 1 deny any ! ! ! control-plane ! !


Página 14 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar ! line con 0 line aux 0 line vty 0 4 password class login transport input all ! scheduler allocate 20000 1000 ! end

Router ISP ISP#sh run Building configuration... Current configuration : 1313 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encrypt ! hostname ISP ! boot-start-marker boot-end-marker ! ! enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY ! no aaa new-model ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address


Página 15 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 clock rate 128000 ! ! router eigrp 10 network 209.165.200.224 0.0.0.31 network 10.1.1.0 0.0.0.3 network 10.2.2.0 0.0.0.3 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 line aux 0 line vty 0 4 password class login transport input all ! scheduler allocate 20000 1000 ! end

Switch S1 S1# show run Building configuration... Current configuration : 2990 bytes ! version 15.0 no service pad


Página 16 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.10.11 255.255.255.0 ! ip default-gateway 192.168.10.1 ip http server ip http secure-server ! ! line con 0 line vty 0 4 password cisco login line vty 5 15 password cisco login ! end

Switch S3 S3# show start Using 1696 out of 65536 bytes ! version 15.0 no service pad


Página 17 de 18

Práctica de laboratorio: configuración y verificación de ACL estándar service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S3 ! boot-start-marker boot-end-marker ! enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.30.11 255.255.255.0 ! ip default-gateway 192.168.30.1 ip http server ip http secure-server ! ! line con 0 line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 18 de 18

Práctica de laboratorio: configuración y verificación de restricciones de VTY (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IP

Máscara de subred


G0/0

192.168.0.1

255.255.255.0

N/A

G0/1

192.168.1.1

255.255.255.0

N/A

S1

VLAN 1

192.168.1.2

255.255.255.0

192.168.1.1

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.0.3

255.255.255.0

192.168.0.1

Objetivos Parte 1: configurar los parámetros básicos de los dispositivos Parte 2: configurar y aplicar la lista de control de acceso en el R1 Parte 3: verificar la lista de control de acceso mediante Telnet Parte 4: configurar y aplicar la lista de control de acceso en el S1 (desafío)

Información básica/situación Es aconsejable restringir el acceso a las interfaces de administración del router, como las líneas de consola y las líneas vty. Se puede utilizar una lista de control de acceso (ACL) para permitir el acceso de direcciones IP específicas, lo que asegura que solo la computadora del administrador tenga permiso para acceder al router mediante telnet o SSH. Nota: en los resultados del dispositivo de Cisco, la ACL se abrevia como access-list. En esta práctica de laboratorio, creará y aplicará una ACL estándar con nombre para restringir el acceso remoto a las líneas vty del router. Después de crear y aplicar la ACL, probará y verificará la ACL intentando acceder al router desde diferentes direcciones IP mediante Telnet. En esta práctica de laboratorio se le proporcionarán los comandos necesarios para crear y aplicar la ACL.


Página 1 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Nota: las interfaces Gigabit Ethernet en los routers Cisco 1941 cuentan con detección automática, y se puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco, puede ser necesario usar un cable cruzado Ethernet.

Parte 1: Configurar los parámetros básicos de dispositivos En la parte 1, establecerá la topología de la red y configurará las direcciones IP de las interfaces, el acceso a los dispositivos y las contraseñas del router.

Paso 1: Realice el cableado de red tal como se muestra en el diagrama de topología. Paso 2: configurar los parámetros de red de la PC-A y la PC-A, según la tabla de direccionamiento. Paso 3: inicializar y volver a cargar el router y el switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos, según el diagrama de la topología. c.


d. Asigne cisco como la contraseña de consola, active logging synchronous y habilite el inicio de sesión. e. Asigne cisco como la contraseña de vty, active logging synchronous y habilite el inicio de sesión. f.


g. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está prohibido. h. Configure las direcciones IP en las interfaces que se indican en la tabla de direccionamiento. i.

Configure el gateway predeterminado del switch.

j.

Guarde la configuración en ejecución en el archivo de configuración de inicio.


Página 2 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY

Parte 2: configurar y aplicar la lista de control de acceso en el R1 En la parte 2, configurará una ACL estándar con nombre y la aplicará a las líneas de terminal virtual del router para restringir el acceso remoto al router.

Paso 1: configurar y aplicar una ACL estándar con nombre. a. Acceda al router R1 mediante el puerto de consola y habilite el modo EXEC privilegiado. b. En el modo de configuración global, use un espacio y un signo de interrogación para ver las opciones de comandos de ip access-list. R1(config)# ip access-list ? extended helper log-update logging resequence standard

c.

Extended Access List Access List acts on helper-address Control access list log updates Control access list logging Resequence Access List Standard Access List

Use un espacio y un signo de interrogación para ver las opciones de comandos de ip access-list standard. R1(config)# ip access-list standard ? <1-99> <1300-1999> WORD

Standard IP access-list number Standard IP access-list number (expanded range) Access-list name

d. Agregue ADMIN-MGT al final del comando ip access-list standard y presione Enter. Ahora se encuentra en el modo de configuración de listas de acceso estándar con nombre (config-std-nacl). R1(config)# ip access-list standard ADMIN-MGT R1(config-std-nacl)# e. Introduzca la entrada de control de acceso (ACE) permit o deny de su ACL, también conocida como “instrucción de ACL”, de a una línea por vez. Recuerde que al final de la ACL hay una instrucción implícita deny any, que deniega todo el tráfico. Introduzca un signo de interrogación para ver las opciones de comandos. R1(config-std-nacl)# ?

Standard Access List configuration commands: <1-2147483647> Sequence Number default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment

f.

Cree una ACE permit para la PC-A de Administrador en 192.168.1.3 y una ACE permit adicional para admitir otras direcciones IP administrativas reservadas desde 192.168.1.4 hasta 192.168.1.7. Observe que la primera ACE permit indica un único host, debido al uso de la palabra clave host. Se podría haber usado la ACE permit 192.168.1.3 0.0.0.0. La segunda ACE permit admite los hosts 192.168.1.4 a 192.168.1.7 debido a que se usa el carácter comodín 0.0.0.3, que es lo inverso de la máscara de subred 255.255.255.252. R1(config-std-nacl)# permit host 192.168.1.3 R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3


Página 3 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY R1(config-std-nacl)# exit No es necesario introducir una ACE deny, porque hay una ACE deny any implícita al final de la ACL. g. Ahora que creó una ACL con nombre, aplíquela a las líneas vty. R1(config)# line vty 0 4 R1(config-line)# access-class ADMIN-MGT in R1(config-line)# exit

Parte 3: verificar la lista de control de acceso mediante Telnet En la parte 3, usará Telnet para acceder al router y verificar que la ACL con nombre funcione correctamente. Nota: SSH es más seguro que Telnet; sin embargo, SSH requiere que el dispositivo de red esté configurado para aceptar conexiones SSH. En esta práctica de laboratorio, se usa Telnet por cuestiones de facilidad. a. Abra un símbolo del sistema en la PC-A y verifique que pueda comunicarse con el router mediante el comando ping. C:\Users\user1> ping 192.168.1.1 Pinging 192.168.1.1 with 32 bytes of data: Reply from 192.168.1.1: bytes=32 time=5ms TTL=64 Reply from 192.168.1.1: bytes=32 time=1ms TTL=64 Reply from 192.168.1.1: bytes=32 time=1ms TTL=64 Reply from 192.168.1.1: bytes=32 time=1ms TTL=64 Ping statistics for 192.168.1.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 5ms, Average = 2ms C:\Users\user1>

b. Use el símbolo del sistema de la PC-A para iniciar el programa cliente de Telnet y acceda al router mediante telnet. Introduzca los datos de inicio de sesión y luego las contraseñas de enable. Debería haber iniciado sesión correctamente, visto el mensaje de aviso y recibido una petición de entrada de comandos del R1. C:\Users\user1> telnet 192.168.1.1 Unauthorized access is prohibited! User Access Verification Password: R1>enable Password: R1#

¿La conexión Telnet se realizó correctamente? ____________________________________________________ La conexión Telnet debería haberse realizado correctamente, y el estudiante debería recibir la petición de entrada de contraseña del router R1. c.

Escriba exit en el símbolo del sistema y presione Enter para salir de la sesión de Telnet.


Página 4 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY d. Cambie la dirección IP para comprobar si la ACL con nombre bloquea direcciones IP no permitidas. Cambie la dirección IPv4 a 192.168.1.100 en la PC-A. e. Intente acceder al R1 mediante telnet en 192.168.1.1 otra vez. ¿La sesión de Telnet se estableció correctamente? ____________________________________________________________________________________ Si se cambió la dirección IP de la PC-A, la conexión Telnet no debería realizarse correctamente. ¿Qué mensaje recibió? ___________________________________________________________ Connecting To 192.168.1.1…Could not open connection to the host, on port 23: Connect failed (Conectando a 192.168.1.1… No se pudo abrir la conexión al host en el puerto 23: la conexión falló) f.

Cambie la dirección IP de la PC-A para comprobar si la ACL con nombre permite que un host con una dirección IP en el rango de 192.168.1.4 a 192.168.1.7 acceda al router mediante telnet. Después de cambiar la dirección IP de la PC-A, abra el símbolo del sistema de Windows e intente acceder al router R1 mediante telnet. ¿La sesión de Telnet se estableció correctamente? ____________________________________________________________________________________ ____________________________________________________________________________________ Si la dirección IP de la PC-A se cambió a una dirección en el rango de 192.168.1.4 a 192.168.1.7, la conexión telnet debería realizarse correctamente.

g. En el modo EXEC privilegiado en el R1, escriba el comando show ip access-lists y presione Enter. En el resultado del comando, observe la forma en que el IOS de Cisco asigna automáticamente los números de línea a las ACE de la ACL en incrementos de 10 y muestra la cantidad de veces que se encontraron coincidencias para cada ACE permit (entre paréntesis). R1# show ip access-lists

Standard IP access list ADMIN-MGT 10 permit 192.168.1.3 (2 matches) 20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)

Debido a que se establecieron correctamente dos conexiones Telnet al router y cada sesión de Telnet se inició desde una dirección IP que coincide con una de las ACE permit, hay coincidencias para cada ACE permit. ¿Por qué piensa que hay dos coincidencias para cada ACE permit cuando se inició solo una conexión desde cada dirección IP? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ La respuesta varía. Los estudiantes quizá reconozcan que las dos coincidencias con las ACE permit corresponden a la forma en que opera el protocolo Telnet mientras establece las conexiones telnet. El hecho de que haya dos coincidencias por cada conexión hace referencia a la cantidad de veces que se envía información de control al router, lo que genera una coincidencia con la ACE permit del router.


Página 5 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY ¿De qué forma determinaría el momento en el que el protocolo Telnet ocasiona las dos coincidencias durante la conexión Telnet? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas varían, pero los estudiantes deben reconocer que un analizador de protocolos, como Wireshark, les permitiría capturar y analizar los paquetes de protocolo Telnet a fin de determinar el momento en el que se generan las coincidencias de ACE permit de la ACL. h. En el R1, ingrese al modo de configuración global. i.

Ingrese al modo de configuración de lista de acceso para la lista de acceso con nombre ADMIN-MGT y agregue una ACE deny any al final de la lista de acceso. R1(config)# ip access-list standard ADMIN-MGT R1(config-std-nacl)# deny any R1(config-std-nacl)# exit Nota: debido a que hay una ACE deny any implícita al final de todas las ACL, agregar una ACE deny any explícita es innecesario, pero puede serle útil al administrador de red a efectos de registro o simplemente para saber la cantidad de veces que se produjeron coincidencias con la ACE deny any de la lista de acceso.

j.

Intente acceder al R1 mediante telnet desde la PC-B. Esto crea una coincidencia con la ACE deny any en la lista de acceso con nombre ADMIN-MGT.

k.

En el modo EXEC privilegiado, escriba el comando show ip access-lists y presione Enter. Ahora debería ver varias coincidencias con la ACE deny any. R1# show ip access-lists

Standard IP access list ADMIN-MGT 10 permit 192.168.1.3 (2 matches) 20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches) 30 deny any (3 matches)

La conexión Telnet fallida produce más coincidencias con la ACE deny explícita que una conexión correcta. ¿Por qué cree que sucede esto? ____________________________________________________________________________________ ____________________________________________________________________________________ Las respuestas pueden variar, pero los estudiantes quizá reconozcan que el protocolo Telnet debe realizar tres intentos para crear una sesión de Telnet.

Parte 4: configurar y aplicar la lista de control de acceso en el S1 (desafío) Paso 1: configurar y aplicar una ACL estándar con nombre para las líneas vty en el S1. a. Sin consultar los comandos de configuración del R1, intente configurar la ACL en el S1 y permita solo la dirección IP de la PC-A. b. Aplique la ACL a las líneas vty del S1. Recuerde que hay más líneas vty en un switch que en un router.

Paso 2: probar la ACL de vty en el S1. Acceda mediante Telnet desde cada una de las computadoras para verificar que la ACL de vty funcione correctamente. Debería poder acceder al S1 mediante telnet desde la PC-A, pero no desde la PC-B.


Página 6 de 13


Reflexión 1. Como lo demuestra el acceso remoto a vty, las ACL son filtros de contenido eficaces que tienen una aplicación más allá de las interfaces de red de entrada y de salida. ¿De qué otras formas se pueden aplicar las ACL? _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar. Los estudiantes quizá reconozcan que las ACL también se pueden aplicar a aplicaciones de red, como aplicaciones de servidor. 2. ¿La aplicación de una ACL a una interfaz de administración remota de vty mejora la seguridad de una conexión Telnet? ¿Esto convierte a Telnet en una herramienta de administración de acceso remoto más viable? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar, pero los estudiantes deben reconocer que, aunque las ACL ayudan a restringir el acceso de administración remota a los dispositivos de red, no hacen nada para cifrar los datos propiamente dichos que se envían por la red. Si otro programa en un host diferente en la red captura o detecta esa información, la red no es segura. 3. ¿Por qué tiene sentido aplicar una ACL a las líneas vty, en vez de a interfaces específicas? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas pueden variar, pero los estudiantes deben reconocer que, al aplicar la ACL a las líneas vty lógicas, no importa por qué interfaz llega la solicitud de Telnet o SSH. Las ACL de vty no dependen de interfaces. Además, las ACL de vty se pueden aplicar una vez, en lugar de tener que aplicarse a varias interfaces.


Página 7 de 13





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router R1 Building configuration... Current configuration : 1467 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! !


Página 8 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! !


Página 9 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY ip access-list standard ADMIN-MGT permit 192.168.1.3 permit 192.168.1.4 0.0.0.3 deny any ! ! ! ! control-plane ! ! banner motd ^CNo unauthorized access allowed!^C ! line con 0 password 7 070C285F4D06 logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class ADMIN-MGT in password 7 13061E010803 logging synchronous login transport input all ! scheduler allocate 20000 1000 ! end

Switch S1 Building configuration... Current configuration : 1782 bytes ! ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S1


Página 10 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! ! ! ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 !


Página 11 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.2 255.255.255.0 ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! ip access-list standard ADMIN-MGT permit 192.168.1.3 ! banner motd ^CNo unauthorized access allowed!^C ! line con 0 password 7 01100F175804 logging synchronous login line vty 0 4


Página 12 de 13

Práctica de laboratorio: configuración y verificación de restricciones de VTY access-class ADMIN-MGT in password 7 01100F175804 logging synchronous login line vty 5 14 access-class ADMIN-MGT in password 7 01100F175804 logging synchronous login line vty 15 password 7 0822455D0A16 login ! end


Página 13 de 13

Práctica de laboratorio: configuración y verificación de ACL extendidas (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas


Interfaz

Dirección IP

Máscara de subred


G0/1

192.168.10.1

255.255.255.0

N/A

Lo0

192.168.20.1

255.255.255.0

N/A

S0/0/0 (DCE)

10.1.1.1

255.255.255.252

N/A

S0/0/0

10.1.1.2

255.255.255.252

N/A

S0/0/1 (DCE)

10.2.2.2

255.255.255.252

N/A

Lo0

209.165.200.225

255.255.255.224

N/A

Lo1

209.165.201.1

255.255.255.224

N/A

G0/1

192.168.30.1

255.255.255.0

N/A

Lo0

192.168.40.1

255.255.255.0

N/A

S0/0/1

10.2.2.1

255.255.255.252

N/A

S1

VLAN 1

192.168.10.11

255.255.255.0

192.168.10.1

S3

VLAN 1

192.168.30.11

255.255.255.0

192.168.30.1

PC-A

NIC

192.168.10.3

255.255.255.0

192.168.10.1

PC-C

NIC

192.168.30.3

255.255.255.0

192.168.30.1

ISP

R3

Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los dispositivos y verificar la conectividad •

Configurar los parámetros básicos de las computadoras, los routers y los switches.

•

Configurar los procesos de routing EIGRP en el R1, el ISP y el R3.

Parte 3: configurar y verificar ACL extendidas numeradas y con nombre •

Configurar, aplicar y verificar una ACL extendida numerada.

•

Configurar, aplicar y verificar una ACL extendida con nombre.

Parte 4: modificar y verificar ACL extendidas

Información básica/situación Las listas de control de acceso (ACL) extendidas son sumamente eficaces. Ofrecen un mayor grado de control que las ACL estándar en cuanto a los tipos de tráfico que se pueden filtrar y también en cuanto al lugar de origen y el destino del tráfico. En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas representadas por el R1 y el R3. La administración estableció algunas políticas de acceso entre las redes LAN ubicadas en el R1 y el R3, que usted debe implementar. El router ISP que se ubica entre el R1 y el R3 no tiene ninguna ACL. Usted no tiene permitido el acceso administrativo al router ISP, dado que solo puede controlar y administrar sus propios equipos.


Página 2 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1: establecer la topología e inicializar los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario.


Parte 2: Configurar dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos en los routers, los switches y las computadoras. Consulte la topología y la tabla de direccionamiento para conocer los nombres de los dispositivos y obtener información de direcciones.

Paso 1: configurar las direcciones IP en la PC-A y en la PC-C. Paso 2: configurar los parámetros básicos en el R1. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.

Cree una interfaz loopback en el R1.

d. Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento. e. Configure class como la contraseña del modo EXEC privilegiado. f.

Asigne la frecuencia de reloj 128000 a la interfaz S0/0/0.

g. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el acceso por Telnet. Configure logging synchronous para las líneas de consola y las líneas vty.


Página 3 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas h. Habilite el acceso web en el R1 para simular un servidor web con autenticación local para el usuario admin. R1(config)# ip http server R1(config)# ip http authentication local R1(config)# username admin privilege 15 secret class

Paso 3: configurar los parámetros básicos en el ISP. a. Configure el nombre del dispositivo como se muestra en la topología. b. Cree las interfaces loopback en el ISP. c.

Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento.

d. Desactive la búsqueda del DNS. e. Asigne class como la contraseña del modo EXEC privilegiado. f.

Asigne la frecuencia de reloj 128000 a la interfaz S0/0/1.

g. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el acceso por Telnet. Configure logging synchronous para las líneas de consola y las líneas vty. h. Habilite el acceso web en el ISP. Utilice los mismos parámetros que en el paso 2h.

Paso 4: configurar los parámetros básicos en el R3. a. Configure el nombre del dispositivo como se muestra en la topología. b. Cree una interfaz loopback en el R3. c.

Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento.

d. Desactive la búsqueda del DNS. e. Asigne class como la contraseña del modo EXEC privilegiado. f.

Asigne cisco como la contraseña de consola y configure logging synchronous en la línea de consola.

g. Habilite SSH en el R3. R3(config)# ip domain-name cisco.com R3(config)# crypto key generate rsa modulus 1024 R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)# transport input ssh h. Habilite el acceso web en el R3. Utilice los mismos parámetros que en el paso 2h.

Paso 5: (optativo) configurar los parámetros básicos en el S1 y el S3. a. Configure los nombres de host como se muestra en la topología. b. Configure las direcciones IP de las interfaces de administración como se muestra en la topología y en la tabla de direccionamiento. c.


d. Configure class como la contraseña del modo EXEC privilegiado. e. Configure la dirección de gateway predeterminado.


Página 4 de 16


Paso 6: Configure el routing de EIGRP en el R1, el ISP y el R3. a. Configure el sistema autónomo (AS) número 10 y anuncie todas las redes en el R1, el ISP y el R3. Desactivar la sumarización automática. b. Después de configurar EIGRP en el R1, el ISP y el R3, verifique que todos los routers tengan tablas de routing completas con todas las redes. De lo contrario, resuelva el problema.

Paso 7: verificar la conectividad entre los dispositivos. Nota: es muy importante verificar la conectividad antes de configurar y aplicar ACL. Asegúrese de que la red funcione adecuadamente antes de empezar a filtrar el tráfico. a. Desde la PC-A, haga ping a la PC-C y a las interfaces loopback y de serie en el R3. ¿Los pings se realizaron correctamente? ________ Sí b. Desde el R1, haga ping a la PC-C y a las interfaces loopback y serial en el R3. ¿Los pings se realizaron correctamente? ________ Sí c.

Desde la PC-C, haga ping a la PC-A y a las interfaces loopback y serial en el R1. ¿Los pings se realizaron correctamente? ________ Sí

d. Desde el R3, haga ping a la PC-A y a las interfaces loopback y serial en el R1. ¿Los pings se realizaron correctamente? ________ Sí e. Desde la PC-A, haga ping a las interfaces loopback en el router ISP. ¿Los pings se realizaron correctamente? ________ Sí f.

Desde la PC-C, haga ping a las interfaces loopback en el router ISP. ¿Los pings se realizaron correctamente? ________ Sí

g. Abra un navegador web en la PC-A y vaya a http://209.165.200.225 en el ISP. Se le pide que introduzca un nombre de usuario y contraseña. Utilice admin como el nombre de usuario y class como la contraseña. Si se le solicita que acepte una firma, acéptela. El router cargará Cisco Configuration Professional (CCP) Express en una ventana diferente. Es posible que se le solicite un nombre de usuario y una contraseña. Utilice admin como el nombre de usuario y class como la contraseña. h. Abra un navegador web en la PC-C y vaya a http://10.1.1.1 en el R1. Se le pide que introduzca un nombre de usuario y contraseña. Utilice admin como el nombre de usuario y class como la contraseña. Si se le solicita que acepte una firma, acéptela. El router cargará CCP Express en una ventana diferente. Es posible que se le solicite un nombre de usuario y una contraseña. Utilice admin como el nombre de usuario y class como la contraseña.

Parte 3: configurar y verificar ACL extendidas numeradas y con nombre Las ACL extendidas filtran el tráfico de diferentes formas. Las ACL extendidas pueden realizar el filtrado según direcciones IP de origen, puertos de origen, dirección IP de destino y puertos de destino, así como según varios protocolos y servicios. Las políticas de seguridad son las siguientes: 1. Permitir que el tráfico web que se origina en la red 192.168.10.0/24 vaya a cualquier red. 2. Permitir una conexión SSH a la interfaz serial del R3 desde la PC-A. 3. Permitir que los usuarios en la red 192.168.10.0.24 accedan a la red 192.168.20.0/24. 4. Permitir que el tráfico web que se origina en la red 192.168.30.0/24 acceda al R1 mediante la interfaz web y la red 209.165.200.224/27 en el ISP. NO se debe permitir que la red 192.168.30.0/24 tenga acceso a cualquier otra red a través de la web.


Página 5 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas Al observar las políticas de seguridad mencionadas anteriormente, sabe que necesitará al menos dos ACL para cumplir con ellas. Una práctica recomendada es colocar ACL extendidas lo más cerca posible del origen. Para estas políticas, respetaremos esta práctica.

Paso 1: configurar una ACL extendida numerada en el R1 para las políticas de seguridad 1 y 2. Usará una ACL extendida numerada en el R1. ¿Cuáles son los rangos de las ACL extendidas? _______________________________________________________________________________________ 100 a 199 y 2000 a 2699 a. Configure la ACL en el R1. Use 100 como el número de la ACL. R1(config)# access-list 100 remark Allow Web & SSH Access R1(config)# access-list 100 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22 R1(config)# access-list 100 permit tcp any any eq 80 ¿Qué indica el 80 que aparece en el resultado del comando anterior? ____________________________________________________________________________________ 80 es el puerto de destino. El puerto TCP 80 es un puerto bien conocido que se usa para el protocolo HTTP. ¿A qué interfaz debe aplicarse la ACL 100? ____________________________________________________________________________________ ____________________________________________________________________________________ Hay dos respuestas posibles aquí: G0/1 y S0/0/0. La colocación de la ACL en G0/1 podría bloquear el acceso de los usuarios en la red 192.168.10.0/24 a otras LAN conectadas al R1, como la red 192.168.20.0/24. Por este motivo, la colocará en S0/0/0. ¿En qué sentido se debería aplicar la ACL 100? ____________________________________________________________________________________ ____________________________________________________________________________________ Si en la respuesta anterior se mencionó la interfaz G0/1, la ACL 100 debe aplicarse en sentido de entrada. Si el estudiante respondió con S0/0/0, la ACL 100 debe aplicarse en sentido de salida. b. Aplique la ACL 100 a la interfaz S0/0/0. R1(config)# int s0/0/0 R1(config-if)# ip access-group 100 out c.

Verifique la ACL 100. 1) Abra un navegador web en la PC-A y vaya a http://209.165.200.225 (el router ISP). La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 2) Establezca una conexión SSH de la PC-A al R3 con 10.2.2.1 como dirección IP. Inicie sesión con las credenciales admin y class. La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 3) En la petición de entrada del modo EXEC privilegiado en el R1, emita el comando show accesslists. R1# show access-lists Extended IP access list 100 10 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22 (22 matches) 20 permit tcp any any eq www (111 matches)


Página 6 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas 4) Desde el símbolo del sistema de la PC-A, emita un ping a 10.2.2.1. Explique los resultados. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________ Los pings fallaron. El mensaje fue “Reply from 192.168.10.1: Destination net unreachable” (Respuesta desde 192.168.10.1: red de destino inalcanzable). Esto se debe a la instrucción deny any implícita al final de cada ACL. La ACL 100 solo permite tráfico de salida web y SSH.

Paso 2: configurar una ACL extendida con nombre en el R3 para la política de seguridad 3. a. Configure la política en el R3. Asigne el nombre WEB-POLICY a la ACL. R3(config)# ip access-list extended WEB-POLICY R3(config-ext-nacl)# permit tcp 192.168.30.0 0.0.0.255 host 10.1.1.1 eq 80 R3(config-ext-nacl)# permit tcp 192.168.30.0 0.0.0.255 209.165.200.224 0.0.0.31 eq 80 b. Aplique la ACL WEB-POLICY a la interfaz S0/0/1. R3(config-ext-nacl)# int S0/0/1 R3(config-if)# ip access-group WEB-POLICY out c.

Verifique la ACL WEB-POLICY. 1) En la petición de entrada del modo EXEC privilegiado en el R3, emita el comando show ip interface s0/0/1. ¿Cuál es el nombre de la ACL, si tiene un nombre? ______________________________________ WEB-POLICY ¿En qué sentido se aplicó la ACL? _______________________________________ De salida 2) Abra un navegador web en la PC-C y vaya a http://209.165.200.225 (el router ISP). La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 3) Desde la PC-C, inicie una sesión web en http://10.1.1.1 (R1). La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 4) Desde la PC-C, inicie una sesión web en http://209.165.201.1 (router ISP). La conexión debería fallar; de lo contrario, resuelva el problema. 5) Desde el símbolo del sistema de la PC-C, haga ping a la PC-A. ¿Cuál fue el resultado y por qué? ________________________________________________________________________________ Los pings fallaron. En la red 192.168.30.0/24, solo se permite la salida de tráfico web.

Parte 4: modificar y verificar ACL extendidas Debido a las ACL aplicadas en el R1 y el R3, no se permiten pings ni ningún otro tipo de tráfico entre las redes LAN en el R1 y el R3. La administración decidió que debe permitirse todo el tráfico entre las redes 192.168.10.0/24 y 192.168.30.0/24. Debe modificar las ACL en el R1 y el R3.

Paso 1: modificar la ACL 100 en el R1. a. En el modo EXEC privilegiado en el R1, emita el comando show access-lists. ¿Cuántas líneas hay en esta lista de acceso? _____________________ 2 líneas, la n.º 10 y la n.º 20.


Página 7 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas b. Ingrese al modo de configuración global y modifique la ACL en el R1. R1(config)# ip access-list extended 100 R1(config-ext-nacl)# 30 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 R1(config-ext-nacl)# end c.

Emita el comando show access-lists. ¿En qué lugar de la ACL 100 apareció la línea nueva que acaba de agregar? ____________________________________________________________________________________ Línea n.º 30. La última línea de la ACL.

Paso 2: modificar la ACL WEB-POLICY en el R3. a. En el modo EXEC privilegiado en el R3, emita el comando show access-lists. ¿Cuántas líneas hay en esta lista de acceso? ________________________ 2 líneas, la n.º 10 y la n.º 20. b. Ingrese al modo de configuración global y modifique la ACL en el R3. R3(config)# ip access-list extended WEB-POLICY R3(config-ext-nacl)# 30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 R3(config-ext-nacl)# end c.

Emita el comando show access-lists para verificar que la línea nueva se haya agregado al final de la ACL.

Paso 3: verificar las ACL modificadas. a. Desde la PC-A, haga ping a la dirección IP de la PC-C. ¿Tuvieron éxito los pings? ______________ Sí b. Desde la PC-C, haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? ______________ Sí ¿Por qué las ACL funcionaron inmediatamente para los pings después de que las cambió? ____________________________________________________________________________________ Las ACL en el R1 y el R3 todavía estaban aplicadas a las interfaces respectivas con el comando ip access-group command.

Reflexión 1. ¿Por qué es necesario planificar y probar meticulosamente las ACL? _______________________________________________________________________________________ _______________________________________________________________________________________ Las ACL pueden bloquear involuntariamente la entrada o la salida de tráfico legítimo en una red. 2. Qué tipo de ACL es mejor: ¿estándar o extendida? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________


Página 8 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas Ambas tienen un propósito y un lugar en una red. Las ACL estándar son fáciles de componer y configurar, si necesita permitir o denegar todo el tráfico. La desventaja de las ACL estándar es que solo pueden revisar direcciones de origen y no tienen granularidad. Las ACL extendidas se pueden escribir para que filtren prácticamente todo tipo de tráfico generado. Sin embargo, puede ser complicado configurarlas y entenderlas. 3. ¿Por qué la entrada de control de acceso (ACE), o la instrucción de ACL, deny any implícita de las ACL aplicadas al R1 y el R3 no bloquea los paquetes de saludo ni las actualizaciones de routing EIGRP? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las actualizaciones EIGRP se originan en las interfaces seriales del R1 y el R3, y no en la red LAN. Las ACL filtran el tráfico que atraviesa el router y no el tráfico que se origina en él. Si se colocó una ACL en el router ISP, es posible que haya bloqueado las actualizaciones EIGRP entre el R1 y el R3, al igual que otras comunicaciones de router a router. Esto podría haber ocasionado una pérdida de conectividad entre las LAN de la PC-A y la PC-B.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router R1 R1# show run Current configuration : 1811 bytes version 15.2


Página 9 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no ip domain lookup ! username admin privilege 15 secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 interface Loopback0 ip address 192.168.20.1 255.255.255.0 ! interface GigabitEthernet0/1 ip address 192.168.10.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 ip access-group 100 out clock rate 128000 ! router eigrp 10 network 10.1.1.0 0.0.0.3 network 192.168.10.0 network 192.168.20.0 ! ip http server ip http authentication local no ip http secure-server ! access-list 100 remark Allow Web & SSH Access access-list 100 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22 access-list 100 permit tcp any any eq www access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login transport input all ! end


Página 10 de 16


Router ISP ISP# sh run Building configuration... Current configuration : 1657 bytes version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no ip domain lookup ! username admin privilege 15 secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! interface Loopback0 ip address 209.165.200.225 255.255.255.224 ! interface Loopback1 ip address 209.165.201.1 255.255.255.224 ! interface Serial0/0/0 ip address 10.1.1.2 255.255.255.252 ! interface Serial0/0/1 ip address 10.2.2.2 255.255.255.252 clock rate 128000 ! router eigrp 10 network 10.1.1.0 0.0.0.3 network 10.2.2.0 0.0.0.3 network 209.165.200.224 0.0.0.31 network 209.165.201.0 0.0.0.31 ! ip http server ip http authentication local no ip http secure-server ! line con 0 password cisco logging synchronous login line vty 0 4 password cisco logging synchronous login transport input all


Página 11 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas ! end

Router R3 R3# show run Building configuration... Current configuration : 1802 bytes version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R3 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no ip domain lookup ip domain name cisco.com ! username admin privilege 15 secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! ip ssh version 1 ! interface Loopback0 ip address 192.168.40.1 255.255.255.0 ! interface GigabitEthernet0/1 ip address 192.168.30.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/1 ip address 10.2.2.1 255.255.255.252 ip access-group WEB-POLICY out ! router eigrp 10 network 10.2.2.0 0.0.0.3 network 192.168.30.0 network 192.168.40.0 ! ip http server ip http authentication local no ip http secure-server ! ip access-list extended WEB-POLICY permit tcp 192.168.30.0 0.0.0.255 host 10.1.1.1 eq www permit tcp 192.168.30.0 0.0.0.255 209.165.200.224 0.0.0.31 eq www permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 !


Página 12 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas line con 0 password cisco logging synchronous login line vty 0 4 login local transport input ssh ! end

Switch S1 S1# sh run Building configuration... Current configuration : 1416 bytes version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S1 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 !


Página 13 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.10.11 255.255.255.0 ! ip default-gateway 192.168.10.1 ip http server ip http secure-server line con 0 line vty 5 15 ! end

Switch S3 S3# show run Building configuration... Current configuration : 1416 bytes


Página 14 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S3 ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 !


Página 15 de 16

Práctica de laboratorio: configuración y verificación de ACL extendidas interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 interface Vlan1 ip address 192.168.30.11 255.255.255.0 ! ip default-gateway 192.168.30.1 ip http server ip http secure-server ! line con 0 line vty 5 15 ! end


Página 16 de 16

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL

Tabla de direccionamiento Dispositivo HQ

Interfaz

Dirección IP

Máscara de subred


G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/1

10.1.1.2

255.255.255.252

N/A

Lo0

192.168.4.1

255.255.255.0

N/A

G0/1

192.168.3.1

255.255.255.0

N/A

S0/0/0 (DCE)

10.1.1.1

255.255.255.252

N/A

S1

VLAN 1

192.168.1.11

255.255.255.0

192.168.1.1

S3

VLAN 1

192.168.3.11

255.255.255.0

192.168.3.1

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-C

NIC

192.168.3.3

255.255.255.0

192.168.3.1

ISP

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de acceso interno Parte 3: resolver problemas de acceso remoto

Información básica/situación Una lista de control de acceso (ACL) es una serie de comandos de IOS que proporcionan un filtrado de tráfico básico en un router Cisco. Las ACL se usan para seleccionar los tipos de tráfico que se deben procesar. Cada instrucción de ACL individual se denomina “entrada de control de acceso” (ACE). Las ACE en la ACL se evalúan de arriba abajo, y al final de la lista hay una ACE deny all implícita. Las ACL también controlan los tipos de tráfico entrante y saliente de una red según los hosts o las redes de origen y destino. Para procesar el tráfico deseado correctamente, la ubicación de las ACL es fundamental. En esta práctica de laboratorio, una pequeña empresa acaba de agregar un servidor web a la red para permitir que los clientes tengan acceso a información confidencial. La red de la empresa se divide en dos zonas: zona de red corporativa y zona perimetral (DMZ). La zona de red corporativa aloja los servidores privados y los clientes internos. La DMZ aloja el servidor web al que se puede acceder de forma externa (simulado por Lo0 en HQ). Debido a que la empresa solo puede administrar su propio router HQ, todas las ACL deben aplicarse al router HQ. •

La ACL 101 se implementa para limitar el tráfico saliente de la zona de red corporativa. Esta zona aloja los servidores privados y los clientes internos (192.168.1.0/24). Ninguna otra red debe poder acceder a ella.

•

La ACL 102 se usa para limitar el tráfico entrante a la red corporativa. A esa red solo pueden acceder las respuestas a las solicitudes que se originaron dentro de la red corporativa. Esto incluye solicitudes basadas en TCP de los hosts internos, como web y FTP. Se permite el acceso de ICMP a la red para fines de resolución de problemas, de forma que los hosts internos pueden recibir mensajes ICMP entrantes generados en respuesta a pings.


Página 2 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL •

La ACL 121 controla el tráfico externo hacia la DMZ y la red corporativa. Solo se permite el acceso de tráfico HTTP al servidor web DMZ (simulado por Lo0 en el R1). Se permite cualquier otro tráfico relacionado con la red, como EIGRP, desde redes externas. Además, se deniega el acceso a la red corporativa a las direcciones privadas internas válidas, como 192.168.1.0, las direcciones de loopback, como 127.0.0.0, y las direcciones de multidifusión, con el fin de impedir ataques malintencionados de usuarios externos a la red.

Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers y los switches con algunos parámetros básicos, como contraseñas y direcciones IP. También se proporcionan configuraciones predefinidas para la configuración inicial del router. Además, configurará los parámetros de IP de las computadoras en la topología.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: configurar los equipos host. Paso 3: inicializar y volver a cargar los routers y los switches según sea necesario. Paso 4: (optativo) configurar los parámetros básicos de cada switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de host como se muestra en la topología. c.

Configure la dirección IP y el gateway predeterminado en la tabla de direccionamiento.

d. Asigne cisco como la contraseña de consola y la contraseña de vty.


Página 3 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL e. Asigne class como la contraseña del modo EXEC privilegiado. f.

Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.

Paso 5: configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure los nombres de host como se muestra en la topología. c.

Asigne cisco como la contraseña de consola y la contraseña de vty.

d. Asigne class como la contraseña del modo EXEC privilegiado. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.

Paso 6: Configure el acceso HTTP y las credenciales de usuario en el router HQ. Las credenciales de usuario local se configuran para acceder al servidor web simulado (192.168.4.1). HQ(config)# ip http server HQ(config)# username admin privilege 15 secret adminpass HQ(config)# ip http authentication local

Paso 7: cargar las configuraciones de los routers. Se le proporcionan las configuraciones de los routers ISP y HQ. Estas configuraciones contienen errores, y su trabajo es determinar las configuraciones incorrectas y corregirlas. Router ISP hostname ISP interface GigabitEthernet0/1 ip address 192.168.3.1 255.255.255.0 no shutdown interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 128000 no shutdown router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.3.0 no auto-summary end Router HQ hostname HQ interface Loopback0 ip address 192.168.4.1 255.255.255.0 interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip access-group 101 out !ip access-group 101 in ip access-group 102 in !ip access-group 102 out


Página 4 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL no shutdown interface Serial0/0/1 ip address 10.1.1.2 255.255.255.252 ip access-group 121 in no shutdown router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.1.0 network 192.168.4.0 no auto-summary access-list 101 permit ip 192.168.11.0 0.0.0.255 any !access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 deny ip any any access-list 102 permit tcp any any established access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any unreachable access-list 102 deny ip any any access-list 121 permit tcp any host 192.168.4.1 eq 89 !access-list 121 permit tcp any host 192.168.4.1 eq www access-list 121 deny icmp any host 192.168.4.11 !access-list 121 deny icmp any host 192.168.4.1 access-list 121 deny ip 192.168.1.0 0.0.0.255 any access-list 121 deny ip 127.0.0.0 0.255.255.255 any access-list 121 deny ip 224.0.0.0 31.255.255.255 any access-list 121 permit ip any any access-list 121 deny ip any any end

Parte 2: resolver problemas de acceso interno En la parte 2, se examinan las ACL en el router HQ para determinar si se configuraron correctamente.

Paso 1: resolver problemas en la ACL 101. La ACL 101 se implementa para limitar el tráfico saliente de la zona de red corporativa. Esta zona solo aloja clientes internos y servidores privados. Solo la red 192.168.1.0/24 puede salir de esta zona de red corporativa. a. ¿Se puede hacer ping de la PC-A a su gateway predeterminado? ______________ No b. Después de verificar que la PC-A esté configurada correctamente, examine el router HQ y vea el resumen de la ACL 101 para encontrar posibles errores de configuración. Introduzca el comando show access-lists 101. HQ# show access-lists 101

Extended IP access list 101 10 permit ip 192.168.11.0 0.0.0.255 any 20 deny ip any any

c.

¿Existe algún problema en la ACL 101? ____________________________________________________________________________________ Sí. La ACL 101 permite la red 192.168.11.0 /24 en lugar de la red 192.168.1.0 /24.


Página 5 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL d. Examine la interfaz del gateway predeterminado para la red 192.168.1.0 /24. Verifique que la ACL 101 esté aplicada en el sentido correcto en la interfaz G0/1. Introduzca el comando show ip interface g0/1. HQ# show ip interface g0/1

GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 101 Inbound access list is 102

¿El sentido de la ACL 101 en la interfaz G0/1 está configurado correctamente? ____________________________________________________________________________________ No. El sentido de la ACL 101 debe ser de entrada al router. e. Corrija los errores encontrados con respecto a la ACL 101 y verifique que el tráfico de la red 192.168.1.0 /24 puede salir de la red corporativa. Registre los comandos usados para corregir los errores. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ HQ(config)# no access-list 101 HQ(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any HQ(config)# access-list 101 deny ip any any HQ(config)# interface g0/1 HQ(config-if)# ip access-group 101 in f.

Verifique que se pueda hacer ping de la PC-A a su interfaz de gateway predeterminado.

Paso 2: resolver problemas en la ACL 102. La ACL 102 se implementa para limitar el tráfico entrante a la red corporativa. No se permite el acceso de tráfico que se origina en redes externas a la red corporativa. Se permite el acceso de tráfico remoto a la red corporativa si el tráfico establecido se originó en la red interna. Se permiten mensajes de respuesta ICMP para fines de resolución de problemas. a. ¿Se puede hacer ping de la PC-A a la PC-C? ____________ No b. Examine el router HQ y vea el resumen de la ACL 102 para encontrar posibles errores de configuración. Introduzca el comando show access-lists 102. HQ# show access-lists 102

Extended IP access list 102 10 permit tcp any any established 20 permit icmp any any echo-reply 30 permit icmp any any unreachable 40 deny ip any any (57 matches)


Página 6 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL c.

¿Existe algún problema en la ACL 102? ____________________________________________________________________________________ No.

d. Verifique que la ACL 102 esté aplicada en el sentido correcto en la interfaz G0/1. Introduzca el comando show ip interface g0/1. HQ# show ip interface g0/1

GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 101 Inbound access list is 101

e. ¿Existe algún problema con la aplicación de la ACL 102 a la interfaz G0/1? ____________________________________________________________________________________ Sí. La ACL 101 está configurada como ACL saliente, y debería ser la ACL 102. f.

Corrija los errores encontrados con respecto a la ACL 102. Registre los comandos usados para corregir los errores. HQ(config)# interface g0/1 HQ(config-if)# ip access-group 102 out

g. ¿Se puede hacer ping de la PC-A a la PC-C ahora? __________ Sí

Parte 3: resolver problemas de acceso remoto En la parte 3, se configuró la ACL 121 para prevenir los ataques de suplantación de identidad provenientes de redes externas y para permitir solo el acceso HTTP remoto al servidor web (192.168.4.1) en la DMZ. a. Verifique que la ACL 121 esté configurada correctamente. Introduzca el comando show ip access-list 121. HQ# show ip access-lists 121

Extended IP access list 121 10 permit tcp any host 192.168.4.1 eq 89 20 deny icmp any host 192.168.4.11 30 deny ip 192.168.1.0 0.0.0.255 any 40 deny ip 127.0.0.0 0.255.255.255 any 50 deny ip 224.0.0.0 31.255.255.255 any 60 permit ip any any (354 matches) 70 deny ip any any

¿Existe algún problema en esta ACL? ____________________________________________________________________________________ ____________________________________________________________________________________


Página 7 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL Sí. El número de puerto en la línea 10 debe ser 80. La dirección host en la línea 20 debe ser 192.168.4.1 para el servidor web. b. Verifique que la ACL 121 esté aplicada en el sentido correcto en la interfaz S0/0/1 del R1. Introduzca el comando show ip interface s0/0/1. HQ# show ip interface s0/0/1

Serial0/0/1 is up, line protocol is up Internet address is 10.1.1.2/30 Broadcast address is 255.255.255.255 Multicast reserved groups joined: 224.0.0.10 Outgoing access list is not set Inbound access list is 121

¿Existe algún problema con la aplicación de esta ACL? ____________________________________________________________________________________ ____________________________________________________________________________________ No. Está aplicada como de entrada en S0/0/1. c.

Si se encontraron errores, haga los cambios necesarios a la configuración de la ACL 121 y regístrelos. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ HQ(config)# HQ(config)# HQ(config)# HQ(config)# HQ(config)# HQ(config)# HQ(config)# HQ(config)#

no access-list 121 access-list 121 permit tcp any host 192.168.4.1 eq 80 access-list 121 deny icmp any host 192.168.4.1 access-list 121 deny ip 192.168.1.0 0.0.0.255 any access-list 121 deny ip 127.0.0.0 0.255.255.255 any access-list 121 deny ip 224.0.0.0 31.255.255.255 any access-list 121 permit ip any any access-list 121 deny ip any any

d. Verifique que la PC-C solo pueda acceder al servidor web simulado en el HQ mediante el navegador web. Para acceder al servidor web (192.168.4.1), proporcione el nombre de usuario admin y la contraseña adminpass.

Reflexión 1. ¿Cómo se debería ordenar la instrucción de ACL, de lo general a lo específico o viceversa? _______________________________________________________________________________________ El orden debería ser de lo específico a lo general, dado que la ACL se ejecuta de arriba abajo, en orden secuencial. Cuando una condición es verdadera, el procesamiento en la lista se detiene y no se realiza ninguna otra comparación. 2. Si elimina una ACL con el comando no access-list y la ACL sigue aplicada a la interfaz, ¿qué sucede? _______________________________________________________________________________________


Página 8 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL Se aplicaría una instrucción deny any predeterminada. Se debe tener cuidado al eliminar una ACL aplicada a una interfaz activa.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router ISP ISP#show run Building configuration... Current configuration : 1423 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2


Página 9 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL ! no aaa new-model memory-size iomem 10 ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.3.1 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ! router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.3.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server


Página 10 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router HQ (corregido) HQ# show run Building configuration... Current configuration : 2292 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HQ ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 !


Página 11 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! username admin privilege 15 secret 4 QHjxdsVkjtoP7VxKIcPsLdTiMIvyLkyjT1HbmYxZigc ! ! interface Loopback0 ip address 192.168.4.1 255.255.255.0 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip access-group 101 in ip access-group 102 out duplex auto speed auto ! interface Serial0/0/0 no ip address !shutdown ! interface Serial0/0/1 ip address 10.1.1.2 255.255.255.252 ip access-group 121 in ! interface Serial0/0/1 no ip address !shutdown ! router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.1.0 network 192.168.4.0 !


Página 12 de 13

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL ip forward-protocol nd ! ip http server ip http authentication local no ip http secure-server ! ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 deny ip any any access-list 102 permit tcp any any established access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any unreachable access-list 102 deny ip any any access-list 121 permit tcp any host 192.168.4.1 eq www access-list 121 deny icmp any host 192.168.4.1 access-list 121 deny ip 192.168.1.0 0.0.0.255 access-list 121 deny ip 127.0.0.0 0.255.255.255 access-list 121 deny ip 224.0.0.0 31.255.255.255 access-list 121 permit ip any any access-list 121 deny ip any any ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 13 de 13

Práctica de laboratorio: configuración y verificación de ACL de IPv6 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6

Tabla de direccionamiento Di sposi tivo R1

Interfaz

Dirección IP


G0/0

2001:DB8:A CAD:B::1/64

N/A

G0/1

2001:DB8:A CAD:A::1/64

N/A

S0/0/0 (DCE)

2001:DB8:AAAA:1::1/64

N/A

S0/0/0

2001:DB8:AAAA:1::2/64

N/A

S0/0/1 (DCE)

2001:DB8:AAAA:2::2/64

N/A

G0/1

2001:DB8: CAFE:C::1/64

N/A

S0/0/1

2001:DB8:AAAA:2::1/64

N/A

S1

VLAN1

2001:DB8:A CAD:A::A/64

N/A

S2

VLAN1

2001:DB8:A CAD:B::A/64

N/A

S3

VLAN1

2001:DB8: CAFE:C::A/64

N/A

PC-A

NIC

2001:DB8:A CAD:A::3/64

FE80::1

PC-B

NIC

2001:DB8:A CAD:B::3/64

FE80::1

PC-C

NIC

2001:DB8: CAFE:C::3/64

FE80::1

R2

R3

Objetivos Parte 1: establecer la topología e inicializar los di sposi tivos Parte 2: configurar los di spositi vos y verificar la conectividad Parte 3: configurar y verificar las ACL de IPv6 Parte 4: editar las ACL de IPv6

Información básica/situación Puede filtrar el tráfico IP v6 mediante la creación de listas de control de acceso (ACL) de IP v6 y su aplicación a las interfaces, en forma similar al modo en que se crean ACL de IP v4 con nombre. Los tipos de ACL de IP v6 son extendida y con nombre. Las ACL estándar y numeradas ya no se utilizan con IP v6. Para aplicar una ACL de IP v6 a una interfaz vty, use el nuevo comando ipv6 traffic-filter. El comando ipv6 access-class todavía se usa para aplicar una ACL de IP v6 a las interfaces. En esta práctica de laboratorio, aplicará reglas de filtrado IP v6 y luego verificará que restrinjan el acceso según lo esperado. También editará una ACL de IP v6 y borrará los contadores de coincidencias. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (IS R) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de int erfaz correctos.


Página 2 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos. Nota para el instructor: la plantilla default bias que se usa en S witch Database Manager (SDM) no proporciona capacidades de dirección IP v6. Verifique que se utilice la plantilla dual-ipv4-and-ipv6 o la plantilla lanbase-routing en SDM. La nueva plantilla se utilizará después de reiniciar, aunque no se guarde la configuración. S1# show sdm prefer Utilice los siguientes comandos para asignar la plantilla dual-ipv4-and-ipv6 como plantilla predeterminada en SDM. S1# configure terminal

S1(config)# sdm prefer dual-ipv4-and-ipv6 default S1(config)# end S1# reload

Recursos necesarios 

3 rout ers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen univers al o similar)













Parte 1: establecer la topología e inicializar los dispositivos En la part e 1, establecerá la topología de la red y borrará cualquier configuración, en caso de ser necesario.


Parte 2: Configurar dispositivos y verificar la conectividad En la part e 2, configurará los parámet ros básicos en los routers, los switches y las computadoras. Consulte la topología y la tabla de direccionamiento incluidos al comienz o de esta práctica de laboratorio para conocer los nombres de los dispositivos y obtener información de direcciones.

Paso 1: configurar direcciones IPv6 en todas las computadoras. Configure las direcciones IP v6 de unidifusión global según la tabla de direccionamiento. Utilice la dirección link-local FE80::1 para el gateway predet erminado en todas las computadoras.

Paso 2: configurar los switches. a.


b.

Asigne el nombre de host.

c.

Asigne ccna-lab.com como nombre de dominio.

d.



Página 3 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 e.

Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado.

f.

Cree una bas e de datos de usuarios local con el nombre de usuario admin y la contraseña classadm.

g.

Asigne class como la contraseña cifrada del modo E XEC privilegiado.

h.

Asigne ci sco como la contraseña de cons ola y habilite el inicio de sesión.

i.

Habilite el inicio de sesión en las líneas V TY con la base de datos local.

j.

Genere una clave criptográfica rsa para ssh con un tamaño de módulo de 1024 bits.

k.

Cambie las líneas V TY de transport input a «all» solo para SSH y Telnet.

l.

Asigne una dirección IP v6 a la VLA N 1 según la tabla de direccionamiento.

m. Desactive administrativamente todas las interfaces inactivas.

Paso 3: configurar los parámetros básicos en todos los routers. a.


b.

Asigne el nombre de host.

c.

Asigne ccna-lab.com como nombre de dominio.

d.


e.

Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado.

f.

Cree una bas e de datos de usuarios local con el nombre de usuario admin y la contraseña classadm.

g.

Asigne class como la contraseña cifrada del modo E XEC privilegiado.

h.

Asigne ci sco como la contraseña de cons ola y habilite el inicio de sesión.

i.

Habilite el inicio de sesión en las líneas V TY con la base de datos local.

j.

Genere una clave criptográfica rsa para ssh con un tamaño de módulo de 1024 bits.

k.

Cambie las líneas V TY de transport input a «all» solo para SSH y Telnet.

Paso 4: configurar los parámetros de IPv6 en el R1. a.

Configure la dirección IP v6 de unidifusión en las interfaces G0/0, G0/1 y S0/0/0.

b.

Configure la dirección IP v6 link -local en las interfaces G0/0, G0/1 y S0/0/0. Utilice FE80::1 como la dirección link -local en las tres interfaces.

c.

Establezca la frecuencia de reloj en S0/0/0 en 128000.

d.

Habilite las interfaces.

e.

Habilite el routing de unidifusión IP v6.

f.

Configure una ruta predeterminada IP v6 para que use la interfaz S0/0/0. R1(config)# ipv6 route ::/0 s0/0/0


Configure la dirección IP v6 de unidifusión en las interfaces S0/0/0 y S0/0/1.

b.

Configure la dirección IP v6 link -local en las interfaces S0/0/0 y S0/0/1. Utilice FE80::2 como la dirección link-local en ambas interfaces.

c.

Establezca la frecuencia de reloj en S0/0/1 en 128000.

d.



Página 4 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 e.


f.

Configure rut as estáticas IP v6 para la administración del tráfico de las subredes LAN del R1 y el R3. R2(config)# ipv6 route 2001:db8:acad::/48 s0/0/0 R2(config)# ipv6 route 2001:db8:cafe:c::/64 s0/0/1


Configure la dirección IP v6 de unidifusión en las interfaces G0/1 y S0/0/1.

b.

Configure la dirección IP v6 link -local en las interfaces G0/1 y S0/0/1. Utilice FE80::1 como la dirección link-local en ambas interfaces.

c.


d.


e.

Configure una ruta predeterminada IP v6 para que use la interfaz S0/0/1. R3(config)# ipv6 route ::/0 s0/0/1

Paso 7: Verifique la conectividad. a.

Se debería poder hacer ping entre todas las computadoras de la topología.

b.

Acceda al R1 mediante Telnet desde todas las computadoras en la topología.

c.

Acceda al R1 mediante SSH desde todas las computadoras en la topología.

d.

Acceda al S1 mediante Telnet desde todas las computadoras en la topología.

e.

Acceda al S1 mediante SSH desde todas las computadoras en la topología.

f.

Solucione los problemas de conectividad ahora, porque las ACL que cree en la parte 3 de esta práctica de laboratorio restringirán el acceso a ciert as áreas de la red.

Nota: Tera Term requiere que la dirección IP v6 de destino esté entre corchetes. Introduzca la dirección IP v6 como se muestra, haga clic en OK (Aceptar) y, luego, haga clic en Continue (Continuar) para aceptar la advertencia de seguridad y conectarse al router.


Página 5 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 Introduzca las credenciales de usuario configuradas (nombre de usuario admin y contraseña cla ssadm) y seleccione Use plain password to log in (Usar cont raseña no cifrada para iniciar sesión) en el cuadro de diálogo SSH Authentication (Autenticación de SSH). Haga clic en Aceptar para continuar.

Parte 3: configurar y verificar las ACL de IPv6 Paso 1: configurar y verificar las restricciones de VTY en el R1. a.

Cree una ACL para permitir que solo los hosts de la red 2001:db8:acad:a::/64 accedan al R1 mediante telnet. Todos los hosts deben poder acceder al R1 mediante ssh. R1(config)# ipv6 access-list RESTRICT-VTY R1(config-ipv6-acl)# permit tcp 2001:db8:acad:a::/64 any R1(config-ipv6-acl)# permit tcp any any eq 22

b.

Aplique la ACL RES TRICT-V TY a las líneas VTY del R1. R1(config-ipv6-acl)# line vty 0 4 R1(config-line)# ipv6 access-class RESTRICT-VTY in R1(config-line)# end R1#

c.

Visualice la nueva A CL. R1# show access-lists

IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any sequence 10 permit tcp any any eq 22 sequence 20


Página 6 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 d.

Verifique que la ACL RES TRICT-V TY solo permit a tráfic o de Telnet de la red 2001:db8:acad: a::/64. ¿De qué forma la ACL RES TRICT-V TY permite únicamente el acceso de hosts de la red 2001:db8:acad:a::/64 al R1 mediante telnet ? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ La primera instrucción permite todo el tráfico tcp de la red 2001:db8:acad:a::/64, lo que incluye el tráfico de Telnet. Si el tráfico no coincide con ninguna de las instrucciones explícitas en una A CL, la instrucción deny any any implícita al final de todas las ACL lo deniega. Esta denegación implícita es lo que impide que el tráfico de Telnet de los hosts en las otras redes acceda al R1. ¿Qué hace la segunda instrucción permit en la ACL RES TRICT-V TY ? ____________________________________________________________________________________ Permite que cualquier host tenga acceso al R1 mediante ssh, por el puerto 22.

Paso 2: restringir el acceso por Telnet a la red 2001:db8:acad:a::/64. a.

Cree una ACL denominada RES TRICTE D-LA N que bloquee el acceso por Telnet a la red 2001:db8:acad:a::/64. R1(config)# ipv6 access-list RESTRICTED-LAN R1(config-ipv6-acl)# remark Block Telnet from outside R1(config-ipv6-acl)# deny tcp any 2001:db8:acad:a::/64 eq telnet R1(config-ipv6-acl)# permit ipv6 any any

b.

Aplique la ACL RES TRICTED-LA N a la interfaz G0/1 para todo el tráfico saliente. R1(config-ipv6-acl)# int g0/1

R1(config-if)# ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end c.

Desde la PC-B y la PC-C, acceda al S1 mediante Telnet para verificar que se haya restringido Telnet. Desde la PC-B, acceda al S1 mediante SSH para verificar que todavía se pueda llegar al dispositivo mediante SSH. Res uelva cualquier problema, si es necesario.

d.

Use el comando show ipv6 access-li st para ver la ACL RES TRICTE D-LAN. R1# show ipv6 access-lists RESTRICTED-LAN

IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet (6 matches) sequence 20 permit ipv6 any any (45 matches) sequence 30

Observe que cada instrucción identifica el número de aciertos o coincidencias que se produjeron desde la aplicación de la ACL a la interfaz. e.

Use el comando clear ipv6 access-li st para restablecer los contadores de coincidencias de la ACL RES TRICTED-LA N. R1# clear ipv6 access-list RESTRICTED-LAN

f.

Vuelva a mostrar la ACL con el comando show access-li sts para confirmar que se hayan borrado los contadores. R1# show access-lists RESTRICTED-LAN IPv6 access list RESTRICTED-LAN


Página 7 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any sequence 30

Parte 4: editar las ACL de IPv6 En la part e 4, editará la ACL RES TRICTE D-LA N que creó en la parte 3. Antes de editar la ACL, se recomienda eliminarla de la interfaz a la que esté aplicada. Una vez que haya terminado de editarla, vuelva a aplicar la ACL a la int erfaz. Nota: muchos administradores de red hacen una copia de la ACL y editan la copia. Después de terminar la edición, el administrador debe eliminar la A CL antigua y aplicar la ACL editada a la int erfaz. Este método mantiene la ACL implementada hasta que esté listo para aplicar la copia editada.

Paso 1: eliminar la ACL de la interfaz. R1(config)# int g0/1 R1(config-if)# no ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end

Paso 2: Use el comando show access-lists para ver la ACL. R1# show access-lists

IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any (4 matches) sequence 10 permit tcp any any eq 22 (6 matches) sequence 20 IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (36 matches) sequence 30

Paso 3: Introduzca una nueva instrucción de ACL con número de secuencia. R1(config)# ipv6 access-list RESTRICTED-LAN R1(config-ipv6-acl)# permit tcp 2001:db8:acad:b::/64 host 2001:db8:acad:a::a eq 23 sequence 15 ¿Qué hace esta nueva instrucción permit? _______________________________________________________________________________________ Permite que los hosts en la red 2001:db8:acad:b::/64 accedan al S1 mediante Telnet.

Paso 4: insertar una nueva instrucción de ACL al final de la ACL. R1(config-ipv6-acl)# permit tcp any host 2001:db8:acad:a::3 eq www Nota: esta instrucción permit solo se usa para mostrar cómo agregar una instrucción al final de una ACL. Nunc a habrá coincidencias con esta línea de la ACL, dado que la instrucción permit anterior coincide con todo.

Paso 5: Use el comando do show access-lists para ver el cambio en la ACL. R1(config-ipv6-acl)# do show access-list

IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any (2 matches) sequence 10 permit tcp any any eq 22 (6 matches) sequence 20 IPv6 access list RESTRICTED-LAN permit tcp 2001:DB8:ACAD:B::/64 host 2001:DB8:ACAD:A::A eq telnet sequence 15


Página 8 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (124 matches) sequence 30 permit tcp any host 2001:DB8:ACAD:A::3 eq www sequence 40

Nota: el comando do se puede usar para ejecutar cualquier comando de E XE C privilegiado en el modo de configuración global o un submodo de este.

Paso 6: eliminar una instrucción de ACL. Utilice el comando no para eliminar la instrucción permit que acaba de agregar. R1(config-ipv6-acl)# no permit tcp any host 2001:DB8:ACAD:A::3 eq www

Paso 7: usar el comando do show access-lists RESTRICTED-LAN para ver la ACL. R1(config-ipv6-acl)# do show access-list RESTRICTED-LAN

IPv6 access list RESTRICTED-LAN permit tcp 2001:DB8:ACAD:B::/64 host 2001:DB8:ACAD:A::A eq telnet sequence 15 deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (214 matches) sequence 30

Paso 8: volver a aplicar la ACL RESTRICTED-LAN a la interfaz G0/1. R1(config-ipv6-acl)# int g0/1 R1(config-if)# ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end

Paso 9: probar los cambios en la ACL. Desde la PC-B, acceda al S1 mediante Telnet. Resuelva cualquier problema, si es necesario.

Reflexión 1.

¿Cuál es la causa de que el conteo de coincidencias en la instrucción permit ipv6 any any en RES TRICTED-LA N siga aumentando? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ IP v6 no utiliza ARP para resolver direcciones de capa 3 a direcciones MAC de capa 2. Para hacer esto, utiliza mensajes ICMP de descubrimiento de vecinos (ND). Todas las ACL de IP v6 tienen instrucciones permit icmp any any nd-na (anuncio de vecino) y permit icmp any any nd-ns (solicitud de vecino) implícitas antes de la instrucción deny ipv6 any any implícita. La instrucción permit ipv6 any any explícita tiene coincidencias en el tráfico ICMP de ND de IP v6, lo que provoca que el contador de coincidencias aumente continuamente.

2.

¿Qué comando utilizaría para restablecer los contadores de la ACL en las líneas V TY? _______________________________________________________________________________________ R1# clear ipv6 access-li st RESTRICT-VTY


Página 9 de 24





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de rout er y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber int erfaces de otro tipo en un rout er determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de Cisco para representar la interfaz.

Configuraciones de dispositivos: partes 1 y 2 combinadas para el R1 y el R3 Router R1 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip domain name ccna-lab.com ip cef ipv6 unicast-routing no ipv6 cef multilink bundle-name authenticated !


Página 10 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 username admin privilege 15 secret 4 ZmhI/vTsQqF92f2bJfMu8RX1Xe6PaPPHjIushdB4qQo ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:B::1/64 ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::1/64 ! interface Serial0/0/0 no ip address ipv6 address FE80::1 link-local ipv6 address 2001:DB8:AAAA:1::1/64 clock rate 2000000 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 route ::/0 Serial0/0/0 ! control-plane ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 02050D480809 login line aux 0 ! line vty 0 4 login local transport input telnet ssh


Página 11 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 ! scheduler allocate 20000 1000 ! end

Router R2 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip domain name ccna-lab.com ip cef ipv6 unicast-routing no ipv6 cef multilink bundle-name authenticated ! username admin privilege 15 secret 4 ZmhI/vTsQqF92f2bJfMu8RX1Xe6PaPPHjIushdB4qQo ! interface Serial0/0/0 no ip address ipv6 address FE80::2 link-local ipv6 address 2001:DB8:AAAA:1::2/64 ! interface Serial0/0/1 no ip address ipv6 address FE80::2 link-local ipv6 address 2001:DB8:AAAA:2::2/64 clock rate 2000000 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 route 2001:DB8:ACAD::/48 Serial0/0/0 ipv6 route 2001:DB8:CAFE:C::/64 Serial0/0/1 ! control-plane ! banner motd ^C


Página 12 de 24


Unauthorized Access is Prohibited! ^C ! line con 0 password 7 02050D480809 login line aux 0 line vty 0 4 login local transport input telnet ssh ! scheduler allocate 20000 1000 ! end

Router R3 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname R3 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! no ip domain lookup ip domain name ccna-lab.com ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated ! username admin privilege 15 secret 4 ZmhI/vTsQqF92f2bJfMu8RX1Xe6PaPPHjIushdB4qQo ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:CAFE:C::1/64 ! interface Serial0/0/1 no ip address ipv6 address FE80::1 link-local


Página 13 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 ipv6 address 2001:DB8:AAAA:2::1/64 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 route ::/0 Serial0/0/1 ! control-plane ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 02050D480809 login line aux 0 line vty 0 4 login local transport input telnet ssh ! scheduler allocate 20000 1000 ! end

Switch S1 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! username admin privilege 15 secret 4 ZmhI/vTsQqF92f2bJfMu8RX1Xe6PaPPHjIushdB4qQo no aaa new-model system mtu routing 1500 ! no ip domain-lookup ip domain-name ccna-lan.com ! spanning-tree mode pvst spanning-tree extend system-id !


Página 14 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 vlan internal allocation policy ascending ! interface FastEthernet0/1 shutdown ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11 shutdown ! interface FastEthernet0/12 shutdown ! interface FastEthernet0/13 shutdown ! interface FastEthernet0/14 shutdown ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17


Página 15 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 shutdown ! interface FastEthernet0/18 shutdown ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 shutdown ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address ipv6 address 2001:DB8:ACAD:A::A/64 ! ip http server ip http secure-server ! ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 070C285F4D06 login line vty 0 4 password 7 070C285F4D06 login local


Página 16 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 transport input telnet ssh line vty 5 15 password 7 070C285F4D06 login local transport input telnet ssh ! end

Switch S2 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname S2 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! username admin privilege 15 secret 4 ZmhI/vTsQqF92f2bJfMu8RX1Xe6PaPPHjIushdB4qQo no aaa new-model system mtu routing 1500 ! no ip domain-lookup ip domain-name ccna-lan.com ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 shutdown ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 shutdown ! interface FastEthernet0/6 shutdown ! interface FastEthernet0/7


Página 17 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface

FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEthernet0/17 FastEthernet0/18 FastEthernet0/19 FastEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24


Página 18 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address ipv6 address 2001:DB8:ACAD:B::A/64 ! ip http server ip http secure-server ! ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 070C285F4D06 login line vty 0 4 password 7 070C285F4D06 login local transport input telnet ssh line vty 5 15 password 7 070C285F4D06 login local transport input telnet ssh ! end

Switch S3 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname S3 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! username admin privilege 15 secret 4 ZmhI/vTsQqF92f2bJfMu8RX1Xe6PaPPHjIushdB4qQo no aaa new-model system mtu routing 1500


Página 19 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 ! no ip domain-lookup ip domain-name ccna-lan.com ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 shutdown ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 ! interface FastEthernet0/6 shutdown ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown ! interface FastEthernet0/11 shutdown ! interface FastEthernet0/12 shutdown ! interface FastEthernet0/13 shutdown ! interface FastEthernet0/14 shutdown


Página 20 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 ! interface FastEthernet0/15 shutdown ! interface FastEthernet0/16 shutdown ! interface FastEthernet0/17 shutdown ! interface FastEthernet0/18 ! interface FastEthernet0/19 shutdown ! interface FastEthernet0/20 shutdown ! interface FastEthernet0/21 shutdown ! interface FastEthernet0/22 shutdown ! interface FastEthernet0/23 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address ipv6 address 2001:DB8:CAFE:C::A/64 ! ip http server ip http secure-server ! ! banner motd ^C Unauthorized Access is Prohibited! ^C


Página 21 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 ! line con 0 password 7 070C285F4D06 login line vty 0 4 password 7 070C285F4D06 login local transport input telnet ssh line vty 5 15 password 7 070C285F4D06 login local transport input telnet ssh ! end

Router R1 (Final) service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip domain name ccna-lab.com ip cef ipv6 unicast-routing no ipv6 cef multilink bundle-name authenticated ! username admin privilege 15 secret 4 ZmhI/vTsQqF92f2bJfMu8RX1Xe6PaPPHjIushdB4qQo ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:B::1/64 ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::1/64


Página 22 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 ipv6 traffic-filter RESTRICTED-LAN out ! interface Serial0/0/0 no ip address ipv6 address FE80::1 link-local ipv6 address 2001:DB8:AAAA:1::1/64 clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ipv6 route ::/0 Serial0/0/0 ! ipv6 access-list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any permit tcp any any eq 22 ! ipv6 access-list RESTRICTED-LAN remark Block Telnet from users not on LAN. deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 25 permit tcp 2001:DB8:ACAD:B::/64 host 2001:DB8:ACAD:A::A eq telnet sequence 30 permit ipv6 any any ! control-plane ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 02050D480809 login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4


Página 23 de 24

Práctica de laboratorio: configuración y verificación de ACL de IPv6 ipv6 access-class RESTRICT-VTY in login local transport input telnet ssh

! scheduler allocate 20000 1000 ! end


Página 24 de 24

Denegación de FTP (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Implementar el filtrado de paquetes con ACL de IPv4 extendidas, según los requisitos de la red (incluir ACL con nombre y numeradas). Los estudiantes usarán Packet Tracer para componer y aplicar una ACL para denegar el acceso de un host determinado al proceso FTP en la red de su pequeña o mediana empresa.

Situación Hace poco se informó que hay cada vez más virus en la red de su pequeña o mediana empresa. El administrador de red realizó un seguimiento del rendimiento de la red y determinó que cierto host descarga archivos de un servidor FTP remoto constantemente. Este host puede ser el origen de los virus que se expanden por la red. Utilice Packet Tracer para completar esta actividad. Debe crear una ACL con nombre para denegar el acceso del host al servidor FTP. Aplique la ACL a la interfaz más eficaz en el router. Para completar la topología física, debe utilizar lo siguiente: •

Una estación de equipo host

•

Dos switches

•

Un router de servicios integrados Cisco de la serie 1941

•

Un servidor

Mediante la herramienta de texto de Packet Tracer, registre la ACL que preparó. Para confirmar que la ACL deniega el acceso al servidor FTP, intente acceder a la dirección del servidor FTP. Observe qué sucede en el modo de simulación. Guarde el archivo y esté preparado para compartirlo con otro estudiante o con toda la clase. (A discreción del instructor)

Reflexión 1. ¿Cuál fue la parte más difícil de esta actividad de creación de modelos? _______________________________________________________________________________________ Las respuestas varían: componer la ACL, ponerle nombre, aplicarla, modificarla, etcétera. 2. ¿Con qué frecuencia considera que los administradores de red deben cambiar las ACL en las redes? _______________________________________________________________________________________ Las ACL se implementan para abordar cuestiones de seguridad, regular el tráfico de la red y proporcionar estabilidad al funcionamiento de una red. Por eso, ante cualquier deterioro del rendimiento, la seguridad y la estabilidad de la red, deben considerarse las ACL como una forma de mitigar estos desafíos de la red. 3. ¿Por qué consideraría usar una ACL extendida con nombre en lugar de una ACL extendida regular? _______________________________________________________________________________________ Las ACL con nombre son fáciles de corregir o modificar. Se pueden editar las instrucciones de la ACL por línea y utilizar el comando “no…”. Esto ahorra tiempo cuando se debe volver a escribir y volver a aplicar una ACL entera a una red.


Página 1 de 2

Denegación de FTP

Ejemplo de Packet Tracer (la topología, los nombres de las ACL y las direcciones IP varían)


Las ACL son procesos que determinan si se debe permitir o denegar el tráfico de la red.

•

Los criterios deben establecerse antes de permitir o denegar el tráfico de la red.

•

El orden de importancia debe establecerse al elaborar los criterios para permitir o denegar la participación en la red.

•

Si se debe corregir la configuración de la ACL o su colocación, las ACL con nombre permiten ahorrar tiempo en comparación con el uso de una ACL estándar o extendida regular.

•

Las ACL deben probarse para validar su funcionamiento, ya que quizá sea necesario volver a escribir o volver a aplicar correctamente una ACL si no funciona como debe.


Página 2 de 2

¿Ser propietario o arrendar? (Versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Configurar DHCP para IPv4 en un switch LAN. Como preparación antes de aprender sobre DHCP en este capítulo, los estudiantes visitarán un sitio web de tutoriales de Linksys, http://ui.linksys.com/WRT54GL/4.30.0/Setup.htm. Usarán la simulación en este sitio para practicar cómo configurar IPv4 en un switch LAN ISR simple.

Situación En este capítulo, se presenta el concepto del uso del proceso de DHCP en la red de una pequeña a mediana empresa. En esta actividad de creación de modelos, se describe la forma en que funcionan los dispositivos de ISR inalámbricos muy básicos mediante el proceso de DHCP. Visite http://ui.linksys.com/WRT54GL/4.30.0/Setup.htm, que es un simulador basado en la Web que lo ayuda a aprender a configurar DHCP utilizando un router 54GL inalámbrico Linksys. A la derecha del simulador (en la columna de descripción azul), puede hacer clic en More (Más) para leer información sobre la configuración de DHCP en este simulador específico del router de servicios integrados (ISR). Práctica de configuración de ISR: •

Nombre de host

•

Dirección IP local con máscara de subred

•

DHCP (habilitar e deshabilitar)

•

Dirección IP inicial

•

Cantidad máxima de usuarios que deben recibir una dirección IP de DHCP

•

Tiempo de arrendamiento

•

Zona horaria (use la suya o una favorita como alternativa)

Cuando haya terminado de configurar los parámetros según se indica para esta asignación, realice una captura de pantalla de su configuración mediante el uso del comando de la tecla ImprPant. Copie y coloque la captura de pantalla en un documento de procesamiento de texto. Guárdelo y prepárese para analizar sus opciones de configuración con la clase.

Recursos necesarios Conectividad a Internet

Reflexión 1. ¿Por qué un administrador de red debería guardar un banco de direcciones IP que DHCP no usará? _______________________________________________________________________________________ Algunas direcciones IP deben reservarse para equipos importantes, como impresoras de red, puertos en los routers de red y servidores. 2. Está diseñando su red pequeña a mediana y tiene la opción de adquirir un ISR pequeño y genérico para fines de DHCP o de utilizar un servidor de DHCP completo. Antes de leer este capítulo, ¿cómo tomaría una decisión? _______________________________________________________________________________________


Página 1 de 2

¿Ser propietario o arrendar? Es probable que los estudiantes mencionen el costo, la movilidad y la facilidad de uso. Quizá también deseen mencionar las opciones seguridad y de configuración como otras respuestas.


Los routers inalámbricos pueden usarse como servidores de DHCP.

•

Los routers inalámbricos pueden cambiarse para respetar diferentes tiempos de arrendamiento para asignaciones de direcciones IP.

•

Algunos routers inalámbricos funcionan como routers y switches (ISR).

•

Es aconsejable mantener un banco de direcciones IP dentro de una red para el direccionamiento IP de terminales estáticas importantes y para usuarios específicos.


Página 2 de 2

Práctica de laboratorio: configuración de DHCPv4 básico en un router (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router


Interfaz

Dirección IP

Máscara de subred


G0/0

192.168.0.1

255.255.255.0

N/A

G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/0 (DCE)

192.168.2.253

255.255.255.252

N/A

S0/0/0

192.168.2.254

255.255.255.252

N/A

S0/0/1 (DCE)

209.165.200.226

255.255.255.224

N/A

ISP

S0/0/1

209.165.200.225

255.255.255.224

N/A

PC-A

NIC

DHCP

DHCP

DHCP

PC-B

NIC

DHCP

DHCP

DHCP

R2

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar un servidor de DHCPv4 y un agente de retransmisión DHCP

Información básica/situación El protocolo de configuración dinámica de host (DHCP) es un protocolo de red que permite a los administradores de red administrar y automatizar la asignación de direcciones IP. Sin DHCP, el administrador debe asignar y configurar manualmente las direcciones IP, los servidores DNS preferidos y los gateways predeterminados. A medida que aumenta el tamaño de la red, esto se convierte en un problema administrativo cuando los dispositivos se trasladan de una red interna a otra. En esta situación, la empresa creció en tamaño, y los administradores de red ya no pueden asignar direcciones IP a los dispositivos de forma manual. Su tarea es configurar el router R2 para asignar direcciones IPv4 en dos subredes diferentes conectadas al router R1. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar DHCP. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.


Página 2 de 16




•


•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers y switches con los parámetros básicos, como las contraseñas y las direcciones IP. Además, configurará los parámetros de IP de las computadoras en la topología.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar los routers y los switches. Paso 3: configurar los parámetros básicos para cada router. a. Desactive la búsqueda DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.


d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos. f.

Configure las direcciones IP para todas las interfaces de los routers de acuerdo con la tabla de direccionamiento.

g. Configure la interfaz DCE serial en el R1 y el R2 con una frecuencia de reloj de 128000. h. Configure EIGRP for R1. R1(config)# router R1(config-router)# R1(config-router)# R1(config-router)# R1(config-router)# i.

eigrp 1 network 192.168.0.0 0.0.0.255 network 192.168.1.0 0.0.0.255 network 192.168.2.252 0.0.0.3 no auto-summary

Configure EIGRP y una ruta predeterminada al ISP en el R2. R2(config)# router eigrp 1 R2(config-router)# network 192.168.2.252 0.0.0.3 R2(config-router)# redistribute static R2(config-router)# exit R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.225


Página 3 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router j.

Configure una ruta estática resumida en el ISP para llegar a las redes en los routers R1 y R2. ISP(config)# ip route 192.168.0.0 255.255.252.0 209.165.200.226

k.


Paso 4: verificar la conectividad de red entre los routers. Si algún ping entre los routers falla, corrija los errores antes de continuar con el siguiente paso. Use los comandos show ip route y show ip interface brief para detectar posibles problemas.

Paso 5: verificar que los equipos host estén configurados para DHCP.

Parte 2: configurar un servidor de DHCPv4 y un agente de retransmisión DHCP Para asignar automáticamente la información de dirección en la red, configure el R2 como servidor de DHCPv4 y el R1 como agente de retransmisión DHCP.

Paso 1: configurar los parámetros del servidor de DHCPv4 en el router R2. En el R2, configure un conjunto de direcciones DHCP para cada LAN del R1. Utilice el nombre de conjunto R1G0 para G0/0 LAN y R1G1 para G0/1 LAN. Asimismo, configure las direcciones que se excluirán de los conjuntos de direcciones. La práctica recomendada indica que primero se deben configurar las direcciones excluidas, a fin de garantizar que no se arrienden accidentalmente a otros dispositivos. Excluya las primeras nueve direcciones en cada LAN del R1; empiece por .1. El resto de las direcciones deben estar disponibles en el conjunto de direcciones DHCP. Asegúrese de que cada conjunto de direcciones DHCP incluya un gateway predeterminado, el dominio ccna-lab.com, un servidor DNS (209.165.200.225) y un tiempo de arrendamiento de dos días. En las líneas a continuación, escriba los comandos necesarios para configurar los servicios DHCP en el router R2, incluso las direcciones DHCP excluidas y los conjuntos de direcciones DHCP. Nota: los comandos requeridos para la parte 2 se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar DHCP en el R1 y el R2 sin consultar el apéndice. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________


Página 4 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router ____________________________________________________________________________________ ____________________________________________________________________________________ R2(config)# ip dhcp excluded-address 192.168.0.1 192.168.0.9 R2(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9 R2(config)# ip dhcp pool R1G1 R2(dhcp-config)# network 192.168.1.0 255.255.255.0 R2(dhcp-config)# default-router 192.168.1.1 R2(dhcp-config)# dns-server 209.165.200.225 R2(dhcp-config)# domain-name ccna-lab.com R2(dhcp-config)# lease 2 R2(dhcp-config)# exit R2(config)# ip dhcp pool R1G0 R2(dhcp-config)# network 192.168.0.0 255.255.255.0 R2(dhcp-config)# default-router 192.168.0.1 R2(dhcp-config)# dns-server 209.165.200.225 R2(dhcp-config)# domain-name ccna-lab.com R2(dhcp-config)# lease 2 En la PC-A o la PC-B, abra un símbolo del sistema e introduzca el comando ipconfig /all. ¿Alguno de los equipos host recibió una dirección IP del servidor de DHCP? ¿Por qué? ____________________________________________________________________________________ Los equipos host no reciben direcciones IP del servidor de DHCP en el R2 hasta que el R1 esté configurado como agente de retransmisión DHCP.

Paso 2: configurar el R1 como agente de retransmisión DHCP. Configure las direcciones IP de ayuda en el R1 para que reenvíen todas las solicitudes de DHCP al servidor de DHCP en el R2. En las líneas a continuación, escriba los comandos necesarios para configurar el R1 como agente de retransmisión DHCP para las LAN del R1. _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ R1(config)# interface g0/0 R1(config-if)# ip helper-address 192.168.2.254 R1(config-if)# exit R1(config)# interface g0/1 R1(config-if)# ip helper-address 192.168.2.254

Paso 3: registrar la configuración IP para la PC-A y la PC-B. En la PC-A y la PC-B, emita el comando ipconfig /all para verificar que las computadoras recibieron la información de la dirección IP del servidor de DHCP en el R2. Registre la dirección IP y la dirección MAC de cada computadora. _______________________________________________________________________________________


Página 5 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router Las respuestas pueden variar. Según el pool de DHCP que se configuró en el R2, ¿cuáles son las primeras direcciones IP disponibles que la PC-A y la PC-B pueden arrendar? _______________________________________________________________________________________ PC-B: 192.168.0.10 y PC-A: 192.168.1.10

Paso 4: verificar los servicios DHCP y los arrendamientos de direcciones en el R2. a. En el R2, introduzca el comando show ip dhcp binding para ver los arrendamientos de direcciones DHCP. R2# show ip dhcp binding

Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Hardware address/ User name 192.168.0.10 011c.c1de.91c3.5d Mar 13 2013 02:07 AM 192.168.1.10 0100.2170.0c05.0c Mar 13 2013 02:09 AM

Type

Automatic Automatic

Junto con las direcciones IP que se arrendaron, ¿qué otra información útil de identificación de cliente aparece en el resultado? __________________________________________________________________________________ Las direcciones de hardware del cliente permiten identificar las computadoras específicas que se unieron a la red. b. En el R2, introduzca el comando show ip dhcp server statistics para ver la actividad de mensajes y las estadísticas del pool de DHCP. R2# show ip dhcp server statistics Memory usage Address pools Database agents Automatic bindings Manual bindings Expired bindings Malformed messages Secure arp entries

42175 2 0 2 0 0 0 0

Message BOOTREQUEST DHCPDISCOVER DHCPREQUEST DHCPDECLINE DHCPRELEASE DHCPINFORM

Received 0 2 2 0 0 2

Message BOOTREPLY DHCPOFFER DHCPACK DHCPNAK

Sent 0 2 4 0


Página 6 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router ¿Cuántos tipos de mensajes DHCP se indican en el resultado? ____________________________________________________________________________________ Se indican 10 tipos diferentes de mensajes DHCP. c.

En el R2, introduzca el comando show ip dhcp pool para ver la configuración del pool de DHCP. R2# show ip dhcp pool Pool R1G1 : Utilization mark (high/low) : 100 / 0 Subnet size (first/next) : 0 / 0 Total addresses : 254 Leased addresses : 1 Pending event : none 1 subnet is currently in the pool : Current index IP address range 192.168.1.11 192.168.1.1 - 192.168.1.254

Leased addresses 1

Pool R1G0 : Utilization mark (high/low) : 100 / 0 Subnet size (first/next) : 0 / 0 Total addresses : 254 Leased addresses : 1 Pending event : none 1 subnet is currently in the pool : Current index IP address range 192.168.0.11 192.168.0.1 - 192.168.0.254

Leased addresses 1

En el resultado del comando show ip dhcp pool, ¿a qué hace referencia el índice actual (Current index)? ____________________________________________________________________________________ La siguiente dirección disponible para arrendamiento. d. En el R2, introduzca el comando show run | section dhcp para ver la configuración DHCP en la configuración en ejecución. R2# show run | section dhcp

ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp excluded-address 192.168.1.1 192.168.1.9 ip dhcp pool R1G1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 domain-name ccna-lab.com dns-server 209.165.200.225 lease 2 ip dhcp pool R1G0 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 domain-name ccna-lab.com dns-server 209.165.200.225 lease 2


Página 7 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router e. En el R2, introduzca el comando show run interface para las interfaces G0/0 y G0/1 para ver la configuración de retransmisión DHCP en la configuración en ejecución. R2# show run interface g0/0 Building configuration...

Current configuration : 132 bytes ! interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip helper-address 192.168.2.254 duplex auto speed auto end

R2# show run interface g0/1 Building configuration...

Current configuration : 132 bytes ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.254 duplex auto speed auto end

Reflexión ¿Cuál cree que es el beneficio de usar agentes de retransmisión DHCP en lugar de varios routers que funcionen como servidores de DHCP? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Tener un servidor de DHCP del router independiente para cada subred agregaría más complejidad y disminuiría la administración centralizada de la red. También requeriría que cada router funcione más para administrar su propio direccionamiento DHCP, además de desempeñar la función principal de enrutar tráfico. Un servidor de DHCP (router o computadora) que esté dedicado al trabajo es más fácil de administrar y está más centralizado.


Página 8 de 16





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Apéndice A: comandos de configuración de DHCP Router R1 R1(config)# interface g0/0 R1(config-if)# ip helper-address 192.168.2.254 R1(config-if)# exit R1(config-if)# interface g0/1 R1(config-if)# ip helper-address 192.168.2.254

Router R2 R2(config)# ip dhcp excluded-address 192.168.0.1 192.168.0.9 R2(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9 R2(config)# ip dhcp pool R1G1 R2(dhcp-config)# network 192.168.1.0 255.255.255.0 R2(dhcp-config)# default-router 192.168.1.1 R2(dhcp-config)# dns-server 209.165.200.225 R2(dhcp-config)# domain-name ccna-lab.com R2(dhcp-config)# lease 2 R2(dhcp-config)# exit R2(config)# ip dhcp pool R1G0 R2(dhcp-config)# network 192.168.0.0 255.255.255.0 R2(dhcp-config)# default-router 192.168.0.1


Página 9 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router R2(dhcp-config)# dns-server 209.165.200.225 R2(dhcp-config)# domain-name ccna-lab.com R2(dhcp-config)# lease 2

Configuraciones de dispositivos Router R1 R1# show run Building configuration... Current configuration : 1478 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0


Página 10 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip helper-address 192.168.2.254 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.254 duplex auto speed auto ! interface Serial0/0/0 ip address 192.168.2.253 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown! ! router eigrp 1 network 192.168.0.0 network 192.168.1.0 network 192.168.2.252 0.0.0.3 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec


Página 11 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router R2 R2# show run Building configuration... Current configuration : 1795 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! ! ! ! ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp excluded-address 192.168.1.1 192.168.1.9 ! ip dhcp pool R1G1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 domain-name ccna-lab.com dns-server 209.165.200.225 lease 2 ! ip dhcp pool R1G0 network 192.168.0.0 255.255.255.0


Página 12 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router default-router 192.168.0.1 domain-name ccna-lab.com dns-server 209.165.200.225 lease 2 ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 192.168.2.254 255.255.255.252 ! interface Serial0/0/1 ip address 209.165.200.226 255.255.255.224 clock rate 128000 ! ! router eigrp 1 network 192.168.2.252 0.0.0.3 redistribute static


Página 13 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 209.165.200.225 ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router ISP ISP#show run Building configuration... Current configuration : 1247 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP !


Página 14 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000


Página 15 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un router ! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.224 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 192.168.0.0 255.255.252.0 209.165.200.226 ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 16 de 16

Práctica de laboratorio: configuración de DHCPv4 básico en un switch (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Tabla de direccionamiento Dispositivo R1 S1

Interfaz

Dirección IP

Máscara de subred

G0/1

192.168.1.10

255.255.255.0

Lo0

209.165.200.225

255.255.255.224

VLAN 1

192.168.1.1

255.255.255.0

VLAN 2

192.168.2.1

255.255.255.0

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: cambiar la preferencia de SDM •

Establecer la preferencia de SDM en lanbase-routing en el S1.


Página 1 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch Parte 3: configurar DHCPv4 •

Configurar DHCPv4 para la VLAN 1.

•

Verificar la conectividad y DHCPv4.

Parte 4: configurar DHCP para varias VLAN •

Asignar puertos a la VLAN 2.

•

Configurar DHCPv4 para la VLAN 2.

•

Verificar la conectividad y DHCPv4.

Parte 5: habilitar el routing IP •

Habilite el routing IP en el switch.

•

Crear rutas estáticas.

Información básica/situación Un switch Cisco 2960 puede funcionar como un servidor de DHCPv4. El servidor de DHCPv4 de Cisco asigna y administra direcciones IPv4 de conjuntos de direcciones identificados que están asociados a VLAN específicas e interfaces virtuales de switch (SVI). El switch Cisco 2960 también puede funcionar como un dispositivo de capa 3 y hacer routing entre VLAN y una cantidad limitada de rutas estáticas. En esta práctica de laboratorio, configurará DHCPv4 para VLAN únicas y múltiples en un switch Cisco 2960, habilitará el routing en el switch para permitir la comunicación entre las VLAN y agregará rutas estáticas para permitir la comunicación entre todos los hosts. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar DHCP. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•



Página 2 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch

Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar los routers y switches. Paso 3: configurar los parámetros básicos en los dispositivos. a. Asigne los nombres de dispositivos como se muestra en la topología. b. Desactive la búsqueda del DNS. c.

Asigne class como la contraseña de enable y asigne cisco como la contraseña de consola y la contraseña de vty.

d. Configure las direcciones IP en las interfaces G0/1 y Lo0 del R1, según la tabla de direccionamiento. e. Configure las direcciones IP en las interfaces VLAN 1 y VLAN 2 del S1, según la tabla de direccionamiento. f.

Guarde la configuración en ejecución en el archivo de configuración de inicio.

Parte 2: cambiar la preferencia de SDM Switch Database Manager (SDM) de Cisco proporciona varias plantillas para el switch Cisco 2960. Las plantillas pueden habilitarse para admitir funciones específicas según el modo en que se utilice el switch en la red. En esta práctica de laboratorio, la plantilla lanbase-routing está habilitada para permitir que el switch realice el routing entre VLAN y admita el routing estático.

Paso 1: mostrar la preferencia de SDM en el S1. En el S1, emita el comando show sdm prefer en modo EXEC privilegiado. Si no se cambió la plantilla predeterminada de fábrica, debería seguir siendo default. La plantilla default no admite routing estático. Si se habilitó el direccionamiento IPv6, la plantilla será dual-ipv4-and-ipv6 default. S1# show sdm prefer

The current template is "default" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number number number number

of of of of

unicast mac addresses: IPv4 IGMP groups: IPv4/MAC qos aces: IPv4/MAC security aces:

8K 0.25K 0.125k 0.375k

S1# show sdm prefer

The current template is "dual-ipv4-and-ipv6 default" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number of unicast mac addresses:

4K


Página 3 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch number number number number number number number number number number number

of of of of of of of of of of of

IPv4 IGMP groups + multicast routes: IPv4 unicast routes: IPv6 multicast groups: directly-connected IPv6 addresses: indirect IPv6 unicast routes: IPv4 policy based routing aces: IPv4/MAC qos aces: IPv4/MAC security aces: IPv6 policy based routing aces: IPv6 qos aces: IPv6 security aces:

0.25K 0 0.375k 0 0 0 0.125k 0.375k 0 0.625k 125

S1# show sdm prefer The current template is "lanbase-routing" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number of unicast mac addresses: number of IPv4 IGMP groups + multicast routes: number of IPv4 unicast routes: number of directly-connected IPv4 hosts: number of indirect IPv4 routes: number of IPv6 multicast groups: number of directly-connected IPv6 addresses: number of indirect IPv6 unicast routes: number of IPv4 policy based routing aces: number of IPv4/MAC qos aces: number of IPv4/MAC security aces: number of IPv6 policy based routing aces: number of IPv6 qos aces: number of IPv6 security aces:

4K 0.25K 0.75K 0.75K 16 0.375k 0.75K 16 0 0.125k 0.375k 0 0.375k 127

¿Cuál es la plantilla actual? _______________________________________________________________________________________ Las respuestas varían. “default” o “default dual-ipv4-and-ipv6” o “lanbase-routing”.

Paso 2: cambiar la preferencia de SDM en el S1. a. Establezca la preferencia de SDM en lanbase-routing. (Si lanbase-routing es la plantilla actual, continúe con la parte 3). En el modo de configuración global, emita el comando sdm prefer lanbase-routing. S1(config)# sdm prefer lanbase-routing

Changes to the running SDM preferences have been stored, but cannot take effect until the next reload. Use 'show sdm prefer' to see what SDM preference is currently active.

S1# show sdm prefer

The current template is "default" template. The selected template optimizes the resources in the switch to support this level of features for


Página 4 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch 0 routed interfaces and 255 VLANs. number number number number

of of of of

unicast mac addresses: IPv4 IGMP groups: IPv4/MAC qos aces: IPv4/MAC security aces:

8K 0.25K 0.125k 0.375k

On next reload, template will be "lanbase-routing" template.

¿Qué plantilla estará disponible después de la recarga? __________________________________ lanbase-routing b. Se debe volver a cargar el switch para que la plantilla esté habilitada. S1# reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm]

Nota: la nueva plantilla se utilizará después del reinicio, incluso si no se guardó la configuración en ejecución. Para guardar la configuración en ejecución, responda yes (sí) para guardar la configuración modificada del sistema.

Paso 3: verificar que la plantilla lanbase-routing esté cargada. Emita el comando show sdm prefer para verificar si la plantilla lanbase-routing se cargó en el S1. S1# show sdm prefer

The current template is "lanbase-routing" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number of unicast mac addresses: number of IPv4 IGMP groups + multicast routes: number of IPv4 unicast routes: number of directly-connected IPv4 hosts: number of indirect IPv4 routes: number of IPv6 multicast groups: number of directly-connected IPv6 addresses: number of indirect IPv6 unicast routes: number of IPv4 policy based routing aces: number of IPv4/MAC qos aces: number of IPv4/MAC security aces: number of IPv6 policy based routing aces: number of IPv6 qos aces: number of IPv6 security aces:

4K 0.25K 0.75K 0.75K 16 0.375k 0.75K 16 0 0.125k 0.375k 0 0.375k 127


Página 5 de 18


Parte 3: configurar DHCPv4 En la parte 3, configurará DHCPv4 para la VLAN 1, revisará las configuraciones IP en los equipos host para validar la funcionalidad de DHCP y verificará la conectividad de todos los dispositivos en la VLAN 1.

Paso 1: configurar DHCP para la VLAN 1. a. Excluya las primeras 10 direcciones host válidas de la red 192.168.1.0/24. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10 b. Cree un pool de DHCP con el nombre DHCP1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(config)# ip dhcp pool DHCP1 c.

Asigne la red 192.168.1.0/24 para las direcciones disponibles. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# network 192.168.1.0 255.255.255.0

d. Asigne el gateway predeterminado como 192.168.1.1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# default-router 192.168.1.1 e. Asigne el servidor DNS como 192.168.1.9. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# dns-server 192.168.1.9 f.

Asigne un tiempo de arrendamiento de tres días. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# lease 3

g. Guarde la configuración en ejecución en el archivo de configuración de inicio.

Paso 2: verificar la conectividad y DHCP. a. En la PC-A y la PC-B, abra el símbolo del sistema y emita el comando ipconfig. Si la información de IP no está presente, o si está incompleta, emita el comando ipconfig /release, seguido del comando ipconfig /renew. Para la PC-A, incluya lo siguiente: Dirección IP: ________________________________________ 192.168.1.11 Máscara de subred: __________________________________ 255.255.255.0 Gateway predeterminado: _____________________________ 192.168.1.1 Para la PC-B, incluya lo siguiente: Dirección IP: ________________________________________ 192.168.1.12


Página 6 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch Máscara de subred: __________________________________ 255.255.255.0 Gateway predeterminado: _____________________________ 192.168.1.1 b. Pruebe la conectividad haciendo ping de la PC-A al gateway predeterminado, la PC-B y el R1. ¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 1? __________ Sí ¿Es posible hacer ping de la PC-A a la PC-B? __________ Sí ¿Es posible hacer ping de la PC-A a la interfaz G0/1 del R1? __________ Sí Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija el error.

Parte 4: configurar DHCPv4 para varias VLAN En la parte 4, asignará la PC-A un puerto que accede a la VLAN 2, configurará DHCPv4 para la VLAN 2, renovará la configuración IP de la PC-A para validar DHCPv4 y verificará la conectividad dentro de la VLAN.

Paso 1: asignar un puerto a la VLAN 2. Coloque el puerto F0/6 en la VLAN 2. En el espacio proporcionado, escriba el comando que utilizó. _______________________________________________________________________________________ _______________________________________________________________________________________ S1(config)# interface f0/6 S1(config-if)# switchport access vlan 2

Paso 2: configurar DHCPv4 para la VLAN 2. a. Excluya las primeras 10 direcciones host válidas de la red 192.168.2.0. En el espacio proporcionado, escriba el comando que utilizó. ___________________________________________________________________________________ S1(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.10 b. Cree un pool de DHCP con el nombre DHCP2. En el espacio proporcionado, escriba el comando que utilizó. ___________________________________________________________________________________ S1(config)# ip dhcp pool DHCP2 c.

Asigne la red 192.168.2.0/24 para las direcciones disponibles. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# network 192.168.2.0 255.255.255.0

d. Asigne el gateway predeterminado como 192.168.2.1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# default-router 192.168.2.1 e. Asigne el servidor DNS como 192.168.2.9. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# dns-server 192.168.2.9


Página 7 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch f.

Asigne un tiempo de arrendamiento de tres días. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(dhcp-config)# lease 3

g. Guarde la configuración en ejecución en el archivo de configuración de inicio.

Paso 3: verificar la conectividad y DHCPv4. a. En la PC-A, abra el símbolo del sistema y emita el comando ipconfig /release, seguido del comando ipconfig /renew. Para la PC-A, incluya lo siguiente: Dirección IP: ________________________________________ 192.168.2.11 Máscara de subred: __________________________________ 255.255.255.0 Gateway predeterminado: _____________________________ 192.168.2.1 b. Pruebe la conectividad haciendo ping de la PC-A al gateway predeterminado de la VLAN 2 y a la PC-B. ¿Es posible hacer ping de la PC-A al gateway predeterminado? __________ Sí ¿Es posible hacer ping de la PC-A a la PC-B? __________ No ¿Los pings eran correctos? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ Dado que el gateway predeterminado está en la misma red que la PC-A, esta puede hacer ping al gateway predeterminado. La PC-B está en una red diferente; por lo tanto, el ping de la PC-A no es correcto. c.

Emita el comando show ip route en el S1. S1# show ip route

Default gateway is not set Host Gateway ICMP redirect cache is empty

Last Use

Total Uses

Interface

¿Qué resultado arrojó este comando? ____________________________________________________________________________________ ____________________________________________________________________________________ No se estableció un gateway predeterminado y no hay una tabla de routing presente en el switch.

Parte 5: habilitar el routing IP En la parte 5, habilitará el routing IP en el switch, que permitirá la comunicación entre VLAN. Para que todas las redes se comuniquen, se deben implementar rutas estáticas en el S1 y el R1.

Paso 1: habilitar el routing IP en el S1. a. En el modo de configuración global, utilice el comando ip routing para habilitar el routing en el S1. S1(config)# ip routing


Página 8 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch b. Verificar la conectividad entre las VLAN. ¿Es posible hacer ping de la PC-A a la PC-B? __________ Sí ¿Qué función realiza el switch? ____________________________________________________________________________________ El switch hace routing entre VLAN. c. Vea la información de la tabla de routing para el S1. S1# show ip route


C L C L

192.168.1.0/24 is 192.168.1.0/24 192.168.1.1/32 192.168.2.0/24 is 192.168.2.0/24 192.168.2.1/32

variably subnetted, 2 subnets, 2 masks is directly connected, Vlan1 is directly connected, Vlan1 variably subnetted, 2 subnets, 2 masks is directly connected, Vlan2 is directly connected, Vlan2

¿Qué información de la ruta está incluida en el resultado de este comando? ____________________________________________________________________________________ ____________________________________________________________________________________ El switch exhibe una tabla de routing que muestra las VLAN como las redes conectadas directamente 192.168.1.0/24 y 192.168.2.0/24. d. Vea la información de la tabla de routing para el R1. R1# show ip route


C L

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/1 192.168.1.10/32 is directly connected, GigabitEthernet0/1


Página 9 de 18


C L

209.165.200.0/27 is variably subnetted, 2 subnets, 2 masks 209.165.200.0/27 is directly connected, Loopback0 209.165.200.225/32 is directly connected, Loopback0

¿Qué información de la ruta está incluida en el resultado de este comando? ____________________________________________________________________________________ ____________________________________________________________________________________ El resultado del router muestra las redes conectadas directamente 192.168.1.0 y 209.165.200.224, pero no tiene ninguna entrada para la red 192.168.2.0. e. ¿Es posible hacer ping de la PC-A al R1? __________ No ¿Es posible hacer ping de la PC-A a la interfaz Lo0? __________ No Considere la tabla de routing de los dos dispositivos, ¿qué se debe agregar para que haya comunicación entre todas las redes? ____________________________________________________________________________________ Para que haya comunicación entre todas las redes, se deben agregar rutas a las tablas de routing.

Paso 2: asignar rutas estáticas. Habilitar el routing IP permite que el switch enrute entre VLAN asignadas en el switch. Para que todas las VLAN se comuniquen con el router, es necesario agregar rutas estáticas a la tabla de routing del switch y del router. a. En el S1, cree una ruta estática predeterminada al R1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ S1(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.10 b. En el R1, cree una ruta estática a la VLAN 2. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ R1(config)# ip route 192.168.2.0 255.255.255.0 g0/1 c.

Vea la información de la tabla de routing para el S1. S1# show ip route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is 192.168.1.10 to network 0.0.0.0 S* C L

0.0.0.0/0 [1/0] via 192.168.1.10 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, Vlan1 192.168.1.1/32 is directly connected, Vlan1


Página 10 de 18


C L

192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.2.0/24 is directly connected, Vlan2 192.168.2.1/32 is directly connected, Vlan2

¿Cómo está representada la ruta estática predeterminada? ____________________________________________________________________________________ Gateway of last resort is 192.168.1.10 to network 0.0.0.0 d. Vea la información de la tabla de routing para el R1. R1# show ip route


C L S C L

192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/1 192.168.1.10/32 is directly connected, GigabitEthernet0/1 192.168.2.0/24 is directly connected, GigabitEthernet0/1 209.165.200.0/24 is variably subnetted, 2 subnets, 2 masks 209.165.200.0/27 is directly connected, Loopback0 209.165.200.225/32 is directly connected, Loopback0

¿Cómo está representada la ruta estática? ____________________________________________________________________________________ S 192.168.2.0/24 está conectada directamente, GigabitEthernet0/1 e. ¿Es posible hacer ping de la PC-A al R1? __________ Sí ¿Es posible hacer ping de la PC-A a la interfaz Lo0? __________ Sí

Reflexión 1. Al configurar DHCPv4, ¿por qué excluiría las direcciones estáticas antes de configurar el pool de DHCPv4? _______________________________________________________________________________________ _______________________________________________________________________________________ Si las direcciones estáticas se excluyeran después de la creación del pool de DHCPv4, existiría un lapso durante el cual las direcciones excluidas podrían pasarse dinámicamente a hosts. 2. Si hay varios pools de DHCPv4 presentes, ¿cómo asigna el switch la información de IP a los hosts? _______________________________________________________________________________________ El switch asigna las configuraciones IP según la asignación que haga la VLAN del puerto al que el host está conectado.


Página 11 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch 3. Además del switching, ¿qué funciones puede llevar a cabo el switch Cisco 2960? _______________________________________________________________________________________ El switch puede funcionar como un servidor de DHCP y puede hacer routing estático y entre VLAN.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Apéndice A: comandos de configuración Configurar DHCPv4 S1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10 S1(config)# ip dhcp pool DHCP1 S1(dhcp-config)# network 192.168.1.0 255.255.255.0 S1(dhcp-config)# default-router 192.168.1.1 S1(dhcp-config)# dns-server 192.168.1.9 S1(dhcp-config)# lease 3

Configurar DHCPv4 para varias VLAN S1(config)# interface f0/6 S1(config-if)# switchport access vlan 2 S1(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.10 S1(config)# ip dhcp pool DHCP2 S1(dhcp-config)# network 192.168.2.0 255.255.255.0 S1(dhcp-config)# default-router 192.168.2.1


Página 12 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch S1(dhcp-config)# dns-server 192.168.2.9 S1(dhcp-config)# lease 3

Habilitar routing IP S1(config)# ip routing S1(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.10 R1(config)# ip route 192.168.2.0 255.255.255.0 g0/1

Configuraciones de dispositivos Router R1 R1#show run Building configuration... Current configuration : 1489 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! interface Loopback0 ip address 209.165.200.225 255.255.255.0 ! interface Embedded-Service-Engine0/0


Página 13 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.10 255.255.255.0 duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1 ! ! ! ! control-plane ! ! ! line con 0 password cisco login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4


Página 14 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Switch S1 S1#show run Building configuration... Current configuration : 3636 bytes ! version 15.0 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ip routing ip dhcp excluded-address 192.168.1.1 192.168.1.10 ip dhcp excluded-address 192.168.2.1 192.168.2.10 ! ip dhcp pool DHCP1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.1.9 lease 3 ! ip dhcp pool DHCP2 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.2.9 lease 3 ! ! no ip domain-lookup ! !


Página 15 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch crypto pki trustpoint TP-self-signed-2531409152 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2531409152 revocation-check none rsakeypair TP-self-signed-2531409152 ! ! crypto pki certificate chain TP-self-signed-2531409152 certificate self-signed 01 3082022B 30820194 A0030201 02020101 300D0609 2A864886 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 69666963 6174652D 32353331 34303931 3532301E 170D3933 35365A17 0D323030 31303130 30303030 305A3031 312F302D 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 30393135 3230819F 300D0609 2A864886 F70D0101 01050003 8100CA1B 27DE634E CF9FE284 C86127EF 41E7A52F 0A82FA2B C22510E1 38A742BC D9F416FD 93A52DC6 BA77A928 B317DA75 806132D9 E3189012 467C7A2C DCAC3EF4 4C419338 790AA98B 4A90659E 267BA2E3 36F801A4 F06BEC65 386A40DA 255D9790 45230203 010001A3 53305130 0F060355 1D130101 FF040530 551D2304 18301680 14A7356A D364AE65 E1E9D42F 9B059B27 03551D0E 04160414 A7356AD3 64AE65E1 E9D42F9B 059B27B6 2A864886 F70D0101 05050003 8181002A D78919E7 0D75567C 2ABC5B9C DA1C1E48 AF33C405 5C64E074 B954C5B5 D825BE61 D869E516 3936D0EC C871F140 66A1DEB2 BA57AB0D D2AB2706 B96CFB88 DE98A86E 7B539B68 7DEE53BB ED16BFA0 A89A5CA4 E716514A 5CFC7522 8E76778E 029E8F quit ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 !

F70D0101 6E65642D 30333031 06035504 74652D32 818D0030 7C5448B7 1B3E2C66 C7A81D73 F9412706 030101FF B69BB9C6 9BB9C6FD EF60036C 7340C695 17674B3A 79F15F49

05050030 43657274 30303030 03132649 35333134 81890281 184EA1AB C2D9061B 8621536C 9E73A660 301F0603 FD301D06 300D0609 6C4B051A 03049797 7423C276 59DDF6E5


Página 16 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 switchport access vlan 2 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.1.1 255.255.255.0


Página 17 de 18

Práctica de laboratorio: configuración de DHCPv4 básico en un switch ! interface Vlan2 ip address 192.168.2.1 255.255.255.0 ! ip http server ip http secure-server ip route 0.0.0.0 0.0.0.0 192.168.1.10 ! ! ! line con 0 password cisco login line vty 0 4 password cisco login line vty 5 15 password cisco login ! end


Página 18 de 18

Práctica de laboratorio: resolución de problemas de DHCPv4 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Página 1 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4


Interfaz

Dirección IP

Máscara de subred


G0/0

192.168.0.1

255.255.255.128

N/A

G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/0 (DCE)

192.168.0.253

255.255.255.252

N/A

S0/0/0

192.168.0.254

255.255.255.252

N/A

S0/0/1 (DCE)

209.165.200.226

255.255.255.252

N/A

ISP

S0/0/1

209.165.200.225

255.255.255.252

N/A

S1

VLAN 1

192.168.1.2

255.255.255.0

192.168.1.1

S2

VLAN 1

192.168.0.2

255.255.255.128

192.168.0.1

PC-A

NIC

DHCP

DHCP

DHCP

PC-B

NIC

DHCP

DHCP

DHCP

R2

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de DHCPv4

Información básica/situación El protocolo de configuración dinámica de host (DHCP) es un protocolo de red que permite que los administradores de red administren y automaticen la asignación de direcciones IP. Sin DHCP, el administrador debe asignar y configurar manualmente las direcciones IP, los servidores DNS preferidos y el gateway predeterminado. A medida que aumenta el tamaño de la red, esto se convierte en un problema administrativo cuando los dispositivos se trasladan de una red interna a otra. En esta situación, la empresa creció en tamaño, y los administradores de red ya no pueden asignar direcciones IP a los dispositivos de forma manual. El router R2 se configuró como servidor de DHCP para asignar direcciones IP a los dispositivos host en las LAN del R1. Varios errores en la configuración han resultado en problemas de conectividad. Se le solicita solucionar los problemas, corregir los errores de configuración y documentar su trabajo. Asegúrese de que la red admita lo siguiente: 1) El router R2 debe funcionar como servidor de DHCP para las redes 192.168.0.0/25 y 192.168.1.0/24 conectadas al R1. 2) Todas las computadoras conectadas al S1 y al S2 deben recibir una dirección IP en la red correcta mediante DHCP. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos.


Página 2 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: las instrucciones para borrar los switches y los routers se encuentran en el manual de prácticas de laboratorio.



•


•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers y switches con los parámetros básicos, como las contraseñas y las direcciones IP. Además, configurará los parámetros de IP de las computadoras en la topología.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar los routers y los switches. Paso 3: configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.


d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos. f.

Configure las direcciones IP para todas las interfaces del router.

g. Establezca la frecuencia de reloj en 128000 para todas las interfaces DCE del router. h. Configure EIGRP para el R1. R1(config)# router R1(config-router)# R1(config-router)# R1(config-router)# R1(config-router)# i.

eigrp 1 network 192.168.0.0 0.0.0.127 network 192.168.0.252 0.0.0.3 network 192.168.1.0 no auto-summary

Configure EIGRP y una ruta estática predeterminada en el R2. R2(config)# router R2(config-router)# R2(config-router)# R2(config-router)#

eigrp 1 network 192.168.0.252 0.0.0.3 redistribute static exit


Página 3 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.225 j.

Configure una ruta estática resumida en el ISP a las redes de los routers R1 y R2. ISP(config)# ip route 192.168.0.0 255.255.254.0 209.165.200.226

Paso 4: verificar la conectividad de red entre los routers. Si algún ping entre los routers falla, corrija los errores antes de continuar con el siguiente paso. Use los comandos show ip route y show ip interface brief para detectar posibles problemas.

Paso 5: configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.

Configure la dirección IP de la interfaz VLAN 1 y el gateway predeterminado para cada switch.

d. Asigne class como la contraseña del modo EXEC privilegiado. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.


Paso 6: verificar que los hosts estén configurados para DHCP. Paso 7: cargar la configuración de DHCP inicial para el R1 y el R2. Router R1 !interface GigabitEthernet0/0 ! ip helper-address 192.168.0.254 interface GigabitEthernet0/1 ip helper-address 192.168.0.253 ! ip helper-address 192.168.0.254 Router R2 ip dhcp excluded-address 192.168.11.1 192.168.11.9 !ip dhcp excluded-address 192.168.1.1 192.168.1.9 ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp pool R1G1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 ip dhcp pool R1G0 network 192.168.0.0 255.255.255.128 default-router 192.168.11.1 !default-router 192.168.0.1

Parte 2: resolución de problemas de DHCPv4 Una vez que se configuraron los routers R1 y R2 con los parámetros de DHCPv4, se presentaron varios errores en las configuraciones DHCP, lo que produjo problemas de conectividad. El R2 se configuró como servidor de DHCP. Para ambos pools de direcciones de DHCP, las primeras nueve direcciones se reservan para los routers y los switches. El R1 transmite la información de DHCP a todas las LAN del R1. Actualmente, la PC-A y la PC-B no tienen acceso a la red. Use los comandos show y debug para determinar y corregir los problemas de conectividad de red.


Página 4 de 17


Paso 1: registrar la configuración IP para la PC-A y la PC-B. a. En el símbolo del sistema, introduzca el comando ipconfig /all para mostrar las direcciones IP y MAC de la PC-A y la PC-B. b. Registre las direcciones IP y MAC en la siguiente tabla. La dirección MAC se puede usar para determinar qué computadora interviene en el mensaje de depuración. Dirección IP/máscara de subred

Dirección MAC

PC-A

DHCP no asignó ninguna dirección IP. (Los estudiantes pueden registrar una dirección APIPA que comienza con 169.254.x.x. Esta es una dirección local privada que asigna el OS de Microsoft cuando el host no puede alcanzar un servidor de DHCP para obtener una dirección IP).

0050:56BE:768C

PC-B

DHCP no asignó ninguna dirección IP. (Los estudiantes pueden registrar una dirección APIPA que comienza con 169.254.x.x. Esta es una dirección local privada que asigna el OS de Microsoft cuando el host no puede alcanzar un servidor de DHCP para obtener una dirección IP).

0050:56BE:F6DB

Paso 2: resolver los problemas de DHCP para la red 192.168.1.0/24 en el router R1. El router R1 es un agente de retransmisión DHCP para todas las LAN del R1. En este paso, solo se examinará el proceso de DHCP para la red 192.168.1.0/24. Las primeras nueve direcciones se reservan para otros dispositivos de red, como routers, switches y servidores. a. Use un comando debug de DHCP para observar el proceso de DHCP en el router R2. R2# debug ip dhcp server events b. En el R1, muestre la configuración en ejecución para la interfaz G0/1. R1# show run interface g0/1 interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.0.253 duplex auto speed auto Si hay problemas de retransmisión DHCP, registre todos los comandos que se necesiten para corregir los errores de configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ La retransmisión DHCP estaba mal configurada para la interfaz G0/1. Se debe agregar el comando ip helper-address 192.168.0.254 al router R1. Se debe eliminar la dirección de ayuda incorrecta de la configuración. El problema se puede resolver con los siguientes comandos: R1(config)# interface g0/1 R1(config-if)## no ip helper-address 192.168.0.253


Página 5 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 R1(config-if)# ip helper-address 192.168.0.254 c.

En el símbolo del sistema de la PC-A, escriba ipconfig /renew para recibir una dirección del servidor de DHCP. Registre la dirección IP, la máscara de subred y el gateway predeterminado configurados para la PC-A. ____________________________________________________________________________________ Dirección IP: 192.168.1.3, máscara de subred: 255.255.255.0, gateway predeterminado: 192.168.1.1

d. Observe los mensajes de depuración en el router R2 para el proceso de renovación de DHCP de la PCA. El servidor de DHCP intentó asignar la dirección 192.168.1.1/24 a la PC-A. Esta dirección ya está en uso para la interfaz G0/1 en el R1. El mismo problema se produce con la dirección IP 192.168.1.2/24, debido a que esta dirección se asignó al S1 en la configuración inicial. Por lo tanto, la dirección IP 192.168.1.3/24 se asignó a la PC-A. El conflicto de asignación de DHCP indica que puede existir un problema con la instrucción de dirección excluida en la configuración del servidor de DHCP en el R2. *Mar 5 06:32:16.939: DHCPD: Sending notification of DISCOVER: *Mar 5 06:32:16.939: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.939: DHCPD: circuit id 00000000 *Mar 5 06:32:16.939: DHCPD: Seeing if there is an internally specified pool *Mar 5 06:32:16.939: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.939: DHCPD: circuit id 00000000 *Mar 5 06:32:16.943: DHCPD: Allocated binding 2944C764 *Mar 5 06:32:16.943: DHCPD: Adding binding to radix tree (192.168.1.1) *Mar 5 06:32:16.943: DHCPD: Adding binding to hash tree *Mar 5 06:32:16.943: DHCPD: assigned IP address 192.168.1.1 to client 0100.5056.be76.8c. *Mar 5 06:32:16.951: %DHCPD-4-PING_CONFLICT: DHCP address conflict: server 192.168.1.1. *Mar 5 06:32:16.951: DHCPD: returned 192.168.1.1 to address pool R1G1. *Mar 5 06:32:16.951: DHCPD: Sending notification of DISCOVER: *Mar 5 06:32:16.951: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.951: DHCPD: circuit id 00000000 *Mar 5 06:32:1 R2#6.951: DHCPD: Seeing if there is an internally specified pool class: *Mar 5 06:32:16.951: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.951: DHCPD: circuit id 00000000 *Mar 5 06:32:16.951: DHCPD: Allocated binding 31DC93C8 *Mar 5 06:32:16.951: DHCPD: Adding binding to radix tree (192.168.1.2) *Mar 5 06:32:16.951: DHCPD: Adding binding to hash tree *Mar 5 06:32:16.951: DHCPD: assigned IP address 192.168.1.2 to client 0100.5056.be76.8c. *Mar 5 06:32:18.383: %DHCPD-4-PING_CONFLICT: DHCP address conflict: server 192.168.1.2. *Mar 5 06:32:18.383: DHCPD: returned 192.168.1.2 to address pool R1G1. *Mar 5 06:32:18.383: DHCPD: Sending notification of DISCOVER: *Mar 5 06:32:18.383: DHCPD: htype 1 chaddr 0050.56be.6c89 *Mar 5 06:32:18.383: DHCPD: circuit id 00000000 *Mar 5 06:32:18.383: DHCPD: Seeing if there is an internally specified pool *Mar 5 06:32:18.383: DHCPD: htype 1 chaddr 0050.56be.6c89 *Mar 5 06:32:18.383: DHCPD: circuit id 00000000 *Mar 5 06:32:18.383: DHCPD: Allocated binding 2A40E074 *Mar 5 06:32:18.383: DHCPD: Adding binding to radix tree (192.168.1.3)


class:

pinged

pinged

class:

Página 6 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 *Mar 5 06:32:18.383: DHCPD: Adding binding to hash tree *Mar 5 06:32:18.383: DHCPD: assigned IP address 192.168.1.3 to client 0100.5056.be76.8c.

e. Muestre la configuración del servidor de DHCP en el R2. Las primeras nueve direcciones para la red 192.168.1.0/24 no se excluyeron del pool de DHCP. R2# show run | section dhcp

ip dhcp excluded-address 192.168.11.1 192.168.11.9 ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp pool R1G1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 ip dhcp pool R1G0 network 192.168.0.0 255.255.255.128 default-router 192.168.1.1

Registre los comandos usados para corregir el error en el R2. ____________________________________________________________________________________ ____________________________________________________________________________________ R2(config)# no ip dhcp excluded-address 192.168.11.1 192.168.11.9 R2(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9 f.

En el símbolo del sistema de la PC-A, escriba ipconfig /release para devolver la dirección 192.168.1.3 al pool de DHCP. El proceso se puede observar en el mensaje de depuración en el R2. *Mar *Mar *Mar *Mar *Mar *Mar

5 5 5 5 5 5

06:49:59.563: DHCPD: Sending notification of TERMINATION: 06:49:59.563: DHCPD: address 192.168.1.3 mask 255.255.255.0 06:49:59.563: DHCPD: reason flags: RELEASE 06:49:59.563: DHCPD: htype 1 chaddr 0050.56be.768c 06:49:59.563: DHCPD: lease time remaining (secs) = 85340 06:49:59.563: DHCPD: returned 192.168.1.3 to address pool R1G1.

g. En el símbolo del sistema de la PC-A, escriba ipconfig /renew para que se asigne una nueva dirección IP del servidor de DHCP. Registre la dirección IP asignada y la información del gateway predeterminado. ____________________________________________________________________________________ Dirección IP/máscara de subred: 192.168.1.10/24. Gateway predeterminado: 192.168.1.1. El proceso se puede observar en el mensaje de depuración en el R2. *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: *Mar 5 06:50:11.863: 0100.5056.be76.8c.

DHCPD: Sending notification of DISCOVER: DHCPD: htype 1 chaddr 0050.56be.768c DHCPD: circuit id 00000000 DHCPD: Seeing if there is an internally specified pool class: DHCPD: htype 1 chaddr 0050.56be.768c DHCPD: circuit id 00000000 DHCPD: requested address 192.168.1.3 has already been assigned. DHCPD: Allocated binding 3003018C DHCPD: Adding binding to radix tree (192.168.1.10) DHCPD: Adding binding to hash tree DHCPD: assigned IP address 192.168.1.10 to client


Página 7 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 h. Verificar la conectividad de la red ¿Se puede hacer ping de la PC-A al gateway predeterminado asignado? ___________ Sí ¿Se puede hacer ping de la PC-A al router R2? ___________ Sí ¿Se puede hacer ping de la PC-A al router ISP? ___________ Sí

Paso 3: resolver los problemas de DHCP de la red 192.168.0.0/25 en el R1. El router R1 es un agente de retransmisión DHCP para todas las LAN del R1. En este paso, solo se examina el proceso de DHCP para la red 192.168.0.0/25. Las primeras nueve direcciones se reservan para otros dispositivos de red. a. Use un comando debug de DHCP para observar el proceso de DHCP en el R2. R2# debug ip dhcp server events b. Muestre la configuración en ejecución para la interfaz G0/0 en el R1 a fin de identificar posibles problemas de DHCP. R1# show run interface g0/0 interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.128 duplex auto speed auto Registre los problemas y todos los comandos que se necesiten para corregir los errores de configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ No se configuró la retransmisión DHCP en la interfaz G0/0 del R1. El problema se puede resolver con los siguientes comandos: R1(config)# interface g0/0 R1(config-if)# ip helper-address 192.168.0.254 c.

En el símbolo del sistema de la PC-B, escriba ipconfig /renew para recibir una dirección del servidor de DHCP. Registre la dirección IP, la máscara de subred y el gateway predeterminado configurados para la PC-B. ____________________________________________________________________________________ Dirección IP: 192.168.0.10, máscara de subred: 255.255.255.128, gateway predeterminado: 192.168.11.1

d. Observe los mensajes de depuración en el router R2 para ver el proceso de renovación de la PC-A. El servidor de DHCP asignó la dirección 192.168.0.10/25 a la PC-B. *Mar *Mar *Mar *Mar *Mar *Mar *Mar *Mar

5 5 5 5 5 5 5 5

07:15:09.663: DHCPD: Sending notification of DISCOVER: 07:15:09.663: DHCPD: htype 1 chaddr 0050.56be.f6db 07:15:09.663: DHCPD: circuit id 00000000 07:15:09.663: DHCPD: Seeing if there is an internally specified pool class: 07:15:09.663: DHCPD: htype 1 chaddr 0050.56be.f6db 07:15:09.663: DHCPD: circuit id 00000000 07:15:09.707: DHCPD: Sending notification of ASSIGNMENT: 07:15:09.707: DHCPD: address 192.168.0.10 mask 255.255.255.128


Página 8 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 *Mar *Mar

5 07:15:09.707: 5 07:15:09.707:

DHCPD: htype 1 chaddr 0050.56be.f6db DHCPD: lease time remaining (secs) = 86400

e. Verificar la conectividad de la red ¿Se puede hacer ping de la PC-B al gateway predeterminado asignado por DHCP? ___________ No ¿Se puede hacer ping de la PC-B a su gateway predeterminado (192.168.0.1)? ___________ Sí ¿Se puede hacer ping de la PC-B al router R2? ___________ Sí ¿Se puede hacer ping de la PC-B al router ISP? ___________ Sí f.

Si falló algún problema en el paso e, registre los problemas y todos los comandos necesarios para resolverlos. ____________________________________________________________________________________ ____________________________________________________________________________________ No se puede hacer ping de la PC-B al gateway predeterminado asignado por DHCP. El problema se puede resolver con los siguientes comandos: R2(config)# ip dhcp pool R1G0 R2(dhcp-config)# default-router 192.168.0.1

g. Libere y renueve las configuraciones IP en la PC-B. Repita el paso e para verificar la conectividad de red. h. Interrumpa el proceso de depuración con el comando undebug all. R2# undebug all

Se ha desactivado toda depuración posible

Reflexión ¿Cuáles son los beneficios de utilizar DHCP? _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas varían. DHCP puede evitar conflictos de direcciones producto de una dirección IP asignada anteriormente que todavía está en uso, suministrar valores de configuración adicionales, como un servidor DNS, y se puede utilizar con computadoras portátiles o dispositivos móviles.


Página 9 de 17





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router R1 (corregido) R1# show run Building configuration... Current configuration : 1419 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15


Página 10 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.128 ip helper-address 192.168.0.254 duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.0.254 duplex auto speed auto ! interface Serial0/0/0 ip address 192.168.0.253 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown ! ! router eigrp 1 network 192.168.0.0 0.0.0.127


Página 11 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 network 192.168.0.252 0.0.0.3 network 192.168.1.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router R2 (corregido) R2# show run Building configuration... Current configuration : 1552 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2


Página 12 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp excluded-address 192.168.1.1 192.168.1.9 ! ip dhcp pool R1G1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 ! ip dhcp pool R1G0 network 192.168.0.0 255.255.255.128 default-router 192.168.0.1 ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! license udi pid CISCO1941/K9 sn FTX163283R9 license accept end user agreement ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address


Página 13 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 192.168.0.254 255.255.255.252 ! interface Serial0/0/1 ip address 209.165.200.226 255.255.255.252 clock rate 128000 ! ! router eigrp 1 network 192.168.0.252 0.0.0.3 redistribute static ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 209.165.200.225 ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4


Página 14 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router ISP ISP#show run Building configuration... Current configuration : 1247 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! !


Página 15 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.252 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 192.168.0.0 255.255.254.0 209.165.200.226 ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none


Página 16 de 17

Práctica de laboratorio: resolución de problemas de DHCPv4 transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 17 de 17

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IPv6

Longitud de prefijo


R1

G0/1

2001:DB8:ACAD:A::1

64

No aplicable

S1

VLAN 1

Asignada mediante SLAAC

64


PC-A

NIC

Asignada mediante SLAAC y DHCPv6

64

Asignado por el R1

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar la red para SLAAC Parte 3: configurar la red para DHCPv6 sin estado Parte 4: configurar la red para DHCPv6 con estado

Información básica/situación La asignación dinámica de direcciones IPv6 de unidifusión global se puede configurar de tres maneras: •

Solo mediante configuración automática de dirección sin estado (SLAAC)

•

Mediante el protocolo de configuración dinámica de host sin estado para IPv6 (DHCPv6)

•

Mediante DHCPv6 con estado

Con SLAAC (se pronuncia “slac”), no se necesita un servidor de DHCPv6 para que los hosts adquieran direcciones IPv6. Se puede usar para recibir información adicional que necesita el host, como el nombre de dominio y la dirección del servidor de nombres de dominio (DNS). El uso de SLAAC para asignar direcciones host IPv6 y de DHCPv6 para asignar otros parámetros de red se denomina “DHCPv6 sin estado”. Con DHCPv6 con estado, el servidor de DHCP asigna toda la información, incluida la dirección host IPv6. La determinación de cómo los hosts obtienen la información de direccionamiento dinámico IPv6 depende de la configuración de indicadores incluida en los mensajes de anuncio de router (RA).


Página 1 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado En esta práctica de laboratorio, primero configurará la red para que utilice SLAAC. Una vez que verificó la conectividad, configurará los parámetros de DHCPv6 y modificará la red para que utilice DHCPv6 sin estado. Una vez que verificó que DHCPv6 sin estado funcione correctamente, modificará la configuración del R1 para que utilice DHCPv6 con estado. Se usará Wireshark en la PC-A para verificar las tres configuraciones dinámicas de red. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos. Nota: la plantilla default bias que utiliza el Switch Database Manager (SDM) no proporciona capacidades de dirección IPv6. Verifique que se utilice la plantilla dual-ipv4-and-ipv6 o la plantilla lanbase-routing en SDM. La nueva plantilla se utilizará después de reiniciar, aunque no se guarde la configuración. S1# show sdm prefer Siga estos pasos para asignar la plantilla dual-ipv4-and-ipv6 como la plantilla de SDM predeterminada: S1# config t S1(config)# sdm prefer dual-ipv4-and-ipv6 default S1(config)# end S1# reload



•


•

1 computadora (Windows 7 o Vista con Wireshark y un programa de emulación de terminal, como Tera Term)

•


•


Nota para el instructor: Wireshark ya debe estar instalado en la PC-A. Nota: los servicios de cliente DHCPv6 están deshabilitados en Windows XP. Se recomienda usar un host con Windows 7 para esta práctica de laboratorio.


Página 2 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado

Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos de configuración, como los nombres de dispositivos, las contraseñas y las direcciones IP de interfaz.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar el router y el switch según sea necesario. Paso 3: Configurar R1 a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo. c.


d. Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado. e. Asigne class como la contraseña cifrada del modo EXEC privilegiado. f.

Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión.

g. Establezca el inicio de sesión de consola en modo sincrónico. h. Guardar la configuración en ejecución en la configuración de inicio.

Paso 4: configurar el S1. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo. c.




g. Establezca el inicio de sesión de consola en modo sincrónico. h. Desactive administrativamente todas las interfaces inactivas. i.

Guarde la configuración en ejecución en la configuración de inicio.

Parte 2: configurar la red para SLAAC Paso 1: preparar la PC-A. a. Verifique que se haya habilitado el protocolo IPv6 en la ventana Propiedades de conexión de área local. Si la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) no está marcada, haga clic para activarla.


Página 3 de 21


b. Inicie una captura del tráfico en la NIC con Wireshark. c.

Filtre la captura de datos para ver solo los mensajes RA. Esto se puede realizar mediante el filtrado de paquetes IPv6 con una dirección de destino FF02::1, que es la dirección de solo unidifusión del grupo de clientes. La entrada de filtro que se usa con Wireshark es ipv6.dst==ff02::1, como se muestra aquí.

Paso 2: Configurar R1 a. Habilite el routing de unidifusión IPv6. b. Asigne la dirección IPv6 de unidifusión a la interfaz G0/1 según la tabla de direccionamiento. c.

Asigne FE80::1 como la dirección IPv6 link-local para la interfaz G0/1.

d. Active la interfaz G0/1.

Paso 3: verificar que el R1 forme parte del grupo de multidifusión de todos los routers. Use el comando show ipv6 interface g0/1 para verificar que G0/1 forme parte del grupo de multidifusión de todos los routers (FF02::2). Los mensajes RA no se envían por G0/1 sin esa asignación de grupo. R1# show ipv6 interface g0/1

GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es):


Página 4 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses.

Paso 4: configurar el S1. Use el comando ipv6 address autoconfig en la VLAN 1 para obtener una dirección IPv6 a través de SLAAC. S1(config)# interface vlan 1 S1(config-if)# ipv6 address autoconfig S1(config-if)# end

Paso 5: verificar que SLAAC haya proporcionado una dirección de unidifusión al S1. Use el comando show ipv6 interface para verificar que SLAAC haya proporcionado una dirección de unidifusión a la VLAN1 en el S1. S1# show ipv6 interface

Vlan1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::ED9:96FF:FEE8:8A40 No Virtual link-local address(es): Stateless address autoconfig enabled Global unicast address(es): 2001:DB8:ACAD:A:ED9:96FF:FEE8:8A40, subnet is 2001:DB8:ACAD:A::/64 [EUI/CAL/PRE] valid lifetime 2591988 preferred lifetime 604788 Joined group address(es): FF02::1 FF02::1:FFE8:8A40 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent Output features: Check hwidb ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND NS retransmit interval is 1000 milliseconds Default router is FE80::1 on Vlan1


Página 5 de 21


Paso 6: verificar que SLAAC haya proporcionado información de dirección IPv6 en la PC-A. a. En el símbolo del sistema de la PC-A, emita el comando ipconfig /all. Verifique que la PC-A muestre una dirección IPv6 con el prefijo 2001:db8:acad:a::/64. El gateway predeterminado debe tener la dirección FE80::1.

b. En Wireshark, observe uno de los mensajes RA que se capturaron. Expanda la capa Internet Control Message Protocol v6 (Protocolo de mensajes de control de Internet v6) para ver la información de Flags (Indicadores) y Prefix (Prefijo). Los primeros dos indicadores controlan el uso de DHCPv6 y no se establecen si no se configura DHCPv6. La información del prefijo también está incluida en este mensaje RA.


Página 6 de 21


Parte 3: configurar la red para DHCPv6 sin estado Paso 1: configurar un servidor de DHCP IPv6 en el R1. a. Cree un pool de DHCP IPv6. R1(config)# ipv6 dhcp pool IPV6POOL-A b. Asigne un nombre de dominio al pool. R1(config-dhcpv6)# domain-name ccna-statelessDHCPv6.com c.

Asigne una dirección de servidor DNS. R1(config-dhcpv6)# dns-server 2001:db8:acad:a::abcd R1(config-dhcpv6)# exit

d. Asigne el pool de DHCPv6 a la interfaz. R1(config)# interface g0/1 R1(config-if)# ipv6 dhcp server IPV6POOL-A e. Establezca la detección de redes (ND) DHCPv6 other-config-flag. R1(config-if)# ipv6 nd other-config-flag R1(config-if)# end

Paso 2: verificar la configuración de DHCPv6 en la interfaz G0/1 del R1. Use el comando show ipv6 interface g0/1 para verificar que la interfaz ahora forme parte del grupo IPv6 de multidifusión de todos los servidores de DHCPv6 (FF02::1:2). La última línea del resultado de este comando show verifica que se haya establecido other-config-flag. R1# show ipv6 interface g0/1

GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:2 FF02::1:FF00:1 FF05::1:3 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium


Página 7 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado Hosts use stateless autoconfig for addresses. Hosts use DHCP to obtain other configuration.

Paso 3: ver los cambios realizados en la red en la PC-A. Use el comando ipconfig /all para revisar los cambios realizados en la red. Observe que se recuperó información adicional, como la información del nombre de dominio y del servidor DNS, del servidor de DHCPv6. Sin embargo, las direcciones IPv6 de unidifusión global y link-local se obtuvieron previamente mediante SLAAC.

Paso 4: ver los mensajes RA en Wireshark. Desplácese hasta el último mensaje RA que se muestra en Wireshark y expándalo para ver la configuración de indicadores ICMPv6. Observe que el indicador Other configuration (Otra configuración) está establecido en 1.


Página 8 de 21


Paso 5: verificar que la PC-A no haya obtenido su dirección IPv6 de un servidor de DHCPv6. Use los comandos show ipv6 dhcp binding y show ipv6 dhcp pool para verificar que la PC-A no haya obtenido una dirección IPv6 del pool de DHCPv6. R1# show ipv6 dhcp binding R1# show ipv6 dhcp pool

DHCPv6 pool: IPV6POOL-A DNS server: 2001:DB8:ACAD:A::ABCD Domain name: ccna-statelessDHCPv6.com Active clients: 0

Paso 6: restablecer la configuración de red IPv6 de la PC-A. a. Desactive la interfaz F0/6 del S1. Nota: la desactivación de la interfaz F0/6 evita que la PC-A reciba una nueva dirección IPv6 antes de que usted vuelva a configurar el R1 para DHCPv6 con estado en la parte 4. S1(config)# interface f0/6 S1(config-if)# shutdown b. Detenga la captura de tráfico con Wireshark en la NIC de la PC-A. c.

Restablezca la configuración de IPv6 en la PC-A para eliminar la configuración de DHCPv6 sin estado. 1) Abra la ventana Propiedades de conexión de área local, desactive la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en Aceptar para aceptar el cambio. 2) Vuelva a abrir la ventana Propiedades de conexión de área local, haga clic para habilitar la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para aceptar el cambio.


Página 9 de 21


Parte 4: configurar la red para DHCPv6 con estado Paso 1: preparar la PC-A. a. Inicie una captura del tráfico en la NIC con Wireshark. b. Filtre la captura de datos para ver solo los mensajes RA. Esto se puede realizar mediante el filtrado de paquetes IPv6 con una dirección de destino FF02::1, que es la dirección de solo unidifusión del grupo de clientes.

Paso 2: cambiar el pool de DHCPv6 en el R1. a. Agregue el prefijo de red al pool. R1(config)# ipv6 dhcp pool IPV6POOL-A R1(config-dhcpv6)# address prefix 2001:db8:acad:a::/64 b. Cambie el nombre de dominio a ccna-statefulDHCPv6.com. Nota: debe eliminar el antiguo nombre de dominio. El comando domain-name no lo reemplaza. R1(config-dhcpv6)# no domain-name ccna-statelessDHCPv6.com R1(config-dhcpv6)# domain-name ccna-StatefulDHCPv6.com R1(config-dhcpv6)# end c.

Verifique la configuración del pool de DHCPv6. R1# show ipv6 dhcp pool

DHCPv6 pool: IPV6POOL-A Address allocation prefix: 2001:DB8:ACAD:A::/64 valid 172800 preferred 86400 (0 in use, 0 conflicts) DNS server: 2001:DB8:ACAD:A::ABCD Domain name: ccna-StatefulDHCPv6.com Active clients: 0

d. Ingrese al modo de depuración para verificar la asignación de direcciones de DHCPv6 con estado. R1# debug ipv6 dhcp detail

IPv6 DHCP debugging is on (detailed)

Paso 3: establecer el indicador en G0/1 para DHCPv6 con estado. Nota: la desactivación de la interfaz G0/1 antes de realizar cambios asegura que se envíe un mensaje RA cuando se activa la interfaz. R1(config)# interface g0/1 R1(config-if)# shutdown R1(config-if)# ipv6 nd managed-config-flag R1(config-if)# no shutdown R1(config-if)# end


Página 10 de 21


Paso 4: habilitar la interfaz F0/6 en el S1. Ahora que configuró el R1 para DHCPv6 con estado, puede volver a conectar la PC-A a la red activando la interfaz F0/6 en el S1. S1(config)# interface f0/6 S1(config-if)# no shutdown S1(config-if)# end

Paso 5: verificar la configuración de DHCPv6 con estado en el R1. a. Emita el comando show ipv6 interface g0/1 para verificar que la interfaz esté en el modo DHCPv6 con estado. R1# show ipv6 interface g0/1

GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:2 FF02::1:FF00:1 FF05::1:3 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use DHCP to obtain routable addresses. Hosts use DHCP to obtain other configuration.

b. En el símbolo del sistema de la PC-A, escriba ipconfig /release6 para liberar la dirección IPv6 asignada actualmente. Luego, escriba ipconfig /renew6 para solicitar una dirección IPv6 del servidor de DHCPv6. c.

Emita el comando show ipv6 dhcp pool para verificar el número de clientes activos. R1# show ipv6 dhcp pool

DHCPv6 pool: IPV6POOL-A Address allocation prefix: 2001:DB8:ACAD:A::/64 valid 172800 preferred 86400 (1 in use, 0 conflicts) DNS server: 2001:DB8:ACAD:A::ABCD Domain name: ccna-StatefulDHCPv6.com Active clients: 1


Página 11 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado d. Emita el comando show ipv6 dhcp binding para verificar que la PC-A haya recibido su dirección IPv6 de unidifusión del pool de DHCP. Compare la dirección de cliente con la dirección IPv6 link-local en la PC-A mediante el comando ipconfig /all. Compare la dirección proporcionada por el comando show con la dirección IPv6 que se indica con el comando ipconfig /all en la PC-A. R1# show ipv6 dhcp binding

Client: FE80::D428:7DE2:997C:B05A DUID: 0001000117F6723D000C298D5444 Username : unassigned IA NA: IA ID 0x0E000C29, T1 43200, T2 69120 Address: 2001:DB8:ACAD:A:B55C:8519:8915:57CE preferred lifetime 86400, valid lifetime 172800 expires at Mar 07 2013 04:09 PM (171595 seconds)

e. Emita el comando undebug all en el R1 para detener la depuración de DHCPv6. Nota: escribir u all es la forma más abreviada de este comando y sirve para saber si quiere evitar que los mensajes de depuración se desplacen hacia abajo constantemente en la pantalla de la sesión de terminal. Si hay varias depuraciones en proceso, el comando undebug all las detiene todas. R1# u all

Se ha desactivado toda depuración posible

f.

Revise los mensajes de depuración que aparecieron en la pantalla de terminal del R1. 1) Examine el mensaje de solicitud de la PC-A que solicita información de red. *Mar 5 16:42:39.775: IPv6 DHCP: Received SOLICIT from FE80::D428:7DE2:997C:B05A on GigabitEthernet0/1 *Mar 5 16:42:39.775: IPv6 DHCP: detailed packet contents *Mar 5 16:42:39.775: src FE80::D428:7DE2:997C:B05A (GigabitEthernet0/1) *Mar 5 16:42:39.775: dst FF02::1:2 *Mar 5 16:42:39.775: type SOLICIT(1), xid 1039238 *Mar 5 16:42:39.775: option ELAPSED-TIME(8), len 2 *Mar 5 16:42:39.775: elapsed-time 6300 *Mar 5 16:42:39.775: option CLIENTID(1), len 14


Página 12 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado 2) Examine el mensaje de respuesta enviado a la PC-A con la información de red DHCP. *Mar 5 16:42:39.779: IPv6 DHCP: Sending REPLY to FE80::D428:7DE2:997C:B05A on GigabitEthernet0/1 *Mar 5 16:42:39.779: IPv6 DHCP: detailed packet contents *Mar 5 16:42:39.779: src FE80::1 *Mar 5 16:42:39.779: dst FE80::D428:7DE2:997C:B05A (GigabitEthernet0/1) *Mar 5 16:42:39.779: type REPLY(7), xid 1039238 *Mar 5 16:42:39.779: option SERVERID(2), len 10 *Mar 5 16:42:39.779: 00030001FC994775C3E0 *Mar 5 16:42:39.779: option CLIENTID(1), len 14 *Mar 5 16:42:39.779: 00010001 R1#17F6723D000C298D5444 *Mar 5 16:42:39.779: option IA-NA(3), len 40 *Mar 5 16:42:39.779: IAID 0x0E000C29, T1 43200, T2 69120 *Mar 5 16:42:39.779: option IAADDR(5), len 24 *Mar 5 16:42:39.779: IPv6 address 2001:DB8:ACAD:A:B55C:8519:8915:57CE *Mar 5 16:42:39.779: preferred 86400, valid 172800 *Mar 5 16:42:39.779: option DNS-SERVERS(23), len 16 *Mar 5 16:42:39.779: 2001:DB8:ACAD:A::ABCD *Mar 5 16:42:39.779: option DOMAIN-LIST(24), len 26 *Mar 5 16:42:39.779: ccna-StatefulDHCPv6.com

Paso 6: verificar DHCPv6 con estado en la PC-A. a. Detenga la captura de Wireshark en la PC-A. b. Expanda el mensaje RA más reciente que se indica en Wireshark. Verifique que se haya establecido el indicador Managed address configuration (Configuración de dirección administrada).

c.

Cambie el filtro en Wireshark para ver solo los paquetes DHCPv6 escribiendo dhcpv6 y, a continuación, haga clic en Apply (Aplicar). Resalte la última respuesta DHCPv6 de la lista y expanda la información de DHCPv6. Examine la información de red DHCPv6 incluida en este paquete.


Página 13 de 21


Reflexión 1. ¿Qué método de direccionamiento IPv6 utiliza más recursos de memoria en el router configurado como servidor de DHCPv6: DHCPv6 sin estado o DHCPv6 con estado? ¿Por qué? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ DHCPv6 con estado utiliza más recursos de memoria. Las respuestas varían, pero DHCPv6 con estado requiere que el router almacene la información de estado dinámico de los clientes DHCPv6. Los clientes DHCPv6 sin estado no utilizan el servidor de DHCP para obtener información de dirección, de modo que no es necesario almacenarla. 2. ¿Qué tipo de asignación dinámica de direcciones IPv6 recomienda Cisco: DHCPv6 sin estado o DHCPv6 con estado? _______________________________________________________________________________________ _______________________________________________________________________________________ Cisco recomienda DHCPv6 sin estado para implementar redes IPv6 sin Cisco Network Registrar (CNR).


Página 14 de 21





Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos: partes 1 y 2 combinadas para el R1 y el S1 Router R1 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! interface Embedded-Service-Engine0/0 no ip address shutdown


Página 15 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 070C285F4D06 logging synchronous login line aux 0 ! line vty 0 4 password 7 13061E010803 login transport input all ! scheduler allocate 20000 1000 ! end


Página 16 de 21


Switch S1 (después de las partes 1 y 2 de esta práctica de laboratorio) service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! ! no ip domain-lookup ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 shutdown ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 shutdown ! interface FastEthernet0/8 shutdown ! interface FastEthernet0/9 shutdown ! interface FastEthernet0/10 shutdown !


Página 17 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface

FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEthernet0/17 FastEthernet0/18 FastEthernet0/19 FastEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23 FastEthernet0/24 GigabitEthernet0/1 GigabitEthernet0/2 Vlan1


Página 18 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado no ip address shutdown ! ip http server ip http secure-server ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 05080F1C2243 logging synchronous login line vty 0 4 password 7 02050D480809 login line vty 5 15 password 7 02050D480809 login ! end

Router R1 (Final) service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip cef ipv6 unicast-routing ipv6 dhcp pool IPV6POOL-A address prefix 2001:DB8:ACAD:A::/64 dns-server 2001:DB8:ACAD:A::ABCD domain-name ccna-StatelfulDHCPv6.com ! ipv6 cef multilink bundle-name authenticated ! interface GigabitEthernet0/0


Página 19 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::1/64 ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp server IPV6POOL-A ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 070C285F4D06 logging synchronous login line aux 0 ! line vty 0 4 password 7 13061E010803 login transport input all !


Página 20 de 21

Práctica de laboratorio: configuración de DHCPv6 sin estado y con estado scheduler allocate 20000 1000 ! end


Página 21 de 21

Práctica de laboratorio: resolución de problemas de DHCPv6 (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IPv6

Longitud de prefijo


R1

G0/1

2001:DB8:ACAD:A::1

64

No aplicable

S1

VLAN 1


64


PC-A

NIC

Asignada mediante SLAAC y DHCPv6

64


Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de conectividad de IPv6 Parte 3: resolver problemas de DHCPv6 sin estado

Información básica/situación La capacidad de resolver problemas de red es una aptitud muy útil para los administradores de red. Cuando se realiza la resolución de problemas en una red, es importante comprender los grupos de direcciones IPv6 y cómo se usan. Es necesario saber qué comandos usar para extraer información de red IPv6 a fin de resolver los problemas con eficacia. En esta práctica de laboratorio, cargará las configuraciones en el R1 y el S1. Estas configuraciones incluyen problemas que impiden que funcione DHCPv6 sin estado en la red. Deberá llevar a cabo la resolución de estos problemas en el R1 y el S1. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.


Página 1 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos. Nota: la plantilla default bias que utiliza el Switch Database Manager (SDM) no proporciona capacidades de dirección IPv6. Verifique que se utilice la plantilla dual-ipv4-and-ipv6 o la plantilla lanbase-routing en SDM. La nueva plantilla se utilizará después de reiniciar, aunque no se guarde la configuración. S1# show sdm prefer Siga esta configuración para asignar la plantilla dual-ipv4-and-ipv6 como la plantilla de SDM predeterminada: S1# config t S1(config)# sdm prefer dual-ipv4-and-ipv6 default S1(config)# end S1# reload



•


•

1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)

•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario. Configurará los parámetros básicos en el router y el switch. A continuación, antes de comenzar con la resolución de problemas, cargará las configuraciones de IPv6 proporcionadas.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar el router y el switch. Paso 3: configurar los parámetros básicos en el router y el switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.




g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.

Paso 4: cargar la configuración de IPv6 en el R1. ip domain name ccna-lab.com ! ipv6 unicast-routing


Página 2 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 ipv6 dhcp pool IPV6POOL-A dns-server 2001:DB8:ACAD:CAFE::A domain-name ccna-lab.com interface g0/0 no ip address shutdown duplex auto speed auto interface g0/1 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::11/64 ! no ipv6 address 2001:db8:acad:a::11/64 ! ipv6 address 2001:db8:acad:a::1/64 ! ipv6 nd other-config-flag ! ipv6 dhcp server IPV6POOL-A ! no shutdown end

Paso 5: cargar la configuración de IPv6 en el S1. interface range f0/1-24 shutdown !interface range f0/5-6 ! no shutdown interface range g0/1-2 shutdown interface Vlan1 shutdown ! ipv6 address autoconfig ! no shutdown end

Paso 6: guardar las configuraciones en ejecución en el R1 y el S1. Paso 7: verificar que se haya habilitado IPv6 en la PC-A. Verifique que se haya habilitado IPv6 en la ventana Propiedades de conexión de área local en la PC-A.

Parte 2: resolver problemas de conectividad de IPv6 En la parte 2, probará y verificará la conectividad de IPv6 de capa 3 en la red. Continúe con la resolución de problemas de la red hasta que se haya establecido la conectividad de capa 3 en todos los dispositivos. No continúe con la parte 3 hasta que no haya completado correctamente la parte 2.


Página 3 de 15


Paso 1: resolver problemas de interfaces IPv6 en el R1. a. Según la topología, ¿qué interfaz debe estar activa en el R1 para poder establecer la conectividad de red? Registre los comandos utilizados para identificar las interfaces que están activas. ____________________________________________________________________________________ G0/1 R1# show ip interface brief b. Si es necesario, siga los pasos requeridos para activar la interfaz. Registre los comandos utilizados para corregir los errores de configuración y verifique que la interfaz esté activa. ____________________________________________________________________________________ ____________________________________________________________________________________ R1(config)# interface g0/1 R1(config-if)# no shutdown c.

Identifique las direcciones IPv6 configuradas en el R1. Registre las direcciones encontradas y los comandos utilizados para ver las direcciones IPv6. ____________________________________________________________________________________ ____________________________________________________________________________________ 2001:DB8:ACAD:A::11/64 show ipv6 interface o show ipv6 interface g0/1. También se puede usar el comando show run interface g0/1.

d. Determine si se cometió un error de configuración. Si se identificó algún error, registre todos los comandos utilizados para corregir la configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ R1(config)# interface g0/1 R1(config-if)# no ipv6 address 2001:db8:acad:a::11/64 R1(config-if)# ipv6 address 2001:db8:acad:a::1/64 e. En el R1, ¿qué grupo de multidifusión se necesita para que funcione SLAAC? ____________________________________________________________________________________ Grupo de multidifusión de todos los routers (FF02::2) f.

¿Qué comando se usa para verificar que el R1 forme parte de ese grupo? ____________________________________________________________________________________ show ipv6 interface or show ipv6 interface g0/1 R1# show ipv6 interface

GigabitEthernet0/1 is down, line protocol is down IPv6 is tentative, link-local address is FE80::1 [TEN] No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 [TEN] Joined group address(es): FF02::1


Página 4 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses.

g. Si el R1 no forma parte del grupo de multidifusión que se necesita para que SLAAC funcione correctamente, realice los cambios necesarios a la configuración para incorporarlo al grupo. Registre los comandos necesarios para corregir los errores de configuración. ____________________________________________________________________________________ R1(config)# ipv6 unicast-routing h. Vuelva a emitir el comando para verificar que se haya incorporado la interfaz G0/1 al grupo de multidifusión de todos los routers (FF02::2). Nota: si no puede incorporar la interfaz al grupo de multidifusión de todos los routers, es posible que deba guardar la configuración actual y volver a cargar el router.

Paso 2: resolver problemas del S1. a. ¿Las interfaces necesarias para la conectividad de red están activas en el S1? _______ No Registre los comandos que se usan para activar las interfaces necesarias en el S1. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# interface range f0/5-6 S1(config-if)# no shutdown S1(config-if)# interface vlan 1 S1(config-if)# no shutdown b. ¿Qué comando podría utilizar para determinar si se asignó una dirección IPv6 de unidifusión al S1? ____________________________________________________________________________________ Emita el comando show ipv6 interface o show ipv6 interface vlan1. c.

¿El S1 tiene configurada una dirección IPv6 de unidifusión? Si es así, ¿cuál es? ____________________________________________________________________________________ No se asignó ninguna dirección IPv6.


Página 5 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 d. Si el S1 no recibe una dirección SLAAC, realice los cambios de configuración necesarios para permitir que reciba una. Registre los comandos utilizados. ____________________________________________________________________________________ ____________________________________________________________________________________ S1(config)# interface vlan 1 S1(config-if)# ipv6 address autoconfig e. Vuelva a emitir el comando que verifica que la interfaz ahora recibe una dirección SLAAC. f.

¿Se puede hacer ping del S1 a la dirección IPv6 de unidifusión asignada a la interfaz G0/1 que se asignó al R1? ____________________________________________________________________________________ Sí, se debería poder hacer ping del S1 a la dirección IPv6 2001:db8:acad:a::1.

Paso 3: resolver problemas de la PC-A. a. Emita el comando usado en la PC-A para verificar la dirección IPv6 asignada. Registre el comando. ____________________________________________________________________________________ ipconfig /all b. ¿Cuál es la dirección IPv6 de unidifusión que SLAAC proporciona a la PC-A? ____________________________________________________________________________________ Si se realizaron todos los cambios al R1 y el S1, la PC-A debe recibir una dirección IPv6 con el prefijo 2001:db8:acad:a::/64. c.

¿Se puede hacer ping de la PC-A a la dirección de gateway predeterminado que asignó SLAAC? ____________________________________________________________________________________ Sí, se debe poder hacer ping de la PC-A a la dirección FE80::1.

d. ¿Se puede hacer ping de la PC-A a la interfaz de administración en el S1? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Sí, se debería poder hacer ping de la PC-A a la dirección IPv6 asignada a la VLAN 1. Esta dirección se puede encontrar emitiendo el comando show ipv6 interface vlan1 en el S1 y buscando a continuación la dirección IPv6 con el prefijo 2001:db8:acad:a::/64. Nota: continúe con la resolución de problemas hasta que pueda hacer ping al R1 y el S1 con la PC-A.

Parte 3: resolver problemas de DHCPv6 sin estado En la parte 3, probará y verificará que DHCPv6 sin estado funcione correctamente en la red. Deberá usar los comandos de CLI IPv6 correctos en el router para determinar si DHCPv6 sin estado funciona. Quizá desee usar el comando debug para determinar si se solicita el servidor de DHCP.

Paso 1: determinar si DHCPv6 sin estado funciona correctamente. a. ¿Cuál es el nombre del pool de DHCP IPv6? ¿Cómo llegó a esta conclusión? ____________________________________________________________________________________ ____________________________________________________________________________________


Página 6 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 IPV6POOL-A. Emita el comando show ipv6 dhcp pool para determinar nombre del pool del servidor de DHCPv6. También puede emitir el comando show run | section ipv6 dhcp para ver esta información. R1# show ipv6 dhcp pool

DHCPv6 pool: IPV6POOL-A DNS server: 2001:DB8:ACAD:CAFE::A Domain name: ccna-lab.com Active clients: 0

b. ¿Qué información de red se indica en el pool de DHCPv6? ____________________________________________________________________________________ ____________________________________________________________________________________ Se indica un servidor DNS con la dirección 2001:DB8:ACAD:CAFE::A y un nombre de dominio que aparece como ccna-lab.com. c.

¿Se asignó la información de DHCPv6 a la PC-A? ¿Cómo llegó a esta conclusión? ____________________________________________________________________________________ ____________________________________________________________________________________ No, esto se puede determinar mediante la emisión del comando ipconfig /all en el símbolo del sistema de la PC-A.

Paso 2: resolver problemas del R1. a. ¿Qué comandos se pueden usar para determinar si se configuró el R1 para DHCPv6 sin estado? ____________________________________________________________________________________ ____________________________________________________________________________________ Se puede usar el comando show ipv6 interface para determinar si una interfaz tiene establecido el indicador de DHCPv6 sin estado. También se puede usar el comando show run para ver la configuración de la interfaz. R1# show ipv6 interface

GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds


Página 7 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses.

b. ¿La interfaz G0/1 en R1 se encuentra en el modo de DHCPv6 sin estado? ____________________________________________________________________________________ ____________________________________________________________________________________ No. La interfaz no forma parte del grupo de servidores de DHCPv6 porque no se indica la dirección de grupo FF02::1:2. Tampoco se menciona el estado del servidor de DHCP en la parte inferior del resultado. c.

¿Qué comando se puede usar para incorporar el R1 al grupo de servidores de DHCPv6? ____________________________________________________________________________________ ____________________________________________________________________________________ Emita el comando ipv6 dhcp server IPV6POOL-A en la interfaz G0/1. R1(config)# interface g0/1 R1(config-if)# ipv6 dhcp server IPV6POOL-A

d. Verifique que el grupo de servidores de DHCPv6 esté configurado para la interfaz G0/1. R1# show ipv6 interface

GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:2 FF02::1:FF00:1 FF05::1:3 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses.

e. ¿La PC-A recibe la información de DHCP ahora? Explique. ____________________________________________________________________________________ ____________________________________________________________________________________ No, el comando show ipv6 interface sigue sin mostrar que los hosts utilizarán DHCP para obtener otra información de configuración. Esto se puede verificar mediante la emisión del comando ipconfig /all en la PC-A.


Página 8 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 f.

¿Qué falta en la configuración de G0/1 que genera que los hosts usen el servidor de DHCP para recuperar otra información de red? ____________________________________________________________________________________ Se necesita el comando ipv6 nd other-config-flag para indicar a los hosts que usen el servidor de DHCP para recuperar otra información de red. R1(config)# interface g0/1 R1(config-if)# ipv6 nd other-config-flag R1# show ipv6 interface

GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:2 FF02::1:FF00:1 FF05::1:3 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses. Hosts use DHCP to obtain other configuration.

g. Restablezca la configuración de IPv6 en la PC-A. 1) Abra la ventana Propiedades de conexión de área local, desactive la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para que acepte el cambio. 2) Vuelva a abrir la ventana Propiedades de conexión de área local, haga clic en la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para que acepte el cambio. h. Emita el comando para verificar que se hayan realizado los cambios en la PC-A. Nota: continúe con la resolución de problemas hasta que la PC-A reciba la información adicional de DHCP del R1.


Página 9 de 15


Reflexión 1. ¿Cuál es el comando que se necesita en el pool de DHCPv6 para DHCPv6 con estado y que no se necesita para DHCPv6 sin estado? ¿Por qué? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Se necesita el comando address prefix para DHCPv6 con estado. Los hosts reciben las direcciones IPv6 de unidifusión del servidor de DHCP, de modo que este comando se necesita para proporcionar el prefijo IPv6 que se debe usar para la red. 2. ¿Qué comando se necesita en la interfaz para cambiar la red para que use DHCPv6 con estado en lugar de DHCPv6 sin estado? _______________________________________________________________________________________ _______________________________________________________________________________________ Para establecer el indicador de DHCPv6 con estado, se usa el comando ipv6 nd managed-config-flag. Esto se transmite a todos los hosts en la red a través de los mensajes de anuncio de router que envía el R1.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router R1 (Final) R1#sh run


Página 10 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 Building configuration... Current configuration : 1829 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! memory-size iomem 10 ! ipv6 unicast-routing ipv6 dhcp pool IPV6POOL-A dns-server 2001:DB8:ACAD:CAFE::A domain-name ccna-lab.com ! ipv6 cef ! no ip domain lookup ip domain name ccna-lab.com ip cef ! multilink bundle-name authenticated ! crypto pki token default removal timeout 0 ! redundancy ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address


Página 11 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::1/64 ipv6 nd other-config-flag ipv6 dhcp server IPV6POOL-A ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! banner motd ^CC Unauthorized Access is Prohibited! ^C ! line con 0 exec-timeout 0 0 password 7 0205085A1815 logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password 7 104D05181604 login transport input all ! scheduler allocate 20000 1000 ! end


Página 12 de 15


Switch S1 (Final) S1#sh run Building configuration... Current configuration : 3365 bytes ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ip subnet-zero ! ! no ip domain-lookup ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 shutdown ! interface FastEthernet0/2 shutdown ! interface FastEthernet0/3 shutdown ! interface FastEthernet0/4 shutdown ! interface FastEthernet0/5 ! interface FastEthernet0/6 !


Página 13 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface shutdown ! interface

FastEthernet0/7 FastEthernet0/8 FastEthernet0/9 FastEthernet0/10 FastEthernet0/11 FastEthernet0/12 FastEthernet0/13 FastEthernet0/14 FastEthernet0/15 FastEthernet0/16 FastEthernet0/17 FastEthernet0/18 FastEthernet0/19 FastEthernet0/20 FastEthernet0/21 FastEthernet0/22 FastEthernet0/23


Página 14 de 15

Práctica de laboratorio: resolución de problemas de DHCPv6 shutdown ! interface FastEthernet0/24 shutdown ! interface GigabitEthernet0/1 shutdown ! interface GigabitEthernet0/2 shutdown ! interface Vlan1 no ip address ipv6 address autoconfig ! ip http server ip http secure-server ! control-plane ! banner motd ^C Unauthorized Access is Prohibited! ^C ! line con 0 password 7 104D000A0618 logging synchronous login line vty 0 4 password 7 104D000A0618 login line vty 5 15 password 7 104D000A0618 login ! end


Página 15 de 15

IdT y DHCP (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Configure DHCP para IPv4 o IPv6 en un router Cisco 1941. Al final de este capítulo, los alumnos deben ser capaces de configurar un router Cisco 1941 para las direcciones IPv4 e IPv6 de DHCP de las terminales. En esta actividad, los estudiantes usarán Packet Tracer para configurar el direccionamiento DHCP para las terminales en un entorno doméstico.

Situación En este capítulo, se presenta el concepto del uso del proceso de DHCP en la red de una pequeña a mediana empresa; sin embargo, el protocolo DHCP también tiene otros usos. Con la llegada de Internet de todo (IdT), podrá acceder a todos los dispositivos en su hogar que admitan conectividad por cable o inalámbrica a una red desde casi cualquier lugar. Con Packet Tracer, realice las siguientes tareas para esta actividad de creación de modelos: •

Configure un router Cisco 1941 (o un dispositivo ISR que pueda admitir un servidor de DHCP) para las direcciones IPv4 o IPv6 de DHCP.

•

Piense en cinco dispositivos de su hogar en los que desee recibir direcciones IP desde el servicio DHCP del router. Configure las terminales para solicitar direcciones DHCP del servidor de DHCP.

•

Muestre los resultados que validen que cada terminal garantiza una dirección IP del servidor. Utilice un programa de captura de pantalla para guardar la información del resultado o emplee el comando de la tecla ImprPant.

•

Presente sus conclusiones a un compañero de clase o a la clase.

Recursos necesarios Software de Packet Tracer

Reflexión 1. ¿Por qué un usuario desearía usar un router Cisco 1941 para configurar DHCP en su red doméstica? ¿No sería suficiente usar un ISR más pequeño como servidor de DHCP? _______________________________________________________________________________________ Las respuestas varían. Los routers 1941 son más costosos que los ISR más pequeños, pero ofrecen más opciones para implementar planes de seguridad y son más sólidos en cuanto a capacidad de procesamiento y de ancho de banda. 2. ¿Cómo cree que las pequeñas y medianas empresas pueden usar la asignación de direcciones IP de DHCP en el mundo de las redes IPv6 e IdT? Mediante la técnica de la lluvia de ideas, piense y registre cinco respuestas posibles. _______________________________________________________________________________________ Las pequeñas empresas de paisajismo podrían encender los sistemas de aspersores de los clientes que se vayan de vacaciones según las asignaciones de direcciones IP del servidor de DHCP de la empresa de paisajismo. Mediante el uso de las asignaciones de direcciones IP de sus propios servidores de DHCP, las pequeñas empresas de electricidad podrían revisar códigos de error en cualquier dispositivo con una dirección IP para evaluar si una terminal necesita reparación.


Página 1 de 3

IdT y DHCP Las pequeñas empresas automotrices podrían proporcionar cálculos de reparaciones según el direccionamiento IP de DHCP de los automóviles con direcciones automáticas vinculadas al servidor de DHCP de la empresa. El propietario de una casa podría encender la lavadora o la secadora desde cualquier lugar, según la ubicación de un servidor DNS y su propia dirección de servidor de DHCP. Se podrían controlar los televisores para apagarlos, encenderlos, seleccionar canales para grabar, grabar programas y más mediante un servidor DNS y un servidor de DHCP personal.

Topología y resultado representativos de la actividad para el instructor

Router# show run (output omitted) hostname Router ip dhcp excluded-address 192.168.1.1 192.168.1.10 ! ip dhcp pool HOME-ADDRESSES network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 ! (output omitted) spanning-tree mode pvst ! interface GigabitEthernet0/0


Página 2 de 3

IdT y DHCP ip address 192.168.1.1 255.255.255.0 duplex auto speed auto Router# show ip dhcp binding IP address Client-ID/ Hardware address 192.168.1.11 0090.0CC1.A57B 192.168.1.14 0060.3E80.2074 192.168.1.13 0001.C9B3.382D 192.168.1.12 000A.F345.487C 192.168.1.15 00E0.F995.0C3B

Lease expiration ------

Type Automatic Automatic Automatic Automatic Automatic


Los servidores de DHCP pueden asignar direcciones IP a cualquier dispositivo con capacidad de red.

•

Los servidores de DHCP pueden proporcionar a las pequeñas y medianas empresas una funcionalidad que no se obtiene con el direccionamiento estático.

•

Los administradores de red, que configuran los servidores de DHCP de la red, como los routers, los switches o los servidores dedicados, pueden ahorrar tiempo al implementar un esquema de direccionamiento IP.


Página 3 de 3

NAT conceptual (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Describa las características de NAT. En esta actividad, se presenta el concepto de la traducción de direcciones de red a los estudiantes.

Situación Usted trabaja para una universidad o un sistema escolar grande. Por ser el administrador de red, muchos profesores, trabajadores administrativos y otros administradores de red necesitan su ayuda con las redes todos los días. Lo llaman durante toda la jornada laboral y, debido a la cantidad de llamadas telefónicas, no puede completar sus tareas regulares de administración de red. Debe encontrar la manera de decidir el momento para atender llamadas y las personas a quienes atender. También debe ocultar su número de teléfono para que, cuando llame a alguien, el destinatario vea otro número. En esta situación, se describe un problema muy frecuente para la mayoría de las pequeñas y medianas empresas. Visite “How Network Address Translation Works”, ubicado en http://computer.howstuffworks.com/nat.htm/printable, para obtener más información sobre la forma en que el mundo digital aborda este tipo de interrupciones de la jornada laboral. Utilice el PDF que se incluye con esta actividad para seguir reflexionando sobre cómo un proceso, conocido como NAT, podría ser la respuesta al desafío de esta situación.

Recursos Conexión a Internet

Instrucciones Paso 1: leer la información del sitio de Internet. a. Acceda al artículo “How Network Address Translation Works”, ubicado en http://computer.howstuffworks.com/nat.htm/printable. b. Lea la información proporcionada para presentar los conceptos básicos de NAT. c.

Registre cinco datos que le resulten interesantes sobre el proceso de NAT.

Paso 2: ver los gráficos de NAT. a. En la misma página de Internet, observe los tipos de NAT que están disponibles para la configuración en la mayoría de las redes. b. Defina los cuatro tipos de NAT: 1) NAT estática 2) NAT dinámica 3) Sobrecarga de NAT 4) NAT con superposición


Página 1 de 2

NAT conceptual

Paso 3: reunirse con toda la clase. a. Comparta sus cinco datos sobre NAT con la clase. b. A medida que los demás estudiantes compartan los datos que les resultan interesantes con la clase, tilde los datos que usted había registrado. c.

Si un estudiante menciona un dato que usted no registró, agréguelo a la lista.

Información de recursos para el instructor •

Se sugiere mostrar la página web utilizada como base para esta actividad mientras se comparan los datos que comparten los estudiantes después de leer el artículo.

•

Antes de continuar con el contenido del currículo, corrija cualquier confusión que se haya generado durante la lectura del artículo.

•

Al final de la clase o de la reunión grupal, reitere que NAT es un proceso que se usa para conservar las asignaciones de direcciones de red y para proporcionar una medida de seguridad para los usuarios.


NAT

•

NAT estática

•

NAT dinámica

•

Sobrecarga de NAT

•

NAT con superposición


Página 2 de 2

Práctica de laboratorio: configuración de NAT dinámica y estática (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Tabla de direccionamiento Dispositivo Gateway

Interfaz

Dirección IP

Máscara de subred


G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/1

209.165.201.18

255.255.255.252

N/A

S0/0/0 (DCE)

209.165.201.17

255.255.255.252

N/A

Lo0

192.31.7.1

255.255.255.255

N/A

PC-A (servidor simulado)

NIC

192.168.1.20

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.1.21

255.255.255.0

192.168.1.1

ISP

Objetivos Parte 1: armar la red y verificar la conectividad Parte 2: configurar y verificar la NAT estática Parte 3: configurar y verificar la NAT dinámica


Página 1 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática

Información básica/situación La traducción de direcciones de red (NAT) es el proceso en el que un dispositivo de red, como un router Cisco, asigna una dirección pública a los dispositivos host dentro de una red privada. El motivo principal para usar NAT es reducir el número de direcciones IP públicas que usa una organización, ya que la cantidad de direcciones IPv4 públicas disponibles es limitada. En esta práctica de laboratorio, un ISP asignó a una empresa el espacio de direcciones IP públicas 209.165.200.224/27. Esto proporciona 30 direcciones IP públicas a la empresa. Las direcciones 209.165.200.225 a 209.165.200.241 son para la asignación estática, y las direcciones 209.165.200.242 a 209.165.200.254 son para la asignación dinámica. Del ISP al router de gateway se usa una ruta estática, y del gateway al router ISP se usa una ruta predeterminada. La conexión del ISP a Internet se simula mediante una dirección de loopback en el router ISP. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1: armar la red y verificar la conectividad En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como las direcciones IP de interfaz, el routing estático, el acceso a los dispositivos y las contraseñas.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según sea necesario.

Paso 2: configurar los equipos host. Paso 3: inicializar y volver a cargar los routers y los switches según sea necesario. Paso 4: configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure las direcciones IP para los routers como se indica en la tabla de direccionamiento. c.

Establezca la frecuencia de reloj en 1280000 para las interfaces seriales DCE.


Página 2 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática d. Configure el nombre del dispositivo como se muestra en la topología. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.


g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada del comando.

Paso 5: crear un servidor web simulado en el ISP. a. Cree un usuario local denominado webuser con la contraseña cifrada webpass. ISP(config)# username webuser privilege 15 secret webpass b. Habilite el servicio del servidor HTTP en el ISP. ISP(config)# ip http server c.

Configure el servicio HTTP para utilizar la base de datos local. ISP(config)# ip http authentication local

Paso 6: configurar el routing estático. a. Cree una ruta estática del router ISP al router Gateway usando el rango asignado de direcciones de red públicas 209.165.200.224/27. ISP(config)# ip route 209.165.200.224 255.255.255.224 209.165.201.18 b. Cree una ruta predeterminada del router Gateway al router ISP. Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17

Paso 7: Guardar la configuración en ejecución en la configuración de inicio. Paso 8: Verificar la conectividad de la red a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway. Resuelva los problemas si los pings fallan. b. Muestre las tablas de routing en ambos routers para verificar que las rutas estáticas se encuentren en la tabla de routing y estén configuradas correctamente en ambos routers.

Parte 2: configurar y verificar la NAT estática. La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales, y estas asignaciones se mantienen constantes. La NAT estática resulta útil, en especial para los servidores web o los dispositivos que deben tener direcciones estáticas que sean accesibles desde Internet.

Paso 1: configurar una asignación estática. El mapa estático se configura para indicarle al router que traduzca entre la dirección privada del servidor interno 192.168.1.20 y la dirección pública 209.165.200.225. Esto permite que los usuarios tengan acceso a la PC-A desde Internet. La PC-A simula un servidor o un dispositivo con una dirección constante a la que se puede acceder desde Internet. Gateway(config)# ip nat inside source static 192.168.1.20 209.165.200.225


Página 3 de 16


Paso 2: Especifique las interfaces. Emita los comandos ip nat inside e ip nat outside en las interfaces. Gateway(config)# interface g0/1 Gateway(config-if)# ip nat inside Gateway(config-if)# interface s0/0/1 Gateway(config-if)# ip nat outside

Paso 3: probar la configuración. a. Muestre la tabla de NAT estática mediante la emisión del comando show ip nat translations. Gateway# show ip nat translations Pro Inside global --- 209.165.200.225

Inside local 192.168.1.20

Outside local ---

Outside global ---

¿Cuál es la traducción de la dirección host local interna? 192.168.1.20 = _________________________________________________________ 209.165.200.225 ¿Quién asigna la dirección global interna? ____________________________________________________________________________________ El router del pool de la NAT. ¿Quién asigna la dirección local interna? ____________________________________________________________________________________ El administrador de la estación de trabajo. b. En la PC-A, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping falló, resuelva y corrija los problemas. En el router Gateway, muestre la tabla de NAT. Gateway# show ip nat translations

Pro Inside global Inside local icmp 209.165.200.225:1 192.168.1.20:1 --- 209.165.200.225 192.168.1.20

Outside local 192.31.7.1:1 ---

Outside global 192.31.7.1:1 ---

Cuando la PC-A envió una solicitud de ICMP (ping) a la dirección 192.31.7.1 en el ISP, se agregó a la tabla una entrada de NAT en la que se indicó ICMP como protocolo. ¿Qué número de puerto se usó en este intercambio ICMP? ________________ 1, las respuestas varían. Nota: puede ser necesario desactivar el firewall de la PC-A para que el ping se realice correctamente. c.

En la PC-A, acceda a la interfaz Lo0 del ISP mediante telnet y muestre la tabla de NAT. Pro Inside global icmp 209.165.200.225:1 tcp 209.165.200.225:1034 --- 209.165.200.225

Inside local 192.168.1.20:1 192.168.1.20:1034 192.168.1.20

Outside local 192.31.7.1:1 192.31.7.1:23 ---

Outside global 192.31.7.1:1 192.31.7.1:23 ---

Nota: es posible que se haya agotado el tiempo para la NAT de la solicitud de ICMP y se haya eliminado de la tabla de NAT. ¿Qué protocolo se usó para esta traducción? ____________ tcp ¿Cuáles son los números de puerto que se usaron? Global/local interno: ________________ 1034, las respuestas varían.


Página 4 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática Global/local externo: ________________ 23 d. Debido a que se configuró NAT estática para la PC-A, verifique que el ping del ISP a la dirección pública de NAT estática de la PC-A (209.165.200.225) se realice correctamente. e. En el router Gateway, muestre la tabla de NAT para verificar la traducción. Gateway# show ip nat translations

Pro Inside global Inside local icmp 209.165.200.225:12 192.168.1.20:12 --- 209.165.200.225 192.168.1.20

Outside local 209.165.201.17:12 ---

Outside global 209.165.201.17:12 ---

Observe que la dirección local externa y la dirección global externa son iguales. Esta dirección es la dirección de origen de red remota del ISP. Para que el ping del ISP se realice correctamente, la dirección global interna de NAT estática 209.165.200.225 se tradujo a la dirección local interna de la PC-A (192.168.1.20). f.

Verifique las estadísticas de NAT mediante el comando show ip nat statistics en el router Gateway. Gateway# show ip nat statics

Total active translations: 2 (1 static, 1 dynamic; 1 extended) Peak translations: 2, occurred 00:02:12 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 39 Misses: 0 CEF Translated packets: 39, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

Nota: este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente.

Parte 3: configurar y verificar la NAT dinámica La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una dirección IPv4 pública disponible del conjunto. La NAT dinámica produce una asignación de varias direcciones a varias direcciones entre direcciones locales y globales.

Paso 1: borrar las NAT. Antes de seguir agregando NAT dinámicas, borre las NAT y las estadísticas de la parte 2. Gateway# clear ip nat translation * Gateway# clear ip nat statistics

Paso 2: definir una lista de control de acceso (ACL) que coincida con el rango de direcciones IP privadas de LAN. La ACL 1 se utiliza para permitir que se traduzca la red 192.168.1.0/24.


Página 5 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

Paso 3: verificar que la configuración de interfaces NAT siga siendo válida. Emita el comando show ip nat statistics en el router Gateway para verificar la configuración NAT. Gateway# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended) Peak translations: 0 Outside interfaces: Serial0/0/1 Inside interfaces: FastEthernet0/1 Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

Paso 4: definir el conjunto de direcciones IP públicas utilizables. Gateway(config)# ip nat pool public_access 209.165.200.242 209.165.200.254 netmask 255.255.255.224

Paso 5: definir la NAT desde la lista de origen interna hasta el conjunto externo. Nota: recuerde que los nombres de conjuntos de NAT distinguen mayúsculas de minúsculas, y el nombre del conjunto que se introduzca aquí debe coincidir con el que se usó en el paso anterior. Gateway(config)# ip nat inside source list 1 pool public_access

Paso 6: probar la configuración. a. En la PC-B, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping falló, resuelva y corrija los problemas. En el router Gateway, muestre la tabla de NAT. Gateway# show ip nat translations Pro Inside global --- 209.165.200.225 icmp 209.165.200.242:1 --- 209.165.200.242

Inside local 192.168.1.20 192.168.1.21:1 192.168.1.21

Outside local --192.31.7.1:1 ---

Outside global --192.31.7.1:1 ---

¿Cuál es la traducción de la dirección host local interna de la PC-B? 192.168.1.21 = _________________________________________________________ 209.165.200.242 Cuando la PC-B envió un mensaje ICMP a la dirección 192.31.7.1 en el ISP, se agregó a la tabla una entrada de NAT dinámica en la que se indicó ICMP como el protocolo. ¿Qué número de puerto se usó en este intercambio ICMP? ______________ 1, las respuestas varían. b. En la PC-B, abra un explorador e introduzca la dirección IP del servidor web simulado ISP (interfaz Lo0). Cuando se le solicite, inicie sesión como webuser con la contraseña webpass.


Página 6 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática c.

Muestre la tabla de NAT. Pro --tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp ---

Inside global Inside local Outside local 209.165.200.225 192.168.1.20 --209.165.200.242:1038 192.168.1.21:1038 192.31.7.1:80 209.165.200.242:1039 192.168.1.21:1039 192.31.7.1:80 209.165.200.242:1040 192.168.1.21:1040 192.31.7.1:80 209.165.200.242:1041 192.168.1.21:1041 192.31.7.1:80 209.165.200.242:1042 192.168.1.21:1042 192.31.7.1:80 209.165.200.242:1043 192.168.1.21:1043 192.31.7.1:80 209.165.200.242:1044 192.168.1.21:1044 192.31.7.1:80 209.165.200.242:1045 192.168.1.21:1045 192.31.7.1:80 209.165.200.242:1046 192.168.1.21:1046 192.31.7.1:80 209.165.200.242:1047 192.168.1.21:1047 192.31.7.1:80 209.165.200.242:1048 192.168.1.21:1048 192.31.7.1:80 209.165.200.242:1049 192.168.1.21:1049 192.31.7.1:80 209.165.200.242:1050 192.168.1.21:1050 192.31.7.1:80 209.165.200.242:1051 192.168.1.21:1051 192.31.7.1:80 209.165.200.242:1052 192.168.1.21:1052 192.31.7.1:80 209.165.200.242 192.168.1.22 ---

Outside global --192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 ---

¿Qué protocolo se usó en esta traducción? ____________ tcp ¿Qué números de puerto se usaron? Interno: ________________ 1038 a 1052. Las respuestas varían Externo: ______________80 ¿Qué número de puerto bien conocido y qué servicio se usaron? ________________ puerto 80, www o http d. Verifique las estadísticas de NAT mediante el comando show ip nat statistics en el router Gateway. Gateway# show ip nat statistics

Total active translations: 3 (1 static, 2 dynamic; 1 extended) Peak translations: 17, occurred 00:06:40 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 345 Misses: 0 CEF Translated packets: 345, CEF Punted packets: 0 Expired translations: 20 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 2 pool public_access: netmask 255.255.255.224 start 209.165.200.242 end 209.165.200.254 type generic, total addresses 13, allocated 1 (7%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0


Página 7 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática Queued Packets: 0


Paso 7: eliminar la entrada de NAT estática. En el paso 7, se elimina la entrada de NAT estática y se puede observar la entrada de NAT. a. Elimine la NAT estática de la parte 2. Introduzca yes (sí) cuando se le solicite eliminar entradas secundarias. Gateway(config)# no ip nat inside source static 192.168.1.20 209.165.200.225 Static entry in use, do you want to delete child entries? [no]: yes b. Borre las NAT y las estadísticas. c.

Haga ping al ISP (192.31.7.1) desde ambos hosts.

d. Muestre la tabla y las estadísticas de NAT. Gateway# show ip nat statistics

Total active translations: 4 (0 static, 4 dynamic; 2 extended) Peak translations: 15, occurred 00:00:43 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 16 Misses: 0 CEF Translated packets: 285, CEF Punted packets: 0 Expired translations: 11 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 4 pool public_access: netmask 255.255.255.224 start 209.165.200.242 end 209.165.200.254 type generic, total addresses 13, allocated 2 (15%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

Gateway# show ip nat translation

Pro Inside global Inside local icmp 209.165.200.243:512 192.168.1.20:512 --- 209.165.200.243 192.168.1.20 icmp 209.165.200.242:512 192.168.1.21:512 --- 209.165.200.242 192.168.1.21

Outside local 192.31.7.1:512 --192.31.7.1:512 ---

Outside global 192.31.7.1:512 --192.31.7.1:512 ---



Página 8 de 16


Reflexión 1. ¿Por qué debe utilizarse la NAT en una red? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Las respuestas varían, pero deberían incluir: siempre que no haya suficientes direcciones IP públicas y para evitar el costo de adquisición de direcciones públicas de un ISP. NAT también puede proporcionar una medida de seguridad al ocultar las direcciones internas de las redes externas. 2. ¿Cuáles son las limitaciones de NAT? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ NAT necesita la información de IP o de números de puerto en el encabezado IP y el encabezado TCP de los paquetes para la traducción. Esta es una lista parcial de los protocolos que no se pueden utilizar con NAT: SNMP, LDAP, Kerberos versión. 5.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)



Página 9 de 16


Configuraciones de dispositivos Gateway (después de la parte 2) Gateway# show run Building configuration... Current configuration : 1666 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown !


Página 10 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 ip address 209.165.201.18 255.255.255.252 ip nat outside ip virtual-reassembly in ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source static 192.168.1.20 209.165.200.225 ip route 0.0.0.0 0.0.0.0 209.165.201.17 ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh


Página 11 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Gateway (final) Gateway# show run Building configuration... Current configuration : 1701 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! !


Página 12 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown clock rate 2000000 ! interface Serial0/0/1 ip address 209.165.201.18 255.255.255.252 ip nat outside ip virtual-reassembly in ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat pool public_access 209.165.200.242 209.165.200.254 netmask 255.255.255.224 ip nat inside source list 1 pool public_access ip route 0.0.0.0 0.0.0.0 209.165.201.17 ! access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous


Página 13 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

ISP (final) ISP# show run Building configuration... Current configuration : 1557 bytes ! ! Last configuration change at 09:16:34 UTC Sun Mar 24 2013 version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef


Página 14 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática multilink bundle-name authenticated ! ! ! ! ! username webuser privilege 15 secret 4 ZMYyKvmzVsyor8jHyP9ox.cMoz9loLfZN75illtozY2 ! ! ! ! ! interface Loopback0 ip address 192.31.7.1 255.255.255.255 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 209.165.201.17 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! ip http server ip http authentication local no ip http secure-server ! ip route 209.165.200.224 255.255.255.224 209.165.201.18 ! ! !


Página 15 de 16

Práctica de laboratorio: configuración de NAT dinámica y estática control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 16 de 16

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IP

Máscara de subred


G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/1

209.165.201.18

255.255.255.252

N/A

S0/0/0 (DCE)

209.165.201.17

255.255.255.252

N/A

Lo0

192.31.7.1

255.255.255.255

N/A

PC-A

NIC

192.168.1.20

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.1.21

255.255.255.0

192.168.1.1

PC-C

NIC

192.168.1.22

255.255.255.0

192.168.1.1

ISP

Objetivos Parte 1: armar la red y verificar la conectividad Parte 2: configurar y verificar un conjunto de NAT con sobrecarga Parte 3: configurar y verificar PAT


Página 1 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Información básica/situación En la primera parte de la práctica de laboratorio, el ISP asigna a su empresa el rango de direcciones IP públicas 209.165.200.224/29. Esto proporciona seis direcciones IP públicas a la empresa. Un conjunto de NAT dinámica con sobrecarga consta de un conjunto de direcciones IP en una relación de varias direcciones a varias direcciones. El router usa la primera dirección IP del conjunto y asigna las conexiones mediante el uso de la dirección IP más un número de puerto único. Una vez que se alcanzó la cantidad máxima de traducciones para una única dirección IP en el router (específico de la plataforma y el hardware), utiliza la siguiente dirección IP del conjunto. En la parte 2, el ISP asignó una única dirección IP, 209.165.201.18, a su empresa para usarla en la conexión a Internet del router Gateway de la empresa al ISP. Usará la traducción de la dirección del puerto (PAT) para convertir varias direcciones internas en la única dirección pública utilizable. Se probará, se verá y se verificará que se produzcan las traducciones y se interpretarán las estadísticas de NAT/PAT para controlar el proceso. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1: armar la red y verificar la conectividad En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como las direcciones IP de interfaz, el routing estático, el acceso a los dispositivos y las contraseñas.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: configurar los equipos host. Paso 3: inicializar y volver a cargar los routers y los switches. Paso 4: configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure las direcciones IP para los routers como se indica en la tabla de direccionamiento. c.

Establezca la frecuencia de reloj en 128000 para la interfaz serial DCE.


Página 2 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT d. Configure el nombre del dispositivo como se muestra en la topología. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.



Paso 5: configurar el routing estático. a. Cree una ruta estática desde el router ISP hasta el router Gateway. ISP(config)# ip route 209.165.200.224 255.255.255.248 209.165.201.18 b. Cree una ruta predeterminada del router Gateway al router ISP. Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17

Paso 6: Verificar la conectividad de la red a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway. Resuelva los problemas si los pings fallan. b. Verifique que las rutas estáticas estén bien configuradas en ambos routers.

Parte 2: configurar y verificar el conjunto de NAT con sobrecarga En la parte 2, configurará el router Gateway para que traduzca las direcciones IP de la red 192.168.1.0/24 a una de las seis direcciones utilizables del rango 209.165.200.224/29.

Paso 1: definir una lista de control de acceso que coincida con las direcciones IP privadas de LAN. La ACL 1 se utiliza para permitir que se traduzca la red 192.168.1.0/24. Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

Paso 2: definir el conjunto de direcciones IP públicas utilizables. Gateway(config)# ip nat pool public_access 209.165.200.225 netmask 255.255.255.248

209.165.200.230

Paso 3: definir la NAT desde la lista de origen interna hasta el conjunto externo. Gateway(config)# ip nat inside source list 1 pool public_access overload

Paso 4: Especifique las interfaces. Emita los comandos ip nat inside e ip nat outside en las interfaces. Gateway(config)# interface g0/1 Gateway(config-if)# ip nat inside Gateway(config-if)# interface s0/0/1 Gateway(config-if)# ip nat outside

Paso 5: verificar la configuración del conjunto de NAT con sobrecarga. a. Desde cada equipo host, haga ping a la dirección 192.31.7.1 del router ISP. b. Muestre las estadísticas de NAT en el router Gateway.


Página 3 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT Gateway# show ip nat statistics

Total active translations: 3 (0 static, 3 dynamic; 3 extended) Peak translations: 3, occurred 00:00:25 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 24 Misses: 0 CEF Translated packets: 24, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 3 pool public_access: netmask 255.255.255.248 start 209.165.200.225 end 209.165.200.230 type generic, total addresses 6, allocated 1 (16%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

c.

Muestre las NAT en el router Gateway. Gateway# show ip nat translations Pro Inside global icmp 209.165.200.225:0 icmp 209.165.200.225:1 icmp 209.165.200.225:2

Inside local 192.168.1.20:1 192.168.1.21:1 192.168.1.22:1

Outside local 192.31.7.1:1 192.31.7.1:1 192.31.7.1:1

Outside global 192.31.7.1:0 192.31.7.1:1 192.31.7.1:2

Nota: es posible que no vea las tres traducciones, según el tiempo que haya transcurrido desde que hizo los pings en cada computadora. Las traducciones de ICMP tienen un valor de tiempo de espera corto. ¿Cuántas direcciones IP locales internas se indican en el resultado de muestra anterior? __________ 3 ¿Cuántas direcciones IP globales internas se indican? __________ 1 ¿Cuántos números de puerto se usan en conjunto con las direcciones globales internas? _________ 3 ¿Cuál sería el resultado de hacer ping del router ISP a la dirección local interna de la PC-A? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ El ping fallaría debido a que el router conoce la ubicación de la dirección global interna en la tabla de routing, pero la dirección local interna no se anuncia.


Página 4 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Parte 3: configurar y verificar PAT En la parte 3, configurará PAT mediante el uso de una interfaz, en lugar de un conjunto de direcciones, a fin de definir la dirección externa. No todos los comandos de la parte 2 se volverán a usar en la parte 3.

Paso 1: borrar las NAT y las estadísticas en el router Gateway. Paso 2: verificar la configuración para NAT. a. Verifique que se hayan borrado las estadísticas. b. Verifique que las interfaces externa e interna estén configuradas para NAT. c.

Verifique que la ACL aún esté configurada para NAT. ¿Qué comando usó para confirmar los resultados de los pasos a al c? ____________________________________________________________________________________ Gateway# show ip nat statistics

Paso 3: eliminar el conjunto de direcciones IP públicas utilizables. Gateway(config)# no ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248

Paso 4: eliminar la traducción NAT de la lista de origen interna al conjunto externo. Gateway(config)# no ip nat inside source list 1 pool public_access overload

Paso 5: asociar la lista de origen a la interfaz externa. Gateway(config)# ip nat inside source list 1 interface serial 0/0/1 overload

Paso 6: probar la configuración PAT. a. Desde cada computadora, haga ping a la dirección 192.31.7.1 del router ISP. b. Muestre las estadísticas de NAT en el router Gateway. Gateway# show ip nat statistics

Total active translations: 3 (0 static, 3 dynamic; 3 extended) Peak translations: 3, occurred 00:00:19 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 24 Misses: 0 CEF Translated packets: 24, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 2] access-list 1 interface Serial0/0/1 refcount 3 Total doors: 0 Appl doors: 0 Normal doors: 0


Página 5 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT Queued Packets: 0

c.

Muestre las traducciones NAT en el Gateway. Gateway# show ip nat translations Pro Inside global icmp 209.165.201.18:3 icmp 209.165.201.18:1 icmp 209.165.201.18:4

Inside local 192.168.1.20:1 192.168.1.21:1 192.168.1.22:1

Outside local 192.31.7.1:1 192.31.7.1:1 192.31.7.1:1

Outside global 192.31.7.1:3 192.31.7.1:1 192.31.7.1:4

Reflexión ¿Qué ventajas tiene la PAT? _______________________________________________________________________________________ Las respuestas varían, pero deben incluir que PAT minimiza la cantidad de direcciones públicas necesarias para proporcionar acceso a Internet y que los servicios de PAT, como los de NAT, sirven para “ocultar” las direcciones privadas de las redes externas.




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuraciones de dispositivos Router Gateway (después de la parte 2) Gateway# show run Building configuration... Current configuration : 1790 bytes © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 6 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1


Página 7 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown ! interface Serial0/0/1 ip address 209.165.201.18 255.255.255.252 ip nat outside ip virtual-reassembly in ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248 ip nat inside source list 1 pool public_access overload ip route 0.0.0.0 0.0.0.0 209.165.201.17 ! access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all !


Página 8 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT scheduler allocate 20000 1000 ! end

Router Gateway (después de la parte 3) Gateway# show run Building configuration... Current configuration : 1711 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown


Página 9 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown ! interface Serial0/0/1 ip address 209.165.201.18 255.255.255.252 ip nat outside ip virtual-reassembly in ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list 1 interface Serial0/0/1 overload ip route 0.0.0.0 0.0.0.0 209.165.201.17 ! access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! Control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all


Página 10 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router ISP ISP# show run Building configuration... Current configuration : 1487 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 10 ! ! ! ! ! ! ! no ip domain lookup ip cef no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! !


Página 11 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT ! ! ! ! interface Loopback0 ip address 192.31.7.1 255.255.255.255 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 209.165.201.17 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 209.165.200.224 255.255.255.224 209.165.201.18 ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login


Página 12 de 13

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 13 de 13

Práctica de laboratorio: resolución de problemas de configuración NAT (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología


Interfaz

Dirección IP

Máscara de subred


G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/1

209.165.200.225

255.255.255.252

N/A

S0/0/0 (DCE)

209.165.200.226

255.255.255.252

N/A

Lo0

198.133.219.1

255.255.255.255

N/A

PC-A

NIC

192.168.1.3

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.1.4

255.255.255.0

192.168.1.1

ISP

Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de la NAT estática Parte 3: resolver problemas de la NAT dinámica

Información básica/situación En esta práctica de laboratorio, la configuración del router Gateway estuvo a cargo de un administrador de red inexperto de la empresa. Varios errores en la configuración produjeron problemas de NAT. El jefe le solicitó a usted que resuelva y corrija los errores de NAT, y que documente su trabajo. Asegúrese de que la red admita lo siguiente:


Página 1 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT •

La PC-A funciona como servidor web con una NAT estática y se debe poder llegar a dicha computadora desde el exterior a través de la dirección 209.165.200.254.

•

La PC-B funciona como equipo host y recibe dinámicamente una dirección IP del conjunto de direcciones creado con el nombre NAT_POOL, que usa el rango 209.165.200.240/29.

Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota para el instructor: consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.



•


•


•


•


Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers con los parámetros básicos. Se incluyen configuraciones adicionales relacionadas con NAT. La configuración NAT para el router Gateway contiene los errores que usted identificará y corregirá a medida que avance con la práctica de laboratorio.

Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: configurar los equipos host. Paso 3: inicializar y volver a cargar el switch y los routers. Paso 4: configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.

Configure las direcciones IP como se indica en la tabla de direccionamiento.

d. Establezca la frecuencia de reloj en 128000 para las interfaces seriales DCE. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.




Página 2 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT

Paso 5: configurar el routing estático. a. Cree una ruta estática del router ISP al rango de direcciones de red públicas 209.165.200.224/27 asignado por el router Gateway. ISP(config)# ip route 209.165.200.224 255.255.255.224 s0/0/0 b. Cree una ruta predeterminada del router Gateway al router ISP. Gateway(config)# ip route 0.0.0.0 0.0.0.0 s0/0/1

Paso 6: cargar las configuraciones de los routers. Se incluyen las configuraciones de los routers. La configuración del router Gateway contiene errores. Identifique y corrija los errores de configuración. Configuración del router Gateway interface g0/1 ip nat outside ! ip nat inside no shutdown interface s0/0/0 ip nat outside ! no ip nat outside interface s0/0/1 ! ip nat outside no shutdown ip nat inside source static 192.168.2.3 209.165.200.254 ! ip nat inside source static 192.168.1.3 209.165.200.254 ip nat pool NAT_POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NATPOOL ! ip nat inside source list NAT_ACL pool NAT_POOL ip access-list standard NAT_ACL permit 192.168.10.0 0.0.0.255 ! permit 192.168.1.0 0.0.0.255 banner motd $AUTHORIZED ACCESS ONLY$ end

Paso 7: Guardar la configuración en ejecución en la configuración de inicio.

Parte 2: resolver problemas de la NAT estática En la parte 2, examinará la NAT estática de la PC-A para determinar si se configuró correctamente. Resolverá los problemas de la situación hasta que se verifique la NAT estática correcta. a. Para resolver problemas de NAT, use el comando debug ip nat. Active la depuración de NAT para ver las traducciones en tiempo real a través del router Gateway. Gateway# debug ip nat b. En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ No.


Página 3 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT c.

En el router Gateway, introduzca el comando que permite ver todas las traducciones NAT actuales en dicho router. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ show ip nat translations Gateway# show ip nat translations Pro Inside global --- 209.165.200.254

Inside local 192.168.2.3

Outside local ---

Outside global ---

¿Por qué ve una traducción NAT en la tabla pero no se produjo ninguna cuando se hizo ping de la PC-A a la interfaz loopback del ISP? ¿Qué se necesita para corregir el problema? ____________________________________________________________________________________ La traducción estática es para una dirección local interna incorrecta. d. Registre todos los comandos que se necesitan para corregir el error de configuración NAT estática. ____________________________________________________________________________________ ____________________________________________________________________________________ Gateway(config)# no ip nat inside source static 192.168.2.3 209.165.200.254 Gateway(config)# ip nat inside source static 192.168.1.3 209.165.200.254 e. En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ No f.

En el router Gateway, introduzca el comando que permite observar la cantidad total de NAT actuales. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ show ip nat statistics Gateway# show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 0 extended) Peak translations: 1, occurred 00:08:12 ago Outside interfaces: GigabitEthernet0/1, Serial0/0/0 Inside interfaces: Hits: 0 Misses: 0 CEF Translated packets: 0, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list NAT_ACL pool NATPOOL refcount 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

¿La NAT estática se realiza correctamente? ¿Por qué? ____________________________________________________________________________________


Página 4 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT No se realiza ninguna traducción NAT porque las interfaces G0/1 y S0/0/0 se configuraron con el comando ip nat outside. No se asignó ningún área de interfaz activa como interna. g. En el router Gateway, introduzca el comando que permite ver la configuración actual del router. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ show running-config Gateway# show running-config Building configuration...

Current configuration : 1806 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! redundancy ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0


Página 5 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT no ip address ip nat outside ip virtual-reassembly in shutdown clock rate 2000000

! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.252 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat pool NAT_POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NATPOOL ip nat inside source static 192.168.1.3 209.165.200.254 ip route 0.0.0.0 0.0.0.0 Serial0/0/1 ! ip access-list standard NAT_ACL permit 192.168.10.0 0.0.0.255 ! ! ! ! control-plane ! ! banner motd ^CAUTHORIZED ACCESS ONLY^C ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 !


Página 6 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT end

h. ¿Existe algún problema en la configuración actual que impida que se realice la NAT estática? ____________________________________________________________________________________ Sí. Las interfaces NAT interna y externa están mal configuradas. i.

Registre todos los comandos que se necesitan para corregir los errores de configuración NAT estática. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Gateway(config)# interface g0/1 Gateway(config-if)# no ip nat outside Gateway(config-if)# ip nat inside Gateway(config-if)# exit Gateway(config)# interface s0/0/0 Gateway(config-if)# no ip nat outside Gateway(config-if)# exit Gateway(config)# interface s0/0/1 Gateway(config-if)# ip nat outside Gateway(config-if)# exit

j.

En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ Sí *Mar 18 23:53:50.707: *Mar 18 23:53:50.715: Gateway# *Mar 18 23:53:51.711: *Mar 18 23:53:51.719: *Mar 18 23:53:52.707: Gateway# *Mar 18 23:53:52.715: *Mar 18 23:53:53.707: Gateway# *Mar 18 23:53:53.715:

k.

NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [187] NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [187] NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [188] NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [188] NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [189] NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [189] NAT*: s=192.168.1.3->209.165.200.254, d=198.133.219.1 [190] NAT*: s=198.133.219.1, d=209.165.200.254->192.168.1.3 [190]

Use el comando show ip nat translations verbose para verificar la funcionalidad de la NAT estática. Nota: el valor de tiempo de espera para ICMP es muy corto. Si no ve todas las traducciones en el resultado, vuelva a hacer el ping. Gateway# show ip nat translations verbose

Pro Inside global Inside local Outside local Outside global icmp 209.165.200.254:1 192.168.1.3:1 198.133.219.1:1 198.133.219.1:1 create 00:00:04, use 00:00:01 timeout:60000, left 00:00:58, flags: extended, use_count: 0, entry-id: 12, lc_entries: 0 --- 209.165.200.254 192.168.1.3 ----create 00:30:09, use 00:00:04 timeout:0,


Página 7 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT flags: static, use_count: 1, entry-id: 2, lc_entries: 0

¿La traducción de NAT estática se realiza correctamente? ____________________ Sí Si no se realiza la NAT estática, repita los pasos anteriores para resolver los problemas de configuración.

Parte 3: resolución de problemas de la NAT dinámica a. En la PC-B, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ________________ No b. En el router Gateway, introduzca el comando que permite ver la configuración actual del router. ¿Existe algún problema en la configuración actual que impida que se realice la NAT dinámica? ____________________________________________________________________________________ Sí. El conjunto de NAT está mal identificado en la instrucción de origen. La lista de acceso de NAT tiene una instrucción network incorrecta. c.

Registre todos los comandos que se necesitan para corregir los errores de configuración NAT dinámica. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Gateway(config)# no ip nat inside source list NAT_ACL pool NATPOOL Gateway(config)# ip nat inside source list NAT_ACL pool NAT_POOL Gateway(config)# ip access-list standard NAT_ACL Gateway(config-std-nacl)# no permit 192.168.10.0 0.0.0.255 Gateway(config-std-nacl)# permit 192.168.1.0 0.0.0.255

d. En la PC-B, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ Sí *Mar 19 00:01:17.303: *Mar 19 00:01:17.315: Gateway# *Mar 19 00:01:18.307: *Mar 19 00:01:18.315: *Mar 19 00:01:19.303: Gateway# *Mar 19 00:01:19.315: *Mar 19 00:01:20.303: *Mar 19 00:01:20.311:

NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [198] NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [198] NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [199] NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [199] NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [200] NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [200] NAT*: s=192.168.1.4->209.165.200.241, d=198.133.219.1 [201] NAT*: s=198.133.219.1, d=209.165.200.241->192.168.1.4 [201]

e. Use el comando show ip nat statistics para ver el uso de NAT. Gateway# show ip nat statistics

Total active translations: 2 (1 static, 1 dynamic; 0 extended) Peak translations: 3, occurred 00:02:58 ago Outside interfaces: Serial0/0/1


Página 8 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT Inside interfaces: GigabitEthernet0/1 Hits: 24 Misses: 0 CEF Translated packets: 24, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: -- Inside Source [Id: 2] access-list NAT_ACL pool NAT_POOL refcount 1 pool NAT_POOL: netmask 255.255.255.248 start 209.165.200.241 end 209.165.200.246 type generic, total addresses 6, allocated 1 (16%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0

¿La NAT se realiza correctamente? _______________ Sí ¿Qué porcentaje de direcciones dinámicas se asignó? __________ El 16 % f.

Desactive toda depuración con el comando undebug all.

Reflexión 1. ¿Cuál es el beneficio de una NAT estática? _______________________________________________________________________________________ _______________________________________________________________________________________ Una traducción NAT estática permite que los usuarios fuera de la LAN tengan acceso a la computadora o al servidor en la red interna. 2. ¿Qué problemas surgirían si 10 equipos host en esta red intentaran comunicarse con Internet al mismo tiempo? _______________________________________________________________________________________ _______________________________________________________________________________________ No existen suficientes direcciones públicas en el conjunto de NAT para satisfacer 10 sesiones de usuario simultáneas, pero a medida que se reduzcan los hosts, distintos hosts podrán obtener las direcciones del conjunto para acceder a Internet.


Página 9 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT




Interfaz serial #1


1800



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

1900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2801



Serial 0/1/0 (S0/1/0)

Serial 0/1/1 (S0/1/1)

2811



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)

2900



Serial 0/0/0 (S0/0/0)

Serial 0/0/1 (S0/0/1)


Configuración de dispositivos Router Gateway Gateway#show run Building configuration... Current configuration : 1805 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Gateway ! boot-start-marker boot-end-marker ! ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model !


Página 10 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT ! no ip domain lookup ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! redundancy ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface Serial0/0/0 no ip address shutdown ! interface Serial0/0/1 ip address 209.165.200.225 255.255.255.252 ip nat outside ip virtual-reassembly in ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat pool NAT_POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NAT_POOL ip nat inside source static 192.168.1.3 209.165.200.254 ip route 0.0.0.0 0.0.0.0 Serial0/0/1 !


Página 11 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT ip access-list standard NAT_ACL permit 192.168.1.0 0.0.0.255 ! ! ! ! control-plane ! ! banner motd ^CAUTHORIZED ACCESS ONLY^C ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all ! scheduler allocate 20000 1000 ! end

Router ISP ISP#show run Building configuration... Current configuration : 1482 bytes ! version 15.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ISP ! boot-start-marker boot-end-marker ! !


Página 12 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model memory-size iomem 15 ! no ip domain lookup ip cef ! ! ! ! ! ! no ipv6 cef multilink bundle-name authenticated ! ! ! ! ! ! ! ! interface Loopback0 ip address 198.133.219.1 255.255.255.255 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/1 no ip address shutdown duplex auto speed auto ! interface Serial0/0/0 ip address 209.165.200.226 255.255.255.252 clock rate 128000 ! interface Serial0/0/1 no ip address shutdown


Página 13 de 14

Práctica de laboratorio: resolución de problemas de configuración NAT ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 209.165.200.224 255.255.255.224 Serial0/0/0 ! ! ! ! control-plane ! ! ! line con 0 password cisco logging synchronous login line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password cisco login transport input all line vty 5 15 password cisco login transport input all ! scheduler allocate 20000 1000 ! end


Página 14 de 14

Revisión de NAT (versión para el instructor) Nota para el instructor: el color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Objetivo Configure, verifique y analice la NAT estática, la NAT dinámica y la NAT con sobrecarga. Nota para el instructor: esta actividad se puede completar en forma individual o en grupos pequeños o grandes.

Situación La traducción de direcciones de red no se incluye actualmente en el diseño de red de su empresa. Se decidió configurar algunos dispositivos para que utilicen los servicios de NAT para conectarse al servidor de correo. Antes de implementar la NAT real en la red, usted crea un prototipo mediante un programa de simulación de redes.

Recursos •

Software de Packet Tracer

•

Software de presentación o de procesamiento de texto

Instrucciones Paso 1: crear una topología de red muy pequeña con Packet Tracer que incluya, como mínimo, lo siguiente: a. Dos routers 1941 interconectados b. Dos switches LAN, uno por router c.

Un servidor de correo conectado a la LAN en un router

d. Una computadora de escritorio o portátil conectada a la LAN en el otro router

Paso 2: asignar direcciones en la topología. a. Use el direccionamiento privado para todas las redes, los hosts y los dispositivos. b. El direccionamiento DHCP de la computadora de escritorio o portátil es optativo. c.

El direccionamiento estático para el servidor de correo es obligatorio.

Paso 3: configurar un protocolo de routing para la red. Paso 4: validar la conectividad de la red completa sin los servicios de NAT. a. Haga ping de un extremo de la topología y viceversa para asegurarse de que la red funcione plenamente. b. Resuelva y corrija cualquier problema que impida la funcionalidad total de la red.


Página 1 de 3

Revisión de NAT

Paso 5: configurar los servicios de NAT en uno de los routers del equipo host de escritorio o portátil al servidor de correo. Paso 6: producir resultados que validen las operaciones de NAT en la red simulada. a. Use los comandos show ip nat statistics, show access-lists y show ip nat translations para recopilar información sobre el funcionamiento de NAT en el router. b. Copie y pegue la información de la topología y de los resultados o guarde capturas de pantalla de dicha información en un documento de presentación o de procesamiento de texto.

Paso 7: explicar el diseño y el resultado de NAT a otro grupo o a la clase.

Ejemplo sugerido de la actividad (los diseños de los estudiantes varían): Diagrama de topología de NAT

R2# show ip nat translations Pro Inside global icmp 192.168.1.1:2

Inside local 192.168.1.2:2

Outside local 192.168.3.2:2

Outside global 192.168.3.2:2

R2# show ip nat statistics Total translations: 1 (0 static, 1 dynamic, 1 extended) Outside Interfaces: GigabitEthernet0/0 Inside Interfaces: Serial0/0/0 Hits: 2 Misses: 5 Expired translations: 2 Dynamic mappings: -- Inside Source access-list 1 pool R1 refCount 1 pool R1: netmask 255.255.255.0 start 192.168.1.1 end 192.168.1.254 type generic, total addresses 254 , allocated 1 (0%), misses 0


Página 2 de 3

Revisión de NAT R2# show access-lists Standard IP access list 1 permit 192.168.1.0 0.0.0.255 (6 match(es))

Identifique los elementos del modelo que corresponden a contenido relacionado con TI: NAT 1. Configuración 2. Operación 3. Resolución de problemas


Página 3 de 3

ccna_2_word _resuelt.pdf

Recommend Documents