com figura c i ones cisco packet tracer
TRANSCRIPT
1-Configurar NAT Dinámico
Comandos:
Router(config)#ip nat pool [NOMBRE DE LISTA DE IPS] [PRIMERA IP] [ULTIMA IP] netmask [MASCARA DE RED](1) Router(config)#access-list [NUMERO DE LISTA DE ACCESO] permit [IP DE RED] [WILDCARD](2) Router(config)#ip nat inside source list [NUMERO DE LISTA DE ACCESO] pool [NOMBRE DE LISTA DE IPS](3) Router(config)#int [INTERFAZ] Router(config-if)#ip nat inside(4) Router(config)#int [INTERFAZ] Router(config-if)#ip nat outside(5) Aclaración: (1): Acá definimos la lista de direcciones ip que va a tener el router para asignarle a los paquetes.
(2): Configuramos la lista de acceso para que sepa que a que direcciones les tiene que aplicar NAT.
(3): Con este comando lo que hacemos es decirle a NAT con que lista de acceso va a controlar las ips que tiene que convertir.
(4): Ingresamos en la interfaz donde van a entrar los paquetes al router.
(5): Ingresamos en la interfaz donde van a salir los paquetes al router.
Topología:
2-Configurar Frame-Relay con RIP
Vamos a ver como configurar Frame-Relay. ¿Qué es Frame-Relay? Es un protocolo de enlace de datos a nivel WAN. Utiliza circuitos virtuales llamados DLCI por los cuales vamos a poder comunicarnos con otro destino mediante nuestro proveedor de servicios contratado. Además verifica todo lo que fluye a través de LMI (seria lo que controla el enlace). Al detectar algún fallo envía mensajes a las interfaces que intervienen. Pertenece a la categoría de servicios privados. Comandos: Router(config-if)#encapsulation frame-relay[1] Router(config-if)#frame-relay map ip [DIRECCION IP] [DLCI] broadcast[2] Aclaración: (1): Con este comando le decimos que encapsule mediante el protocolo Frame – Relay.
(2): Este comando nos permite hacer un mapa de las conexiones Frame – Relay. Se denomina Frame – Relay estático porque nosotros le decimos que tal DLCI pertenece a tal IP. El comando broadcast sirve para el enrutamiento dinámico.
Nota 1: Tanto para RIP, EIGRP, OSPF se ingresa el comando broadcast. Si se elige EIGRP o OSPF hay que agregar el comando bandwith [VALOR] para que dichos protocolos puedan calcular su métrica.
Nota 2: El LMI por defecto en los router Cisco es cisco. Exiten 2 mas: ANSi y Q933a.
Topología:
3-Configurar PPP con CHAP
Vamos a ver como configurar PPP con CHAP en Packet Tracer. Primero que nada una breve introducción. ¿Qué es PPP? Es un protocolo que trabaja en capa 2, o sea, capa de enlace de datos. Se encarga de encapsular las tramas que salen por la interfaz. Una de las cosas importantes es que admite autenticación: PAP y CHAP. Nosotros en este post vamos a ver CHAP. La diferencia entre ambas es que por CHAP la información viaja cifrada.
Comandos: Router(config)#username [USUARIO] password [CONTRASEÑA](1) Router(config)#intface [INTERFAZ] Router(config-if)#encapsulation ppp Router(config-if)#ppp authentication chap Aclaración:
(1): En este comando es indispensable que el USUARIO coincida con el nombre del router vecino. Respecto del password debe ser igual tanto en el router vecino como en el que estemos configurando.
Topología:
4-Configuración de Access-List estándar
Vamos a ver un tema un poco complicado, access-list o listas de acceso(ACL). ¿Qué es una lista de acceso? La ACL es una configuración de router que controla si un router permite o deniega paquetes según el criterio encontrado en el encabezado del paquete. Existen varios tipos que paso a detallar: estándar o extendidas (pueden ser nombradas o numeradas) y las complejas (dinámicas, reflexivas y basadas en tiempo). Nosotros en este post vamos a ver las extendidas numeradas. Estas van del 100 al 199 y del 2000 al 2699. Pueden filtrar paquetes según el protocolo (ip,tcp,udp,icmp,etc) que le indiquemos, puertos (80,23,etc) y lo más importante comprueban la dirección de origen como destino. Las ACL
estándar solamente comprueban la dirección de origen. nada de protocolos y puertos.
Comandos:
R1(config)#access-list [100-199] [permit|deny] [protocolo] [ip de origen] [wilcard] [ip de destino] [wildcard] (1) R1(config)#access-list 101 permit ip any any (2) R1(config)#int [interfaz] R1(config-if)#ip access-group 101 [in|out] (3) Aclaracion:
(1): Con este comando definimos las reglas.
(2): Este comando nos da la posibilidad de permitir todo el tráfico. Es necesario para que no nos frene trafico que no queremos filtrar.
(3): Con este comando aplicamos la ACL a la interfaz. In para el tráfico que entra, es decir, los paquetes que ingresan al router por una determinada interfaz. Este concepto, desde el punto de vista más técnico, se llama inbound-interno. Lo mismo sucede con out que es para el tráfico que sale por una determinada interfaz. Desde el punto de vista más técnico se conoce como outbound-externo.
IMPORTANTE: las ACL se procesan en forma secuencial, es decir, regla por regla. Si al analizar una regla coincide ya no sigue comparando las reglas con el paquete a analizar. Por eso el comando (2).
NO HAY UNA UNICA FORMA DE HACERLO, MI SOLUCION PROPUESTA ES UNA DE LAS OPCIONES.
Topología:
5-Configurar servidor AAA
Vamos a ver como configurar un servidor AAA. Antes de comenzar, ¿qué es o qué significa AAA? AAA corresponde a autenticación, autorización y
contabilización (en inglés accounting). Dichas referencias de la sigla son las funciones que cumple el protocolo AAA.
Lo bueno de contar con un servidor AAA es que podemos centralizar el manejo de cuentas de usuario para acceder a los dispositivos de red. En esta ocasión vamos a ver 2 protocolos dentro del ya mencionado AAA, son TACACS y RADIUS.
La gran diferencia entre estos 2 protocoles es que TACACS cifra todo el trafico desde que se solicita la comprobación del usuario hasta que termina. En cambio RADIUS solo cifra la contraseña.
Comandos: Router(config)#hostname [NOMRE DE ROUTER](1) R1(config)#enable secret [CONTRASEÑA](2) R1(config)#username [USUARIO] secret [CONTRASEÑA](3) R1(config)#aaa new-model(4) R1(config)#radius-server host [IP DEL SERVIDOR](5) R1(config)#radius-server key [CLAVE](6) R1(config)#aaa authentication login [default o NOMBRE DE LISTA] [Metodo1][Metodo2]..[Metodo4](7) R0(config-line)#login authentication default(8)
R2(config)#tacacs-server host [IP DEL SERVIDOR](5) R2(config)#tacacs-server key [CLAVE](6)
Aclaración:
(1): Ingresamos el nombre del router.
(2): Configuramos una contraseña cifrada para el acceso al modo EXEC.
(3): Creamos un usuario y contraseña cifrada.
(4): Creamos un nuevo modelo de autenticación AAA.
(5): Ingresamos la ip del servidor.
(6): Ingresamos la clave para que el router se pueda conectar al servidor.
(7): Se ingresa los métodos por los cuales se va a autenticar el usuario, ya sea group radius, group tacacs o local. Se pueden ingresar un maximo de 4. Si ingresamos más de uno por ej: group radius local ;significa que primero autenticara con Radius y ,en caso de fallar, se autenticara con la base de datos del router. Para eso creamos el username.
(8): Ingresamos en un modo consola, vty o aux y le indicamos que se autentique con el método aaa previamente definido.
Topología:
6-Configurar servidores NTP y Syslog
Lo que vamos a ver en este post es como configurar un servidor NTP y un SysLog. ¿Qué es o qué hace un servidor NTP? Básicamente la función de dicho servidor es la de proveer la fecha y hora al router. Otra opción es configurar el reloj y la fecha de forma manual pero corremos el riesgo de si se reinicia el router perdemos la fecha y hora exacta. Para prevenir eso utilizamos NTP.
Por otro lado tenemos el servidor Syslog. La función que cumple dicho servidor es
la de registrar todos los accesos al router, es decir, cada vez que accedemos ya sea remotamente o por consola queda registrado en el servidor.
Comandos: NTP R1(config)#ntp server [IP DEL SERVIDOR] R1(config)#ntp update-calendar(1) Syslog R1(config)#logging host [IP DEL SERVIDOR] R1(config)#service timestamps log datetime msec(2) Crear un usuario local R1(config)#username [USUARIO] secret [CONTRASEÑA](3)
Aclaración:
(1): Esta comando sirve para que se actualice el calendario.
(2): Este comando se utiliza para, que los mensajes que almacena el servidor Syslog, tengan la fecha, hora (con minutos y segundos).
(3): Este comando sirve para crear un usuario que se almacena en la base de datos del router. Más adelante habrá un post sobre esto.
Topología:
7-Enrutamiento entre Vlans
En este post vamos a ver lo que se llama enrutamiento entre vlans. ¿Qué es? Es
asignarle un rango de ip a una vlan para que las pc que estan dentro de dicha vlan puedan comunicarse con las respectivas pc y con pcs que están en otras vlans.
Comandos:
SWITCH Cambiar el modo de la interfaz(trunk) S1(config-if)#interface [INTERNFAZ] S1(config-if)#switchport mode trunk S1(config-if)#switchport trunk native vlan [NUMERO DE VLAN] Cambiar el modo de la interfaz(access) S2(config)#interface [INTERFAZ] S2(config-if)#switchport mode access S2(config-if)#switchport access vlan [NUMERO DE VLAN] S2(config-if)# Configurar la ip de default gateway en un Switch S1(config)#ip default-gateway [IP DE ROUTER] Asignar una IP a una Vlan S1(config)#interface vlan [NUMERO DE VLAN]
S1(config-if)#ip address [IP] [MASCARA DE RED] ROUTER Configurar una subinterfaz Router(config)#interface [INTERFAZ.UnNumero] (1) Router(config-subif)#encapsulation dot1Q [NUMERO DE VLAN] (2) Router(config-subif)#ip address [IP] [MASCARA DE RED] Configurar interfaz para Vlan Nativa Router(config-subif)#interface [INTERFAZ.UnNumero] Router(config-subif)#encapsulation dot1Q [NUMERO DE VLAN] native Router(config-subif)#ip address [IP] [MASCARA DE RED]
Aclaracion:
(1): Cuando ingresen dicho comando, después del punto recomiendo que pongan el numero de la vlan que van a configurar.
(2): El comando encapsulation dot1q es el protocolo que permite que el router tenga enlace troncal.
Topología:
8-Configurar NAT Estático
En esta ocasión voy a explicar que es NAT. ¿Qué es NAT? Es un mecanismo
utilizado por los routers para intercambiar paquetes entre dos redes que tienen distintas direcciones. Un ejemplo, estoy en mi casa y me quiero conectar a internet, necesito si o si una dirección publica para poder navegar, ahí en donde interviene NAT. En otras palabras transforma una dirección privada en una pública (usamos la que nos asigna nuestro proveedor de internet).
Comandos:
Router(config)#ip nat inside source static [IP LOCAL] [IP EXTERNA] (1) Router(config)#interface [INTERFAZ] Router(config-if)#ip nat outside(2) Router(config-if)#ip nat inside(3) Router(config)#ip route 0.0.0.0 0.0.0.0 [INTERFAZ DE SALIDA](4)
Aclaración:
(1): Este comando asocio la ip privada de nuestro equipo con la pública.
(2): Este comando se ingresa dentro de la interfaz. Indica que interfaz es la que está conectada a la red externa.
(3): Este comando se ingresa dentro de la interfaz. Indica que interfaz es la que está conectada a la red interna.
(4): Se ingresa una ruta estática para los paquetes se puedan enviar.
Topología:
9-Conexión por Consola
Dicha conexión se realiza cuando, por primera vez, configuramos un nuevo router. Lo que nos permite es acceder a él para darle la primera configuración y así poder ingresar luego vía telnet o ssh.
Aclaración:
Como vimos, el cable que hace referencia a este tipo de conexión es el “cable celeste” en Packet Tracer.
Comandos:
Router> Router#configure Terminal Router(config)#line con 0 Router(config-line)#password [contraseña] Router(config-line)#login Router(config-line)#exit
10-Configurar VTP
¿Qué es VTP? Es un protocolo de Cisco que nos permite tener un switch donde creamos las Vlans y éste se encarga de propagarlas a los demás switch que están bajo su dominio. Es importante remarcar que solamente éste protocolo puede ser configurado en equipos de Cisco.
Para que un switch pertenezca a un dominio debe cumplir con los siguientes items:
i) Se debe configurar con el mismo dominio ii) Debe tener la misma versión de VTP
ii) Debe tener la misma contraseña VTP.
Además cuenta con 3 modos posibles de configuración:
1) Switch Servidor: En él tendremos que configurar las Vlans para que se propaguen en el resto del dominio.
2) Switch Cliente: Este tipo de switch serán los que reciban las Vlans y las podrán utilizar.
3) Switch Transparente: Este tipo de switch no adopta las Vlans que le manda el servidor. En él podremos crear Vlans y usarlas localmente (solamente en este switch).
Aclaración:
En el video usamos la siguiente info:
Dominio: todopacketracer
Contraseña: 1234
S1: Modo Server S2: Modo Client S3: Modo Client
Comandos:
#Para configurar VTP Switch(config)#vtp mode [MODO] Switch(config)#vtp domain [DOMINIO] Switch(config)#vtp password [CONTRASEÑA]
Topologia:
11-Configuración de VLANs
Veamos en este post como configurar VLANS. Primero, ¿qué es una VLAN? Una VLAN es una Lan Virtual donde se puede configurar, en un switch administrable, una cantidad de redes. El principal beneficio es que con un switch podemos tener varias redes sin necesidad de comprar varios equipos.
Comandos:
Creación de VLAN
Switch#vlan database Switch(vlan)#vlan [número de vlan] name [nombre de vlan] Switch(vlan)#exit Asignamos una Vlan a un Puerto (Modo access)
Switch(config)#interface [Interfaz] Switch(config-if)#switchport access vlan [número de vlan] Asignamos el modo trunk a un puerto
Switch(config)#interface [Interfaz] Switch(config-if)#switchport mode trunk Configuracion del Router para Vlan Router>en Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#no shut Router(config-if)#interface fastEthernet 0/0.1 ---> (*) Router(config-subif)#encapsulation dot1Q [Número de la VLAN] Router(config-subif)#ip address [IP] [Mascara]
Aclaración:
Vlan database: Entrás a la base de datos para crear una nueva
Switchport: Lo que hace es cambiar para que se usa el puerto del swtich. Para
que puedas acceder normalmente con una vlan lo pones en access, para que cuando lo conectes, a través de ese puerto, con otro Switch y se pasen las vlan que tienen en su base de datos (vlan database), ingresas trunk.
(*)Este .1 hace referencia a una subinterfaz del router(es virtual). Lo recomendable es que el .1 lo reemplaces por el numero de vlan, es decir, si tenes la Vlan 38 le pones 0/0.38.
Topología:
12-Configuración SSH
Lo que vamos a ver es la forma que existe en Packet Tracer de configurar SSH. Lo que nos permite hacer SSH es lo mismo que Telnet, conectarnos a un equipo de forma remota. La gran diferencia entre Telnet y SSH es que en SSH el trafico viaja encriptado ademas necesitamos tener un usuario para conectarnos.
Comandos:
SSH(config)# ip domain-name [Nombre] (1) SSH(config)# crypto key generate rsa(2) SSH(config)# line vty 0 4 SSH(config-line)# transport input ssh(3) SSH(config-line)# login local SSH(config)# username [usuario] privilege 15 password [password] (4) SSH(config)# enable secret [password] (5)
Aclaración:
(1): Establecemos bajo que nombre de dominio esta el router.
(2): Este comando sirve para darle el tamaño de encriptación.
(3): En esta parte le decimos que deje pasar el protocolo SSH.
(4): El password que se ingresa sirve para entrar por SSH. La parte de la sintaxis privilege 15 son los permisos de usuario.
(5): El password (encriptado) ingresado aca sirve para entrar al modo EXEC.
En la PC se ingresa:
SSH -l (el símbolo menos y la letra “L” en minúscula) [usuario] [dirección ip]
Topología:
13-Configurar servidores DNS y HTTP
El DNS sirve para traducir las direcciones que conocemos, como por ejemplo
http://www.google.com, a direcciones ip. Sencillamente nosotros ingresamos
ladirección en nuestro navegador web y el DNS se encarga de darnos la ip del
servidor HTTP que contiene a la página.
Aclaración:
Direcciones asignadas a continuación:
Router
Interfaz fa0/0 : 192.168.0.1 255.255.255.0 Interfaz fa0/1: 8.8.8.1 255.255.255.252
Interfaz e1/0: 11.11.0.1 255.255.255.252
Servidores
Servidor DNS: 8.8.8.2 255.255.255.252
Servidor HTTP: 11.11.0.2 255.255.255.252
PC
PC: 192.168.0.2 255.255.255.0
Conexiones telnet y configuración de contraseñas
Comandos:
Router>enable
Router#configure terminal
Router(config)#line vty 0 4 //Configuracion TELNET
Router(config-line)#password cisco //cisco es la contraseña
Router(config-line)#login
Router(config-line)#exit
Router(config)#enable secret cisco //Configuracion de password para
acceder al router;cisco es la contraseña
Topología:
Aclaración:
i) El comando line vty 0 4, el numero 0 4 indica que se permiten 5 conexiones en simultaneo.
ii) Si no ingresan el comando login no podrán acceder via telnet, ya que éste nos permite logearnos.
iii) El comando enable secret permite agregar una contraseña encriptada que nos va a pedir ingresarla cada vez que ingresemos al router. Es IMPORTANTE aclarar que si no configuramos una contraseña no vamos a poder ingresar via telnet.
14-Distribución de rutas entre protocolos RIP, EIGRP, OSPF
Lo que vamos a ver aquí es como distribuir rutas entre los protocolos de
enrutamiento dinámico. A veces pasa que tenemos implementado en una misma
topología por ejemplo RIP y EIGRP y no sabemos cómo podemos hacer para que
las rutas que tiene EIGRP se las pase a RIP. El video correspondiente a esta parte
está basado en una topología donde están configurado los 3 protocolos: RIP,
EIGRP y OSPF.
Comandos:
Dentro de la configuración de EIGRP
Router(config-router)#redistribute ospf [ID] metric 10000 100 255 1 1500 (1) Dentro de la configuración de OSPF Router(config-router)#redistribute eigrp [AS] metric 500 subnets (2) Dentro de la configuración de RIP
Router(config-router)#redistribute ospf [ID] metric 2 (3) Dentro de la configuración de OSPF Router(config-router)#redistribute rip subnets (4) === AGREGO LOS COMANDOS PARA DISTRIBUIR RIP CON EIGRP y EIGRP CON RIP === Dentro de la configuracion de RIP Router(config-router)#redistribute eigrp [AS] metric 2 Dentro de la configuracion de EIGRP
Router(config-router)#redistribute rip metric 10000 10 255 1 1500
Aclaración:
(1): Este comando distribuye las rutas configuradas en OSPF dentro de EIGRP. Todos los números que aparecen en metric son para que EIGRP pueda calcular
la métrica. (2): Este comando distribuye las rutas configuradas en EIGRP dentro de OSPF. El número seguido de la palabra metric sirve para que OSPF calcule la métrica. (3): Este comando distribuye las rutas configuradas en OSPF dentro de RIP. El comando metric sirve para que RIP calcule la métrica. (4): Este comando distribuye las rutas configuradas en RIP dentro de OSPF.
Topología: