Mod2
Switching y routing CCNA:Principios básicos de routing y switching Manual de prácticas de laboratorio
Este documento es propiedad exclusiva de Cisco Systems, Inc. Se otorga permiso a los alumnos del curso Switching y routing CCNA: Principios básicos de routing y Switching para uso exclusivo como parte de un programa Cisco Networking Academy oficial. © 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco
CONTENIDO
2.1.1.6: configuración de los parámetros básicos de un switch ..................................................................... 1 2.2.4.11: configuración de características de seguridad de switch .............................................................. 14 3.2.2.5: configuración de redes VLAN y enlaces troncales.......................................................................... 22 3.2.4.9: resolución de problemas de configuración de VLAN ...................................................................... 32 3.3.2.2: implementación de seguridad de VLAN.......................................................................................... 37 4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS .......................................... 44 5.1.2.4: configuración de routing entre VLAN por interfaz ........................................................................... 52 5.1.3.7: configuración de routing entre VLAN basado en enlaces troncales 802.1Q ................................... 56 5.3.2.4: resolución de problemas de routing entre VLAN ............................................................................ 61 6.2.2.5: configuración de rutas estáticas y predeterminadas IPv4 ............................................................... 67 6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6 ............................................................... 73 6.3.3.7: diseño e implementación de direccionamiento IPv4 con VLSM...................................................... 80 6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6.......................................................................................... 85 6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6................................................................. 93 7.3.2.4: configuración básica de RIPv2 y RIPng........................................................................................ 102 8.2.4.5: configuración de OSPFv2 básico de área única ........................................................................... 113 8.3.3.6: configuración de OSPFv3 básico de área única ........................................................................... 132 9.2.2.7: configuración y verificación de ACL estándar ............................................................................... 140 9.2.3.4: configuración y verificación de restricciones de VTY .................................................................... 147 9.3.2.13: configuración y verificación de ACL extendidas.......................................................................... 152 9.4.2.7: resolución de problemas de configuración y colocación de ACL .................................................. 159 9.5.2.7: configuración y verificación de ACL de IPv6................................................................................. 165 10.1.2.4: configuración de DHCPv4 básico en un router ........................................................................... 173 10.1.2.5: configuración de DHCPv4 básico en un switch .......................................................................... 178 10.1.4.4: resolución de problemas de DHCPv4......................................................................................... 185 10.2.3.5: configuración de DHCPv6 sin estado y con estado .................................................................... 192 10.2.4.4: resolución de problemas de DHCPv6......................................................................................... 204 11.2.2.6: configuración de NAT dinámica y estática.................................................................................. 209 11.2.3.7: configuración de un conjunto de NAT con sobrecarga y PAT..................................................... 216 11.3.1.5: resolución de problemas de configuración NAT ......................................................................... 221
2.1.1.6: configuración de los parámetros básicos de un switch Topología
Tabla de direccionamiento Dispositivo
Interfaz
Máscara de subred
Dirección IP
Gateway predeterminado
S1
VLAN 99
192.168.1.2
255.255.255.0
192.168.1.1
PC-A
NIC
192.168.1.10
255.255.255.0
192.168.1.1
Objetivos Parte 1: tender el cableado de red y verificar la configuración predeterminada del switch Parte 2: configurar los parámetros básicos de los dispositivos de red •
Configurar los parámetros básicos del switch.
•
Configurar la dirección IP de la computadora.
Parte 3: verificar y probar la conectividad de red •
Mostrar la configuración del dispositivo.
•
Probar la conectividad de extremo a extremo con ping.
•
Probar las capacidades de administración remota con Telnet.
•
Guardar el archivo de configuración en ejecución del switch.
Parte 4: administrar la tabla de direcciones MAC •
Registrar la dirección MAC del host.
•
Determine las direcciones MAC que el switch ha aprendido.
•
Enumere las opciones del comando show mac address-table.
•
Configure una dirección MAC estática.
Información básica/situación Los switches Cisco se pueden configurar con una dirección IP especial, conocida como “interfaz virtual de switch” (SVI). La SVI o dirección de administración se puede usar para el acceso remoto al switch a fin de ver o configurar parámetros. Si se asigna una dirección IP a la SVI de la VLAN 1, de manera predeterminada, todos los puertos en la VLAN 1 tienen acceso a la dirección IP de administración de SVI. En esta práctica de laboratorio, armará una topología simple mediante cableado LAN Ethernet y accederá a un switch Cisco utilizando los métodos de acceso de consola y remoto. Examinará la configuración predeterminada del switch antes de configurar los parámetros básicos del switch. Esta configuración básica del switch incluye el nombre del dispositivo, la descripción de interfaces, las contraseñas locales, el mensaje del día (MOTD), el direccionamiento IP, la configuración de una dirección MAC estática y la demostración del uso de una dirección IP de administración para la administración remota del switch. La topología consta de un switch y un host que solo usa puertos Ethernet y de consola. 1
1
2.1.1.6: configuración de los parámetros básicos de un switch
2
Nota: el switch que se utiliza es Cisco Catalyst 2960 con IOS de Cisco versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que el switch se haya borrado y no tenga una configuración de inicio. Consulte el apéndice A para conocer los procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios •
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term, y capacidad para Telnet)
•
Cable de consola para configurar el dispositivo con IOS de Cisco mediante el puerto de consola
•
Cable Ethernet, como se muestra en la topología
Parte 1. tender el cableado de red y verificar la configuración predeterminada del switch En la parte 1, establecerá la topología de la red y verificará la configuración predeterminada del switch.
Paso 1. realizar el cableado de red tal como se muestra en la topología. a. Realice el cableado de la conexión de consola tal como se muestra en la topología. En esta instancia, no conecte el cable Ethernet de la PC-A. Nota: si utiliza Netlab, puede desactivar F0/6 en el S1, lo que tiene el mismo efecto que no conectar la PC-A al S1. b. Con Tera Term u otro programa de emulación de terminal, cree una conexión de consola de la PC-A al switch. ¿Por qué debe usar una conexión de consola para configurar inicialmente el switch? ¿Por qué no es posible conectarse al switch a través de Telnet o SSH? ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 2. Verificar la configuración predeterminada del switch. En este paso, examinará la configuración predeterminada del switch, como la configuración actual del switch, la información de IOS, las propiedades de las interfaces, la información de la VLAN y la memoria flash. Puede acceder a todos los comandos IOS del switch en el modo EXEC privilegiado. Se debe restringir el acceso al modo EXEC privilegiado con protección con contraseña para evitar el uso no autorizado, dado que proporciona acceso directo al modo de configuración global y a los comandos que se usan para configurar los parámetros de funcionamiento. Establecerá las contraseñas más adelante en esta práctica de laboratorio. El conjunto de comandos del modo EXEC privilegiado incluye los comandos del modo EXEC del usuario y el comando configure, a través del cual se obtiene acceso a los modos de comando restantes. Use el comando enable para ingresar al modo EXEC privilegiado. a. Si se parte de la suposición de que el switch no tenía ningún archivo de configuración almacenado en la memoria de acceso aleatorio no volátil (NVRAM), usted estará en la petición de entrada del modo EXEC del usuario en el switch, con la petición de entrada Switch>. Use el comando enable para ingresar al modo EXEC privilegiado. Switch> enable Switch# Observe que el indicador cambia en la configuración para reflejar el modo EXEC privilegiado. Verifique que el archivo de configuración esté limpio con el comando show running-config del modo EXEC privilegiado. Si se guardó un archivo de configuración anteriormente, se debe eliminar. Según cuál sea el 2
2
2.1.1.6: configuración de los parámetros básicos de un switch
3
modelo del switch y la versión del IOS, la configuración podría variar. Sin embargo, no debería haber contraseñas ni direcciones IP configuradas. Si su switch no tiene una configuración predeterminada, borre y recargue el switch. Nota: en el apéndice A, se detallan los pasos para inicializar y volver a cargar los dispositivos. b. Examine el archivo de configuración activa actual. Switch# show running-config ¿Cuántas interfaces FastEthernet tiene un switch 2960? ________ ¿Cuántas interfaces Gigabit Ethernet tiene un switch 2960? ________ ¿Cuál es el rango de valores que se muestra para las líneas vty? ________ c.
Examine el archivo de configuración de inicio en la NVRAM. Switch# show startup-config startup-config is not present
¿Por qué aparece este mensaje? _________________________________________________________ d. Examine las características de la SVI para la VLAN 1. Switch# show interface vlan1 ¿Hay alguna dirección IP asignada a la VLAN 1? ________ ¿Cuál es la dirección MAC de esta SVI? Las respuestas varían. ________________________________ ¿Está activa esta interfaz? ____________________________________________________________________________________ ____________________________________________________________________________________ e. Examine las propiedades IP de la VLAN 1 SVI. Switch# show ip interface vlan1 ¿Qué resultado ve? ____________________________________________________________________________________ f.
Conecte el cable Ethernet de la PC-A al puerto 6 en el switch y examine las propiedades IP de la VLAN 1 SVI. Aguarde un momento para que el switch y la computadora negocien los parámetros de dúplex y velocidad. Nota: si utiliza Netlab, habilite la interfaz F0/6 en el S1. Switch# show ip interface vlan1 ¿Qué resultado ve? ____________________________________________________________________________________ ____________________________________________________________________________________
g. Examine la información de la versión del IOS de Cisco del switch. Switch# show version ¿Cuál es la versión del IOS de Cisco que está ejecutando el switch? ____________________________________________________________________________________ ¿Cuál es el nombre del archivo de imagen del sistema? ____________________________________________________________________________________ ¿Cuál es la dirección MAC base de este switch? Las respuestas varían. ____________________________________________________________________________________ h. Examine las propiedades predeterminadas de la interfaz FastEthernet que usa la PC-A. Switch# show interface f0/6 3
3
2.1.1.6: configuración de los parámetros básicos de un switch
4
¿La interfaz está activa o desactivada? ____________________________________________________________________________________ ¿Qué haría que una interfaz se active? ____________________________________________________________________________________ ¿Cuál es la dirección MAC de la interfaz? ____________________________________________________________________________________ ¿Cuál es la configuración de velocidad y de dúplex de la interfaz? _____________ i.
Examine la configuración VLAN predeterminada del switch. Switch# show vlan ¿Cuál es el nombre predeterminado de la VLAN 1? ____________ ¿Qué puertos hay en esta VLAN? ________________________________________________________ ¿La VLAN 1 está activa? ____________ ¿Qué tipo de VLAN es la VLAN predeterminada? _______________
j.
Examine la memoria flash. Ejecute uno de los siguientes comandos para examinar el contenido del directorio flash. Switch# show flash Switch# dir flash: Los archivos poseen una extensión, tal como .bin, al final del nombre del archivo. Los directorios no tienen una extensión de archivo. ¿Cuál es el nombre de archivo de la imagen de IOS de Cisco? ____________________________________________________________________________________
Parte 2. configurar los parámetros básicos de los dispositivos de red En la parte 2, configurará los parámetros básicos para el switch y la computadora.
Paso 1. configurar los parámetros básicos del switch, incluidos el nombre de host, las contraseñas locales, el mensaje MOTD, la dirección de administración y el acceso por Telnet. En este paso, configurará la computadora y los parámetros básicos del switch, como el nombre de host y la dirección IP para la SVI de administración del switch. La asignación de una dirección IP en el switch es solo el primer paso. Como administrador de red, debe especificar cómo se administra el switch. Telnet y SSH son los dos métodos de administración que más se usan. No obstante, Telnet no es un protocolo seguro. Toda la información que fluye entre los dos dispositivos se envía como texto no cifrado. Las contraseñas y otra información confidencial pueden ser fáciles de ver si se las captura mediante un programa detector de paquetes. a. Si se parte de la suposición de que el switch no tenía ningún archivo de configuración almacenado en la NVRAM, verifique que usted esté en el modo EXEC privilegiado. Introduzca el comando enable si la petición de entrada volvió a cambiar a Switch>. Switch> enable Switch# b. Ingrese al modo de configuración global. Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#
La petición de entrada volvió a cambiar para reflejar el modo de configuración global.
4
4
2.1.1.6: configuración de los parámetros básicos de un switch c.
5
Asigne el nombre de host del switch. Switch(config)# hostname S1 S1(config)#
d. Configurar la encriptación de contraseñas. S1(config)# service password-encryption S1(config)# e. Asigne class como contraseña secreta para el acceso al modo EXEC privilegiado. S1(config)# enable secret class S1(config)# f.
Evite las búsquedas de DNS no deseadas. S1(config)# no ip domain-lookup S1(config)#
g. Configure un mensaje MOTD. S1(config)# banner motd # Enter Text message.
End with the character ‘#’.
Unauthorized access is strictly prohibited. # h. Para verificar la configuración de acceso, alterne entre los modos. S1(config)# exit S1# *Mar
1 00:19:19.490: %SYS-5-CONFIG_I: Configured from console by console
S1# exit S1 con0 is now available
Press RETURN to get started.
Unauthorized access is strictly prohibited. S1>
¿Qué teclas de método abreviado se usan para ir directamente del modo de configuración global al modo EXEC privilegiado? _________ i.
Vuelva al modo EXEC privilegiado desde el modo EXEC del usuario. Introduzca la contraseña class cuando se le solicite hacerlo. S1> enable Password: S1# Nota: cuando se introduce la contraseña, esta no se muestra.
j.
Ingrese al modo de configuración global para establecer la dirección IP de la SVI del switch. Esto permite la administración remota del switch. Antes de poder administrar el S1 en forma remota desde la PC-A, debe asignar una dirección IP al switch. El switch está configurado de manera predeterminada para que la administración de este se realice a través de VLAN 1. Sin embargo, la práctica recomendada para la configuración básica del switch es cambiar la VLAN de administración a otra VLAN distinta de la VLAN 1. Con fines de administración, utilice la VLAN 99. La selección de la VLAN 99 es arbitraria y de ninguna manera implica que siempre deba usar la VLAN 99. Primero, cree la nueva VLAN 99 en el switch. Luego, establezca la dirección IP del switch en 192.168.1.2 con la máscara de subred 255.255.255.0 en la interfaz virtual interna VLAN 99.
5
5
2.1.1.6: configuración de los parámetros básicos de un switch
6
S1# configure terminal S1(config)# vlan 99 S1(config-vlan)# exit S1(config)# interface vlan99 %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to down
S1(config-if)# ip address 192.168.1.2 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# exit S1(config)# Observe que la interfaz VLAN 99 está en estado down, aunque haya introducido el comando no shutdown. Actualmente, la interfaz se encuentra en estado down debido a que no se asignaron puertos del switch a la VLAN 99. k.
Asigne todos los puertos de usuario a VLAN 99. S1(config)# interface range f0/1 – 24,g0/1 - 2 S1(config-if-range)# switchport access vlan 99 S1(config-if-range)# exit S1(config)# %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
Para establecer la conectividad entre el host y el switch, los puertos que usa el host deben estar en la misma VLAN que el switch. Observe que, en el resultado de arriba, la interfaz VLAN 1 queda en estado down porque no se asignó ninguno de los puertos a la VLAN 1. Después de unos segundos, la VLAN 99 pasa al estado up porque ahora se le asigna al menos un puerto activo (F0/6 con la PC-A conectada). l.
Emita el comando show vlan brief para verificar que todos los puertos de usuario estén en la VLAN 99. S1# show vlan brief VLAN ---1 99
Name -------------------------------default VLAN0099
1002 1003 1004 1005
fddi-default token-ring-default fddinet-default trnet-default
Status Ports --------- ------------------------------active active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2 act/unsup act/unsup act/unsup act/unsup
m. Configure el gateway IP predeterminado para el S1. Si no se estableció ningún gateway predeterminado, no se puede administrar el switch desde una red remota que esté a más de un router de distancia. Sí responde a los pings de una red remota. Aunque esta actividad no incluye un gateway IP externo, se debe tener en cuenta que finalmente conectará la LAN a un router para tener acceso externo. Suponiendo que la interfaz LAN en el router es 192.168.1.1, establezca el gateway predeterminado para el switch. S1(config)# ip default-gateway 192.168.1.1 S1(config)#
6
6
2.1.1.6: configuración de los parámetros básicos de un switch
7
n. También se debe restringir el acceso del puerto de consola. La configuración predeterminada permite todas las conexiones de consola sin necesidad de introducir una contraseña. Para evitar que los mensajes de consola interrumpan los comandos, use la opción logging synchronous. S1(config)# line S1(config-line)# S1(config-line)# S1(config-line)# S1(config-line)# S1(config)#
con 0 password cisco login logging synchronous exit
o. Configure las líneas de terminal virtual (vty) para que el switch permita el acceso por Telnet. Si no configura una contraseña de vty, no puede acceder al switch mediante telnet. S1(config)# line S1(config-line)# S1(config-line)# S1(config-line)# S1# *Mar
vty 0 15 password cisco login end
1 00:06:11.590: %SYS-5-CONFIG_I: Configured from console by console
¿Por qué se requiere el comando login?
_________________________________________________ Paso 2. configurar una dirección IP en la PC-A. Asigne a la computadora la dirección IP y la máscara de subred que se muestran en la tabla de direccionamiento. Aquí se describe una versión abreviada del procedimiento. Para esta topología, no se requiere ningún gateway predeterminado; sin embargo, puede introducir 192.168.1.1 para simular un router conectado al S1. 1) Haga clic en el ícono Inicio de Windows > Panel de control. 2) Haga clic en Ver por: y elija Íconos pequeños. 3) Selecciones Centro de redes y recursos compartidos > Cambiar configuración del adaptador. 4) Seleccione Conexión de área local, haga clic con el botón secundario y elija Propiedades. 5) Seleccione Protocolo de Internet versión 4 (TCP/IPv4) > Propiedades. 6) Haga clic en el botón de opción Usar la siguiente dirección IP e introduzca la dirección IP y la máscara de subred.
Parte 3. verificar y probar la conectividad de red En la parte 3, verificará y registrará la configuración del switch, probará la conectividad de extremo a extremo entre la PC-A y el S1, y probará la capacidad de administración remota del switch.
Paso 1. mostrar la configuración del switch. Desde la conexión de consola en la PC-A, muestre y verifique la configuración del switch. El comando show run muestra la configuración en ejecución completa, de a una página por vez. Utilice la barra espaciadora para avanzar por las páginas. a. Aquí se muestra un ejemplo de configuración. Los parámetros que configuró están resaltados en amarillo. Las demás son opciones de configuración predeterminadas del IOS. S1# show run Building configuration... Current configuration : 2206 bytes ! version 15.0 no service pad 7
7
2.1.1.6: configuraciรณn de los parรกmetros bรกsicos de un switch
8
service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname S1 ! boot-start-marker boot-end-marker ! enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 ! no aaa new-model system mtu routing 1500 ! no ip domain-lookup ! <output omitted> ! interface FastEthernet0/24 switchport access vlan 99 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache ! interface Vlan99 ip address 192.168.1.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.1.1 ip http server ip http secure-server ! banner motd ^C Unauthorized access is strictly prohibited. ^C ! line con 0 password 7 104D000A0618 logging synchronous login line vty 0 4 password 7 14141B180F0B login line vty 5 15 password 7 14141B180F0B login end S1# 8
8
2.1.1.6: configuración de los parámetros básicos de un switch
9
b. Verifique la configuración de la VLAN 99 de administración. S1# show interface vlan 99 Vlan99 is up, line protocol is up Hardware is EtherSVI, address is 0cd9.96e2.3d41 (bia 0cd9.96e2.3d41) Internet address is 192.168.1.2/24 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:06, output 00:08:45, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 175 packets input, 22989 bytes, 0 no buffer Received 0 broadcasts (0 IP multicast) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 1 packets output, 64 bytes, 0 underruns 0 output errors, 0 interface resets 0 output buffer failures, 0 output buffers swapped out
¿Cuál es el ancho de banda en esta interfaz? ______________________ ¿Cuál es el estado de la VLAN 99? _________ ¿Cuál es el estado del protocolo de línea? _________
Paso 2. probar la conectividad de extremo a extremo con ping. a. En el símbolo del sistema de la PC-A, haga ping a la dirección de la propia PC-A primero. C:\Users\User1> ping 192.168.1.10 b. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración de SVI del S1. C:\Users\User1> ping 192.168.1.2 Debido a que la PC-A debe resolver la dirección MAC del S1 mediante ARP, es posible que se agote el tiempo de espera del primer paquete. Si los resultados del ping siguen siendo incorrectos, resuelva los problemas de configuración de los parámetros básicos del dispositivo. Revise el cableado físico y el direccionamiento lógico, si es necesario.
Paso 3. probar y verificar la administración remota del S1. Ahora utilizará Telnet para acceder al switch en forma remota. En esta práctica de laboratorio, la PC-A y el S1 se encuentran uno junto al otro. En una red de producción, el switch podría estar en un armario de cableado en el piso superior, mientras que la computadora de administración podría estar ubicada en la planta baja. En este paso, utilizará Telnet para acceder al switch S1 en forma remota mediante la dirección de administración de SVI. Telnet no es un protocolo seguro; sin embargo, lo usará para probar el acceso remoto. Con Telnet, toda la información, incluidos los comandos y las contraseñas, se envía durante la sesión como texto no cifrado. En las prácticas de laboratorio posteriores, usará SSH para acceder a los dispositivos de red en forma remota. Nota: si utiliza Windows 7, es posible que el administrador deba habilitar el protocolo Telnet. Para instalar el cliente de Telnet, abra una ventana cmd y escriba pkgmgr /iu:“TelnetClient”. A continuación, se muestra un ejemplo. C:\Users\User1> pkgmgr /iu:”TelnetClient”
9
9
2.1.1.6: configuración de los parámetros básicos de un switch
10
a. Con la ventana cmd abierta en la PC-A, emita un comando de Telnet para conectarse al S1 a través de la dirección de administración de SVI. La contraseña es cisco. C:\Users\User1> telnet 192.168.1.2 b. Después de introducir la contraseña cisco, quedará en la petición de entrada del modo EXEC del usuario. Acceda al modo EXEC privilegiado. c.
Escriba exit para finalizar la sesión de Telnet.
Paso 4. guardar el archivo de configuración en ejecución del switch. Guarde la configuración. S1# copy running-config startup-config Destination filename [startup-config]? [Enter] Building configuration... [OK]
S1#
Parte 4. Administrar la tabla de direcciones MAC En la parte 4, determinará la dirección MAC que detectó el switch, configurará una dirección MAC estática en una interfaz del switch y, a continuación, eliminará la dirección MAC estática de esa interfaz.
Paso 1. registrar la dirección MAC del host. En el símbolo del sistema de la PC-A, emita el comando ipconfig /all para determinar y registrar las direcciones (físicas) de capa 2 de la NIC de la computadora. _______________________________________________________________________________________
Paso 2. Determine las direcciones MAC que el switch ha aprendido. Muestre las direcciones MAC con el comando show mac address-table. S1# show mac address-table ¿Cuántas direcciones dinámicas hay? ____________ ¿Cuántas direcciones MAC hay en total? ____________ ¿La dirección MAC dinámica coincide con la dirección MAC de la PC-A? ____________
Paso 3. enumerar las opciones del comando show mac address-table. a. Muestre las opciones de la tabla de direcciones MAC. S1# show mac address-table ? ¿Cuántas opciones se encuentran disponibles para el comando show mac address-table? ______________________ b. Emita el comando show mac address-table dynamic para mostrar solo las direcciones MAC que se detectaron dinámicamente. S1# show mac address-table dynamic ¿Cuántas direcciones dinámicas hay? ____________ c.
Vea la entrada de la dirección MAC para la PC-A. El formato de dirección MAC para el comando es xxxx.xxxx.xxxx. S1# show mac address-table address <PC-A MAC here>
10
10
2.1.1.6: configuración de los parámetros básicos de un switch
11
Paso 4. Configure una dirección MAC estática. a. limpie la tabla de direcciones MAC. Para eliminar las direcciones MAC existentes, use el comando clear mac address-table del modo EXEC privilegiado. S1# clear mac address-table dynamic b. Verifique que la tabla de direcciones MAC se haya eliminado. S1# show mac address-table ¿Cuántas direcciones MAC estáticas hay? ____________________________________________________________________________________ ¿Cuántas direcciones dinámicas hay? ____________________________________________________________________________________ c.
Examine nuevamente la tabla de direcciones MAC Es muy probable que una aplicación en ejecución en la computadora ya haya enviado una trama por la NIC hacia el S1. Observe nuevamente la tabla de direcciones MAC en el modo EXEC privilegiado para ver si el S1 volvió a detectar la dirección MAC para la PC-A. S1# show mac address-table ¿Cuántas direcciones dinámicas hay? _________ ¿Por qué cambió esto desde la última visualización? ____________________________________________________________________________________ Si el S1 aún no volvió a detectar la dirección MAC de la PC-A, haga ping a la dirección IP de la VLAN 99 del switch desde la PC-A y, a continuación, repita el comando show mac address-table.
d. Configure una dirección MAC estática. Para especificar a qué puertos se puede conectar un host, una opción es crear una asignación estática de la dirección MAC del host a un puerto. Configure una dirección MAC estática en F0/6 con la dirección que se registró para la PC-A en la parte 4, paso 1. La dirección MAC 0050.56BE.6C89 se usa solo como ejemplo. Debe usar la dirección MAC de su PCA, que es distinta de la del ejemplo. S1(config)# mac address-table static 0050.56BE.6C89 vlan 99 interface fastethernet 0/6 e. Verifique las entradas de la tabla de direcciones MAC. S1# show mac address-table ¿Cuántas direcciones MAC hay en total? __________ ¿Cuántas direcciones estáticas hay? ____________________________________________________________________________________ ____________________________________________________________________________________ f.
Elimine la entrada de MAC estática. Ingrese al modo de configuración global y elimine el comando escribiendo no delante de la cadena de comandos. Nota: la dirección MAC 0050.56BE.6C89 se usa solo en el ejemplo. Use la dirección MAC de su PC-A. S1(config)# no mac address-table static 0050.56BE.6C89 vlan 99 interface fastethernet 0/6
g. Verifique que la dirección MAC estática se haya borrado. S1# show mac address-table ¿Cuántas direcciones MAC estáticas hay en total? ____________ 11
11
2.1.1.6: configuración de los parámetros básicos de un switch
12
Reflexión 1. ¿Por qué debe configurar las líneas vty para el switch? _______________________________________________________________________________________ 2. ¿Para qué se debe cambiar la VLAN 1 predeterminada a un número de VLAN diferente? _______________________________________________________________________________________ 3. ¿Cómo puede evitar que las contraseñas se envíen como texto no cifrado? _______________________________________________________________________________________ 4. ¿Para qué se debe configurar una dirección MAC estática en una interfaz de puerto? _______________________________________________________________________________________
Apéndice A: inicialización y recarga de un router y un switch Paso 1. inicializar y volver a cargar el router. a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado. Router> enable Router# b. Introduzca el comando erase startup-config para eliminar la configuración de inicio de la NVRAM. Router# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Router#
c.
Emita el comando reload para eliminar una configuración antigua de la memoria. Cuando reciba el mensaje Proceed with reload?, presione Enter. (Si presiona cualquier otra tecla, se cancela la recarga). Router# reload Proceed with reload? [confirm] *Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.
Nota: es posible que reciba una petición de entrada para guardar la configuración en ejecución antes de volver a cargar el router. Responda escribiendo no y presione Enter. System configuration has been modified. Save? [yes/no]: no
d. Una vez que se vuelve a cargar el router, se le solicita introducir el diálogo de configuración inicial. Escriba no y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no e. Aparece otra petición de entrada para finalizar la instalación automática. Responda escribiendo yes (sí) y presione Enter. Would you like to terminate autoinstall? [yes]: yes
Paso 2. inicializar y volver a cargar el switch. a. Acceda al switch mediante el puerto de consola e ingrese al modo EXEC privilegiado. Switch> enable Switch#
12
12
2.1.1.6: configuración de los parámetros básicos de un switch
13
b. Utilice el comando show flash para determinar si se crearon VLAN en el switch. Switch# show flash Directory of flash:/ 2 3 4 5 6
-rwx -rwx -rwx -rwx -rwx
1919 1632 13336 11607161 616
Mar Mar Mar Mar Mar
1 1 1 1 1
1993 1993 1993 1993 1993
00:06:33 00:06:33 00:06:33 02:37:06 00:07:13
+00:00 +00:00 +00:00 +00:00 +00:00
private-config.text config.text multiple-fs c2960-lanbasek9-mz.150-2.SE.bin vlan.dat
32514048 bytes total (20886528 bytes free) Switch#
c.
Si se encontró el archivo vlan.dat en la memoria flash, elimínelo. Switch# delete vlan.dat Delete filename [vlan.dat]?
d. Se le solicitará que verifique el nombre de archivo. Si introdujo el nombre correctamente, presione Enter; de lo contrario, puede cambiar el nombre de archivo. e. Se le solicita que confirme la eliminación de este archivo. Presione Intro para confirmar. Delete flash:/vlan.dat? [confirm] Switch#
f.
Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la NVRAM. Se le solicita que elimine el archivo de configuración. Presione Intro para confirmar. Switch# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Switch#
g. Vuelva a cargar el switch para eliminar toda información de configuración antigua de la memoria. Luego, recibirá una petición de entrada para confirmar la recarga del switch. Presione Enter para continuar. Switch# reload Proceed with reload? [confirm]
Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el switch. Responda escribiendo no y presione Enter. System configuration has been modified. Save? [yes/no]: no
h. Una vez que se vuelve a cargar el switch, debe ver una petición de entrada del diálogo de configuración inicial. Responda escribiendo no en la petición de entrada y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no
Switch>
13
13
2.2.4.11: configuración de características de seguridad de switch Topología
Tabla de direccionamiento Dispositivo
Interfaz
Máscara de subred
Dirección IP
Gateway predeterminado
R1
G0/1
172.16.99.1
255.255.255.0
N/A
S1
VLAN 99
172.16.99.11
255.255.255.0
172.16.99.1
PC-A
NIC
172.16.99.3
255.255.255.0
172.16.99.1
Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los parámetros básicos de los dispositivos y verificar la conectividad Parte 3: configurar y verificar el acceso por SSH en el S1 •
Configurar el acceso por SSH.
•
Modificar los parámetros de SSH.
•
Verificar la configuración de SSH.
Parte 4: configurar y verificar las características de seguridad en el S1 •
Configurar y verificar las características de seguridad general.
•
Configurar y verificar la seguridad del puerto.
Información básica/situación Es muy común bloquear el acceso e instalar buenas características de seguridad en computadoras y servidores. Es importante que los dispositivos de infraestructura de red, como los switches y routers, también se configuren con características de seguridad. En esta práctica de laboratorio, seguirá algunas de las prácticas recomendadas para configurar características de seguridad en switches LAN. Solo permitirá las sesiones de SSH y de HTTPS seguras. También configurará y verificará la seguridad de puertos para bloquear cualquier dispositivo con una dirección MAC que el switch no reconozca. Nota: el router que se utiliza en las prácticas de laboratorio de CCNA es un router de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). El switch que se utiliza es Cisco Catalyst 2960 con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, solicite ayuda al instructor o consulte las prácticas de laboratorio anteriores para conocer los procedimientos de inicialización y recarga de dispositivos. 14
14
2.2.4.11: configuración de características de seguridad de switch
15
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. establecer la topología e inicializar los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch. Si los archivos de configuración se guardaron previamente en el router y el switch, inicialice y vuelva a cargar estos dispositivos con los parámetros básicos.
Parte 2. configurar los parámetros básicos de los dispositivos y verificar la conectividad En la parte 2, configure los parámetros básicos en el router, el switch y la computadora. Consulte la topología y la tabla de direccionamiento incluidos al comienzo de esta práctica de laboratorio para conocer los nombres de los dispositivos y obtener información de direcciones.
Paso 1. configurar una dirección IP en la PC-A. Paso 2. configurar los parámetros básicos en el R1. a. Configure el nombre del dispositivo. b. Desactive la búsqueda del DNS. c.
Configure la dirección IP de interfaz que se muestra en la tabla de direccionamiento.
d. Asigne class como la contraseña del modo EXEC privilegiado. e. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión. f.
Cifre las contraseñas de texto no cifrado.
g. Guarde la configuración en ejecución en la configuración de inicio.
Paso 3. configurar los parámetros básicos en el S1. Una buena práctica de seguridad es asignar la dirección IP de administración del switch a una VLAN distinta de la VLAN 1 (o cualquier otra VLAN de datos con usuarios finales). En este paso, creará la VLAN 99 en el switch y le asignará una dirección IP. a. Configure el nombre del dispositivo. b. Desactive la búsqueda del DNS. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de vty y la contraseña de consola, y luego habilite el inicio de sesión. e. Configure un gateway predeterminado para el S1 con la dirección IP del R1. f.
Cifre las contraseñas de texto no cifrado.
g. Guarde la configuración en ejecución en la configuración de inicio. 15
15
2.2.4.11: configuración de características de seguridad de switch
16
h. Cree la VLAN 99 en el switch y asígnele el nombre Management. S1(config)# vlan 99 S1(config-vlan)# name Management S1(config-vlan)# exit S1(config)# i.
Configure la dirección IP de la interfaz de administración VLAN 99, tal como se muestra en la tabla de direccionamiento, y habilite la interfaz. S1(config)# interface vlan 99 S1(config-if)# ip address 172.16.99.11 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# end S1#
j.
Emita el comando show vlan en el S1. ¿Cuál es el estado de la VLAN 99? __________________
k.
Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo para la interfaz de administración VLAN 99? ____________________________________________________________________________________ ¿Por qué el protocolo figura como down, a pesar de que usted emitió el comando no shutdown para la interfaz VLAN 99? ____________________________________________________________________________________
l.
Asigne los puertos F0/5 y F0/6 a la VLAN 99 en el switch. S1# config t S1(config)# interface f0/5 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 99 S1(config-if)# interface f0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 99 S1(config-if)# end
m. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo que se muestra para la interfaz VLAN 99? _______________________________________________ Nota: puede haber una demora mientras convergen los estados de los puertos.
Paso 4. verificar la conectividad entre los dispositivos. a. En la PC-A, haga ping a la dirección de gateway predeterminado en el R1. ¿Los pings se realizaron correctamente? ______________ b. En la PC-A, haga ping a la dirección de administración del S1. ¿Los pings se realizaron correctamente? ______________ c.
En el S1, haga ping a la dirección de gateway predeterminado en el R1. ¿Los pings se realizaron correctamente? ______________
d. En la PC-A, abra un navegador web y acceda a http://172.16.99.11. Si le solicita un nombre de usuario y una contraseña, deje el nombre de usuario en blanco y utilice la contraseña class. Si le solicita una conexión segura, conteste No. ¿Pudo acceder a la interfaz web en el S1? ______________ e. Cierre la sesión del explorador en la PC-A. Nota: la interfaz web no segura (servidor HTTP) en un switch Cisco 2960 está habilitada de manera predeterminada. Una medida de seguridad frecuente es deshabilitar este servicio, tal como se describe en la parte 4.
16
16
2.2.4.11: configuración de características de seguridad de switch
17
Parte 3. configurar y verificar el acceso por SSH en el S1 Paso 1. configurar el acceso por SSH en el S1. a. Habilite SSH en el S1. En el modo de configuración global, cree el nombre de dominio CCNA-Lab.com. S1(config)# ip domain-name CCNA-Lab.com b. Cree una entrada de base de datos de usuarios local para que se utilice al conectarse al switch a través de SSH. El usuario debe tener acceso de nivel de administrador. Nota: la contraseña que se utiliza aquí NO es una contraseña segura. Simplemente se usa a los efectos de esta práctica de laboratorio. S1(config)# username admin privilege 15 secret sshadmin c.
Configure la entrada de transporte para que las líneas vty permitan solo conexiones SSH y utilicen la base de datos local para la autenticación. S1(config)# line S1(config-line)# S1(config-line)# S1(config-line)#
vty 0 15 transport input ssh login local exit
d. Genere una clave criptográfica RSA con un módulo de 1024 bits. S1(config)# crypto key generate rsa modulus 1024 The name for the keys will be: S1.CCNA-Lab.com % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 3 seconds)
S1(config)# S1(config)# end e. Verifique la configuración de SSH y responda las siguientes preguntas. S1# show ip ssh ¿Qué versión de SSH usa el switch? _______________________ ¿Cuántos intentos de autenticación permite SSH? _______________________ ¿Cuál es la configuración predeterminada de tiempo de espera para SSH? ____________
Paso 2. modificar la configuración de SSH en el S1. Modifique la configuración predeterminada de SSH. S1# config t S1(config)# ip ssh time-out 75 S1(config)# ip ssh authentication-retries 2 ¿Cuántos intentos de autenticación permite SSH? _______________________ ¿Cuál es la configuración de tiempo de espera para SSH? _______________________
Paso 3. verificar la configuración de SSH en el S1. a. Mediante un software de cliente SSH en la PC-A (como Tera Term), abra una conexión SSH en el S1. Si recibe un mensaje en el cliente SSH con respecto a la clave de host, acéptela. Inicie sesión con el nombre de usuario admin y la contraseña class. ¿La conexión se realizó correctamente? _________________________ 17
17
2.2.4.11: configuración de características de seguridad de switch
18
¿Qué petición de entrada se mostró en el S1? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Escriba exit para finalizar la sesión de SSH en el S1.
Parte 4. configurar y verificar las características de seguridad en el S1 En la parte 4, desactivará los puertos sin utilizar, desactivará determinados servicios que se ejecutan en el switch y configurará la seguridad de puertos según las direcciones MAC. Los switches pueden estar sujetos a ataques de desbordamiento de la tabla de direcciones MAC, a ataques de suplantación de direcciones MAC y a conexiones no autorizadas a los puertos del switch. Configurará la seguridad de puertos para limitar la cantidad de direcciones MAC que se pueden detectar en un puerto del switch y para deshabilitar el puerto si se supera ese número.
Paso 1. configurar las características de seguridad general en el S1. a. Configure un aviso de mensaje del día (MOTD) en el S1 con un mensaje de advertencia de seguridad adecuado. b. Emita un comando show ip interface brief en el S1. ¿Qué puertos físicos están activos? ____________________________________________________________________________________ c.
Desactive todos los puertos sin utilizar en el switch. Use el comando interface range. S1(config)# interface range f0/1 – 4 S1(config-if-range)# shutdown S1(config-if-range)# interface range f0/7 – 24 S1(config-if-range)# shutdown S1(config-if-range)# interface range g0/1 – 2 S1(config-if-range)# shutdown S1(config-if-range)# end S1#
d. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado de los puertos F0/1 a F0/4? ____________________________________________________________________________________ e. Emita el comando show ip http server status. ¿Cuál es el estado del servidor HTTP? ___________________________ ¿Qué puerto del servidor utiliza? ___________________________ ¿Cuál es el estado del servidor seguro de HTTP? ___________________________ ¿Qué puerto del servidor seguro utiliza? ___________________________ f.
Las sesiones HTTP envían todo como texto no cifrado. Deshabilite el servicio HTTP que se ejecuta en el S1. S1(config)# no ip http server
g. En la PC-A, abra una sesión de navegador web a http://172.16.99.11. ¿Cuál fue el resultado? ____________________________________________________________________________________ h. En la PC-A, abra una sesión segura de navegador web en https://172.16.99.11. Acepte el certificado. Inicie sesión sin nombre de usuario y con la contraseña class. ¿Cuál fue el resultado? ____________________________________________________________________________________ i.
Cierre la sesión web en la PC-A.
Paso 2. configurar y verificar la seguridad de puertos en el S1. a. Registre la dirección MAC de G0/1 del R1. Desde la CLI del R1, use el comando show interface g0/1 y registre la dirección MAC de la interfaz. 18
18
2.2.4.11: configuración de características de seguridad de switch
19
R1# show interface g0/1 GigabitEthernet0/1 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is 30f7.0da3.1821 (bia 3047.0da3.1821) ¿Cuál es la dirección MAC de la interfaz G0/1 del R1? ____________________________________________________________________________________ b. Desde la CLI del S1, emita un comando show mac address-table en el modo EXEC privilegiado. Busque las entradas dinámicas de los puertos F0/5 y F0/6. Regístrelos a continuación. Dirección MAC de F0/5: ____________________________________________________ Dirección MAC de F0/6: ___________________________________________________ c.
Configure la seguridad básica de los puertos. Nota: normalmente, este procedimiento se realizaría en todos los puertos de acceso en el switch. Aquí se muestra F0/5 como ejemplo. 1) Desde la CLI del S1, ingrese al modo de configuración de interfaz para el puerto que se conecta al R1. S1(config)# interface f0/5 2) Desactive el puerto. S1(config-if)# shutdown 3) Habilite la seguridad de puertos en F0/5. S1(config-if)# switchport port-security
Nota: la introducción del comando switchport port-security establece la cantidad máxima de direcciones MAC en 1 y la acción de violación en shutdown. Los comandos switchport port-security maximum y switchport port-security violation se pueden usar para cambiar el comportamiento predeterminado. 4) Configure una entrada estática para la dirección MAC de la interfaz G0/1 del R1 registrada en el paso 2a. S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx (xxxx.xxxx.xxxx es la dirección MAC real de la interfaz G0/1 del router)
Nota: de manera optativa, puede usar el comando switchport port-security macaddress sticky para agregar todas las direcciones MAC seguras que se detectan dinámicamente en un puerto (hasta el máximo establecido) a la configuración en ejecución del switch. 5) Habilite el puerto del switch. S1(config-if)# no shutdown S1(config-if)# end d. Verifique la seguridad de puertos en F0/5 del S1 mediante la emisión de un comando show port-security interface. S1# show port-security interface f0/5 Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses 19
: : : : : : : : : :
Enabled Secure-up Shutdown 0 mins Absolute Disabled 1 1 1 0 19
2.2.4.11: configuración de características de seguridad de switch Last Source Address:Vlan Security Violation Count
20
: 0000.0000.0000:0 : 0
¿Cuál es el estado del puerto de F0/5? ____________________________________________________________________________________ e. En el símbolo del sistema del R1, haga ping a la PC-A para verificar la conectividad. R1# ping 172.16.99.3 f.
Ahora violará la seguridad mediante el cambio de la dirección MAC en la interfaz del router. Ingrese al modo de configuración de interfaz para G0/1 y desactívela. R1# config t R1(config)# interface g0/1 R1(config-if)# shutdown
g. Configure una nueva dirección MAC para la interfaz, con la dirección aaaa.bbbb.cccc. R1(config-if)# mac-address aaaa.bbbb.cccc h. De ser posible, tenga una conexión de consola abierta en el S1 al mismo tiempo que realiza este paso. Verá que se muestran varios mensajes en la conexión de consola al S1 que indican una violación de seguridad. Habilite la interfaz G0/1 en R1. R1(config-if)# no shutdown i.
En el modo EXEC privilegiado del R1, haga ping a la PC-A. ¿El ping se realizó correctamente? ¿Por qué o por qué no? ____________________________________________________________________________________
j.
En el switch, verifique la seguridad de puertos con los comandos que se muestran a continuación. S1# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------Fa0/5 1 1 1 Shutdown ---------------------------------------------------------------------Total Addresses in System (excluding one mac per port) :0 Max Addresses limit in System (excluding one mac per port) :8192
S1# show port-security interface f0/5 Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximum MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address:Vlan Security Violation Count
: : : : : : : : : : : :
Enabled Secure-shutdown Shutdown 0 mins Absolute Disabled 1 1 1 0 aaaa.bbbb.cccc:99 1
S1# show interface f0/5 FastEthernet0/5 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 0cd9.96e2.3d05 (bia 0cd9.96e2.3d05) MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec, 20
20
2.2.4.11: configuración de características de seguridad de switch
21
reliability 255/255, txload 1/255, rxload 1/255 <output omitted>
S1# show port-security address Secure Mac Address Table -----------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) --------------------------------99 30f7.0da3.1821 SecureConfigured Fa0/5 ----------------------------------------------------------------------Total Addresses in System (excluding one mac per port) :0 Max Addresses limit in System (excluding one mac per port) :8192
k.
En el router, desactive la interfaz G0/1, elimine la dirección MAC codificada de forma rígida del router y vuelva a habilitar la interfaz G0/1. R1(config-if)# R1(config-if)# R1(config-if)# R1(config-if)#
l.
shutdown no mac-address aaaa.bbbb.cccc no shutdown end
Desde el R1, vuelva a hacer ping a la PC-A en 172.16.99.3. ¿El ping se realizó correctamente? _________________
m. Emita el comando show interface f0/5 para determinar la causa de la falla del ping. Registre sus conclusiones. ____________________________________________________________________________________ n. Borre el estado de inhabilitación por errores de F0/5 en el S1. S1# config t S1(config)# interface f0/5 S1(config-if)# shutdown S1(config-if)# no shutdown Nota: puede haber una demora mientras convergen los estados de los puertos. o. Emita el comando show interface f0/5 en el S1 para verificar que F0/5 ya no esté en estado de inhabilitación por errores. S1# show interface f0/5 FastEthernet0/5 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 0023.5d59.9185 (bia 0023.5d59.9185) MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255
p. En el símbolo del sistema del R1, vuelva a hacer ping a la PC-A. Debería realizarse correctamente.
Reflexión 1. ¿Por qué habilitaría la seguridad de puertos en un switch? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Por qué deben deshabilitarse los puertos no utilizados en un switch? _______________________________________________________________________________________ _______________________________________________________________________________________
21
21
3.2.2.5: configuración de redes VLAN y enlaces troncales Topología
Tabla de direccionamiento Dispositivo
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
S1
VLAN 1
192.168.1.11
255.255.255.0
N/A
S2
VLAN 1
192.168.1.12
255.255.255.0
N/A
PC-A
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-B
NIC
192.168.10.4
255.255.255.0
192.168.10.1
PC-C
NIC
192.168.20.3
255.255.255.0
192.168.20.1
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: crear redes VLAN y asignar puertos de switch Parte 3: mantener las asignaciones de puertos de VLAN y la base de datos de VLAN Parte 4: configurar un enlace troncal 802.1Q entre los switches Parte 5: eliminar la base de datos de VLAN
Información básica/situación Los switches modernos usan redes de área local virtuales (VLAN) para mejorar el rendimiento de la red mediante la división de grandes dominios de difusión de capa 2 en otros más pequeños. Las VLAN también se pueden usar como medida de seguridad al controlar qué hosts se pueden comunicar. Por lo general, las redes VLAN facilitan el diseño de una red para respaldar los objetivos de una organización. Los enlaces troncales de VLAN se usan para abarcar redes VLAN a través de varios dispositivos. Los enlaces troncales permiten transferir el tráfico de varias VLAN a través de un único enlace y conservar intactas la segmentación y la identificación de VLAN.
22
22
3.2.2.5: configuración de redes VLAN y enlaces troncales
23
En esta práctica de laboratorio, creará redes VLAN en los dos switches de la topología, asignará las VLAN a los puertos de acceso de los switches, verificará que las VLAN funcionen como se espera y, a continuación, creará un enlace troncal de VLAN entre los dos switches para permitir que los hosts en la misma VLAN se comuniquen a través del enlace troncal, independientemente del switch al que está conectado el host. Nota: los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host y los switches.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según sea necesario.
Paso 2. inicializar y volver a cargar los switches según sea necesario. Paso 3. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión para las líneas de vty y de consola. e. Configure logging synchronous para la línea de consola. f.
Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.
g. Configure la dirección IP que se indica en la tabla de direccionamiento para la VLAN 1 en ambos switches. h. Desactive administrativamente todos los puertos que no se usen en el switch. i.
Copie la configuración en ejecución en la configuración de inicio
Paso 4. configurar los equipos host. Consulte la tabla de direccionamiento para obtener información de direcciones de los equipos host.
Paso 5. Probar la conectividad. Verifique que los equipos host puedan hacer ping entre sí. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas. ¿Se puede hacer ping de la PC-A a la PC-B? 23
_________ 23
3.2.2.5: configuración de redes VLAN y enlaces troncales ¿Se puede hacer ping de la PC-A a la PC-C?
_________
¿Se puede hacer ping de la PC-A al S1?
_________
¿Se puede hacer ping de la PC-B a la PC-C?
_________
¿Se puede hacer ping de la PC-B al S2?
_________
¿Se puede hacer ping de la PC-C al S2?
_________
¿Se puede hacer ping del S1 al S2?
_________
24
Si la respuesta a cualquiera de las preguntas anteriores es no, ¿por qué fallaron los pings? _______________________________________________________________________________________
Parte 2. crear redes VLAN y asignar puertos de switch En la parte 2, creará redes VLAN para los estudiantes, el cuerpo docente y la administración en ambos switches. A continuación, asignará las VLAN a la interfaz correspondiente. El comando show vlan se usa para verificar las opciones de configuración.
Paso 1. crear las VLAN en los switches. a. Cree las VLAN en S1. S1(config)# vlan S1(config-vlan)# S1(config-vlan)# S1(config-vlan)# S1(config-vlan)# S1(config-vlan)# S1(config-vlan)#
10 name vlan name vlan name end
Student 20 Faculty 99 Management
b. Cree las mismas VLAN en el S2. c.
Emita el comando show vlan para ver la lista de VLAN en el S1. S1# show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gi0/1, Gi0/2 10 Student active 20 Faculty active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN ---1 10
24
Type ----enet enet
SAID ---------100001 100010
MTU ----1500 1500
Parent ------
RingNo ------
BridgeNo --------
Stp ----
BrdgMode --------
Trans1 -----0 0
Trans2 -----0 0 24
3.2.2.5: configuración de redes VLAN y enlaces troncales
25
20 99
enet enet
100020 100099
1500 1500
-
-
-
-
-
0 0
0 0
VLAN ---1002 1003 1004 1005
Type ----fddi tr fdnet trnet
SAID ---------101002 101003 101004 101005
MTU ----1500 1500 1500 1500
Parent ------
RingNo ------
BridgeNo --------
Stp ---ieee ibm
BrdgMode --------
Trans1 -----0 0 0 0
Trans2 -----0 0 0 0
Remote SPAN VLANs ------------------------------------------------------------------------------
Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------
¿Cuál es la VLAN predeterminada? ___________ ¿Qué puertos se asignan a la VLAN predeterminada? ____________________________________________________________________________________
Paso 2. asignar las VLAN a las interfaces del switch correctas. a. Asigne las VLAN a las interfaces en el S1. 1) Asigne la PC-A a la VLAN Estudiantes. S1(config)# interface f0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 10 2) Transfiera la dirección IP del switch a la VLAN 99. S1(config)# interface vlan 1 S1(config-if)# no ip address S1(config-if)# interface vlan 99 S1(config-if)# ip address 192.168.1.11 255.255.255.0 S1(config-if)# end b. Emita el comando show vlan brief y verifique que las VLAN se hayan asignado a las interfaces correctas. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gi0/1 Gi0/2 10 Student active Fa0/6 20 Faculty active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 25
25
3.2.2.5: configuración de redes VLAN y enlaces troncales 1004 fddinet-default 1005 trnet-default
c.
26
act/unsup act/unsup
Emita el comando show ip interface brief. ¿Cuál es el estado de la VLAN 99? ¿Por qué? ____________________________________________________________________________________
d. Use la topología para asignar las VLAN a los puertos correspondientes en el S2. e. Elimine la dirección IP para la VLAN 1 en el S2. f.
Configure una dirección IP para la VLAN 99 en el S2 según la tabla de direccionamiento.
g. Use el comando show vlan brief para verificar que las VLAN se hayan asignado a las interfaces correctas. S2# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Student active Fa0/11 20 Faculty active Fa0/18 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
¿Es posible hacer ping de la PC-A a la PC-B? ¿Por qué? ____________________________________________________________________________________ ¿Es posible hacer ping del S1 al S2? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________
Parte 3. mantener las asignaciones de puertos de VLAN y la base de datos de VLAN En la parte 3, cambiará las asignaciones de VLAN a los puertos y eliminará las VLAN de la base de datos de VLAN.
Paso 1. asignar una VLAN a varias interfaces. a. En el S1, asigne las interfaces F0/11 a 24 a la VLAN 10. S1(config)# interface range f0/11-24 S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 10 S1(config-if-range)# end b. Emita el comando show vlan brief para verificar las asignaciones de VLAN. c.
Reasigne F0/11 y F0/21 a la VLAN 20.
d. Verifique que las asignaciones de VLAN sean las correctas. 26
26
3.2.2.5: configuración de redes VLAN y enlaces troncales
27
Paso 2. eliminar una asignación de VLAN de una interfaz. a. Use el comando no switchport access vlan para eliminar la asignación de la VLAN 10 a F0/24. S1(config)# interface f0/24 S1(config-if)# no switchport access vlan S1(config-if)# end b. Verifique que se haya realizado el cambio de VLAN. ¿A qué VLAN está asociada ahora F0/24? ____________________________________________________________________________________
Paso 3. eliminar una ID de VLAN de la base de datos de VLAN. a. Agregue la VLAN 30 a la interfaz F0/24 sin emitir el comando VLAN. S1(config)# interface f0/24 S1(config-if)# switchport access vlan 30 % Access VLAN does not exist. Creating vlan 30
Nota: la tecnología de switches actual ya no requiere la emisión del comando vlan para agregar una VLAN a la base de datos. Al asignar una VLAN desconocida a un puerto, la VLAN se agrega a la base de datos de VLAN. b. Verifique que la nueva VLAN se muestre en la tabla de VLAN. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Gi0/1, Gi0/2 10 Student active Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/22, Fa0/23 20 Faculty active Fa0/11, Fa0/21 30 VLAN0030 active Fa0/24 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
¿Cuál es el nombre predeterminado de la VLAN 30? ____________________________________________________________________________________ c.
Use el comando no vlan 30 para eliminar la VLAN 30 de la base de datos de VLAN. S1(config)# no vlan 30 S1(config)# end
d. Emita el comando show vlan brief. F0/24 se asignó a la VLAN 30. Una vez que se elimina la VLAN 30, ¿a qué VLAN se asigna el puerto F0/24? ¿Qué sucede con el tráfico destinado al host conectado a F0/24? ____________________________________________________________________________________ S1# show vlan brief
27
27
3.2.2.5: configuración de redes VLAN y enlaces troncales
28
VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Gi0/1, Gi0/2 10 Student active Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/22, Fa0/23 20 Faculty active Fa0/11, Fa0/21 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
e. Emita el comando no switchport access vlan en la interfaz F0/24. f.
Emita el comando show vlan brief para determinar la asignación de VLAN para F0/24. ¿A qué VLAN se asignó F0/24? ____________________________________________________________________________________ Nota: antes de eliminar una VLAN de la base de datos, se recomienda reasignar todos los puertos asignados a esa VLAN. ¿Por qué debe reasignar un puerto a otra VLAN antes de eliminar la VLAN de la base de datos de VLAN? ____________________________________________________________________________________
Parte 4. configurar un enlace troncal 802.1Q entre los switches En la parte 4, configurará la interfaz F0/1 para que use el protocolo de enlace troncal dinámico (DTP) y permitir que negocie el modo de enlace troncal. Después de lograr y verificar esto, desactivará DTP en la interfaz F0/1 y la configurará manualmente como enlace troncal.
Paso 1. usar DTP para iniciar el enlace troncal en F0/1. El modo de DTP predeterminado de un puerto en un switch 2960 es dinámico automático. Esto permite que la interfaz convierta el enlace en un enlace troncal si la interfaz vecina se establece en modo de enlace troncal o dinámico deseado. a. Establezca F0/1 en el S1 en modo de enlace troncal. S1(config)# interface f0/1 S1(config-if)# switchport mode dynamic desirable *Mar 1 05:07:28.746: to down *Mar 1 05:07:29.744: changed state to down S1(config-if)# *Mar 1 05:07:32.772: changed state to up S1(config-if)# *Mar 1 05:08:01.789: state to up *Mar 1 05:08:01.797: to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state
También debe recibir mensajes del estado del enlace en el S2. S2# *Mar 1 05:07:29.794: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down 28
28
3.2.2.5: configuraciรณn de redes VLAN y enlaces troncales
29
S2# *Mar 1 05:07:32.823: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up S2# *Mar 1 05:08:01.839: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up *Mar 1 05:08:01.850: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
b. Emita el comando show vlan brief en el S1 y el S2. La interfaz F0/1 ya no estรก asignada a la VLAN 1. Las interfaces de enlace troncal no se incluyen en la tabla de VLAN. S1# show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/24, Gi0/1, Gi0/2 10 Student active Fa0/6, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/22, Fa0/23 20 Faculty active Fa0/11, Fa0/21 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup
c.
Emita el comando show interfaces trunk para ver las interfaces de enlace troncal. Observe que el modo en el S1 estรก establecido en deseado, y el modo en el S2 en automรกtico. S1# show interfaces trunk Port Fa0/1
Mode desirable
Encapsulation 802.1q
Status trunking
Native vlan 1
Port Fa0/1
Vlans allowed on trunk 1-4094
Port Fa0/1
Vlans allowed and active in management domain 1,10,20,99
Port Fa0/1
Vlans in spanning tree forwarding state and not pruned 1,10,20,99
S2# show interfaces trunk
29
Port Fa0/1
Mode auto
Encapsulation 802.1q
Status trunking
Port Fa0/1
Vlans allowed on trunk 1-4094
Port Fa0/1
Vlans allowed and active in management domain 1,10,20,99
Native vlan 1
29
3.2.2.5: configuración de redes VLAN y enlaces troncales
Port Fa0/1
30
Vlans in spanning tree forwarding state and not pruned 1,10,20,99
Nota: de manera predeterminada, todas las VLAN se permiten en un enlace troncal. El comando switchport trunk le permite controlar qué VLAN tienen acceso al enlace troncal. Para esta práctica de laboratorio, mantenga la configuración predeterminada que permite que todas las VLAN atraviesen F0/1. d. Verifique que el tráfico de VLAN se transfiera a través de la interfaz de enlace troncal F0/1. ¿Se puede hacer ping del S1 al S2?
___________
¿Se puede hacer ping de la PC-A a la PC-B?
___________
¿Se puede hacer ping de la PC-A a la PC-C?
___________
¿Se puede hacer ping de la PC-B a la PC-C?
___________
¿Se puede hacer ping de la PC-A al S1?
___________
¿Se puede hacer ping de la PC-B al S2?
___________
¿Se puede hacer ping de la PC-C al S2?
___________
Si la respuesta a cualquiera de las preguntas anteriores es no, justifíquela a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 2. configurar manualmente la interfaz de enlace troncal F0/1. El comando switchport mode trunk se usa para configurar un puerto manualmente como enlace troncal. Este comando se debe emitir en ambos extremos del enlace. a. Cambie el modo de switchport en la interfaz F0/1 para forzar el enlace troncal. Haga esto en ambos switches. S1(config)# interface f0/1 S1(config-if)# switchport mode trunk b. Emita el comando show interfaces trunk para ver el modo de enlace troncal. Observe que el modo cambió de desirable a on. S2# show interfaces trunk Port Fa0/1
Mode on
Encapsulation 802.1q
Status trunking
Native vlan 99
Port Fa0/1
Vlans allowed on trunk 1-4094
Port Fa0/1
Vlans allowed and active in management domain 1,10,20,99
Port Fa0/1
Vlans in spanning tree forwarding state and not pruned 1,10,20,99
¿Por qué desearía configurar una interfaz en modo de enlace troncal de forma manual en lugar de usar DTP? ____________________________________________________________________________________ ____________________________________________________________________________________
Parte 5. Eliminar la base de datos de VLAN En la parte 5, eliminará la base de datos de VLAN del switch. Es necesario hacer esto al inicializar un switch para que vuelva a la configuración predeterminada. 30
30
3.2.2.5: configuración de redes VLAN y enlaces troncales
31
Paso 1. determinar si existe la base de datos de VLAN. Emita el comando show flash para determinar si existe el archivo vlan.dat en la memoria flash. S1# show flash Directory of flash:/ 2 3 4 5 6
-rwx -rwx -rwx -rwx -rwx
1285 43032 5 11607161 736
Mar Mar Mar Mar Mar
1 1 1 1 1
1993 1993 1993 1993 1993
00:01:24 00:01:24 00:01:24 02:37:06 00:19:41
+00:00 +00:00 +00:00 +00:00 +00:00
config.text multiple-fs private-config.text c2960-lanbasek9-mz.150-2.SE.bin vlan.dat
32514048 bytes total (20858880 bytes free)
Nota: si hay un archivo vlan.dat en la memoria flash, la base de datos de VLAN no contiene la configuración predeterminada.
Paso 2. eliminar la base de datos de VLAN. a. Emita el comando delete vlan.dat para eliminar el archivo vlan.dat de la memoria flash y restablecer la base de datos de VLAN a la configuración predeterminada. Se le solicitará dos veces que confirme que desea eliminar el archivo vlan.dat. Presione Enter ambas veces. S1# delete vlan.dat Delete filename [vlan.dat]? Delete flash:/vlan.dat? [confirm] S1# b. Emita el comando show flash para verificar que se haya eliminado el archivo vlan.dat. S1# show flash Directory of flash:/ 2 3 4 5
-rwx -rwx -rwx -rwx
1285 43032 5 11607161
Mar Mar Mar Mar
1 1 1 1
1993 1993 1993 1993
00:01:24 00:01:24 00:01:24 02:37:06
+00:00 +00:00 +00:00 +00:00
config.text multiple-fs private-config.text c2960-lanbasek9-mz.150-2.SE.bin
32514048 bytes total (20859904 bytes free)
Para inicializar un switch para que vuelva a la configuración predeterminada, ¿cuáles son los otros comandos que se necesitan? ____________________________________________________________________________________
Reflexión 1. ¿Qué se necesita para permitir que los hosts en la VLAN 10 se comuniquen con los hosts en la VLAN 20? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Cuáles son algunos de los beneficios principales que una organización puede obtener mediante el uso eficaz de las VLAN? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 31
31
3.2.4.9: resolución de problemas de configuración de VLAN Topología
Tabla de direccionamiento Dispositivo
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
S1
VLAN 1
192.168.1.2
255.255.255.0
N/A
S2
VLAN 1
192.168.1.3
255.255.255.0
N/A
PC-A
NIC
192.168.10.2
255.255.255.0
192.168.10.1
PC-B
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-C
NIC
192.168.20.3
255.255.255.0
192.168.20.1
Especificaciones de la asignación de puertos de switch Puertos
Asignaciones
Red
F0/1
Enlace troncal de 802.1Q
No aplicable
F0/6 a 12
VLAN 10: Estudiantes
192.168.10.0/24
F0/13 a 18
VLAN 20: Cuerpo docente
192.168.20.0/24
F0/19 a 24
VLAN 30: Invitado
192.168.30.0/24
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de la VLAN 10 Parte 3: resolver problemas de la VLAN 20
Información básica/situación Las VLAN proporcionan segmentación lógica dentro de una internetwork y mejoran el rendimiento de la red mediante la división de grandes dominios de difusión en otros más pequeños. Al dividir los hosts en diferentes redes, se pueden usar las VLAN para controlar qué hosts se pueden comunicar. En esta práctica de laboratorio, un lugar de estudios decidió implementar las VLAN a fin de separar el tráfico de los distintos usuarios finales. El lugar de estudios usa el enlace troncal 802.1Q para facilitar la comunicación de VLAN entre los switches. 32
32
3.2.4.9: resolución de problemas de configuración de VLAN
33
Los switches S1 y S2 se configuraron con la información de VLAN y de enlace troncal. Varios errores en la configuración han resultado en problemas de conectividad. Se le solicita resolver los problemas, corregir los errores de configuración y documentar su trabajo. Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los switches con algunos parámetros básicos, como las contraseñas y las direcciones IP. Se incluyen las configuraciones predefinidas relacionadas con las VLAN, que contienen errores, para la configuración inicial de los switches. Además, configurará los parámetros de IP de las computadoras en la topología.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Paso 3. inicializar y volver a cargar los switches según sea necesario. Paso 4. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure la dirección IP de la tabla de direccionamiento. c.
Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión para las líneas de vty y de consola.
d. Asigne class como la contraseña del modo EXEC privilegiado. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.
Paso 5. cargar las configuraciones de los switches. Se incluyen las configuraciones de los switches S1 y S2. Estas configuraciones contienen errores, y su trabajo es determinar las configuraciones incorrectas y corregirlas. Configuración del switch S1: hostname S1 vlan 10 name Students vlan 2 !vlan 20 name Faculty vlan 30 name Guest 33
33
3.2.4.9: resolución de problemas de configuración de VLAN
34
interface range f0/1-24 switchport mode access shutdown interface range f0/7-12 switchport access vlan 10 interface range f0/13-18 switchport access vlan 2 interface range f0/19-24 switchport access vlan 30 end Configuración del switch S2: hostname S2 vlan 10 Name Students vlan 20 Name Faculty vlan 30 Name Guest interface f0/1 switchport mode trunk switchport trunk allowed vlan 1,10,2,30 interface range f0/2-24 switchport mode access shutdown interface range f0/13-18 switchport access vlan 20 interface range f0/19-24 switchport access vlan 30 shutdown end
Paso 6. Copie la configuración en ejecución en la configuración de inicio
Parte 2. resolver problemas de la VLAN 10 En la parte 2, debe examinar la VLAN 10 en el S1 y el S2 para determinar si se configuró correctamente. Resolverá los problemas de la situación hasta que se haya establecido la conectividad.
Paso 1. resolver problemas de la VLAN 10 en el S1. a. ¿Se puede hacer ping de la PC-A a la PC-B? ______________ b. Una vez que verificó que la PC-A se configuró correctamente, examine el switch S1 y observe un resumen de la información de VLAN para detectar posibles errores de configuración. Introduzca el comando show vlan brief. c.
¿Existe algún problema en la configuración de VLAN? ____________________________________________________________________________________
d. Examine el switch para ver las configuraciones de enlace troncal con los comandos show interfaces trunk y show interface f0/1 switchport. e. ¿Existe algún problema en la configuración de enlace troncal? ____________________________________________________________________________________ f. 34
Examine la configuración en ejecución del switch para detectar posibles errores de configuración. 34
3.2.4.9: resolución de problemas de configuración de VLAN
35
¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ g. Corrija los errores relacionados con F0/1 y la VLAN 10 en el S1. Registre los comandos que utilizó en el espacio que se incluye a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ h. Verifique que los comandos hayan tenido los efectos deseados mediante la emisión de los comandos show correspondientes. i.
¿Se puede hacer ping de la PC-A a la PC-B? ______________
Paso 2. resolver problemas de la VLAN 10 en el S2. a. Con los comandos anteriores, examine el switch S2 para detectar posibles errores de configuración. ¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ b. Corrija los errores relacionados con las interfaces y la VLAN 10 en el S2. Registre los comandos a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ c.
¿Se puede hacer ping de la PC-A a la PC-B? ______________
Parte 3. resolver problemas de la VLAN 20 En la parte 3, debe examinar la VLAN 20 en el S1 y el S2 para determinar si se configuró correctamente. Para verificar la funcionalidad, reasignará la PC-A a la VLAN 20 y, a continuación, resolverá los problemas de la situación hasta que se haya establecido la conectividad.
Paso 1. asignar la PC-A a la VLAN 20. a. En la PC-A, cambie la dirección IP a 192.168.20.2/24 con el gateway predeterminado 192.168.20.1. b. En el S1, asigne el puerto de la PC-A a la VLAN 20. Escriba los comandos necesarios para completar la configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ c.
Verifique que el puerto de la PC-A se haya asignado a la VLAN 20.
d. ¿Se puede hacer ping de la PC-A a la PC-C? ______________
Paso 2. resolver problemas de la VLAN 20 en el S1. a. Con los comandos anteriores, examine el switch S1 para detectar posibles errores de configuración. ¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Corrija los errores relacionados con la VLAN 20. 35
35
3.2.4.9: resolución de problemas de configuración de VLAN c.
36
¿Se puede hacer ping de la PC-A a la PC-C? ______________
Paso 3. resolver problemas de la VLAN 20 en el S2. a. Con los comandos anteriores, examine el switch S2 para detectar posibles errores de configuración. ¿Existe algún problema en la configuración actual? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Corrija los errores relacionados con la VLAN 20. Registre los comandos utilizados a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ c.
¿Se puede hacer ping de la PC-A a la PC-C? ______________
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Reflexión 1. ¿Por qué es fundamental que haya un puerto de enlace troncal bien configurado en un entorno de varias VLAN? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Con qué motivo un administrador de red limitaría el tráfico para VLAN específicas en un puerto de enlace troncal? _______________________________________________________________________________________ _______________________________________________________________________________________
36
36
3.3.2.2: implementaciรณn de seguridad de VLAN Topologรญa
Tabla de direccionamiento Dispositivo
Interfaz
Direcciรณn IP
Mรกscara de subred
Gateway predeterminado
S1
VLAN 99
172.17.99.11
255.255.255.0
172.17.99.1
S2
VLAN 99
172.17.99.12
255.255.255.0
172.17.99.1
PC-A
NIC
172.17.99.3
255.255.255.0
172.17.99.1
PC-B
NIC
172.17.10.3
255.255.255.0
172.17.10.1
PC-C
NIC
172.17.99.4
255.255.255.0
172.17.99.1
Asignaciones de VLAN VLAN
Nombre
10
Datos
99
Management&Native
999
BlackHole
Objetivos Parte 1: armar la red y configurar los parรกmetros bรกsicos de los dispositivos Parte 2: implementar seguridad de VLAN en los switches
Informaciรณn bรกsica/situaciรณn La prรกctica recomendada indica que se deben configurar algunos parรกmetros bรกsicos de seguridad para los puertos de enlace troncal y de acceso en los switches. Esto sirve como protecciรณn contra los ataques de VLAN y la posible detecciรณn del trรกfico de la red dentro de esta. En esta prรกctica de laboratorio, configurarรก los dispositivos de red en la topologรญa con algunos parรกmetros bรกsicos, verificarรก la conectividad y, a continuaciรณn, aplicarรก medidas de seguridad mรกs estrictas en los switches. Utilizarรก varios comandos show para analizar la forma en que se comportan los switches Cisco. Luego, aplicarรก medidas de seguridad. 37
37
3.3.2.2: implementación de seguridad de VLAN
38
Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará los parámetros básicos en los switches y las computadoras. Consulte la tabla de direccionamiento para obtener información sobre nombres de dispositivos y direcciones.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los switches. Paso 3. configurar las direcciones IP en la PC-A, la PC-B y la PC-C. Consulte la tabla de direccionamiento para obtener la información de direcciones de las computadoras.
Paso 4. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de VTY y la contraseña de consola, y habilite el inicio de sesión para las líneas de vty y de consola. e. Configure el inicio de sesión sincrónico para las líneas de vty y de consola.
Paso 5. configurar las VLAN en cada switch. a. Cree las VLAN y asígneles nombres según la tabla de asignaciones de VLAN. b. Configure la dirección IP que se indica para la VLAN 99 en la tabla de direccionamiento en ambos switches. c.
Configure F0/6 en el S1 como puerto de acceso y asígnelo a la VLAN 99.
d. Configure F0/11 en el S2 como puerto de acceso y asígnelo a la VLAN 10. e. Configure F0/18 en el S2 como puerto de acceso y asígnelo a la VLAN 99. f.
Emita el comando show vlan brief para verificar las asignaciones de VLAN y de puertos. ¿A qué VLAN pertenecería un puerto sin asignar, como F0/8 en el S2? ____________________________________________________________________________________
Paso 6. configurar la seguridad básica del switch. a. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado. b. Encripte todas las contraseñas. c. 38
Desactive todos los puertos físicos sin utilizar. 38
3.3.2.2: implementación de seguridad de VLAN
39
d. Deshabilite el servicio web básico en ejecución. S1(config)# no ip http server S2(config)# no ip http server e. Copie la configuración en ejecución en la configuración de inicio.
Paso 7. verificar la conectividad entre la información de VLAN y los dispositivos. a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Desde el S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ c.
En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________
d. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2. ¿Tuvo éxito? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Parte 2. implementar seguridad de VLAN en los switches Paso 1. configurar puertos de enlace troncal en el S1 y el S2. a. Configure el puerto F0/1 en el S1 como puerto de enlace troncal. S1(config)# interface f0/1 S1(config-if)# switchport mode trunk b. Configure el puerto F0/1 en el S2 como puerto de enlace troncal. S2(config)# interface f0/1 S2(config-if)# switchport mode trunk c.
Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface trunk en los dos switches. S1# show interface trunk
39
Port Fa0/1
Mode on
Encapsulation 802.1q
Status trunking
Native vlan 1
Port Fa0/1
Vlans allowed on trunk 1-4094
Port Fa0/1
Vlans allowed and active in management domain 1,10,99,999
Port Fa0/1
Vlans in spanning tree forwarding state and not pruned 1,10,99,999 39
3.3.2.2: implementación de seguridad de VLAN
40
Paso 2. cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2. Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal de la VLAN 1 a otra VLAN. a. ¿Cuál es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2? ____________________________________________________________________________________ b. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99 Management&Native. S1# config t S1(config)# interface f0/1 S1(config-if)# switchport trunk native vlan 99 c.
Espere unos segundos. Debería comenzar a recibir mensajes de error en la sesión de consola del S1. ¿Qué significa el mensaje %CDP-4-NATIVE_VLAN_MISMATCH:? ______________________________________________________________________________
d. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2. S2(config)# interface f0/1 S2(config-if)# switchport trunk native vlan 99 e. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuación, se muestra el resultado del S1. S1# show interface trunk Port Fa0/1
Mode on
Port Fa0/1
Vlans allowed on trunk 1-4094
Port Fa0/1
Vlans allowed and active in management domain 1,10,99,999
Port Fa0/1
Encapsulation 802.1q
Status trunking
Native vlan 99
Vlans in spanning tree forwarding state and not pruned 10,999
Paso 3. verificar que el tráfico se pueda transmitir correctamente a través del enlace troncal. a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ b. En la sesión de consola del S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los pings? ¿Por qué? ____________________________________________________________________________________ c.
En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del S1 y el S2, y a la dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué? ____________________________________________________________________________________
d. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2, y a la dirección IP de la PC-A. ¿Tuvo éxito? ¿Por qué? ____________________________________________________________________________________
40
40
3.3.2.2: implementación de seguridad de VLAN
41
Paso 4. impedir el uso de DTP en el S1 y el S2. Cisco utiliza un protocolo exclusivo conocido como “protocolo de enlace troncal dinámico” (DTP) en los switches. Algunos puertos negocian el enlace troncal de manera automática. Se recomienda desactivar la negociación. Puede ver este comportamiento predeterminado mediante la emisión del siguiente comando: S1# show interface f0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: On <Output Omitted>
a. Desactive la negociación en el S1. S1(config)# interface f0/1 S1(config-if)# switchport nonegotiate b. Desactive la negociación en el S2. S2(config)# interface f0/1 S2(config-if)# switchport nonegotiate c.
Verifique que la negociación esté desactivada mediante la emisión del comando show interface f0/1 switchport en el S1 y el S2. S1# show interface f0/1 switchport Name: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off <Output Omitted>
Paso 5. implementar medidas de seguridad en los puertos de acceso del S1 y el S2. Aunque desactivó los puertos sin utilizar en los switches, si se conecta un dispositivo a uno de esos puertos y la interfaz está habilitada, se podría producir un enlace troncal. Además, todos los puertos están en la VLAN 1 de manera predeterminada. Se recomienda colocar todos los puertos sin utilizar en una VLAN de “agujero negro”. En este paso, deshabilitará los enlaces troncales en todos los puertos sin utilizar. También asignará los puertos sin utilizar a la VLAN 999. A los fines de esta práctica de laboratorio, solo se configurarán los puertos 2 a 5 en ambos switches. a. Emita el comando show interface f0/2 switchport en el S1. Observe el modo administrativo y el estado para la negociación de enlaces troncales. S1# show interface f0/2 switchport Name: Fa0/2 Switchport: Enabled Administrative Mode: dynamic auto Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: On <Output Omitted>
b. Deshabilite los enlaces troncales en los puertos de acceso del S1. 41
41
3.3.2.2: implementación de seguridad de VLAN
42
S1(config)# interface range f0/2 – 5 S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 999 c.
Deshabilite los enlaces troncales en los puertos de acceso del S2.
d. Verifique que el puerto F0/2 esté establecido en modo de acceso en el S1. S1# show interface f0/2 switchport Name: Fa0/2 Switchport: Enabled Administrative Mode: static access Operational Mode: down Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: Off Access Mode VLAN: 999 (BlackHole) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none <Output Omitted>
e. Verifique que las asignaciones de puertos de VLAN en ambos switches sean las correctas. A continuación, se muestra el S1 como ejemplo. S1# show vlan brief VLAN Name Status Ports ---- ------------------------------ --------- -----------------------------1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gi0/1, Gi0/2 10 Data active 99 Management&Native active Fa0/6 999 BlackHole active Fa0/2, Fa0/3, Fa0/4, Fa0/5 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup Restrict VLANs allowed on trunk ports.
De manera predeterminada, se permite transportar todas las VLAN en los puertos de enlace troncal. Por motivos de seguridad, se recomienda permitir que solo se transmitan las VLAN deseadas y específicas a través de los enlaces troncales en la red. f.
Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y 99. S1(config)# interface f0/1 S1(config-if)# switchport trunk allowed vlan 10,99
g. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y 99. h. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo EXEC privilegiado en el S1 y el S2 S1# show interface trunk Port Fa0/1 42
Mode on
Encapsulation 802.1q
Status trunking
Native vlan 99 42
3.3.2.2: implementación de seguridad de VLAN
Port Fa0/1
Vlans allowed on trunk 10,99
Port Fa0/1
Vlans allowed and active in management domain 10,99
Port Fa0/1
Vlans in spanning tree forwarding state and not pruned 10,99
43
¿Cuál es el resultado? ____________________________________________________________________________________
Reflexión ¿Qué problemas de seguridad, si los hubiera, tiene la configuración predeterminada de un switch Cisco? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
43
43
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara
Gateway
G0/0
192.168.0.1
255.255.255.0
N/A
G0/1
192.168.1.1
255.255.255.0
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
PC-B
NIC
192.168.0.3
255.255.255.0
192.168.0.1
Objetivos Parte 1: establecer la topología e inicializar los dispositivos •
Realizar el cableado de los equipos para que coincidan con la topología de la red.
•
Inicializar y reiniciar el router y el switch.
Parte 2: configurar los dispositivos y verificar la conectividad •
Asignar información de IPv4 estática a las interfaces de la computadora.
•
Configurar los parámetros básicos del router.
•
Verificar la conectividad de la red
•
Configurar el router para el acceso por SSH.
Parte 3: mostrar la información del router •
Recuperar información del hardware y del software del router.
•
Interpretar el resultado de la configuración de inicio.
•
Interpretar el resultado de la tabla de routing.
•
Verificar el estado de las interfaces.
Parte 4: configurar IPv6 y verificar la conectividad
Información básica/situación Esta es una práctica de laboratorio integral para revisar comandos de router de IOS que se abarcaron anteriormente. En las partes 1 y 2, realizará el cableado de los equipos y completará las configuraciones básicas y las configuraciones de las interfaces IPv4 en el router. En la parte 3, utilizará SSH para conectarse de manera remota al router y usará comandos de IOS para recuperar la información del dispositivo para responder preguntas sobre el router. En la parte 4, configurará IPv6 en el router de modo que la PC-B pueda adquirir una dirección IP y luego verificará la conectividad. Para fines de revisión, esta práctica de laboratorio proporciona los comandos necesarios para las configuraciones de router específicas. 44
44
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS
45
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960 con IOS de Cisco, versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Consulte el apéndice A para conocer los procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Nota: las interfaces Gigabit Ethernet en los ISR Cisco 1941 cuentan con detección automática, y se puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco, puede ser necesario usar un cable cruzado Ethernet.
Parte 1: establecer la topología e inicializar los dispositivos Paso 1. realizar el cableado de red tal como se muestra en la topología. a. Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según sea necesario. b. Encienda todos los dispositivos de la topología.
Paso 2. inicializar y volver a cargar el router y el switch. Nota: en el apéndice A, se detallan los pasos para inicializar y volver a cargar los dispositivos.
Parte 2: Configurar dispositivos y verificar la conectividad Paso 1. Configure las interfaces de la PC. a. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-A. b. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-B.
Paso 2. Configurar el router. a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado. Router> enable Router# b. Ingrese al modo de configuración global. Router# config terminal Router(config)# c.
Asigne un nombre de dispositivo al router. Router(config)# hostname R1
d. Deshabilite la búsqueda DNS para evitar que el router intente traducir los comandos incorrectamente introducidos como si fueran nombres de host. 45
45
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS
46
R1(config)# no ip domain-lookup e. Establezca el requisito de que todas las contraseñas tengan como mínimo 10 caracteres. R1(config)# security passwords min-length 10 Además de configurar una longitud mínima, enumere otras formas de aportar seguridad a las contraseñas. ____________________________________________________________________________________ f.
Asigne cisco12345 como la contraseña cifrada del modo EXEC privilegiado. R1(config)# enable secret cisco12345
g. Asigne ciscoconpass como la contraseña de consola, establezca un tiempo de espera, habilite el inicio de sesión y agregue el comando logging synchronous. El comando logging synchronous sincroniza la depuración y el resultado del software IOS de Cisco, y evita que estos mensajes interrumpan la entrada del teclado. R1(config)# line R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)# R1(config)#
con 0 password ciscoconpass exec-timeout 5 0 login logging synchronous exit
Para el comando exec-timeout, ¿qué representan el 5 y el 0? ____________________________________________________________________________________ h. Asigne ciscovtypass como la contraseña de vty, establezca un tiempo de espera, habilite el inicio de sesión y agregue el comando logging synchronous. R1(config)# line R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)# R1(config-line)# R1(config)# i.
vty 0 4 password ciscovtypass exec-timeout 5 0 login logging synchronous exit
Cifre las contraseñas de texto no cifrado. R1(config)# service password-encryption
j.
Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está prohibido. R1(config)# banner motd #Unauthorized access prohibited!#
k.
Configure una dirección IP y una descripción de interfaz. Active las dos interfaces en el router. R1(config)# int g0/0 R1(config-if)# description Connection R1(config-if)# ip address 192.168.0.1 R1(config-if)# no shutdown R1(config-if)# int g0/1 R1(config-if)# description Connection R1(config-if)# ip address 192.168.1.1 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# exit R1#
46
to PC-B 255.255.255.0
to S1 255.255.255.0
46
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS l.
47
Configure el reloj en el router, por ejemplo: R1# clock set 17:00:00 18 Feb 2013
m. Guarde la configuración en ejecución en el archivo de configuración de inicio. R1# copy running-config startup-config Destination filename [startup-config]? Building configuration... [OK]
R1# ¿Qué resultado obtendría al volver a cargar el router antes de completar el comando copy running-config startup-config? ____________________________________________________________________________________
Paso 3. Verificar la conectividad de la red a. Haga ping a la PC-B en un símbolo del sistema en la PC-A. Nota: quizá sea necesario deshabilitar el firewall de las computadoras. ¿Tuvieron éxito los pings? ____ Después de completar esta serie de comandos, ¿qué tipo de acceso remoto podría usarse para acceder al R1?_________________________________________________________________________________ b. Acceda de forma remota al R1 desde la PC-A mediante el cliente de Telnet de Tera Term. Abra Tera Term e introduzca la dirección IP de la interfaz G0/1 del R1 en el campo Host: de la ventana Tera Term: New Connection (Tera Term: nueva conexión). Asegúrese de que el botón de opción Telnet esté seleccionado y después haga clic en OK (Aceptar) para conectarse al router.
¿Pudo conectarse remotamente? ____ ¿Por qué el protocolo Telnet es considerado un riesgo de seguridad? ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 4. configurar el router para el acceso por SSH. a. Habilite las conexiones SSH y cree un usuario en la base de datos local del router. R1# configure terminal R1(config)# ip domain-name CCNA-lab.com R1(config)# username admin privilege 15 secret adminpass1 47
47
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS
48
R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local R1(config-line)# exit R1(config)# crypto key generate rsa modulus 1024 R1(config)# exit b. Acceda remotamente al R1 desde la PC-A con el cliente SSH de Tera Term. Abra Tera Term e introduzca la dirección IP de la interfaz G0/1 del R1 en el campo Host: de la ventana Tera Term: New Connection (Tera Term: nueva conexión). Asegúrese de que el botón de opción SSH esté seleccionado y después haga clic en OK para conectarse al router.
¿Pudo conectarse remotamente? ____
Parte 3: mostrar la información del router En la parte 3, utilizará comandos show en una sesión SSH para recuperar información del router.
Paso 1. establecer una sesión SSH para el R1. Mediante Tera Term en la PC-B, abra una sesión SSH para el R1 en la dirección IP 192.168.0.1 e inicie sesión como admin y use la contraseña adminpass1.
Paso 2. recuperar información importante del hardware y el software. a. Use el comando show version para responder preguntas sobre el router. ¿Cuál es el nombre de la imagen de IOS que el router está ejecutando? ____________________________________________________________________________________ ¿Cuánta memoria de acceso aleatorio no volátil (NVRAM) tiene el router? ____________________________________________________________________________________ ¿Cuánta memoria flash tiene el router? ____________________________________________________________________________________ b. Con frecuencia, los comandos show proporcionan varias pantallas de resultados. Filtrar el resultado permite que un usuario visualice determinadas secciones del resultado. Para habilitar el comando de filtrado, introduzca una barra vertical (|) después de un comando show, seguido de un parámetro de filtrado y una expresión de filtrado. Para que el resultado coincida con la instrucción de filtrado, puede usar la palabra clave include para ver todas las líneas del resultado que contienen la expresión de filtrado. Filtre el comando show version mediante show version | include register para responder la siguiente pregunta. ¿Cuál es el proceso de arranque para el router en la siguiente recarga? ____________________________________________________________________________________ 48
48
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS
49
Paso 3. mostrar la configuración de inicio. Use el comando show startup-config en el router para responder las siguientes preguntas. ¿De qué forma figuran las contraseñas en el resultado? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ Use el comando show startup-config | begin vty. ¿Qué resultado se obtiene al usar este comando? ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 4. mostrar la tabla de routing en el router. Use el comando show ip route en el router para responder las siguientes preguntas. ¿Qué código se utiliza en la tabla de routing para indicar una red conectada directamente? _______________________________________________________________________________________ _______________________________________________________________________________________ ¿Cuántas entradas de ruta están cifradas con un código C en la tabla de routing? _____
Paso 5. mostrar una lista de resumen de las interfaces del router. Use el comando show ip interface brief en el router para responder la siguiente pregunta. ¿Qué comando cambió el estado de los puertos Gigabit Ethernet de administrativamente inactivo a activo? ____________________________________________________________________________________
Parte 4: configurar IPv6 y verificar la conectividad Paso 1. asignar direcciones IPv6 a la G0/0 del R1 y habilitar el routing IPv6. Nota: la asignación de una dirección IPv6, además de una dirección IPv4, en una interfaz se conoce como “dual stacking”, debido a que las pilas de protocolos IPv4 e IPv6 están activas. Al habilitar el routing de unidifusión IPv6 en el R1, la PC-B recibe el prefijo de red IPv6 de G0/0 del R1 y puede configurar automáticamente la dirección IPv6 y el gateway predeterminado. a. Asigne una dirección de unidifusión global IPv6 a la interfaz G0/0; asigne la dirección link-local en la interfaz, además de la dirección de unidifusión; y habilite el routing IPv6. R1# configure terminal R1(config)# interface g0/0 R1(config-if)# ipv6 address 2001:db8:acad:a::1/64 R1(config-if)# ipv6 address fe80::1 link-local R1(config-if)# no shutdown R1(config-if)# exit R1(config)# ipv6 unicast-routing R1(config)# exit b. Use el comando show ipv6 int brief para verificar la configuración de IPv6 en el R1. Si no se asignó una dirección IPv6 a la G0/1, ¿por qué se indica como [up/up]? ____________________________________________________________________________________ ____________________________________________________________________________________ 49
49
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS c.
50
Emita el comando ipconfig en la PC-B para examinar la configuración de IPv6. ¿Cuál es la dirección IPv6 asignada a la PC-B? ____________________________________________________________________________________ ¿Cuál es el gateway predeterminado asignado a la PC-B? ____________ En la PC-B, haga ping a la dirección link-local del gateway predeterminado del R1. ¿Tuvo éxito? ____ En la PC-B, haga ping a la dirección IPv6 de unidifusión del R1 2001:db8:acad:a::1. ¿Tuvo éxito? ___
Reflexión 1. Durante la investigación de un problema de conectividad de red, un técnico sospecha que no se habilitó una interfaz. ¿Qué comando show podría usar el técnico para resolver este problema? _______________________________________________________________________________________ 2. Durante la investigación de un problema de conectividad de red, un técnico sospecha que se asignó una máscara de subred incorrecta a una interfaz. ¿Qué comando show podría usar el técnico para resolver este problema? _______________________________________________________________________________________ 3. Después de configurar IPv6 en la LAN de la PC-B en la interfaz G0/0 del R1, si hiciera ping de la PC-A a la dirección IPv6 de la PC-B, ¿el ping sería correcto? ¿Por qué o por qué no? _______________________________________________________________________________________ _______________________________________________________________________________________
Apéndice A: inicialización y recarga de un router y un switch Paso 1. inicializar y volver a cargar el router. a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado. Router> enable Router# b. Escriba el comando erase startup-config para eliminar el archivo de configuración de inicio de la NVRAM. Router# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Router#
c.
Emita el comando reload para eliminar una configuración antigua de la memoria. Cuando reciba el mensaje Proceed with reload (Continuar con la recarga), presione Enter para confirmar. (Si presiona cualquier otra tecla, se cancela la recarga). Router# reload Proceed with reload? [confirm] *Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.
Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el router. Escriba no y presione Enter. System configuration has been modified. Save? [yes/no]: no
d. Una vez que se vuelve a cargar el router, se le solicita introducir el diálogo de configuración inicial. Escriba no y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no
e. Se le solicita finalizar la instalación automática. Escriba yes (sí) y, luego, presione Enter. Would you like to terminate autoinstall? [yes]: yes 50
50
4.1.4.6: configuración de los parámetros básicos del router con la CLI del IOS
51
Paso 2. inicializar y volver a cargar el switch. a. Acceda al switch mediante el puerto de consola e ingrese al modo EXEC privilegiado. Switch> enable Switch# b. Utilice el comando show flash para determinar si se crearon VLAN en el switch. Switch# show flash Directory of flash:/ 2 3 4 5 6
-rwx -rwx -rwx -rwx -rwx
1919 1632 13336 11607161 616
Mar Mar Mar Mar Mar
1 1 1 1 1
1993 1993 1993 1993 1993
00:06:33 00:06:33 00:06:33 02:37:06 00:07:13
+00:00 +00:00 +00:00 +00:00 +00:00
private-config.text config.text multiple-fs c2960-lanbasek9-mz.150-2.SE.bin vlan.dat
32514048 bytes total (20886528 bytes free) Switch#
c.
Si se encontró el archivo vlan.dat en la memoria flash, elimínelo. Switch# delete vlan.dat Delete filename [vlan.dat]?
d. Se le solicitará que verifique el nombre de archivo. En este momento, puede cambiar el nombre de archivo o, simplemente, presionar Enter si introdujo el nombre de manera correcta. e. Se le solicitará que confirme que desea eliminar este archivo. Presione Enter para confirmar la eliminación. (Si se presiona cualquier otra tecla, se anula la eliminación). Delete flash:/vlan.dat? [confirm] Switch#
f.
Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la NVRAM. Se le solicitará que confirme la eliminación del archivo de configuración. Presione Enter para confirmar que desea borrar este archivo. (Al pulsar cualquier otra tecla, se cancela la operación). Switch# erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Switch#
g. Vuelva a cargar el switch para eliminar toda información de configuración antigua de la memoria. Se le solicitará que confirme la recarga del switch. Presione Enter para seguir con la recarga. (Si presiona cualquier otra tecla, se cancela la recarga). Switch# reload Proceed with reload? [confirm]
Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a cargar el switch. Escriba no y presione Enter. System configuration has been modified. Save? [yes/no]: no
h. Una vez que se vuelve a cargar el switch, se le solicita introducir el diálogo de configuración inicial. Escriba no y presione Enter. Would you like to enter the initial configuration dialog? [yes/no]: no
Switch>
51
51
5.1.2.4: configuración de routing entre VLAN por interfaz Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/0
192.168.20.1
255.255.255.0
N/A
G0/1
192.168.10.1
255.255.255.0
N/A
S1
VLAN 10
192.168.10.11
255.255.255.0
192.168.10.1
S2
VLAN 10
192.168.10.12
255.255.255.0
192.168.10.1
PC-A
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-B
NIC
192.168.20.3
255.255.255.0
192.168.20.1
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar switches con VLAN y enlaces troncales Parte 3: verificar enlaces troncales, VLAN, routing y conectividad
Información básica/situación El routing entre VLAN antiguo se usa con poca frecuencia en las redes actuales. Sin embargo, es útil configurar y entender este tipo de routing antes de pasar al routing entre VLAN con router-on-a-stick (basado en enlaces troncales) o de configurar switching de capa 3. Además, es posible que encuentre routing entre VLAN por interfaz en organizaciones con redes muy pequeñas. Uno de los beneficios del routing entre VLAN antiguo es que es fácil de configurar. 52
52
5.1.2.4: configuración de routing entre VLAN por interfaz
53
En esta práctica de laboratorio, configurará un router con dos switches conectados mediante las interfaces Gigabit Ethernet del router. Configurará dos VLAN por separado en los switches y establecerá el routing entre las VLAN. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el router y los switches. Los comandos requeridos para la configuración de VLAN en los switches se proporcionan en el apéndice A de esta práctica de laboratorio. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará la topología de la red y borrará cualquier configuración, si es necesario.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers y switches. Paso 3. configurar los parámetros básicos para R1. a. Desactive la búsqueda del DNS. b. Asigne el nombre del dispositivo. c.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y de línea de vty, y habilite el inicio de sesión. e. Configure el direccionamiento en G0/0 y G0/1 y habilite ambas interfaces.
Paso 4. configurar los parámetros básicos en el S1 y el S2. a. Desactive la búsqueda del DNS. b. Asigne el nombre del dispositivo. c.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y de línea de vty, y habilite el inicio de sesión.
Paso 5. configurar los parámetros básicos en la PC-A y la PC-B. Configure la PC-A y la PC-B con direcciones IP y una dirección de gateway predeterminado, según la tabla de direccionamiento.
53
53
5.1.2.4: configuración de routing entre VLAN por interfaz
54
Parte 2. configurar los switches con las VLAN y los enlaces troncales En la parte 2, configurará los switches con las VLAN y los enlaces troncales.
Paso 1. Configurar las VLAN en S1. a. En el S1, cree la VLAN 10. Asigne Student como nombre de la VLAN. b. Cree la VLAN 20. Asigne Faculty-Admin como nombre de la VLAN. c.
Configure F0/1 como puerto de enlace troncal.
d. Asigne los puertos F0/5 y F0/6 a la VLAN 10 y configúrelos como puertos de acceso. e. Asigne una dirección IP a la VLAN 10 y habilítela. Consulte la tabla de direccionamiento. f.
Configure el gateway predeterminado, según la tabla de direccionamiento.
Paso 2. configurar las VLAN en el S2. a. En el S2, cree la VLAN 10. Asigne Student como nombre de la VLAN. b. Cree la VLAN 20. Asigne Faculty-Admin como nombre de la VLAN. c.
Configure F0/1 como puerto de enlace troncal.
d. Asigne los puertos F0/11 y F0/18 a la VLAN 20 y configúrelos como puertos de acceso. e. Asigne una dirección IP a la VLAN 10 y habilítela. Consulte la tabla de direccionamiento. f.
Configure el gateway predeterminado, según la tabla de direccionamiento.
Parte 3. verificar enlaces troncales, VLAN, routing y conectividad Paso 1. verificar la tabla de routing del R1. a. En el R1, emita el comando show ip route. ¿Qué rutas se indican en el R1? ____________________________________________________________________________________ b. Emita el comando show interface trunk en el S1 y el S2. ¿El puerto F0/1 está configurado como puerto de enlace troncal en ambos switches? ______ c.
Emita un comando show vlan brief en el S1 y el S2. Verifique que las VLAN 10 y 20 estén activas y que los puertos adecuados en los switches estén en las VLAN correctas. ¿Por qué F0/1 no se indica en ninguna de las VLAN activas? ____________________________________________________________________________________
d. Haga ping de la PC-A en la VLAN 10 a las PC-B en la VLAN 20. Si el routing entre VLAN funciona como corresponde, los pings entre las redes 192.168.10.0 y 192.168.20.0 deben realizarse correctamente. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas. e. Verifique la conectividad entre los dispositivos. Debería poder hacer ping a todos los dispositivos. Resuelva los problemas si los pings no son correctos.
Reflexión ¿Cuál es la ventaja de usar routing entre VLAN antiguo? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
54
54
5.1.2.4: configuración de routing entre VLAN por interfaz
55
Apéndice A: comandos de configuración Switch S1 S1(config)# vlan 10 S1(config-vlan)# name Student S1(config-vlan)# exit S1(config)# vlan 20 S1(config-vlan)# name Faculty-Admin S1(config-vlan)# exit S1(config)# interface f0/1 S1(config-if)# switchport mode trunk S1(config-if)# interface range f0/5 – 6 S1(config-if-range)# switchport mode access S1(config-if-range)# switchport access vlan 10 S1(config-if-range)# interface vlan 10 S1(config-if)# ip address 192.168.10.11 255.255.255.0 S1(config-if)# no shut S1(config-if)# exit S1(config)# ip default-gateway 192.168.10.1
Switch S2 S2(config)# vlan 10 S2(config-vlan)# name Student S2(config-vlan)# exit S2(config)# vlan 20 S2(config-vlan)# name Faculty-Admin S2(config-vlan)# exit S2(config)# interface f0/1 S2(config-if)# switchport mode trunk S2(config-if)# interface f0/11 S2(config-if)# switchport mode access S2(config-if)# switchport access vlan 20 S2(config-if)# interface f0/18 S2(config-if)# switchport mode access S2(config-if)# switchport access vlan 20 S2(config-if-range)# interface vlan 10 S2(config-if)#ip address 192.168.10.12 255.255.255.0 S2(config-if)# no shut S2(config-if)# exit S2(config)# ip default-gateway 192.168.10.1
55
55
5.1.3.7: configuración de routing entre VLAN basado en enlaces troncales 802.1Q Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1.1
192.168.1.1
255.255.255.0
N/A
G0/1.10
192.168.10.1
255.255.255.0
N/A
G0/1.20
192.168.20.1
255.255.255.0
N/A
Lo0
209.165.200.225
255.255.255.224
N/A
S1
VLAN 1
192.168.1.11
255.255.255.0
192.168.1.1
S2
VLAN 1
192.168.1.12
255.255.255.0
192.168.1.1
PC-A
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-B
NIC
192.168.20.3
255.255.255.0
192.168.20.1
Especificaciones de la asignación de puertos de switch Puertos
56
Asignaciones
Red
S1 F0/1
Enlace troncal de 802.1Q
N/A
S2 F0/1
Enlace troncal de 802.1Q
N/A
S1 F0/5
Enlace troncal de 802.1Q
N/A
S1 F0/6
VLAN 10: Estudiantes
192.168.10.0/24
S2 F0/18
VLAN 20: Cuerpo docente
192.168.20.0/24
56
5.1.3.7: configuración de routing entre VLAN basado en enlaces troncales 802.1Q
57
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar switches con VLAN y enlaces troncales Parte 3: configurar routing entre VLAN basado en enlaces troncales
Información básica/situación Un segundo método para proporcionar routing y conectividad a varias VLAN es mediante el uso de un enlace troncal 802.1Q entre uno o más switches y una única interfaz del router. Este método también se conoce como “routing entre VLAN con router-on-a-stick”. En este método, se divide la interfaz física del router en varias subinterfaces que proporcionan rutas lógicas a todas las VLAN conectadas. En esta práctica de laboratorio, configurará el routing entre VLAN basado en enlaces troncales y verificará la conectividad a los hosts en diferentes VLAN y con un loopback en el router. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el routing entre VLAN basado en enlaces troncales. Sin embargo, los comandos requeridos para la configuración se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco, versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco, versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará la topología de la red y configurará los parámetros básicos en los equipos host, los switches y el router.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Paso 3. inicializar y volver a cargar los routers y switches, según sea necesario. Paso 4. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y la contraseña de vty. 57
57
5.1.3.7: configuración de routing entre VLAN basado en enlaces troncales 802.1Q
58
e. Configure logging synchronous para la línea de consola. f.
Configure la dirección IP que se indica en la tabla de direccionamiento para la VLAN 1 en ambos switches.
g. Configure el gateway predeterminado en los dos switches. h. Desactive administrativamente todos los puertos que no se usen en el switch. i.
Copie la configuración en ejecución en la configuración de inicio
Paso 5. configurar los parámetros básicos para el router. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.
Configure la dirección IP Lo0, como se muestra en la tabla de direccionamiento. No configure las subinterfaces en esta instancia; esto lo hará en la parte 3.
d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Asigne class como la contraseña del modo EXEC privilegiado. f.
Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.
g. Copie la configuración en ejecución en la configuración de inicio
Parte 2: configurar los switches con las VLAN y los enlaces troncales En la parte 2, configurará los switches con las VLAN y los enlaces troncales. Nota: los comandos requeridos para la parte 2 se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar el S1 y el S2 sin consultar el apéndice.
Paso 6. Configurar las VLAN en S1. a. En el S1, configure las VLAN y los nombres que se indican en la tabla Especificaciones de la asignación de puertos de switch. En el espacio proporcionado, escriba los comandos que utilizó. ____________________________________________________________________________________ ____________________________________________________________________________________ b. En el S1, configure la interfaz conectada al R1 como enlace troncal. También configure la interfaz conectada al S2 como enlace troncal. En el espacio proporcionado, escriba los comandos que utilizó. ____________________________________________________________________________________ ____________________________________________________________________________________ c.
En el S1, asigne el puerto de acceso para la PC-A a la VLAN 10. En el espacio proporcionado, escriba los comandos que utilizó. ____________________________________________________________________________________
Paso 7. configurar las VLAN en el switch 2. a. En el S2, configure las VLAN y los nombres que se indican en la tabla Especificaciones de la asignación de puertos de switch. b. En el S2, verifique que los nombres y números de las VLAN coincidan con los del S1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ c.
En el S2, asigne el puerto de acceso para la PC-B a la VLAN 20.
d. En el S2, configure la interfaz conectada al S1 como enlace troncal.
58
58
5.1.3.7: configuración de routing entre VLAN basado en enlaces troncales 802.1Q
59
Parte 3: configurar routing entre VLAN basado en enlaces troncales En la parte 3, configurará el R1 para enrutar a varias VLAN mediante la creación de subinterfaces para cada VLAN. Este método de routing entre VLAN se denomina “router-on-a-stick”. Nota: los comandos requeridos para la parte 3 se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar el routing entre VLAN basado en enlaces troncales o con router-on-a-stick sin consultar el apéndice.
Paso 1. configurar una subinterfaz para la VLAN 1. a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 1 y use el 1 como ID de la subinterfaz. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ b. Configure la subinterfaz para que opere en la VLAN 1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ c.
Configure la subinterfaz con la dirección IP de la tabla de direccionamiento. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________
Paso 2. configurar una subinterfaz para la VLAN 10. a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 10 y use el 10 como ID de la subinterfaz. b. Configure la subinterfaz para que opere en la VLAN 10. c.
Configure la subinterfaz con la dirección de la tabla de direccionamiento.
Paso 3. configurar una subinterfaz para la VLAN 20. a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 20 y use el 20 como ID de la subinterfaz. b. Configure la subinterfaz para que opere en la VLAN 20. c.
Configure la subinterfaz con la dirección de la tabla de direccionamiento.
Paso 4. habilitar la interfaz G0/1. Habilite la interfaz G0/1. En el espacio proporcionado, escriba los comandos que utilizó. _______________________________________________________________________________________ _______________________________________________________________________________________
Paso 5. Verifique la conectividad. Introduzca el comando para ver la tabla de routing en el R1. ¿Qué redes se enumeran? _______________________________________________________________________________________ ¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 10? _____ ¿Es posible hacer ping de la PC-A a la PC-B? _____ ¿Es posible hacer ping de la PC-A a la interfaz Lo0? _____ ¿Es posible hacer ping de la PC-A al S2? _____ Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija los errores.
59
59
5.1.3.7: configuración de routing entre VLAN basado en enlaces troncales 802.1Q
60
Reflexión ¿Cuáles son las ventajas del routing entre VLAN basado en enlaces troncales comparado con el routing entre VLAN con router-on-a-stick? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
Apéndice A: comandos de configuración Switch S1 S1(config)# vlan 10 S1(config-vlan)# name Students S1(config-vlan)# vlan 20 S1(config-vlan)# name Faculty S1(config-vlan)# exit S1(config)# interface f0/1 S1(config-if)# switchport mode trunk S1(config-if)# interface f0/5 S1(config-if)# switchport mode trunk S1(config-if)# interface f0/6 S1(config-if)# switchport mode access S1(config-if)# switchport access vlan 10
Switch S2 S2(config)# vlan 10 S2(config-vlan)# name Students S2(config-vlan)# vlan 20 S2(config-vlan)# name Faculty S2(config)# interface f0/1 S2(config-if)# switchport mode trunk S2(config-if)# interface f0/18 S2(config-if)# switchport mode access S2(config-if)# switchport access vlan 20
Router R1 R1(config)# interface g0/1.1 R1(config-subif)# encapsulation dot1Q 1 R1(config-subif)# ip address 192.168.1.1 255.255.255.0 R1(config-subif)# interface g0/1.10 R1(config-subif)# encapsulation dot1Q 10 R1(config-subif)# ip address 192.168.10.1 255.255.255.0 R1(config-subif)# interface g0/1.20 R1(config-subif)# encapsulation dot1Q 20 R1(config-subif)# ip address 192.168.20.1 255.255.255.0 R1(config-subif)# exit R1(config)# interface g0/1 R1(config-if)# no shutdown
60
60
5.3.2.4: resolución de problemas de routing entre VLAN Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1.1
192.168.1.1
255.255.255.0
N/A
G0/1.10
192.168.10.1
255.255.255.0
N/A
G0/1.20
192.168.20.1
255.255.255.0
N/A
Lo0
209.165.200.225
255.255.255.224
N/A
S1
VLAN 1
192.168.1.11
255.255.255.0
192.168.1.1
S2
VLAN 1
192.168.1.12
255.255.255.0
192.168.1.1
PC-A
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-B
NIC
192.168.20.3
255.255.255.0
192.168.20.1
Especificaciones de la asignación de puertos de switch Puertos
61
Asignaciones
Red
S1 F0/1
Enlace troncal de 802.1Q
N/A
S2 F0/1
Enlace troncal de 802.1Q
N/A
S1 F0/5
Enlace troncal de 802.1Q
N/A
S1 F0/6
VLAN 10 – R&D
192.168.10.0/24
S2 F0/18
VLAN 20: ingeniería
192.168.20.0/24
61
5.3.2.4: resolución de problemas de routing entre VLAN
62
Objetivos Parte 1: armar la red y cargar las configuraciones de los dispositivos Parte 2: resolver problemas de configuración de routing entre VLAN Parte 3: verificar la configuración de VLAN, la asignación de puertos y los enlaces troncales Parte 4: probar la conectividad de capa 3
Información básica/situación La red está diseñada y configurada para admitir tres VLAN. Un router externo con un enlace troncal 802.1Q, también conocido como router-on-a-stick, proporciona routing entre VLAN. El R1 también proporciona el routing a un servidor web remoto, que es simulado por Lo0. Sin embargo, no funciona de conformidad con el diseño, y las quejas de los usuarios no proporcionaron demasiada información sobre el origen de los problemas. En esta práctica de laboratorio, primero debe definir qué es lo que no funciona como se esperó y luego debe analizar las configuraciones existentes para determinar y corregir el origen de los problemas. Habrá completado esta práctica de laboratorio cuando pueda demostrar la conectividad IP entre cada una de las VLAN del usuario y la red del servidor web externa, y entre la VLAN de administración del switch y la red del servidor web. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y cargar las configuraciones de los dispositivos En la parte 1, configurará la topología de la red y configurará los parámetros básicos en los equipos host, los switches y el router.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Consulte la tabla de direccionamiento para obtener información de direcciones de los equipos host.
Paso 3. cargar las configuraciones del router y los switches. Cargue las siguientes configuraciones en el router o switch apropiados. Todos los dispositivos tienen las mismas contraseñas; la contraseña de enable es class y la contraseña de line es cisco. Configuración del router R1: hostname R1 enable secret class no ip domain lookup 62
62
5.3.2.4: resoluciรณn de problemas de routing entre VLAN
63
line con 0 password cisco login logging synchronous line vty 0 4 password cisco login interface loopback0 ip address 209.165.200.225 255.255.255.224 interface gigabitEthernet0/1 no ip address interface gigabitEthernet0/1.1 encapsulation dot1q 11 ip address 192.168.1.1 255.255.255.0 interface gigabitEthernet0/1.10 encapsulation dot1q 10 ip address 192.168.11.1 255.255.255.0 interface gigabitEthernet0/1.20 encapsulation dot1q 20 ip address 192.168.20.1 255.255.255.0 end Configuraciรณn del switch S1: hostname S1 enable secret class no ip domain-lookup line con 0 password cisco login logging synchronous line vty 0 15 password cisco login vlan 10 name R&D exit interface fastethernet0/1 switchport mode access interface fastethernet0/5 switchport mode trunk interface vlan1 ip address 192.168.1.11 255.255.255.0 ip default-gateway 192.168.1.1 end Configuraciรณn del switch S2: hostname S2 enable secret class no ip domain-lookup line con 0 63
63
5.3.2.4: resolución de problemas de routing entre VLAN
64
password cisco login logging synchronous line vty 0 15 password cisco login vlan 20 name Engineering exit interface fastethernet0/1 switchport mode trunk interface fastethernet0/18 switchport access vlan 10 switchport mode access interface vlan1 ip address 192.168.1.12 255.255.255.0 ip default-gateway 192.168.1.1 end
Paso 4. Guardar la configuración en ejecución en la configuración de inicio.
Parte 2. resolver problemas de configuración de routing entre VLAN En la parte 2, verificará la configuración del routing entre VLAN. a. En el R1, introduzca el comando show ip route para ver la tabla de routing. ¿Qué redes se enumeran? ____________________________________________________________________________________ ¿Hay redes que no figuran en la tabla de routing? Si es así, ¿qué redes? ____________________________________________________________________________________ ¿Cuál es un motivo posible de que una ruta no figure en la tabla de routing? ____________________________________________________________________________________ b. En el R1, emita el comando show ip interface brief. Sobre la base del resultado, ¿existen problemas de interfaz en el router? Si es así, ¿con qué comandos se resolverían los problemas? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ c.
En el R1, vuelva a emitir el comando show ip route. Verifique que todas las redes estén disponibles en la tabla de routing. Si no es así, continúe con la resolución de problemas hasta que todas las redes aparezcan en la tabla.
Parte 3. verificar la configuración de VLAN, la asignación de puertos y los enlaces troncales En la parte 3, verificará que el S1 y el S2 tengan las VLAN correctas y que los enlaces troncales estén configurados como corresponde. 64
64
5.3.2.4: resolución de problemas de routing entre VLAN
65
Paso 1. verificar la configuración de VLAN y las asignaciones de puertos. a. En el S1, introduzca el comando show vlan brief para ver la base de datos de VLAN. ¿Qué redes VLAN se enumeran? Omita las VLAN 1002 a 1005. ____________________________________________________________________________________ ¿Hay algún número o nombre de VLAN que no figure en el resultado? Si es así, indíquelos. ____________________________________________________________________________________ ¿Los puertos de acceso están asignados a las VLAN correctas? Si no es así, indique las asignaciones faltantes o incorrectas. ____________________________________________________________________________________ Si es necesario, ¿con qué comandos se resolverían los problemas de VLAN? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ b. En el S1, vuelva a emitir el comando show vlan brief para verificar la configuración. c.
En el S2, introduzca el comando show vlan brief para ver la base de datos de VLAN. ¿Qué redes VLAN se enumeran? Omita las VLAN 1002 a 1005. ____________________________________________________________________________________ ¿Hay algún número o nombre de VLAN que no figure en el resultado? Si es así, indíquelos. ____________________________________________________________________________________ ¿Los puertos de acceso están asignados a las VLAN correctas? Si no es así, indique las asignaciones faltantes o incorrectas. ____________________________________________________________________________________ Si es necesario, ¿con qué comandos se resolverían los problemas de VLAN? ____________________________________________________________________________________ ____________________________________________________________________________________
d. En el S2, vuelva a emitir el comando show vlan brief para verificar los cambios en la configuración.
Paso 2. verificar las interfaces de enlace troncal. a. En el S1, introduzca el comando show interface trunk para ver las interfaces de enlace troncal. ¿Qué puertos están en modo de enlace troncal? ____________________________________________________________________________________ ¿Hay puertos que no figuran en el resultado? Si es así, indíquelos. ____________________________________________________________________________________ Si es necesario, ¿con qué comandos se resolverían los problemas de puertos de enlace troncal? ____________________________________________________________________________________ ____________________________________________________________________________________ b. En el S1, vuelva a emitir el comando show interface trunk para verificar los cambios en la configuración. c.
En el S2, introduzca el comando show interface trunk para ver las interfaces de enlace troncal. ____________________________________________________________________________________ ¿Hay puertos que no figuran en el resultado? Si es así, indíquelos. ____________________________________________________________________________________
65
65
5.3.2.4: resolución de problemas de routing entre VLAN
66
Si es necesario, ¿con qué comandos se resolverían los problemas de puertos de enlace troncal? ____________________________________________________________________________________ ____________________________________________________________________________________
Parte 4. probar la conectividad de capa 3 a. Ahora que corrigió varios problemas de configuración, probemos la conectividad. ¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 10? _____ ¿Es posible hacer ping de la PC-A a la PC-B? _____ ¿Es posible hacer ping de la PC-A a la interfaz Lo0? _____ Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija el error. Nota: quizá sea necesario deshabilitar el firewall de las computadoras para que los pings entre estas se realicen correctamente. ¿Es posible hacer ping de la PC-A al S1? _____ ¿Es posible hacer ping de la PC-A al S2? _____ Enumere algunos de los problemas que aún podrían evitar que los pings a los switches se realicen correctamente. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Una manera de detectar dónde se produce el error es hacer un tracert de la PC-A al S1. C:\Users\User1> tracert 192.168.1.11 Tracing route to 192.168.1.11 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 192.168.10.1 2 * * * Request timed out. 3 * * * Request timed out. <Output Omitted>
Este resultado muestra que la solicitud de la PC-A llega al gateway predeterminado en la interfaz g0/1.10 del R1, pero el paquete se detiene en el router. c.
Ya verificó las entradas en la tabla de routing del R1, ahora ejecute el comando show run | section interface para verificar la configuración de VLAN. Enumere todos los errores de configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ ¿Con qué comandos se resolverían los problemas detectados? ____________________________________________________________________________________ ____________________________________________________________________________________
d. Verifique que los pings de la PC-A ahora lleguen al S1 y al S2. ¿Es posible hacer ping de la PC-A al S1? _____ ¿Es posible hacer ping de la PC-A al S2? _____
Reflexión ¿Cuáles son las ventajas de ver la tabla de routing para fines de resolución de problemas? _______________________________________________________________________________________ _______________________________________________________________________________________ 66
66
6.2.2.5: configuración de rutas estáticas y predeterminadas IPv4 Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Máscara de subred
Dirección IP
Gateway predeterminado
G0/1
192.168.0.1
255.255.255.0
N/A
S0/0/1
10.1.1.1
255.255.255.252
N/A
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/0 (DCE)
10.1.1.2
255.255.255.252
N/A
Lo0
209.165.200.225
255.255.255.224
N/A
Lo1
198.133.219.1
255.255.255.0
N/A
PC-A
NIC
192.168.0.10
255.255.255.0
192.168.0.1
PC-C
NIC
192.168.1.10
255.255.255.0
192.168.1.1
R3
Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los parámetros básicos de los dispositivos y verificar la conectividad Parte 3: configurar rutas estáticas •
Configurar una ruta estática recursiva.
•
Configurar una ruta estática conectada directamente.
•
Configurar y eliminar rutas estáticas.
Parte 4: configurar y verificar una ruta predeterminada 67
67
6.2.2.5: configuración de rutas estáticas y predeterminadas IPv4
68
Información básica/situación Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes. La tabla de routing consta de un conjunto de rutas que describen el gateway o la interfaz que el router usa para llegar a una red especificada. Inicialmente, la tabla de routing contiene solo redes conectadas directamente. Para comunicarse con redes distantes, se deben especificar las rutas, que deben agregarse a la tabla de routing. En esta práctica de laboratorio, configurará manualmente una ruta estática a una red distante especificada sobre la base de una dirección IP del siguiente salto o una interfaz de salida. También configurará una ruta estática predeterminada. Una ruta predeterminada es un tipo de ruta estática que especifica el gateway que se va a utilizar cuando la tabla de routing no incluye una ruta para la red de destino. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el routing estático. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. establecer la topología e inicializar los dispositivos Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch.
Parte 2. configurar los parámetros básicos de los dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos, como las direcciones IP de interfaz, el acceso a dispositivos y las contraseñas. Verificará la conectividad LAN e identificará las rutas que se indican en las tablas de routing del R1 y el R3.
Paso 1. Configure las interfaces de la PC. Paso 2. configurar los parámetros básicos en los routers. a. Configure los nombres de los dispositivos, como se muestra en la topología y en la tabla de direccionamiento. b. Desactive la búsqueda del DNS. c.
Asigne class como la contraseña de enable y asigne cisco como la contraseña de consola y la contraseña de vty.
d. Guarde la configuración en ejecución en el archivo de configuración de inicio. 68
68
6.2.2.5: configuración de rutas estáticas y predeterminadas IPv4
69
Paso 3. configurar los parámetros IP en los routers. a. Configure las interfaces del R1 y el R3 con direcciones IP según la tabla de direccionamiento. b. La conexión S0/0/0 es la conexión DCE y requiere el comando clock rate. A continuación, se muestra la configuración de la interfaz S0/0/0 del R3. R3(config)# interface s0/0/0 R3(config-if)# ip address 10.1.1.2 255.255.255.252 R3(config-if)# clock rate 128000 R3(config-if)# no shutdown
Paso 4. verificar la conectividad de las LAN. a. Para probar la conectividad, haga ping de cada computadora al gateway predeterminado que se configuró para ese host. ¿Es posible hacer ping de la PC-A al gateway predeterminado? __________ ¿Es posible hacer ping de la PC-C al gateway predeterminado? __________ b. Para probar la conectividad, haga ping entre los routers conectados directamente. ¿Es posible hacer ping del R1 a la interfaz S0/0/0 del R3? __________ Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija el error. c.
Pruebe la conectividad entre los dispositivos que no están conectados directamente. ¿Es posible hacer ping de la PC-A a la PC-C? __________ ¿Es posible hacer ping de la PC-A a la interfaz Lo0? __________ ¿Es posible hacer ping de la PC-A a la interfaz Lo1? __________ ¿Los pings eran correctos? ¿Por qué o por qué no? ____________________________________________________________________________________ Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Paso 5. reunir información. a. Revise el estado de las interfaces en el R1 con el comando show ip interface brief. ¿Cuántas interfaces están activadas en el R1? __________ b. Revise el estado de las interfaces en el R3. ¿Cuántas interfaces están activadas en el R3? __________ c.
Vea la información de la tabla de routing del R1 con el comando show ip route. ¿Qué redes están presentes en la tabla de direccionamiento de esta práctica de laboratorio, pero no en la tabla de routing del R1? ____________________________________________________________________________________
d. Vea la información de la tabla de routing para el R3. ¿Qué redes están presentes en la tabla de direccionamiento de esta práctica de laboratorio, pero no en la tabla de routing del R3? ____________________________________________________________________________________ ¿Por qué ninguna de las redes está presente en las tablas de enrutamiento para cada uno de los routers? ____________________________________________________________________________________ ____________________________________________________________________________________
69
69
6.2.2.5: configuración de rutas estáticas y predeterminadas IPv4
70
Parte 3. Configure las rutas estáticas. En la parte 3, empleará varias formas de implementar rutas estáticas y predeterminadas, confirmará si las rutas se agregaron a las tablas de routing del R1 y el R3, y verificará la conectividad sobre la base de las rutas introducidas. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar el routing estático. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice.
Paso 1. Configure una ruta estática recursiva. Con una ruta estática recursiva, se especifica la dirección IP del siguiente salto. Debido a que solo se especifica la IP de siguiente salto, el router tiene que hacer varias búsquedas en la tabla de routing antes de reenviar paquetes. Para configurar rutas estáticas recursivas, utilice la siguiente sintaxis: Router(config)# ip route dirección-red máscara-subred dirección-ip a. En el router R1, configure una ruta estática a la red 192.168.1.0 utilizando la dirección IP de la interfaz serial 0/0/0 del R3 como la dirección de siguiente salto. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. ¿Cómo se indica esta ruta nueva en la tabla de routing? ____________________________________________________________________________________ ¿Es posible hacer ping del host PC-A host a al host PC-C? __________ Estos pings deben fallar. Si la ruta estática recursiva se configuró correctamente, el ping llega a la PC-C. La PC-C envía un ping de respuesta a la PC-A. Sin embargo, este ping se descarta en el R3, porque el R3 no tiene una ruta de retorno a la red 192.168.0.0 en la tabla de routing.
Paso 2. configurar una ruta estática conectada directamente. Con una ruta estática conectada directamente, se especifica el parámetro interfaz-salida, que permite que el router resuelva una decisión de reenvío con una sola búsqueda. En general, una ruta estática conectada directamente se utiliza con una interfaz serial punto a punto. Para configurar rutas estáticas conectadas directamente con una interfaz de salida especificada, utilice la siguiente sintaxis: Router(config)# ip route dirección-red máscara-subred interfaz-salida a. En el router R3, configure una ruta estática a la red 192.168.0.0 con la interfaz S0/0/0 como la interfaz de salida. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. ¿Cómo se indica esta ruta nueva en la tabla de routing? ____________________________________________________________________________________ c.
¿Es posible hacer ping del host PC-A host a al host PC-C? __________ Este ping debe tener éxito. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Paso 3. configurar una ruta estática. a. En el router R1, configure una ruta estática a la red 198.133.219.0 utilizando una de las opciones de configuración de ruta estática de los pasos anteriores. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ 70
70
6.2.2.5: configuración de rutas estáticas y predeterminadas IPv4
71
b. En el router R1, configure una ruta estática a la red 209.165.200.224 en el R3 utilizando la otra opción de configuración de ruta estática de los pasos anteriores. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ c.
Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. ¿Cómo se indica esta ruta nueva en la tabla de routing? ____________________________________________________________________________________
d. ¿Es posible hacer ping del host PC-A a la dirección 198.133.219.1 del R1? __________ Este ping debe tener éxito.
Paso 4. Elimine las rutas estáticas de las direcciones de loopback. a. En el R1, utilice el comando no para eliminar las rutas estáticas de las dos direcciones de loopback de la tabla de routing. En el espacio proporcionado, escriba los comandos que utilizó. __________________________________________________________________________________ b. Observe la tabla de routing para verificar si se eliminaron las rutas. ¿Cuántas rutas de red se indican en la tabla de routing del R1? ____________ ¿El gateway de último recurso está establecido? __________
Parte 4. configurar y verificar una ruta predeterminada En la parte 4, implementará una ruta predeterminada, confirmará si la ruta se agregó a la tabla de routing y verificará la conectividad sobre la base de la ruta introducida. Una ruta predeterminada identifica el gateway al cual el router envía todos los paquetes IP para los que no tiene una ruta descubierta o estática. Una ruta estática predeterminada es una ruta estática con 0.0.0.0 como dirección IP y máscara de subred de destino. Comúnmente, esta ruta se denomina “ruta de cuádruple cero”. En una ruta predeterminada, se puede especificar la dirección IP del siguiente salto o la interfaz de salida. Para configurar una ruta estática predeterminada, utilice la siguiente sintaxis: Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address or exit-intf} a. Configure el router R1 con una ruta predeterminada que utilice la interfaz de salida S0/0/1. En el espacio proporcionado, escriba el comando que utilizó. _____________________________________________________________________________ b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática. ¿Cómo se indica esta ruta nueva en la tabla de routing? ____________________________________________________________________________________ ¿Cuál es el gateway de último recurso? ____________________________________________________________________________________ c.
¿Es posible hacer ping del host PC-A a 209.165.200.225? __________
d. ¿Es posible hacer ping del host PC-A a 198.133.219.1? __________ Estos pings deben tener éxito.
Reflexión 1. Una nueva red 192.168.3.0/24 está conectada a la interfaz G0/0 del R1. ¿Qué comandos podrían utilizarse para configurar una ruta estática a esa red desde el R3? _______________________________________________________________________________________ _______________________________________________________________________________________ 71
71
6.2.2.5: configuración de rutas estáticas y predeterminadas IPv4
72
2. ¿Ofrece alguna ventaja configurar una ruta estática conectada directamente, en vez de una ruta estática? _______________________________________________________________________________________ _______________________________________________________________________________________ 3. ¿Por qué es importante configurar una ruta predeterminada en un router? _______________________________________________________________________________________
Apéndice A: comandos de configuración para las partes 2, 3 y 4 Los comandos que se indican en el apéndice A sirven exclusivamente como referencia. Este apéndice no incluye todos los comandos específicos que se necesitan para completar esta práctica de laboratorio.
Configuración básica de los dispositivos Configure los parámetros IP en el router. R3(config)# interface s0/0/0 R3(config-if)# ip address 10.1.1.2 255.255.255.252 R3(config-if)# clock rate 128000 R3(config-if)# no shutdown
Configuraciones de rutas estáticas Configure una ruta estática recursiva. R1(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.2 Configure una ruta estática conectada directamente. R3(config)# ip route 192.168.0.0 255.255.255.0 s0/0/0 Elimine las rutas estáticas. R1(config)# no ip route 209.165.200.224 255.255.255.224 serial0/0/1 o R1(config)# no ip route 209.165.200.224 255.255.255.224 10.1.1.2 o R1(config)# no ip route 209.165.200.224 255.255.255.224
Configuración de rutas predeterminadas R1(config)# ip route 0.0.0.0 0.0.0.0 s0/0/1
72
72
6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6 Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IPv6/longitud de prefijo
Gateway predeterminado
G0/1
2001:DB8:ACAD:A::/64 eui-64
N/A
S0/0/1
FC00::1/64
N/A
G0/1
2001:DB8:ACAD:B::/64 eui-64
N/A
S0/0/0
FC00::2/64
N/A
PC-A
NIC
SLAAC
SLAAC
PC-C
NIC
SLAAC
SLAAC
R3
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos •
Habilitar el routing de unidifusión IPv6 y configurar el direccionamiento IPv6 en los routers.
•
Deshabilitar el direccionamiento IPv4 y habilitar SLAAC de IPv6 para las interfaces de red de las computadoras.
•
Usar ipconfig y ping para verificar la conectividad LAN.
•
Usar los comandos show para verificar la configuración de IPv6.
Parte 2: configurar rutas estáticas y predeterminadas IPv6
73
•
Configurar una ruta estática IPv6 conectada directamente.
•
Configurar una ruta estática IPv6 recursiva.
•
Configurar una ruta estática predeterminada IPv6.
73
6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6
74
Información básica/situación En esta práctica de laboratorio, configurará toda la red para establecer la comunicación solo con direccionamiento IPv6. Esto incluye la configuración de los routers y las computadoras. Usará la configuración automática de dirección sin estado (SLAAC) para configurar las direcciones IPv6 para los hosts. También configurará rutas estáticas y predeterminadas IPv6 en los routers para habilitar la comunicación con redes remotas que no están conectadas directamente. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, realizará el cableado de la red y la configurará para que establezca la comunicación utilizando direccionamiento IPv6.
Paso 1. Realice el cableado de red tal como se muestra en el diagrama de topología. Paso 2. inicializar y volver a cargar los routers y los switches. Paso 3. habilitar el routing de unidifusión IPv6 y configurar el direccionamiento IPv6 en los routers. a. Mediante Tera Term, acceda al router etiquetado R1 en el diagrama de la topología mediante el puerto de consola y asígnele el nombre R1. b. En el modo de configuración global, habilite el routing IPv6 en el R1. R1(config)# ipv6 unicast-routing c.
Configure las interfaces de red en el R1 con direcciones IPv6. Observe que IPv6 está habilitado en cada interfaz. La interfaz G0/1 tiene una dirección de unidifusión enrutable globalmente, y se utiliza EUI-64 para crear la porción del identificador de la interfaz de la dirección. La interfaz S0/0/1 tiene una dirección local única y enrutable de forma privada, que se recomienda para las conexiones seriales punto a punto. R1(config)# interface g0/1 R1(config-if)# ipv6 address 2001:DB8:ACAD:A::/64 eui-64 R1(config-if)# no shutdown R1(config-if)# interface serial 0/0/1 R1(config-if)# ipv6 address FC00::1/64 R1(config-if)# no shutdown R1(config-if)# exit
d. Asigne un nombre de dispositivo al router R3. e. En el modo de configuración global, habilite el routing IPv6 en el R3. 74
74
6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6
75
R3(config)# ipv6 unicast-routing f.
Configure las interfaces de red en el R3 con direcciones IPv6. Observe que IPv6 está habilitado en cada interfaz. La interfaz G0/1 tiene una dirección de unidifusión enrutable globalmente, y se utiliza EUI-64 para crear la porción del identificador de la interfaz de la dirección. La interfaz S0/0/0 tiene una dirección local única y enrutable de forma privada, que se recomienda para las conexiones seriales punto a punto. La frecuencia de reloj está establecida, porque es el extremo del DCE del cable serial. R3(config)# interface gigabit 0/1 R3(config-if)# ipv6 address 2001:DB8:ACAD:B::/64 eui-64 R3(config-if)# no shutdown R3(config-if)# interface serial 0/0/0 R3(config-if)# ipv6 address FC00::2/64 R3(config-if)# clock rate 128000 R3(config-if)# no shutdown R3(config-if)# exit
Paso 4. deshabilitar el direccionamiento IPv4 y habilitar SLAAC de IPv6 para las interfaces de red de las computadoras. a. En la PC-A y la PC-C, navegue hasta el menú Inicio > Panel de control. Haga clic en el enlace Centro de redes y recursos compartidos en la vista por íconos. En la ventana Centro de redes y recursos compartidos, haga clic en el enlace Cambiar configuración del adaptador, que se encuentra en el lado izquierdo de la ventana, para abrir la ventana Conexiones de red. b. En la ventana Conexiones de red, verá los íconos de los adaptadores de interfaz de red. Haga doble clic en el ícono de Conexión de área local de la interfaz de red de la computadora que está conectada al switch. Haga clic en Propiedades para abrir la ventana de diálogo Propiedades de conexión de área local. c.
Con la ventana Propiedades de conexión de área local abierta, desplácese hacia abajo por los elementos y desactive la casilla de verificación del elemento Protocolo de Internet versión 4 (TCP/IPv4) para deshabilitar el protocolo IPv4 en la interfaz de red.
d. Con la ventana Propiedades de conexión de área local todavía abierta, haga clic en la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y luego en Propiedades. e. Con la ventana Propiedades > Protocolo de Internet versión 6 (TCP/IPv6) abierta, verifique que los botones de opción Obtener una dirección IPv6 automáticamente y Obtener la dirección del servidor DNS automáticamente estén seleccionados. Si no lo están, selecciónelos. f.
Si las computadoras están configuradas para obtener una dirección IPv6 automáticamente, se comunicarán con los routers para obtener la información del gateway y de la subred de la red y configurarán automáticamente la información de la dirección IPv6. En el siguiente paso, verificará la configuración.
Paso 5. usar ipconfig y ping para verificar la conectividad LAN. a. En la PC-A, abra un símbolo del sistema, escriba ipconfig /all y presione Enter. El resultado debe ser similar al que se muestra a continuación. En el resultado, debería ver que la computadora ahora tiene una dirección IPv6 de unidifusión global, una dirección IPv6 link-local y una dirección IPv6 link-local de gateway predeterminado. Es posible que también vea una dirección IPv6 temporal y, en direcciones del servidor DNS, tres direcciones locales de sitio que empiezan con FEC0. Las direcciones locales de sitio son direcciones privadas que tienen compatibilidad retrospectiva con NAT. Sin embargo, no son compatibles con IPv6, y se reemplazaron con direcciones locales únicas. C:\Users\User1> ipconfig /all Windows IP Configuration <Output Omitted> Ethernet adapter Local Area Connection: Connection-specific DNS Suffix 75
. : 75
6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6 Description . . . . . . . Physical Address. . . . . DHCP Enabled. . . . . . . Autoconfiguration Enabled IPv6 Address. . . . . . . Temporary IPv6 Address. . Link-local IPv6 Address . Default Gateway . . . . . DNS Servers . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
. . . . . . . . .
76
: : : : : : : : :
Intel(R) 82577LC Gigabit Network Connection 1C-C1-DE-91-C3-5D No Yes 2001:db8:acad:a:7c0c:7493:218d:2f6c(Preferred) 2001:db8:acad:a:bc40:133a:54e7:d497(Preferred) fe80::7c0c:7493:218d:2f6c%13(Preferred) fe80::6273:5cff:fe0d:1a61%13 fec0:0:0:ffff::1%1 fec0:0:0:ffff::2%1 fec0:0:0:ffff::3%1 NetBIOS over Tcpip. . . . . . . . : Disabled
b. Sobre la base de la implementación de la red y el resultado del comando ipconfig /all, ¿la PC-A recibió información de direccionamiento IPv6 del R1? ____________________________________________________________________________________ c.
¿Cuál es la dirección IPv6 de unidifusión global de la PC-A? ____________________________________________________________________________________
d. ¿Cuál es la dirección IPv6 link-local de la PC-A? ____________________________________________________________________________________ e. ¿Cuál es la dirección IPv6 de gateway predeterminado de la PC-A? ____________________________________________________________________________________ f.
En la PC-A, use el comando ping -6 para emitir un ping IPv6 a la dirección link-local de gateway predeterminado. Debería ver respuestas del router R1. C:\Users\User1> ping -6 <default-gateway-address> ¿La PC-A recibió respuestas al ping hizo que al R1? ____________________________________________________________________________________
g. Repita el paso 5a en la PC-C. ¿La PC-C recibió información de direccionamiento IPv6 del R3? ____________________________________________________________________________________ h. ¿Cuál es la dirección IPv6 de unidifusión global de la PC-C? ____________________________________________________________________________________ i.
¿Cuál es la dirección IPv6 link-local de la PC-C? ____________________________________________________________________________________
j.
¿Cuál es la dirección IPv6 de gateway predeterminado de la PC-C? ____________________________________________________________________________________
k.
En la PC-C, use el comando ping -6 para hacer ping al gateway predeterminado de la PC-C. ¿La PC-C recibió respuestas a los pings que hizo al R3? ____________________________________________________________________________________
l.
Intente hacer ping -6 IPv6 de la PC-A a la dirección IPv6 de la PC-C. C:\Users\User1> ping -6 PC-C-IPv6-address ¿El ping se realizó correctamente? ¿Por qué o por qué no? ____________________________________________________________________________________ ____________________________________________________________________________________
76
76
6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6
77
Paso 6. Use los comandos show para verificar la configuración de IPv6. a. Revise el estado de las interfaces en el R1 con el comando show ipv6 interface brief. ¿Cuáles son las dos direcciones IPv6 de la interfaz G0/1 y qué tipo de direcciones IPv6 son? ____________________________________________________________________________________ ____________________________________________________________________________________ ¿Cuáles son las dos direcciones IPv6 de la interfaz S0/0/1 y qué tipo de direcciones IPv6 son? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Para ver información más detallada sobre las interfaces IPv6, escriba el comando show ipv6 interface en el R1 y presione Enter. ¿Cuáles son las direcciones del grupo de multidifusión de la interfaz Gigabit Ethernet 0/1? ____________________________________________________________________________________ ____________________________________________________________________________________ ¿Cuáles son las direcciones del grupo de multidifusión de la interfaz S0/0/1? ____________________________________________________________________________________ ____________________________________________________________________________________ ¿Para qué se usa la dirección de multidifusión FF02::1? ____________________________________________________________________________________ ¿Para qué se usa la dirección de multidifusión FF02::2? ____________________________________________________________________________________ ¿Qué tipo de direcciones de multidifusión son FF02::1:FF00:1 y FF02::1:FF0D:1A60 y para qué se usan? ____________________________________________________________________________________ ____________________________________________________________________________________ c.
Vea la información de la tabla de routing IPv6 del R1 con el comando show ipv6 route. La tabla de routing IPv6 debe tener dos rutas conectadas, una para cada interfaz, y tres rutas locales, una para cada interfaz y otra para el tráfico de multidifusión a una interfaz Null0. ¿De qué forma el resultado de la tabla de routing del R1 revela el motivo por el que no pudo hacer ping de la PC-A a la PC-C? ____________________________________________________________________________________ ____________________________________________________________________________________
Parte 2. configurar rutas estáticas y predeterminadas IPv6 En la parte 2, configurará rutas estáticas y predeterminadas IPv6 de tres maneras distintas. Confirmará que las rutas se agreguen a las tablas de routing y verificará que la conectividad entre la PC-A y la PC-C sea correcta. Configurará tres tipos de rutas estáticas IPv6:
77
•
Ruta estática IPv6 conectada directamente: una ruta estática conectada directamente se crea al especificar la interfaz de salida.
•
Ruta estática IPv6 recursiva: una ruta estática recursiva se crea al especificar la dirección IP del siguiente salto. Este método requiere que el router ejecute una búsqueda recursiva en la tabla de routing para identificar la interfaz de salida.
•
Ruta estática predeterminada IPv6: similar a una ruta IPv4 de cuádruple cero, una ruta estática predeterminada IPv6 se crea al hacer que el prefijo IPv6 de destino y la longitud de prefijo sean todos ceros, :: /0. 77
6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6
78
Paso 1. configurar una ruta estática IPv6 conectada directamente. En una ruta estática IPv6 conectada directamente, la entrada de ruta especifica la interfaz de salida del router. En general, una ruta estática conectada directamente se utiliza con una interfaz serial punto a punto. Para configurar una ruta estática IPv6 conectada directamente, utilice el siguiente formato de comando: Router(config)# ipv6 route <ipv6-prefix/prefix-length> <outgoing-interface-type> <outgoing-interface-number> a. En el router R1, configure una ruta estática IPv6 a la red 2001:DB8:ACAD:B::/64 en el R3 mediante la interfaz de salida S0/0/1 del R1. R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1 R1(config)# b. Consulte la tabla de routing IPv6 para verificar la entrada de la ruta estática nueva. ¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta que se agregó recientemente a la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ c.
Ahora que la ruta estática se configuró en el R1, ¿es posible hacer ping de la PC-A al host PC-C? ____________________________________________________________________________________ Estos pings deben fallar. Si la ruta estática recursiva se configuró correctamente, el ping llega a la PC-C. La PC-C envía un ping de respuesta a la PC-A. Sin embargo, ese ping se descarta en el R3, porque el R3 no tiene una ruta de retorno a la red 2001:DB8:ACAD:A::/64 en la tabla de routing. Para hacer ping correctamente a través de la red, también debe crear una ruta estática en el R3.
d. En el router R3, configure una ruta estática IPv6 a la red 2001:DB8:ACAD:A::/64, mediante la interfaz de salida S0/0/0 del R3. R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0 R3(config)# e. Ahora que ambos routers tienen rutas estáticas, intente hacer ping -6 de IPv6 desde la PC-A hasta la dirección IPv6 de unidifusión global de la PC-C. ¿El ping se realizó correctamente? ¿Por qué? ____________________________________________________________________________________
Paso 2. configurar una ruta estática IPv6 recursiva. En una ruta estática IPv6 recursiva, la entrada de ruta tiene la dirección IPv6 del router del siguiente salto. Para configurar una ruta estática IPv6 recursiva, utilice el siguiente formato de comando: Router(config)# ipv6 route <ipv6-prefix/prefix-length> <next-hop-ipv6-address> a. En el router R1, elimine la ruta estática conectada directamente y agregue una ruta estática recursiva. R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1 R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 FC00::2 R1(config)# exit b. En el router R3, elimine la ruta estática conectada directamente y agregue una ruta estática recursiva. R3(config)# no ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0 R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 FC00::1 R3(config)# exit c.
Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta estática nueva. ¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta que se agregó recientemente a la tabla de routing?
78
78
6.2.4.5: configuración de rutas estáticas y predeterminadas IPv6
79
____________________________________________________________________________________ d. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la PC-C. ¿El ping se realizó correctamente? _________________ Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Paso 3. configurar una ruta estática predeterminada IPv6. En una ruta estática predeterminada, el prefijo IPv6 de destino y la longitud de prefijo son todos ceros. Router(config)# ipv6 route ::/0 <outgoing-interface-type> <outgoing-interfacenumber> {and/or} <next-hop-ipv6-address> a. En el router R1, elimine la ruta estática recursiva y agregue una ruta estática predeterminada. R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 FC00::2 R1(config)# ipv6 route ::/0 serial 0/0/1 R1(config)# b. En el R3, elimine la ruta estática recursiva y agregue una ruta estática predeterminada. c.
Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta estática nueva. ¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta predeterminada que se agregó recientemente a la tabla de routing? ____________________________________________________________________________________
d. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la PC-C. ¿El ping se realizó correctamente? __________________ Nota: quizás sea necesario inhabilitar el firewall de las computadoras para hacer ping entre estas.
Reflexión 1. Esta práctica de laboratorio se centra en la configuración de rutas estáticas y predeterminadas IPv6. ¿Puede pensar en una situación en la que tendría que configurar rutas estáticas y predeterminadas IPv6 e IPv4 en un router? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 2. En la práctica, la configuración de rutas estáticas y predeterminadas IPv6 es muy similar a la configuración de rutas estáticas y predeterminadas IPv4. Independientemente de las diferencias obvias entre el direccionamiento IPv6 e IPv4, ¿cuáles son algunas otras diferencias que se observan al configurar y verificar una ruta estática IPv6 en comparación con una ruta estática IPv4? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
79
79
6.3.3.7: diseño e implementación de direccionamiento IPv4 con VLSM Topología
Objetivos Parte 1: examinar los requisitos de la red Parte 2: diseñar el esquema de direcciones VLSM Parte 3: realizar el cableado y configurar la red IPv4
Información básica/situación La máscara de subred de longitud variable (VLSM) se diseñó para conservar direcciones IP. Con VLSM, una red se divide en subredes, que luego se subdividen nuevamente. Este proceso se puede repetir varias veces para crear subredes de distintos tamaños, según el número de hosts requerido en cada subred. El uso eficaz de VLSM requiere la planificación de direcciones. En esta práctica de laboratorio, se le asigna la dirección de red 172.16.128.0/17 para que desarrolle un esquema de direcciones para la red que se muestra en el diagrama de la topología. Se usará VLSM para que se pueda cumplir con los requisitos de direccionamiento. Después de diseñar el esquema de direcciones VLSM, configurará las interfaces en los routers con la información de dirección IP adecuada. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios
80
•
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 computadora (con un programa de emulación de terminal, como Tera Term, para configurar los routers)
•
Cable de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola 80
6.3.3.7: diseño e implementación de direccionamiento IPv4 con VLSM •
Cables Ethernet (optativo) y seriales, como se muestra en la topología
•
Calculadora de Windows (optativo)
81
Parte 1. examinar los requisitos de la red En la parte 1, examinará los requisitos de la red y utilizará la dirección de red 172.16.128.0/17 para desarrollar un esquema de direcciones VLSM para la red que se muestra en el diagrama de la topología. Nota: puede utilizar la aplicación Calculadora de Windows y la calculadora de subredes IP de www.ipcalc.org como ayuda para sus cálculos.
Paso 1. determinar la cantidad de direcciones host disponibles y la cantidad de subredes que se necesitan. ¿Cuántas direcciones host se encuentran disponibles en una red /17? ________ ¿Cuál es la cantidad total de direcciones host que se necesitan en el diagrama de la topología? ________ ¿Cuántas subredes se necesitan en la topología de la red? ______
Paso 2. determinar la subred más grande que se necesita. Descripción de la subred (p. ej., enlace BR1 G0/1 LAN o BR1-HQ WAN) _________________ ¿Cuántas direcciones IP se necesitan en la subred más grande? __________ ¿Cuál es la subred más pequeña que admite esa cantidad de direcciones? _____________________ ¿Cuántas direcciones host admite esa subred? _________ ¿Se puede dividir la red 172.16.128.0/17 en subredes para admitir esta subred? _____ ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________
_____________________
Utilice la primera dirección de red para esta subred.
Paso 3. determinar la segunda subred más grande que se necesita. Descripción de la subred _____________________________ ¿Cuántas direcciones IP se necesitan para la segunda subred más grande? ______ ¿Cuál es la subred más pequeña que admite esa cantidad de hosts? ___________________ ¿Cuántas direcciones host admite esa subred? __________ ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________
_____________________
Utilice la primera dirección de red para esta subred.
Paso 4. determinar la siguiente subred más grande que se necesita. Descripción de la subred _____________________________ ¿Cuántas direcciones IP se necesitan para la siguiente subred más grande? ______ ¿Cuál es la subred más pequeña que admite esa cantidad de hosts?___________________ ¿Cuántas direcciones host admite esa subred? __________ ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ 81
81
6.3.3.7: diseño e implementación de direccionamiento IPv4 con VLSM
82
¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________
_____________________
Utilice la primera dirección de red para esta subred.
Paso 5. determinar la siguiente subred más grande que se necesita. Descripción de la subred _____________________________ ¿Cuántas direcciones IP se necesitan para la siguiente subred más grande? ______ ¿Cuál es la subred más pequeña que admite esa cantidad de hosts?___________________ ¿Cuántas direcciones host admite esa subred? __________ ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________
_____________________
Utilice la primera dirección de red para esta subred.
Paso 6. determinar la siguiente subred más grande que se necesita. Descripción de la subred _____________________________ ¿Cuántas direcciones IP se necesitan para la siguiente subred más grande? ______ ¿Cuál es la subred más pequeña que admite esa cantidad de hosts?___________________ ¿Cuántas direcciones host admite esa subred? __________ ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________
_____________________
Utilice la primera dirección de red para esta subred.
Paso 7. determinar la siguiente subred más grande que se necesita. Descripción de la subred _____________________________ ¿Cuántas direcciones IP se necesitan para la siguiente subred más grande? ______ ¿Cuál es la subred más pequeña que admite esa cantidad de hosts? ___________________ ¿Cuántas direcciones host admite esa subred? __________ ¿Se puede volver a dividir la subred restante en subredes sin que deje de admitir esta subred? ______ ¿Cuáles son las dos direcciones de red que se obtendrían de esta división en subredes? _____________________
_____________________
Utilice la primera dirección de red para esta subred.
Paso 8. determinar las subredes que se necesitan para admitir los enlaces seriales. a. ¿Cuántas direcciones host se necesitan para cada enlace de subred serial? ______ b. ¿Cuál es la subred más pequeña que admite esa cantidad de direcciones host?___________________ c.
Divida la subred restante en subredes y, a continuación, escriba las direcciones de red que se obtienen de esta división. ____________________________
____________________________
____________________________ 82
82
6.3.3.7: diseño e implementación de direccionamiento IPv4 con VLSM
83
d. Siga dividiendo en subredes la primera subred de cada subred nueva hasta obtener cuatro subredes /30. Escriba las primeras tres direcciones de red de estas subredes /30 a continuación. _________________________
_________________________
___________________________
e. Introduzca las descripciones de las subredes de estas tres subredes a continuación. _________________________
_________________________
___________________________
Parte 2. diseñar el esquema de direcciones VLSM Paso 1. calcular la información de subred. Utilice la información que obtuvo en la parte 1 para completar la siguiente tabla. Descripción de la subred
Cantidad de hosts necesarios
HQ G0/0
16 000
HQ G0/1
8 000
BR1 G0/1
4 000
BR1 G0/0
2 000
BR2 G0/1
1.000
BR2 G0/0
500
HQ S0/0/0-BR1 S0/0/0
2
HQ S0/0/1-BR2 S0/0/1
2
BR1 S0/0/1-BR2 S0/0/0
2
Dirección de red/CIDR
Primera dirección de host
Dirección de broadcast
Paso 2. completar la tabla de direcciones de interfaces de dispositivos. Asigne la primera dirección host en la subred a las interfaces Ethernet. A HQ se le debería asignar la primera dirección host en los enlaces seriales a BR1 y BR2. A BR1 se le debería asignar la primera dirección host para el enlace serial a BR2. Dispositivo
HQ
BR1
BR2
83
Interfaz
Dirección IP
Máscara de subred
Interfaz del dispositivo
G0/0
LAN de 16 000 hosts
G0/1
LAN de 8000 hosts
S0/0/0
BR1 S0/0/0
S0/0/1
BR2 S0/0/1
G0/0
LAN de 2000 hosts
G0/1
LAN de 4000 hosts
S0/0/0
HQ S0/0/0
S0/0/1
BR2 S0/0/0
G0/0
LAN de 500 hosts
G0/1
LAN de 1000 hosts
S0/0/0
BR1 S0/0/1
S0/0/1
HQ S0/0/1 83
6.3.3.7: diseño e implementación de direccionamiento IPv4 con VLSM
84
Parte 3. realizar el cableado y configurar la red IPv4 En la parte 3, realizará el cableado de la topología de la red y configurará los tres routers con el esquema de direcciones VLSM que elaboró en la parte 2.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los parámetros básicos en cada router. a. Asigne el nombre de dispositivo al router. b. Deshabilite la búsqueda DNS para evitar que el router intente traducir los comandos incorrectamente introducidos como si fueran nombres de host. c.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y habilite el inicio de sesión. e. Asigne cisco como la contraseña de vty y habilite el inicio de sesión. f.
Cifre las contraseñas de texto no cifrado.
g. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está prohibido.
Paso 3. configurar las interfaces en cada router. a. Asigne una dirección IP y una máscara de subred a cada interfaz utilizando la tabla que completó en la parte 2. b. Configure una descripción de interfaz para cada interfaz. c.
Establezca la frecuencia de reloj en 128000 en todas las interfaces seriales DCE. HQ(config-if)# clock rate 128000
d. Active las interfaces.
Paso 4. guardar la configuración en todos los dispositivos. Paso 5. Probar la conectividad a. Haga ping de HQ a la dirección de la interfaz S0/0/0 de BR1. b. Haga ping de HQ a la dirección de la interfaz S0/0/1 de BR2. c.
Haga ping de BR1 a la dirección de la interfaz S0/0/0 de BR2.
d. Si los pings no se realizaron correctamente, resuelva los problemas de conectividad. Nota: los pings a las interfaces GigabitEthernet en otros routers no son correctos. Las LAN definidas para las interfaces GigabitEthernet son simuladas. Debido a que no hay ningún dispositivo conectado a estas LAN, están en estado down/down. Debe haber un protocolo de routing para que otros dispositivos detecten esas subredes. Las interfaces de GigabitEthernet también deben estar en estado up/up para que un protocolo de routing pueda agregar las subredes a la tabla de routing. Estas interfaces permanecen en el estado down/down hasta que se conecta un dispositivo al otro extremo del cable de interfaz Ethernet. Esta práctica de laboratorio se centra en VLSM y en la configuración de interfaces.
Reflexión ¿Puede pensar en un atajo para calcular las direcciones de red de las subredes /30 consecutivas? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 84
84
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6 Topología
Tabla de direccionamiento Subred
Dirección IPv4
Dirección IPv6
LAN1 de HQ
192.168.64.0/23
2001:DB8:ACAD:E::/64
LAN2 de HQ
192.168.66.0/23
2001:DB8:ACAD:F::/64
LAN1 de EAST
192.168.68.0/24
2001:DB8:ACAD:1::/64
LAN2 de EAST
192.168.69.0/24
2001:DB8:ACAD:2::/64
LAN1 de WEST
192.168.70.0/25
2001:DB8:ACAD:9::/64
LAN2 de WEST
192.168.70.128/25
2001:DB8:ACAD:A::/64
Enlace desde HQ a ESTE
192.168.71.4/30
2001:DB8:ACAD:1000::/64
Enlace desde HQ a WEST
192.168.71.0/30
2001:DB8:ACAD:2000::/64
Enlace desde HQ a ISP
209.165.201.0/30
2001:DB8:CC1E:1::/64
Objetivos Parte 1: calcular rutas resumidas IPv4 •
Determinar la ruta resumida para las LAN de HQ.
•
Determinar la ruta resumida para las LAN ESTE.
•
Determinar la ruta resumida para las LAN OESTE.
•
Determinar la ruta resumida para las LAN de HQ, ESTE y OESTE.
Parte 2: calcular rutas resumidas IPv6
85
•
Determinar la ruta resumida para las LAN de HQ.
•
Determinar la ruta resumida para las LAN ESTE.
•
Determinar la ruta resumida para las LAN OESTE.
•
Determinar la ruta resumida para las LAN de HQ, ESTE y OESTE. 85
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6
86
Información básica/situación Las rutas resumidas reducen el número de entradas en las tablas de routing y hacen que el proceso de búsqueda en dichas tablas sea más eficaz. Este proceso también disminuye los requisitos de memoria del router. Se puede usar una sola ruta estática para representar unas pocas rutas o miles de rutas. En esta práctica de laboratorio, determinará las rutas resumidas de diferentes subredes de una red. Después determinará la ruta resumida de toda la red. Determinará rutas resumidas para direcciones IPv4 e IPv6. Debido a que IPv6 usa valores hexadecimales, tendrá que convertir el valor hexadecimal en valor binario.
Recursos necesarios •
1 computadora (Windows 7, Vista o XP, con acceso a Internet)
•
Optativo: calculadora para convertir los valores hexadecimales y decimales en valores binarios
Parte 1. calcular rutas resumidas IPv4 En la parte 1, determinará las rutas resumidas que se pueden utilizar para reducir el tamaño de las tablas de routing. Después de cada conjunto de pasos, complete las tablas con la información apropiada de direccionamiento IPv4.
Paso 1. Indique la máscara de subred de la dirección IP de la LAN1 de HQ y la LAN2 de HQ en formato decimal. Paso 2. Indique la dirección IP de la LAN1 de HQ y la LAN2 de HQ en formato binario. Paso 3. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos redes? __________ b. Indique la máscara de subred para la ruta resumida en formato decimal.
Paso 4. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 de HQ y la LAN2 de HQ. b. Agregue ceros para conformar el resto de la dirección de red en formato binario. c.
Indique las direcciones de red resumidas en formato decimal.
Subred
Dirección IPv4
LAN1 de HQ
192.168.64.0
LAN2 de HQ
192.168.66.0
Máscara de subred
Dirección IP de la subred en formato binario
Dirección de resumen de las LAN de HQ
86
86
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6
87
Paso 5. indicar la máscara de subred de la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato decimal. Paso 6. indicar la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato binario. Paso 7. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos redes? __________ b. Indique la máscara de subred para la ruta resumida en formato decimal.
Paso 8. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2 ESTE. b. Agregue ceros para conformar el resto de la dirección de red en formato binario. c.
Indique las direcciones de red resumidas en formato decimal.
Subred
Dirección IPv4
LAN1 de EAST
192.168.68.0
LAN2 de EAST
192.168.69.0
Máscara de subred
Dirección de subred en formato binario
Dirección de resumen de las LAN ESTE
Paso 9. indicar la máscara de subred de la dirección IP de la LAN1 OESTE y la LAN2 OESTE en formato decimal. Paso 10. indicar la dirección IP de la LAN1 OESTE y la LAN2 OESTE en formato binario. Paso 11. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos redes? __________ b. Indique la máscara de subred para la ruta resumida en formato decimal.
Paso 12. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la LAN2 OESTE. b. Agregue ceros para conformar el resto de la dirección de red en formato binario. c.
87
Indique las direcciones de red resumidas en formato decimal.
87
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6
Subred
Dirección IPv4
LAN1 de WEST
192.168.70.0
LAN2 de WEST
192.168.70.128
88
Máscara de subred
Dirección IP de la subred en formato binario
Dirección de resumen de las LAN OESTE
Paso 13. indicar la dirección IP y la máscara de subred de la ruta resumida de HQ, ESTE y OESTE en formato decimal. Paso 14. indicar la dirección IP de la ruta resumida de HQ, ESTE y OESTE en formato binario. Paso 15. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las tres redes? ___________ b. Indique la máscara de subred para la ruta resumida en formato decimal.
Paso 16. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE. b. Agregue ceros para conformar el resto de la dirección de red en formato binario. c.
Indique las direcciones de red resumidas en formato decimal.
Subred
Dirección IPv4
Máscara de subred
Dirección IP de la subred en formato binario
HQ EAST WEST Ruta resumida de la dirección de red
88
88
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6
89
Parte 2. calcular rutas resumidas IPv6 En la parte 2, determinará las rutas resumidas que se pueden utilizar para reducir el tamaño de las tablas de routing. Después de cada conjunto de pasos, complete las tablas con la información apropiada de direccionamiento IPv6.
Topología
Tabla de direccionamiento Subred
Dirección IPv6
LAN1 de HQ
2001:DB8:ACAD:E::/64
LAN2 de HQ
2001:DB8:ACAD:F::/64
LAN1 de EAST
2001:DB8:ACAD:1::/64
LAN2 de EAST
2001:DB8:ACAD:2::/64
LAN1 de WEST
2001:DB8:ACAD:9::/64
LAN2 de WEST
2001:DB8:ACAD:A::/64
Enlace desde HQ a ESTE
2001:DB8:ACAD:1000::/64
Enlace desde HQ a WEST
2001:DB8:ACAD:2000::/64
Enlace desde HQ a ISP
2001:DB8:CC1E:1::/64
Paso 1. indicar los primeros 64 bits de la máscara de subred de la dirección IP de la LAN1 de HQ y la LAN2 de HQ en formato hexadecimal. Paso 2. indicar la ID de subred (bits 48 a 64) de la LAN1 de HQ y la LAN2 de HQ en formato binario. Paso 3. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos ID de subred? ______ b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal. 89
89
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6
90
Paso 4. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios de la ID de subred coincidentes para las subredes LAN1 de HQ y LAN2 de HQ. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.
Indique las direcciones de red resumidas en formato decimal.
Subred
Dirección IPv6
LAN1 de HQ
2001:DB8:ACAD:E::/64
LAN2 de HQ
2001:DB8:ACAD:F::/64
Máscara de subred de los primeros 64 bits
ID de subred en formato binario
Dirección de resumen de las LAN de HQ
Paso 5. indicar los primeros 64 bits de la máscara de subred de la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato hexadecimal. Paso 6. indicar la ID de subred (bits 48 a 64) de la LAN1 ESTE y la LAN2 ESTE en formato binario. Paso 7. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos ID de subred? ______ b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal.
Paso 8. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2 ESTE. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.
Indique las direcciones de red resumidas en formato decimal.
Subred
Dirección IPv6
LAN1 de EAST
2001:DB8:ACAD:1::/64
LAN2 de EAST
2001:DB8:ACAD:2::/64
Máscara de subred de los primeros 64 bits
ID de subred en formato binario
Dirección de resumen de las LAN ESTE
Paso 9. indicar los primeros 64 bits de la máscara de subred de la dirección IP de la LAN1 OESTE y la LAN2 OESTE en formato decimal.
90
90
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6
91
Paso 10. indicar la ID de subred (bits 48 a 64) de la LAN1 OESTE y la LAN2 OESTE en formato binario. Paso 11. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos ID de subred? _____ b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal.
Paso 12. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la LAN2 OESTE. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.
Indique las direcciones de red resumidas en formato decimal.
Subred
Dirección IPv6
LAN1 de WEST
2001:DB8:ACAD:9::/64
LAN2 de WEST
2001:DB8:ACAD:A::/64
Máscara de subred de los primeros 64 bits
ID de subred en formato binario
Dirección de resumen de las LAN OESTE
Paso 13. indicar la dirección IP de la ruta resumida y los primeros 64 bits de la máscara de subred de HQ, ESTE y OESTE en formato decimal. Paso 14. indicar la ID de subred de la ruta resumida de HQ, ESTE y OESTE en formato binario. Paso 15. contar el número de bits coincidentes que se encuentran en el extremo izquierdo para determinar la máscara de subred para la ruta resumida. a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las tres ID de subred? ______ b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en formato decimal.
Paso 16. copiar los bits binarios coincidentes y luego agregar todos ceros para determinar la dirección de red resumida. a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE. b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato binario. c.
91
Indique las direcciones de red resumidas en formato decimal.
91
6.4.2.5: cálculo de rutas resumidas IPv4 e IPv6
Subred
Dirección IPv6
Máscara de subred de los primeros 64 bits
92
ID de subred en formato binario
HQ EAST WEST Ruta resumida de la dirección de red
Reflexión 1. ¿Qué diferencia existe entre determinar la ruta resumida para IPv4 y determinarla para IPv6? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Por qué las rutas resumidas son beneficiosas para una red? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
92
92
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6 Topología
Tabla de direccionamiento Dispositivo
Dirección IP
Gateway predeterminado
G0/1
192.168.0.1/25 2001:DB8:ACAD::1/64 FE80::1 link-local
No aplicable
S0/0/0 (DCE)
10.1.1.2/30 2001:DB8:ACAD::20:2/64
No aplicable
S0/0/1
192.168.0.253/30 2001:DB8:ACAD:2::1/30
No aplicable
G0/0
172.16.3.1/24 2001:DB8:ACAD:30::1/64 FE80::1 link-local
No aplicable
S0/0/0
10.1.1.1/30 2001:DB8:ACAD:20::/64
No aplicable
G0/1
192.168.1.1/24 2001:DB8:ACAD:1::1/64 FE80::1 link-local
No aplicable
S0/0/0 (DCE)
192.168.0.254/30 2001:DB8:ACAD:2::2/64
No aplicable
S1
VLAN 1
No aplicable
No aplicable
S3
VLAN 1
No aplicable
No aplicable
PC-A
NIC
192.168.0.3/25 2001:DB8:ACAD::3/64
192.168.0.1 FE80::1
Servidor web
NIC
172.16.3.3/24 2001:DB8:ACAD:30::3/64
172.16.3.1 FE80::1
PC-C
NIC
192.168.1.3/24 2001:DB8:ACAD:1::3/64
192.168.1.1 FE80::1
HQ
ISP
BRANCH
93
Interfaz
93
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6
94
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de rutas estáticas en una red IPv4 Parte 3: resolver problemas de rutas estáticas en una red IPv6
Información básica/situación Como administrador de red, debe poder configurar el routing del tráfico con rutas estáticas. Saber configurar el routing estático y resolver problemas relacionados con este es un requisito. Las rutas estáticas suelen usarse para redes de rutas internas y rutas predeterminadas. El ISP de la empresa lo contrató para resolver problemas de conectividad en la red. Tendrá acceso a los routers HQ, BRANCH e ISP. En este laboratorio, comenzará con la carga de secuencias de comandos de configuración en cada uno de los routers. Estos guiones contienen errores que impedirán la comunicación de extremo a extremo a través de la red. Necesitará solucionar los problemas de cada router para determinar los errores de configuración y luego utilizar los comandos adecuados para corregir las configuraciones. Una vez corregidos todos los errores de configuración, los hosts de la red tienen que poder comunicarse entre sí. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, configurará la topología de la red y los routers y switches con algunos parámetros básicos, como contraseñas y direcciones IP. También se proporcionan configuraciones predefinidas para la configuración inicial del router. Además, configurará los parámetros de IP de las computadoras en la topología.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Conecte los dispositivos como se muestra en el diagrama de la topología y realice el cableado, según sea necesario.
Paso 2. inicializar y volver a cargar los routers y los switches. Paso 3. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y la contraseña de vty. 94
94
6.5.2.5: resoluciรณn de problemas de rutas estรกticas IPv4 e IPv6
95
e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.
Paso 4. configurar los hosts y el servidor web. a. Configure las direcciones IP para IPv4 e IPv6. b. Configure el gateway predeterminado IPv4.
Paso 5. cargar las configuraciones de los routers. Router HQ hostname HQ ipv6 unicast-routing interface GigabitEthernet0/1 ipv6 address 2001:DB8:ACAD::1/64 ip address 192.168.0.1 255.255.255.128 ipv6 address FE80::1 link-local interface Serial0/0/0 ipv6 address 2001:DB8:ACAD:20::2/64 ip address 10.1.1.2 255.255.255.252 clock rate 800000 no shutdown interface Serial0/0/1 ipv6 address 2001:DB8:ACAD:2::3/64 ip address 192.168.0.253 255.255.255.252 no shutdown ip route 172.16.3.0 255.255.255.0 10.1.1.1 ip route 192.168.1.0 255.255.255.0 192.16.0.254 ipv6 route 2001:DB8:ACAD:1::/64 2001:DB8:ACAD:2::2 ipv6 route 2001:DB8:ACAD:30::/64 2001:DB8:ACAD::20:1 Router ISP hostname ISP ipv6 unicast-routing interface GigabitEthernet0/0 ipv6 address 2001:DB8:ACAD:30::1/64 ip address 172.16.3.11 255.255.255.0 ipv6 address FE80::1 link-local no shutdown interface Serial0/0/0 ipv6 address 2001:DB8::ACAD:20:1/64 ip address 10.1.1.1 255.255.255.252 no shutdown ip route 192.168.1.0 255.255.255.0 10.1.1.2 ipv6 route 2001:DB8:ACAD::/62 2001:DB8:ACAD:20::2 Router BRANCH hostname BRANCH ipv6 unicast-routing interface GigabitEthernet0/1 ipv6 address 2001:DB8:ACAD:1::1/64 95
95
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6
96
ip address 192.168.1.1 255.255.255.0 ipv6 address FE80::1 link-local no shutdown interface Serial0/0/0 ipv6 address 2001:DB8:ACAD:2::2/64 clock rate 128000 ip address 192.168.0.249 255.255.255.252 clock rate 128000 no shutdown ip route 0.0.0.0 0.0.0.0 10.1.1.2 ipv6 route ::/0 2001:DB8:ACAD::1
Parte 2. resolver problemas de rutas estáticas en una red IPv4 Tabla de direccionamiento IPv4 Dispositivo HQ
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
192.168.0.1
255.255.255.0
N/A
S0/0/0 (DCE)
10.1.1.2
255.255.255.252
N/A
S0/0/1
192.168.0.253
255.255.255.252
N/A
G0/0
172.16.3.1
255.255.255.0
N/A
S0/0/0
10.1.1.1
255.255.255.252
N/A
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/0 (DCE)
192.168.0.254
255.255.255.252
N/A
S1
VLAN 1
192.168.0.11
255.255.255.128
192.168.0.1
S3
VLAN 1
192.168.1.11
255.255.255.0
192.168.1.1
PC-A
NIC
192.168.0.3
255.255.255.128
192.168.0.1
Servidor web
NIC
172.16.3.3
255.255.255.0
172.16.3.1
PC-C
NIC
192.168.1.3
255.255.255.0
192.168.1.1
ISP
BRANCH
Paso 1. Resolver los problemas del router HQ El router HQ es el enlace entre el router ISP y el router BRANCH. El router ISP representa la red externa, mientras que el router BRANCH representa la red corporativa. El router HQ está configurado con rutas estáticas a las redes de los routers ISP y BRANCH. a. Muestre el estado de las interfaces en el HQ. Introduzca show ip interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Haga ping del router HQ al router BRANCH (192.168.0.254). ¿Tuvieron éxito los pings? ________ c.
Haga ping del router HQ al router ISP (10.1.1.1). ¿Tuvieron éxito los pings? ________
d. Haga ping de la PC-A al gateway predeterminado. ¿Tuvieron éxito los pings? ________ e. Haga ping de la PC-A a la PC-C. ¿Tuvieron éxito los pings? ________ 96
96
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6 f.
97
Haga ping de la PC-A al servidor web. ¿Tuvieron éxito los pings? ________
g. Muestre la tabla de routing en HQ. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ h. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ i.
¿Qué comandos (si hubiere) hay que introducir para resolver problemas de routing? Registre los comandos.
____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ j.
Repita alguno de los pasos de b a f para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 2. Resolver los problemas del router ISP Para el router ISP, debe existir una ruta a los routers HQ y BRANCH. Se configura una ruta estática en el router ISP para llegar a las redes 192.168.1.0/24, 192.168.0.0/25 y 192.168.0.252/30. a. Muestre el estado de las interfaces en el ISP. Introduzca show ip interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Haga ping del router ISP al router HQ (10.1.1.2). ¿Tuvieron éxito los pings? ________ c.
Haga ping del servidor web al gateway predeterminado. ¿Tuvieron éxito los pings? ________
d. Haga ping del servidor web a la PC-A. ¿Tuvieron éxito los pings? ________ e. Haga ping del servidor web a la PC-C. ¿Tuvieron éxito los pings? ________ f.
Muestre la tabla de routing en ISP. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________
g. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red? ____________________________________________________________________________________ ____________________________________________________________________________________ h. ¿Qué comandos (si hubiere) hay que introducir para resolver problemas de routing? Registre los comandos. (Sugerencia: el ISP requiere solamente una ruta resumida a las redes 192.168.1.0/24, 192.168.0.0/25 y 192.168.0.252/32 de la empresa). ____________________________________________________________________________________ 97
97
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6
98
____________________________________________________________________________________ ____________________________________________________________________________________ i.
Repita alguno de los pasos de b a e para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 3. Resolver los problemas del router BRANCH Para el router BRANCH, hay una ruta predeterminada establecida para llegar al resto de la red y al ISP. a. Muestre el estado de las interfaces en BRANCH. Introduzca show ip interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Haga ping del router BRANCH al router HQ (192.168.0.253). ¿Tuvieron éxito los pings? ________ c.
Haga ping de la PC-C al gateway predeterminado. ¿Tuvieron éxito los pings? ________
d. Haga ping de la PC-C a la PC-A. ¿Tuvieron éxito los pings? ________ e. Haga ping de la PC-C al servidor web. ¿Tuvieron éxito los pings? ________ f.
Muestre la tabla de routing en BRANCH. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________
g. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ h. ¿Qué comandos (si hubiere) hay que introducir para resolver problemas de routing? Registre los comandos. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ i.
Repita alguno de los pasos de b a e para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
98
98
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6
99
Parte 3. resolver problemas de rutas estáticas en una red IPv6 Dispositivo HQ
Interfaz
Dirección IPv6
Longitud de prefijo
Gateway predeterminado
G0/1
2001:DB8:ACAD::1
64
N/A
S0/0/0 (DCE)
2001:DB8:ACAD::20:2
64
N/A
S0/0/1
2001:DB8:ACAD:2::1
64
N/A
G0/0
2001:DB8:ACAD:30::1
64
N/A
S0/0/0
2001:DB8:ACAD:20::1
64
N/A
G0/1
2001:DB8:ACAD:1::1
64
N/A
S0/0/0 (DCE)
2001:DB8:ACAD:2::2
64
N/A
PC-A
NIC
2001:DB8:ACAD::3
64
FE80::1
Servidor web
NIC
2001:DB8:ACAD:30::3
64
FE80::1
PC-C
NIC
2001:DB8:ACAD:1::3
64
FE80::1
ISP
BRANCH
Paso 1. Resolver los problemas del router HQ El router HQ es el enlace entre el router ISP y el router BRANCH. El router ISP representa la red externa, mientras que el router BRANCH representa la red corporativa. El router HQ está configurado con rutas estáticas a las redes de los routers ISP y BRANCH. a. Muestre el estado de las interfaces en el HQ. Introduzca show ipv6 interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Haga ping del router HQ al router BRANCH (2001:DB8:ACAD:2::2). ¿Tuvieron éxito los pings? ______ c.
Haga ping del router HQ al router ISP (2001:DB8:ACAD:20::1). ¿Tuvieron éxito los pings? ________
d. Haga ping de la PC-A al gateway predeterminado. ¿Tuvieron éxito los pings? ________ e. Haga ping de la PC-A al servidor web. ¿Tuvieron éxito los pings? ________ f.
Haga ping de la PC-A a la PC-C. ¿Tuvieron éxito los pings? ________
g. Emita el comando show ipv6 route para mostrar la tabla de routing. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ h. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ i.
¿Qué comandos (si hubiere) hay que introducir para resolver problemas de routing? Registre los comandos. ____________________________________________________________________________________ ____________________________________________________________________________________
99
99
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6 j.
100
Repita alguno de los pasos de b a f para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 2. Resolver los problemas del router ISP En el router ISP, está configurada una ruta estática para llegar a todas las redes de los routers HQ y BRANCH. a. Muestre el estado de las interfaces en ISP. Introduzca show ipv6 interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Haga ping del router ISP al router HQ (2001:DB8:ACAD:20::2). ¿Tuvieron éxito los pings? ________ c.
Haga ping del servidor web al gateway predeterminado. ¿Tuvieron éxito los pings? ________
d. Haga ping del servidor web a la PC-A. ¿Tuvieron éxito los pings? ________ e. Haga ping del servidor web a la PC-C. ¿Tuvieron éxito los pings? ________ f.
Muestre la tabla de routing. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________
g. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red? ____________________________________________________________________________________ ____________________________________________________________________________________ h. ¿Qué comandos (si hubiere) hay que introducir para resolver problemas de routing? Registre los comandos. ____________________________________________________________________________________ ____________________________________________________________________________________ i.
Repita alguno de los pasos de b a e para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 3. Resolver los problemas del router BRANCH Para los routers BRANCH, hay una ruta predeterminada al router HQ. Esta ruta predeterminada permite que la red de BRANCH llegue al router ISP y al servidor web. a. Muestre el estado de las interfaces en BRANCH. Introduzca show ipv6 interface brief. Registre y resuelva cualquier problema, según sea necesario. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Haga ping del router BRANCH al router HQ (2001:DB8:ACAD:2::1). ¿Tuvieron éxito los pings? ______ c.
Haga ping del router BRANCH al router ISP (2001:DB8:ACAD:20::1). ¿Tuvieron éxito los pings? ____
d. Haga ping de la PC-C al gateway predeterminado. ¿Tuvieron éxito los pings? ________ e. Haga ping de la PC-C a la PC-A. ¿Tuvieron éxito los pings? ________ f. 100
Haga ping de la PC-C al servidor web. ¿Tuvieron éxito los pings? ________ 100
6.5.2.5: resolución de problemas de rutas estáticas IPv4 e IPv6
101
g. Muestre la tabla de routing. ¿Qué rutas no conectadas directamente se muestran en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________ h. Sobre la base de los resultados de los pings, el resultado de la tabla de routing y las rutas estáticas en la configuración en ejecución, ¿qué puede concluir sobre la conectividad de red? ____________________________________________________________________________________ ____________________________________________________________________________________ i.
¿Qué comandos (si hubiere) hay que introducir para resolver problemas de routing? Registre los comandos. ____________________________________________________________________________________ ____________________________________________________________________________________
j.
Repita alguno de los pasos de b a f para verificar si se resolvieron los problemas. Registre sus observaciones y posibles pasos que se deben seguir para la resolución de problemas de conectividad. ____________________________________________________________________________________ ____________________________________________________________________________________
Tabla de resumen de interfaces del router Resumen de interfaces del router Modelo de router
Interfaz Ethernet #1
Interfaz Ethernet n.º 2
Interfaz serial #1
Interfaz serial n.º 2
1800
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
1900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2801
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/1/0 (S0/1/0)
Serial 0/1/1 (S0/1/1)
2811
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de Cisco para representar la interfaz.
101
101
7.3.2.4: configuración básica de RIPv2 y RIPng Topología
Tabla de direccionamiento Dispositivo R1
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
172.30.10.1
255.255.255.0
N/A
S0/0/0 (DCE)
10.1.1.1
255.255.255.252
N/A
G0/0
209.165.201.1
255.255.255.0
N/A
S0/0/0
10.1.1.2
255.255.255.252
N/A
S0/0/1 (DCE)
10.2.2.2
255.255.255.252
N/A
G0/1
172.30.30.1
255.255.255.0
N/A
S0/0/1
10.2.2.1
255.255.255.252
N/A
S1
N/A
VLAN 1
N/A
N/A
S3
N/A
VLAN 1
N/A
N/A
PC-A
NIC
172.30.10.3
255.255.255.0
172.30.10.1
PC-B
NIC
209.165.201.2
255.255.255.0
209.165.201.1
PC-C
NIC
172.30.30.3
255.255.255.0
172.30.30.1
R2
R3
102
Interfaz
102
7.3.2.4: configuración básica de RIPv2 y RIPng
103
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar y verificar el routing RIPv2 •
Configurar y verificar que se esté ejecutando RIPv2 en los routers.
•
Configurar una interfaz pasiva.
•
Examinar las tablas de routing.
•
Desactivar la sumarización automática.
•
Configurar una ruta predeterminada.
•
Verificar la conectividad de extremo a extremo.
Parte 3: configurar IPv6 en los dispositivos Parte 4: configurar y verificar el routing RIPng •
Configurar y verificar que se esté ejecutando RIPng en los routers.
•
Examinar las tablas de routing.
•
Configurar una ruta predeterminada.
•
Verificar la conectividad de extremo a extremo.
Información básica/situación RIP versión 2 (RIPv2) se utiliza para enrutar direcciones IPv4 en redes pequeñas. RIPv2 es un protocolo de routing vector distancia sin clase, según la definición de RFC 1723. Debido a que RIPv2 es un protocolo de routing sin clase, las máscaras de subred se incluyen en las actualizaciones de routing. De manera predeterminada, RIPv2 resume automáticamente las redes en los límites de redes principales. Cuando se deshabilita la sumarización automática, RIPv2 ya no resume las redes a su dirección con clase en routers fronterizos. RIP de última generación (RIPng) es un protocolo de routing vector distancia para enrutar direcciones IPv6, según la definición de RFC 2080. RIPng se basa en RIPv2 y tiene la misma distancia administrativa y limitación de 15 saltos. En esta práctica de laboratorio, configurará la topología de la red con routing RIPv2, deshabilitará la sumarización automática, propagará una ruta predeterminada y usará comandos de CLI para ver y verificar la información de routing RIP. Luego, configurará la topología de la red con direcciones IPv6, configurará RIPng, propagará una ruta predeterminada y usará comandos de CLI para ver y verificar la información de routing RIPng. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios
103
•
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
103
7.3.2.4: configuración básica de RIPv2 y RIPng
104
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch. Paso 3. configurar los parámetros básicos para cada router y switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.
Configurar la encriptación de contraseñas.
d. Asigne class como la contraseña del modo EXEC privilegiado. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.
Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.
g. Configure logging synchronous para la línea de consola. h. Configure la dirección IP que se indica en la tabla de direccionamiento para todas las interfaces. i.
Configure una descripción para cada interfaz con una dirección IP.
j.
Configure la frecuencia de reloj, si corresponde, para la interfaz serial DCE.
k.
Copie la configuración en ejecución en la configuración de inicio.
Paso 4. configurar los equipos host. Consulte la tabla de direccionamiento para obtener información de direcciones de los equipos host.
Paso 5. Probar la conectividad. En este momento, las computadoras no pueden hacerse ping entre sí. a. Cada estación de trabajo debe tener capacidad para hacer ping al router conectado. Verifique y resuelva los problemas, si es necesario. b. Los routers deben poder hacerse ping entre sí. Verifique y resuelva los problemas, si es necesario.
Parte 2. configurar y verificar el routing RIPv2 En la parte 2, configurará el routing RIPv2 en todos los routers de la red y, luego, verificará que las tablas de routing se hayan actualizado correctamente. Una vez que haya verificado RIPv2, deshabilitará el sumarización automática, configurará una ruta predeterminada y verificará la conectividad de extremo a extremo.
Paso 1. Configurar el enrutamiento RIPv2. a. En el R1, configure RIPv2 como el protocolo de routing y anuncie las redes correspondientes. R1# config t R1(config)# router R1(config-router)# R1(config-router)# R1(config-router)# R1(config-router)#
rip version 2 passive-interface g0/1 network 172.30.0.0 network 10.0.0.0
El comando passive-interface evita que las actualizaciones de routing se envíen a través de la interfaz especificada. Este proceso evita tráfico de routing innecesario en la LAN. Sin embargo, la red a la que pertenece la interfaz especificada aún se anuncia en las actualizaciones de routing enviadas por otras interfaces. 104
104
7.3.2.4: configuración básica de RIPv2 y RIPng
105
b. Configure RIPv2 en el R3 y utilice la instrucción network para agregar las redes apropiadas y evitar actualizaciones de routing en la interfaz LAN. c.
Configure RIPv2 en el R2. No anuncie la red 209.165.201.0. Nota: no es necesario establecer la interfaz G0/0 como pasiva en el R2, porque la red asociada a esta interfaz no se está anunciando.
Paso 2. examinar el estado actual de la red. a. Se pueden verificar los dos enlaces seriales rápidamente mediante el comando show ip interface brief en R2. R2# show ip interface brief Interface Embedded-Service-Engine0/0 GigabitEthernet0/0 GigabitEthernet0/1 Serial0/0/0 Serial0/0/1
IP-Address unassigned 209.165.201.1 unassigned 10.1.1.2 10.2.2.2
OK? YES YES YES YES YES
Method unset manual unset manual manual
Status Protocol administratively down down up up administratively down down up up up up
b. Verifique la conectividad entre las computadoras. ¿Es posible hacer ping de la PC-A a la PC-B? _________ ¿Por qué? ___________________________ ¿Es posible hacer ping de la PC-A a la PC-C? _________ ¿Por qué? ___________________________ ¿Es posible hacer ping de la PC-C a la PC-B? _________ ¿Por qué? ___________________________ ¿Es posible hacer ping de la PC-C a la PC-A? _________ ¿Por qué? ___________________________ c.
Verifique que RIPv2 se ejecute en los routers. Puede usar los comandos debug ip rip, show ip protocols y show run para confirmar que RIPv2 esté en ejecución. A continuación, se muestra el resultado del comando show ip protocols para el R1. R1# show ip protocols Routing Protocol is "rip" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Sending updates every 30 seconds, next due in 7 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Redistributing: rip Default version control: send version 2, receive 2 Interface Send Recv Triggered RIP Key-chain Serial0/0/0 2 2 Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 10.0.0.0 172.30.0.0 Passive Interface(s): GigabitEthernet0/1 Routing Information Sources: Gateway Distance Last Update 10.1.1.2 120 Distance: (default is 120)
Al emitir el comando debug ip rip en el R2, ¿qué información se proporciona que confirma que RIPv2 está en ejecución? ____________________________________________________________________________________ 105
105
7.3.2.4: configuración básica de RIPv2 y RIPng
106
Cuando haya terminado de observar los resultados de la depuración, emita el comando undebug all en la petición de entrada del modo EXEC privilegiado. Al emitir el comando show run en el R3, ¿qué información se proporciona que confirma que RIPv2 está en ejecución? ____________________________________________________________________________________ ____________________________________________________________________________________ d. Examinar el sumarización automática de las rutas. Las LAN conectadas al R1 y el R3 se componen de redes no contiguas. El R2 muestra dos rutas de igual costo a la red 172.30.0.0/16 en la tabla de routing. El R2 solo muestra la dirección de red principal con clase 172.30.0.0 y no muestra ninguna de las subredes de esta red. R2# show ip route <Output Omitted> 10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks C 10.1.1.0/30 is directly connected, Serial0/0/0 L 10.1.1.2/32 is directly connected, Serial0/0/0 C 10.2.2.0/30 is directly connected, Serial0/0/1 L 10.2.2.2/32 is directly connected, Serial0/0/1 R 172.30.0.0/16 [120/1] via 10.2.2.1, 00:00:23, Serial0/0/1 [120/1] via 10.1.1.1, 00:00:09, Serial0/0/0 209.165.201.0/24 is variably subnetted, 2 subnets, 2 masks C 209.165.201.0/24 is directly connected, GigabitEthernet0/0 L 209.165.201.1/32 is directly connected, GigabitEthernet0/0
El R1 solo muestra sus propias subredes para la red 172.30.0.0. El R1 no tiene ninguna ruta para las subredes 172.30.0.0 en el R3. R1# show ip route <Output Omitted> 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.1.1.0/30 is directly connected, Serial0/0/0 L 10.1.1.1/32 is directly connected, Serial0/0/0 R 10.2.2.0/30 [120/1] via 10.1.1.2, 00:00:21, Serial0/0/0 172.30.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.30.10.0/24 is directly connected, GigabitEthernet0/1 L 172.30.10.1/32 is directly connected, GigabitEthernet0/1
El R3 solo muestra sus propias subredes para la red 172.30.0.0. El R3 no tiene ninguna ruta para las subredes 172.30.0.0 en el R1. R3# show ip route <Output Omitted> 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.2.2.0/30 is directly connected, Serial0/0/1 L 10.2.2.1/32 is directly connected, Serial0/0/1 R 10.1.1.0/30 [120/1] via 10.2.2.2, 00:00:23, Serial0/0/1 172.30.0.0/16 is variably subnetted, 2 subnets, 2 masks C 172.30.30.0/24 is directly connected, GigabitEthernet0/1 L 172.30.30.1/32 is directly connected, GigabitEthernet0/1
Utilice el comando debug ip rip en el R2 para determinar las rutas recibidas en las actualizaciones RIP del R3 e indíquelas a continuación. ________________________________________________________________________________
106
106
7.3.2.4: configuración básica de RIPv2 y RIPng
107
El R3 no está envía ninguna de las subredes 172.30.0.0, solo la ruta resumida 172.30.0.0/16, incluida la máscara de subred. Por lo tanto, las tablas de routing del R1 y el R2 no muestran las subredes 172.30.0.0 en el R3.
Paso 3. Desactivar la sumarización automática. a. El comando no auto-summary se utiliza para desactivar la sumarización automática en RIPv2. Deshabilite la sumarización automática en todos los routers. Los routers ya no resumirán las rutas en los límites de las redes principales con clase. Aquí se muestra R1 como ejemplo. R1(config)# router rip R1(config-router)# no auto-summary b. Emita el comando clear ip route * para borrar la tabla de routing. R1(config-router)# end R1# clear ip route * c.
Examinar las tablas de enrutamiento Recuerde que la convergencia de las tablas de routing demora un tiempo después de borrarlas. Las subredes LAN conectadas al R1 y el R3 ahora deberían aparecer en las tres tablas de routing. R2# show ip route <Output Omitted> Gateway of last resort is not set
C L C L R R R C L
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.2/32 is directly connected, Serial0/0/0 10.2.2.0/30 is directly connected, Serial0/0/1 10.2.2.2/32 is directly connected, Serial0/0/1 172.30.0.0/16 is variably subnetted, 3 subnets, 2 masks 172.30.0.0/16 [120/1] via 10.2.2.1, 00:01:01, Serial0/0/1 [120/1] via 10.1.1.1, 00:01:15, Serial0/0/0 172.30.10.0/24 [120/1] via 10.1.1.1, 00:00:21, Serial0/0/0 172.30.30.0/24 [120/1] via 10.2.2.1, 00:00:04, Serial0/0/1 209.165.201.0/24 is variably subnetted, 2 subnets, 2 masks 209.165.201.0/24 is directly connected, GigabitEthernet0/0 209.165.201.1/32 is directly connected, GigabitEthernet0/0
R1# show ip route <Output Omitted> Gateway of last resort is not set
C L R C L R
10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.1/32 is directly connected, Serial0/0/0 10.2.2.0/30 [120/1] via 10.1.1.2, 00:00:12, Serial0/0/0 172.30.0.0/16 is variably subnetted, 3 subnets, 2 masks 172.30.10.0/24 is directly connected, GigabitEthernet0/1 172.30.10.1/32 is directly connected, GigabitEthernet0/1 172.30.30.0/24 [120/2] via 10.1.1.2, 00:00:12, Serial0/0/0
R3# show ip route <Output Omitted> 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks C 10.2.2.0/30 is directly connected, Serial0/0/1 L 10.2.2.1/32 is directly connected, Serial0/0/1 107
107
7.3.2.4: configuración básica de RIPv2 y RIPng R C L R
108
10.1.1.0/30 [120/1] via 10.2.2.2, 00:00:23, Serial0/0/1 172.30.0.0/16 is variably subnetted, 2 subnets, 2 masks 172.30.30.0/24 is directly connected, GigabitEthernet0/1 172.30.30.1/32 is directly connected, GigabitEthernet0/1 172.30.10.0 [120/2] via 10.2.2.2, 00:00:16, Serial0/0/1
d. Utilice el comando debug ip rip en el R2 para examinar las actualizaciones RIP. R2# debug ip rip Después de 60 segundos, emita el comando no debug ip rip. ¿Qué rutas que se reciben del R3 se encuentran en las actualizaciones RIP? ________________________________________________________________________________ ¿Se incluyen ahora las máscaras de las subredes en las actualizaciones de enrutamiento? _________
Paso 4. Configure y redistribuya una ruta predeterminada para el acceso a Internet. a. Desde el R2, cree una ruta estática a la red 0.0.0.0 0.0.0.0, con el comando ip route. Esto envía todo tráfico de dirección de destino desconocida a la interfaz G0/0 del R2 hacia la PC-B y simula Internet al establecer un gateway de último recurso en el router R2. R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.2 b. El R2 anunciará una ruta a los otros routers si se agrega el comando default-information originate a la configuración de RIP. R2(config)# router rip R2(config-router)# default-information originate
Paso 5. Verificar la configuración de enrutamiento. a. Consulte la tabla de routing en el R1. R1# show ip route <Output Omitted> Gateway of last resort is 10.1.1.2 to network 0.0.0.0 R* C L R C L R
0.0.0.0/0 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0 10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks 10.1.1.0/30 is directly connected, Serial0/0/0 10.1.1.1/32 is directly connected, Serial0/0/0 10.2.2.0/30 [120/1] via 10.1.1.2, 00:00:13, Serial0/0/0 172.30.0.0/16 is variably subnetted, 3 subnets, 2 masks 172.30.10.0/24 is directly connected, GigabitEthernet0/1 172.30.10.1/32 is directly connected, GigabitEthernet0/1 172.30.30.0/24 [120/2] via 10.1.1.2, 00:00:13, Serial0/0/0
¿Cómo se puede saber, a partir de la tabla de routing, que la red dividida en subredes que comparten el R1 y el R3 tiene una ruta para el tráfico de Internet? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Consulte la tabla de routing en el R2. ¿En qué forma se proporciona la ruta para el tráfico de Internet en la tabla de routing? ____________________________________________________________________________________ ____________________________________________________________________________________
108
108
7.3.2.4: configuración básica de RIPv2 y RIPng
109
Paso 6. Verifique la conectividad. a. Simule el envío de tráfico a Internet haciendo ping de la PC-A y la PC-C a 209.165.201.2. ¿Tuvieron éxito los pings? ______ b. Verifique que los hosts dentro de la red dividida en subredes tengan posibilidad de conexión entre sí haciendo ping entre la PC-A y la PC-C. ¿Tuvieron éxito los pings? ______ Nota: quizá sea necesario deshabilitar el firewall de las computadoras.
Parte 3. configurar IPv6 en los dispositivos En la parte 3, configurará todas las interfaces con direcciones IPv6 y verificará la conectividad.
Tabla de direccionamiento Dispositivo
Interfaz
Dirección IPv6/longitud de prefijo
Gateway predeterminado
G0/1
2001:DB8:ACAD:A::1/64 FE80::1 link-local
No aplicable
S0/0/0
2001:DB8:ACAD:12::1/64 FE80::1 link-local
No aplicable
G0/0
2001:DB8:ACAD:B::2/64 FE80::2 link-local
No aplicable
S0/0/0
2001:DB8:ACAD:12::2/64 FE80::2 link-local
No aplicable
S0/0/1
2001:DB8:ACAD:23::2/64 FE80::2 link-local
No aplicable
G0/1
2001:DB8:ACAD:C::3/64 FE80::3 link-local
No aplicable
S0/0/1
2001:DB8:ACAD:23::3/64 FE80::3 link-local
No aplicable
PC-A
NIC
2001:DB8:ACAD:A::A/64
FE80::1
PC-B
NIC
2001:DB8:ACAD:B::B/64
FE80::2
PC-C
NIC
2001:DB8:ACAD:C::C/64
FE80::3
R1
R2
R3
Paso 1. configurar los equipos host. Consulte la tabla de direccionamiento para obtener información de direcciones de los equipos host.
Paso 2. configurar IPv6 en los routers. Nota: la asignación de una dirección IPv6 además de una dirección IPv4 en una interfaz se conoce como “dualstacking” (o apilamiento doble). Esto se debe a que las pilas de protocolos IPv4 e IPv6 están activas. a. Para cada interfaz del router, asigne la dirección global y la dirección link local de la tabla de direccionamiento. b. Habilite el routing IPv6 en cada router. c.
Introduzca el comando apropiado para verificar las direcciones IPv6 y el estado de enlace. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________
109
109
7.3.2.4: configuración básica de RIPv2 y RIPng
110
d. Cada estación de trabajo debe tener capacidad para hacer ping al router conectado. Verifique y resuelva los problemas, si es necesario. e. Los routers deben poder hacerse ping entre sí. Verifique y resuelva los problemas, si es necesario.
Parte 4. configurar y verificar el routing RIPng En la parte 4, configurará el routing RIPng en todos los routers, verificará que las tablas de routing estén correctamente actualizadas, configurará y distribuirá una ruta predeterminada, y verificará la conectividad de extremo a extremo.
Paso 1. configurar el routing RIPng. Con IPv6, es común tener varias direcciones IPv6 configuradas en una interfaz. La instrucción network se eliminó en RIPng. En cambio, el routing RIPng se habilita en el nivel de la interfaz y se identifica por un nombre de proceso pertinente en el nivel local, ya que se pueden crear varios procesos con RIPng. a. Emita el comando ipv6 rip Test1 enable para cada interfaz en el R1 que participará en el routing RIPng, donde Test1 es el nombre de proceso pertinente en el nivel local. R1(config)# R1(config)# R1(config)# R1(config)#
interface g0/1 ipv6 rip Test1 enable interface s0/0/0 ipv6 rip Test1 enable
b. Configure RIPng para las interfaces seriales en el R2, con Test2 como el nombre de proceso. No lo configure para la interfaz G0/0 c.
Configure RIPng para cada interfaz en el R3, con Test3 como el nombre de proceso.
d. Verifique que RIPng se esté ejecutando en los routers. Los comandos show ipv6 protocols, show run, show ipv6 rip database y show ipv6 rip nombre de proceso se pueden usar para confirmar que se esté ejecutando RIPng En el R1, emita el comando show ipv6 protocols. R1# show ipv6 protocols IPv6 Routing Protocol is "connected" IPv6 Routing Protocol is "ND" IPv6 Routing Protocol is "rip Test1" Interfaces: Serial0/0/0 GigabitEthernet0/1 Redistribution: None
¿En qué forma se indica RIPng en el resultado? ____________________________________________________________________________________ e. Emita el comando show ipv6 rip Test1. R1# show ipv6 rip Test1 RIP process "Test1", port 521, multicast-group FF02::9, pid 314 Administrative distance is 120. Maximum paths is 16 Updates every 30 seconds, expire after 180 Holddown lasts 0 seconds, garbage collect after 120 Split horizon is on; poison reverse is off Default routes are not generated Periodic updates 1, trigger updates 0 Full Advertisement 0, Delayed Events 0 Interfaces: GigabitEthernet0/1 110
110
7.3.2.4: configuración básica de RIPv2 y RIPng
111
Serial0/0/0 Redistribution: None
¿Cuáles son las similitudes entre RIPv2 y RIPng? ____________________________________________________________________________________ ____________________________________________________________________________________ f.
Inspecciones la tabla de routing IPv6 en cada router. Escriba el comando apropiado que se usa para ver la tabla de routing en el espacio a continuación. ____________________________________________________________________________________ En el R1, ¿cuántas rutas se descubrieron mediante RIPng? _________ En el R2, ¿cuántas rutas se descubrieron mediante RIPng? _________ En el R3, ¿cuántas rutas se descubrieron mediante RIPng? _________
g. Verifique la conectividad entre las computadoras. ¿Es posible hacer ping de la PC-A a la PC-B? _________ ¿Es posible hacer ping de la PC-A a la PC-C? _________ ¿Es posible hacer ping de la PC-C a la PC-B? _________ ¿Es posible hacer ping de la PC-C a la PC-A? _________ ¿Por qué algunos pings tuvieron éxito y otros no? ____________________________________________________________________________________
Paso 2. configurar y volver a distribuir una ruta predeterminada. a. Desde el R2, cree una ruta estática predeterminada a la red:: 0/64 con el comando ipv6 route y la dirección IP de la interfaz de salida G0/0. Esto reenvía todo tráfico de dirección de destino desconocida a la interfaz G0/0 del R2 hacia la PC-B y simula Internet. Escriba el comando que utilizó en el espacio a continuación. ____________________________________________________________________________________ b. Las rutas estáticas se pueden incluir en las actualizaciones RIPng mediante el comando ipv6 rip nombre de proceso default-information originate en el modo de configuración de interfaz. Configure los enlaces seriales en el R2 para enviar la ruta predeterminada en actualizaciones RIPng. R2(config)# int R2(config-rtr)# R2(config)# int R2(config-rtr)#
s0/0/0 ipv6 rip Test2 default-information originate s0/0/1 ipv6 rip Test2 default-information originate
Paso 3. Verificar la configuración de enrutamiento. a. Consulte la tabla de routing IPv6 en el router R2. R2# show ipv6 route IPv6 Routing Table - 10 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external S ::/64 [1/0] via 2001:DB8:ACAD:B::B R 2001:DB8:ACAD:A::/64 [120/2] 111
111
7.3.2.4: configuración básica de RIPv2 y RIPng
C L R C L C L L
112
via FE80::1, Serial0/0/0 2001:DB8:ACAD:B::/64 [0/0] via ::, GigabitEthernet0/1 2001:DB8:ACAD:B::2/128 [0/0] via ::, GigabitEthernet0/1 2001:DB8:ACAD:C::/64 [120/2] via FE80::3, Serial0/0/1 2001:DB8:ACAD:12::/64 [0/0] via ::, Serial0/0/0 2001:DB8:ACAD:12::2/128 [0/0] via ::, Serial0/0/0 2001:DB8:ACAD:23::/64 [0/0] via ::, Serial0/0/1 2001:DB8:ACAD:23::2/128 [0/0] via ::, Serial0/0/1 FF00::/8 [0/0] via ::, Null0
¿Cómo se puede saber, a partir de la tabla de routing, que el R2 tiene una ruta para el tráfico de Internet? ________________________________________________________________________________ b. Consulte las tablas de routing del R1 y el R3. ¿Cómo se proporciona la ruta para el tráfico de Internet en sus tablas de enrutamiento? ________________________________________________________________________________
Paso 4. Verifique la conectividad. Simule el envío de tráfico a Internet haciendo ping de la PC-A y la PC-C a 2001:DB8:ACAD:B::B/64. ¿Tuvieron éxito los pings? ______
Reflexión 1. ¿Por qué desactivaría la sumarización automática para RIPv2? _______________________________________________________________________________________ 2. En ambas situaciones, ¿en qué forma descubrieron la ruta a Internet el R1 y el R3? _______________________________________________________________________________________ 3. ¿En qué se diferencian la configuración de RIPv2 y la de RIPng? _______________________________________________________________________________________ _______________________________________________________________________________________
112
112
8.2.4.5: configuración de OSPFv2 básico de área única Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/0
192.168.1.1
255.255.255.0
N/A
S0/0/0 (DCE)
192.168.12.1
255.255.255.252
N/A
S0/0/1
192.168.13.1
255.255.255.252
N/A
G0/0
192.168.2.1
255.255.255.0
N/A
S0/0/0
192.168.12.2
255.255.255.252
N/A
S0/0/1 (DCE)
192.168.23.1
255.255.255.252
N/A
G0/0
192.168.3.1
255.255.255.0
N/A
S0/0/0 (DCE)
192.168.13.2
255.255.255.252
N/A
S0/0/1
192.168.23.2
255.255.255.252
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
PC-B
NIC
192.168.2.3
255.255.255.0
192.168.2.1
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
R2
R3
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar y verificar el routing OSPF Parte 3: cambiar las asignaciones de ID del router Parte 4: configurar interfaces OSPF pasivas Parte 5: cambiar las métricas de OSPF 113
113
8.2.4.5: configuración de OSPFv2 básico de área única
114
Información básica/situación El protocolo OSPF (Open Shortest Path First) es un protocolo de routing de estado de enlace para las redes IP. Se definió OSPFv2 para redes IPv4, y OSPFv3 para redes IPv6. OSPF detecta cambios en la topología, como fallas de enlace, y converge en una nueva estructura de routing sin bucles muy rápidamente. Computa cada ruta con el algoritmo de Dijkstra, un algoritmo SPF (Shortest Path First). En esta práctica de laboratorio, configurará la topología de la red con routing OSPFv2, cambiará las asignaciones de ID de router, configurará interfaces pasivas, ajustará las métricas de OSPF y utilizará varios comandos de CLI para ver y verificar la información de routing OSPF. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host y los routers.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers según sea necesario. Paso 3. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure un aviso de mensaje del día (MOTD) para advertir a los usuarios que el acceso no autorizado está prohibido. f.
Configure logging synchronous para la línea de consola.
g. Configure la dirección IP que se indica en la tabla de direccionamiento para todas las interfaces. h. Establezca la frecuencia de reloj para todas las interfaces seriales DCE en 128000. i.
114
Copie la configuración en ejecución en la configuración de inicio
114
8.2.4.5: configuración de OSPFv2 básico de área única
115
Paso 4. configurar los equipos host. Paso 5. Probar la conectividad. Los routers deben poder hacerse ping entre sí, y cada computadora debe poder hacer ping a su gateway predeterminado. Las computadoras no pueden hacer ping a otras computadoras hasta que no se haya configurado el routing OSPF. Verifique y resuelva los problemas, si es necesario.
Parte 2. Configurar y verificar el enrutamiento OSPF En la parte 2, configurará el routing OSPFv2 en todos los routers de la red y, luego, verificará que las tablas de routing se hayan actualizado correctamente. Después de verificar OSPF, configurará la autenticación de OSPF en los enlaces para mayor seguridad.
Paso 1. Configure el protocolo OSPF en R1. a. Use el comando router ospf en el modo de configuración global para habilitar OSPF en el R1. R1(config)# router ospf 1 Nota: la ID del proceso OSPF se mantiene localmente y no tiene sentido para los otros routers de la red. b. Configure las instrucciones network para las redes en el R1. Utilice la ID de área 0. R1(config-router)# network 192.168.1.0 0.0.0.255 area 0 R1(config-router)# network 192.168.12.0 0.0.0.3 area 0 R1(config-router)# network 192.168.13.0 0.0.0.3 area 0
Paso 2. Configure OSPF en el R2 y el R3. Use el comando router ospf y agregue las instrucciones network para las redes en el R2 y el R3. Cuando el routing OSPF está configurado en el R2 y el R3, se muestran mensajes de adyacencia de vecino en el R1. R1# 00:22:29: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.23.1 on Serial0/0/0 from LOADING to FULL, Loading Done R1# 00:23:14: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.23.2 on Serial0/0/1 from LOADING to FULL, Loading Done R1#
Paso 3. verificar los vecinos OSPF y la información de routing. a. Emita el comando show ip ospf neighbor para verificar que cada router indique a los demás routers en la red como vecinos. R1# show ip ospf neighbor Neighbor ID 192.168.23.2 192.168.23.1
Pri 0 0
State FULL/ FULL/
-
Dead Time 00:00:33 00:00:30
Address 192.168.13.2 192.168.12.2
Interface Serial0/0/1 Serial0/0/0
b. Emita el comando show ip route para verificar que todas las redes aparezcan en la tabla de routing de todos los routers. R1# show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR 115
115
8.2.4.5: configuración de OSPFv2 básico de área única
116
P - periodic downloaded static route Gateway of last resort is not set
C L O O C L C L O
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.1.0/24 is directly connected, GigabitEthernet0/0 192.168.1.1/32 is directly connected, GigabitEthernet0/0 192.168.2.0/24 [110/65] via 192.168.12.2, 00:32:33, Serial0/0/0 192.168.3.0/24 [110/65] via 192.168.13.2, 00:31:48, Serial0/0/1 192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.12.0/30 is directly connected, Serial0/0/0 192.168.12.1/32 is directly connected, Serial0/0/0 192.168.13.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.13.0/30 is directly connected, Serial0/0/1 192.168.13.1/32 is directly connected, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0/30 [110/128] via 192.168.12.2, 00:31:38, Serial0/0/0 [110/128] via 192.168.13.2, 00:31:38, Serial0/0/1
¿Qué comando utilizaría para ver solamente las rutas OSPF en la tabla de routing? _______________________________________________________________________________________
Paso 4. verificar la configuración del protocolo OSPF. El comando show ip protocols es una manera rápida de verificar información fundamental de configuración de OSPF. Esta información incluye la ID del proceso OSPF, la ID del router, las redes que anuncia el router, los vecinos de los que el router recibe actualizaciones y la distancia administrativa predeterminada, que para OSPF es 110. R1# show ip protocols *** IP Routing is NSF aware *** Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 192.168.13.1 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 0 192.168.12.0 0.0.0.3 area 0 192.168.13.0 0.0.0.3 area 0 Routing Information Sources: Gateway Distance Last Update 192.168.23.2 110 00:19:16 192.168.23.1 110 00:20:03 Distance: (default is 110)
Paso 5. verificar la información del proceso OSPF. Use el comando show ip ospf para examinar la ID del proceso OSPF y la ID del router. Este comando muestra información de área OSPF y la última vez que se calculó el algoritmo SPF. R1# show ip ospf Routing Process "ospf 1" with ID 192.168.13.1 Start time: 00:20:23.260, Time elapsed: 00:25:08.296 116
116
8.2.4.5: configuración de OSPFv2 básico de área única
117
Supports only single TOS(TOS0) routes Supports opaque LSA Supports Link-local Signaling (LLS) Supports area transit capability Supports NSSA (compatible with RFC 3101) Event-log enabled, Maximum number of events: 1000, Mode: cyclic Router is not originating router-LSAs with maximum metric Initial SPF schedule delay 5000 msecs Minimum hold time between two consecutive SPFs 10000 msecs Maximum wait time between two consecutive SPFs 10000 msecs Incremental-SPF disabled Minimum LSA interval 5 secs Minimum LSA arrival 1000 msecs LSA group pacing timer 240 secs Interface flood pacing timer 33 msecs Retransmission pacing timer 66 msecs Number of external LSA 0. Checksum Sum 0x000000 Number of opaque AS LSA 0. Checksum Sum 0x000000 Number of DCbitless external and opaque AS LSA 0 Number of DoNotAge external and opaque AS LSA 0 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Number of areas transit capable is 0 External flood list length 0 IETF NSF helper support enabled Cisco NSF helper support enabled Reference bandwidth unit is 100 mbps Area BACKBONE(0) Number of interfaces in this area is 3 Area has no authentication SPF algorithm last executed 00:22:53.756 ago SPF algorithm executed 7 times Area ranges are Number of LSA 3. Checksum Sum 0x019A61 Number of opaque link LSA 0. Checksum Sum 0x000000 Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0
Paso 6. verificar la configuración de la interfaz OSPF. a. Emita el comando show ip ospf interface brief para ver un resumen de las interfaces con OSPF habilitado. R1# show ip ospf interface brief Interface Se0/0/1 Se0/0/0 Gi0/0
PID 1 1 1
Area 0 0 0
IP Address/Mask 192.168.13.1/30 192.168.12.1/30 192.168.1.1/24
Cost 64 64 1
State P2P P2P DR
Nbrs F/C 1/1 1/1 0/0
b. Para obtener una lista detallada de todas las interfaces con OSPF habilitado, emita el comando show ip ospf interface. R1# show ip ospf interface Serial0/0/1 is up, line protocol is up Internet Address 192.168.13.1/30, Area 0, Attached via Network Statement Process ID 1, Router ID 192.168.13.1, Network Type POINT_TO_POINT, Cost: 64 117
117
8.2.4.5: configuración de OSPFv2 básico de área única
118
Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:01 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 3/3, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.2 Suppress hello for 0 neighbor(s) Serial0/0/0 is up, line protocol is up Internet Address 192.168.12.1/30, Area 0, Attached via Network Statement Process ID 1, Router ID 192.168.13.1, Network Type POINT_TO_POINT, Cost: 64 Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:03 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 2/2, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.1 Suppress hello for 0 neighbor(s) GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.1.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 192.168.13.1, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.13.1, Interface address 192.168.1.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:01 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec 118
118
8.2.4.5: configuración de OSPFv2 básico de área única
119
Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
Paso 7. Verificar la conectividad de extremo a extremo. Se debería poder hacer ping entre todas las computadoras de la topología. Verifique y resuelva los problemas, si es necesario. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Parte 3. cambiar las asignaciones de ID del router El ID del router OSPF se utiliza para identificar de forma única el router en el dominio de enrutamiento OSPF. Los routers Cisco derivan la ID del router en una de estas tres formas y con la siguiente prioridad: 1) Dirección IP configurada con el comando de OSPF router-id, si la hubiera 2) Dirección IP más alta de cualquiera de las direcciones de loopback del router, si la hubiera 3) Dirección IP activa más alta de cualquiera de las interfaces físicas del router Dado que no se ha configurado ningún ID o interfaz de loopback en los tres routers, el ID de router para cada ruta se determina según la dirección IP más alta de cualquier interfaz activa. En la parte 3, cambiará la asignación de ID del router OSPF con direcciones de loopback. También usará el comando router-id para cambiar la ID del router.
Paso 1. Cambie las ID de router con direcciones de loopback. a. Asigne una dirección IP al loopback 0 en el R1. R1(config)# interface lo0 R1(config-if)# ip address 1.1.1.1 255.255.255.255 R1(config-if)# end b. Asigne direcciones IP al loopback 0 en el R2 y el R3. Utilice la dirección IP 2.2.2.2/32 para el R2 y 3.3.3.3/32 para el R3. c.
Guarde la configuración en ejecución en la configuración de inicio de todos los routers.
d. Debe volver a cargar los routers para restablecer la ID del router a la dirección de loopback. Emita el comando reload en los tres routers. Presione Enter para confirmar la recarga. e. Una vez que se haya completado el proceso de recarga del router, emita el comando show ip protocols para ver la nueva ID del router. R1# show ip protocols *** IP Routing is NSF aware *** Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 1.1.1.1 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 0 192.168.12.0 0.0.0.3 area 0 192.168.13.0 0.0.0.3 area 0 Routing Information Sources: Gateway Distance Last Update 3.3.3.3 110 00:01:00 2.2.2.2 110 00:01:14 119
119
8.2.4.5: configuración de OSPFv2 básico de área única
120
Distance: (default is 110)
f.
Emita el comando show ip ospf neighbor para mostrar los cambios de ID de router de los routers vecinos. R1# show ip ospf neighbor Neighbor ID 3.3.3.3 2.2.2.2 R1#
Pri 0 0
State FULL/ FULL/
-
Dead Time 00:00:35 00:00:32
Address 192.168.13.2 192.168.12.2
Interface Serial0/0/1 Serial0/0/0
Paso 2. cambiar la ID del router R1 con el comando router-id. El método de preferencia para establecer la ID del router es mediante el comando router-id. a. Emita el comando router-id 11.11.11.11 en el R1 para reasignar la ID del router. Observe el mensaje informativo que aparece al emitir el comando router-id. R1(config)# router ospf 1 R1(config-router)# router-id 11.11.11.11 Reload or use "clear ip ospf process" command, for this to take effect
R1(config)# end b. Recibirá un mensaje informativo en el que se le indique que debe volver a cargar el router o usar el comando clear ip ospf process para que se aplique el cambio. Emita el comando clear ip ospf process en los tres routers. Escriba yes (sí) como respuesta al mensaje de verificación de restablecimiento y presione Enter. c.
Establezca la ID del router R2 22.22.22.22 y la ID del router R3 33.33.33.33. Luego, use el comando clear ip ospf process para restablecer el proceso de routing de OSPF.
d. Emita el comando show ip protocols para verificar que la ID del router R1 haya cambiado. R1# show ip protocols *** IP Routing is NSF aware *** Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 11.11.11.11 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 192.168.1.0 0.0.0.255 area 0 192.168.12.0 0.0.0.3 area 0 192.168.13.0 0.0.0.3 area 0 Passive Interface(s): GigabitEthernet0/1 Routing Information Sources: Gateway Distance Last Update 33.33.33.33 110 00:00:19 22.22.22.22 110 00:00:31 3.3.3.3 110 00:00:41 2.2.2.2 110 00:00:41 Distance: (default is 110)
e. Emita el comando show ip ospf neighbor en el R1 para verificar que se muestren las nuevas ID de los routers R2 y R3. R1# show ip ospf neighbor Neighbor ID 120
Pri
State
Dead Time
Address
Interface 120
8.2.4.5: configuración de OSPFv2 básico de área única 33.33.33.33 22.22.22.22
0 0
FULL/ FULL/
-
00:00:36 00:00:32
121 192.168.13.2 192.168.12.2
Serial0/0/1 Serial0/0/0
Parte 4. configurar las interfaces pasivas de OSPF El comando passive-interface evita que se envíen actualizaciones de routing a través de la interfaz de router especificada. Esto se hace comúnmente para reducir el tráfico en las redes LAN, ya que no necesitan recibir comunicaciones de protocolo de routing dinámico. En la parte 4, utilizará el comando passive-interface para configurar una única interfaz como pasiva. También configurará OSPF para que todas las interfaces del router sean pasivas de manera predeterminada y, luego, habilitará anuncios de routing OSPF en interfaces seleccionadas.
Paso 1. configurar una interfaz pasiva. a. Emita el comando show ip ospf interface g0/0 en el R1. Observe el temporizador que indica cuándo se espera el siguiente paquete de saludo. Los paquetes de saludo se envían cada 10 segundos y se utilizan entre los routers OSPF para verificar que sus vecinos estén activos. R1# show ip ospf interface g0/0 GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.1.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 11.11.11.11, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 11.11.11.11, Interface address 192.168.1.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
b. Emita el comando passive-interface para cambiar la interfaz G0/0 en el R1 a pasiva. R1(config)# router ospf 1 R1(config-router)# passive-interface g0/0 c.
Vuelva a emitir el comando show ip ospf interface g0/0 para verificar que la interfaz G0/0 ahora sea pasiva. R1# show ip ospf interface g0/0 GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.1.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 11.11.11.11, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 11.11.11.11, Interface address 192.168.1.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40
121
121
8.2.4.5: configuración de OSPFv2 básico de área única
122
No Hellos (Passive interface) Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
d. Emita el comando show ip route en el R2 y el R3 para verificar que todavía haya disponible una ruta a la red 192.168.1.0/24. R2# show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set
C O C L O C L O
C L
2.0.0.0/32 is subnetted, 1 subnets 2.2.2.2 is directly connected, Loopback0 192.168.1.0/24 [110/65] via 192.168.12.1, 00:58:32, Serial0/0/0 192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.2.0/24 is directly connected, GigabitEthernet0/0 192.168.2.1/32 is directly connected, GigabitEthernet0/0 192.168.3.0/24 [110/65] via 192.168.23.2, 00:58:19, Serial0/0/1 192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.12.0/30 is directly connected, Serial0/0/0 192.168.12.2/32 is directly connected, Serial0/0/0 192.168.13.0/30 is subnetted, 1 subnets 192.168.13.0 [110/128] via 192.168.23.2, 00:58:19, Serial0/0/1 [110/128] via 192.168.12.1, 00:58:32, Serial0/0/0 192.168.23.0/24 is variably subnetted, 2 subnets, 2 masks 192.168.23.0/30 is directly connected, Serial0/0/1 192.168.23.1/32 is directly connected, Serial0/0/1
Paso 2. establecer la interfaz pasiva como la interfaz predeterminada en un router. a. Emita el comando show ip ospf neighbor en el R1 para verificar que el R2 aparezca como un vecino OSPF. R1# show ip ospf neighbor Neighbor ID 33.33.33.33 22.22.22.22
Pri 0 0
State FULL/ FULL/
-
Dead Time 00:00:31 00:00:32
Address 192.168.13.2 192.168.12.2
Interface Serial0/0/1 Serial0/0/0
b. Emita el comando passive-interface default en el R2 para establecer todas las interfaces OSPF como pasivas de manera predeterminada. R2(config)# router ospf 1 122
122
8.2.4.5: configuración de OSPFv2 básico de área única
123
R2(config-router)# passive-interface default R2(config-router)# *Apr 3 00:03:00.979: %OSPF-5-ADJCHG: Process 1, Nbr 11.11.11.11 on Serial0/0/0 from FULL to DOWN, Neighbor Down: Interface down or detached *Apr 3 00:03:00.979: %OSPF-5-ADJCHG: Process 1, Nbr 33.33.33.33 on Serial0/0/1 from FULL to DOWN, Neighbor Down: Interface down or detached
c.
Vuelva a emitir el comando show ip ospf neighbor en el R1. Una vez que el temporizador de tiempo muerto haya caducado, el R2 ya no se mostrará como un vecino OSPF. R1# show ip ospf neighbor Neighbor ID 33.33.33.33
Pri 0
State FULL/
-
Dead Time 00:00:34
Address 192.168.13.2
Interface Serial0/0/1
d. Emita el comando show ip ospf interface S0/0/0 en el R2 para ver el estado de OSPF de la interfaz S0/0/0. R2# show ip ospf interface s0/0/0 Serial0/0/0 is up, line protocol is up Internet Address 192.168.12.2/30, Area 0, Attached via Network Statement Process ID 1, Router ID 22.22.22.22, Network Type POINT_TO_POINT, Cost: 64 Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 No Hellos (Passive interface) Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 2/2, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
e. Si todas las interfaces en el R2 son pasivas, no se anuncia ninguna información de routing. En este caso, el R1 y el R3 ya no deberían tener una ruta a la red 192.168.2.0/24. Esto se puede verificar mediante el comando show ip route. f.
En el R2, emita el comando no passive-interface para que el router envíe y reciba actualizaciones de routing OSPF. Después de introducir este comando, verá un mensaje informativo que explica que se estableció una adyacencia de vecino con el R1. R2(config)# router ospf 1 R2(config-router)# no passive-interface s0/0/0 R2(config-router)# *Apr 3 00:18:03.463: %OSPF-5-ADJCHG: Process 1, Nbr 11.11.11.11 on Serial0/0/0 from LOADING to FULL, Loading Done
g. Vuelva a emitir los comandos show ip route y show ipv6 ospf neighbor en el R1 y el R3, y busque una ruta a la red 192.168.2.0/24. ¿Qué interfaz usa el R3 para enrutarse a la red 192.168.2.0/24? ____________ ¿Cuál es la métrica de costo acumulado para la red 192.168.2.0/24 en el R3? _________ ¿El R2 aparece como vecino OSPF en el R1? ________ ¿El R2 aparece como vecino OSPF en el R3? ________
123
123
8.2.4.5: configuración de OSPFv2 básico de área única
124
¿Qué indica esta información? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ h. Cambie la interfaz S0/0/1 en el R2 para permitir que anuncie las rutas OSPF. Registre los comandos utilizados a continuación. ____________________________________________________________________________________ ____________________________________________________________________________________ i.
Vuelva a emitir el comando show ip route en el R3. ¿Qué interfaz usa el R3 para enrutarse a la red 192.168.2.0/24? ____________ ¿Cuál es la métrica de costo acumulado para la red 192.168.2.0/24 en el R3 y cómo se calcula? ____________________________________________________________________________________ ¿El R2 aparece como vecino OSPF del R3? ________
Parte 5. cambiar las métricas de OSPF En la parte 3, cambiará las métricas de OSPF con los comandos auto-cost reference-bandwidth, bandwidth e ip ospf cost. Nota: en la parte 1, se deberían haber configurado todas las interfaces DCE con una frecuencia de reloj de 128000.
Paso 1. cambiar el ancho de banda de referencia en los routers. El ancho de banda de referencia predeterminado para OSPF es 100 Mb/s (velocidad Fast Ethernet). Sin embargo, la mayoría de los dispositivos de infraestructura moderna tienen enlaces con una velocidad superior a 100 Mb/s. Debido a que la métrica de costo de OSPF debe ser un número entero, todos los enlaces con velocidades de transmisión de 100 Mb/s o más tienen un costo de 1. Esto da como resultado interfaces Fast Ethernet, Gigabit Ethernet y 10G Ethernet con el mismo costo. Por eso, se debe cambiar el ancho de banda de referencia a un valor más alto para admitir redes con enlaces más rápidos que 100 Mb/s. a. Emita el comando show interface en el R1 para ver la configuración del ancho de banda predeterminado para la interfaz G0/0. R1# show interface g0/0 GigabitEthernet0/0 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is c471.fe45.7520 (bia c471.fe45.7520) MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full Duplex, 100Mbps, media type is RJ45 output flow-control is unsupported, input flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output 00:17:31, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer 124
124
8.2.4.5: configuración de OSPFv2 básico de área única
125
Received 0 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 279 packets output, 89865 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 1 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out
Nota: si la interfaz del equipo host solo admite velocidad Fast Ethernet, la configuración de ancho de banda de G0/0 puede diferir de la que se muestra arriba. Si la interfaz del equipo host no admite velocidad de gigabit, es probable que el ancho de banda se muestre como 100 000 Kbit/s. b. Emita el comando show ip route ospf en el R1 para determinar la ruta a la red 192.168.3.0/24. R1# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O
192.168.3.0/24 [110/65] via 192.168.13.2, 00:00:57, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/128] via 192.168.13.2, 00:00:57, Serial0/0/1 [110/128] via 192.168.12.2, 00:01:08, Serial0/0/0
Nota: el costo acumulado del R1 a la red 192.168.3.0/24 es 65. c.
Emita el comando show ip ospf interface en el R3 para determinar el costo de routing para G0/0. R3# show ip ospf interface g0/0 GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.3.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 3.3.3.3, Network Type BROADCAST, Cost: 1 Topology-MTID Cost Disabled Shutdown Topology Name 0 1 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.23.2, Interface address 192.168.3.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:05 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec
125
125
8.2.4.5: configuración de OSPFv2 básico de área única
126
Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
d. Emita el comando show ip ospf interface s0/0/1 en el R1 para ver el costo de routing para S0/0/1. R1# show ip ospf interface s0/0/1 Serial0/0/1 is up, line protocol is up Internet Address 192.168.13.1/30, Area 0, Attached via Network Statement Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_POINT, Cost: 64 Topology-MTID Cost Disabled Shutdown Topology Name 0 64 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:04 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 3/3, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.2 Suppress hello for 0 neighbor(s)
La suma de los costos de estas dos interfaces es el costo acumulado de la ruta a la red 192.168.3.0/24 en el R3 (1 + 64 = 65), como puede observarse en el resultado del comando show ip route. e. Emita el comando auto-cost reference-bandwidth 10000 en el R1 para cambiar la configuración de ancho de banda de referencia predeterminado. Con esta configuración, las interfaces de 10 Gb/s tendrán un costo de 1, las interfaces de 1 Gb/s tendrán un costo de 10, y las interfaces de 100 Mb/s tendrán un costo de 100. R1(config)# router ospf 1 R1(config-router)# auto-cost reference-bandwidth 10000 % OSPF: Reference bandwidth is changed. Please ensure reference bandwidth is consistent across all routers.
f.
Emita el comando auto-cost reference-bandwidth 10000 en los routers R2 y R3.
g. Vuelva a emitir el comando show ip ospf interface para ver el nuevo costo de G0/0 en el R3 y de S0/0/1 en el R1. R3# show ip ospf interface g0/0 GigabitEthernet0/0 is up, line protocol is up Internet Address 192.168.3.1/24, Area 0, Attached via Network Statement Process ID 1, Router ID 3.3.3.3, Network Type BROADCAST, Cost: 10 Topology-MTID Cost Disabled Shutdown Topology Name 0 10 no no Base Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 192.168.23.2, Interface address 192.168.3.1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:02 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 1/1, flood queue length 0 126
126
8.2.4.5: configuración de OSPFv2 básico de área única
127
Next 0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
Nota: si el dispositivo conectado a la interfaz G0/0 no admite velocidad de Gigabit Ethernet, el costo será diferente del que se muestra en el resultado. Por ejemplo, el costo será de 100 para la velocidad Fast Ethernet (100 Mb/s). R1# show ip ospf interface s0/0/1 Serial0/0/1 is up, line protocol is up Internet Address 192.168.13.1/30, Area 0, Attached via Network Statement Process ID 1, Router ID 1.1.1.1, Network Type POINT_TO_POINT, Cost: 6476 Topology-MTID Cost Disabled Shutdown Topology Name 0 6476 no no Base Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 oob-resync timeout 40 Hello due in 00:00:05 Supports Link-local Signaling (LLS) Cisco NSF helper support enabled IETF NSF helper support enabled Index 3/3, flood queue length 0 Next 0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 192.168.23.2 Suppress hello for 0 neighbor(s)
h. Vuelva a emitir el comando show ip route ospf para ver el nuevo costo acumulado de la ruta 192.168.3.0/24 (10 + 6476 = 6486). Nota: si el dispositivo conectado a la interfaz G0/0 no admite velocidad de Gigabit Ethernet, el costo total será diferente del que se muestra en el resultado. Por ejemplo, el costo acumulado será 6576 si G0/0 está funcionando con velocidad Fast Ethernet (100 Mb/s). R1# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O O
127
192.168.2.0/24 [110/6486] via 192.168.12.2, 00:05:40, Serial0/0/0 192.168.3.0/24 [110/6486] via 192.168.13.2, 00:01:08, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/12952] via 192.168.13.2, 00:05:17, Serial0/0/1 [110/12952] via 192.168.12.2, 00:05:17, Serial0/0/
127
8.2.4.5: configuración de OSPFv2 básico de área única
128
Nota: cambiar el ancho de banda de referencia en los routers de 100 a 10 000 cambió los costos acumulados de todas las rutas en un factor de 100, pero el costo de cada enlace y ruta de interfaz ahora se refleja con mayor precisión. i.
Para restablecer el ancho de banda de referencia al valor predeterminado, emita el comando auto-cost reference-bandwidth 100 en los tres routers. R1(config)# router ospf 1 R1(config-router)# auto-cost reference-bandwidth 100 % OSPF: Reference bandwidth is changed. Please ensure reference bandwidth is consistent across all routers.
¿Por qué querría cambiar el ancho de banda de referencia OSPF predeterminado? _______________________________________________________________________________________
Paso 2. cambiar el ancho de banda de una interfaz. En la mayoría de los enlaces seriales, la métrica del ancho de banda será 1544 Kbits de manera predeterminada (la de un T1). Si esta no es la velocidad real del enlace serial, se deberá cambiar la configuración del ancho de banda para que coincida con la velocidad real, a fin de permitir que el costo de la ruta se calcule correctamente en OSPF. Use el comando bandwidth para ajusta la configuración del ancho de banda de una interfaz. Nota: un concepto erróneo habitual es suponer que con el comando bandwidth se cambia el ancho de banda físico, o la velocidad, del enlace. El comando modifica la métrica de ancho de banda que utiliza OSPF para calcular los costos de routing, pero no modifica el ancho de banda real (la velocidad) del enlace. a. Emita el comando show interface s0/0/0 en el R1 para ver la configuración actual del ancho de banda de S0/0/0. Aunque la velocidad de enlace/frecuencia de reloj en esta interfaz estaba configurada en 128 Kb/s, el ancho de banda todavía aparece como 1544 Kb/s. R1# show interface s0/0/0 Serial0/0/0 is up, line protocol is up Hardware is WIC MBRD Serial Internet address is 192.168.12.1/30 MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set Keepalive set (10 sec) <Output Omitted>
b. Emita el comando show ip route ospf en el R1 para ver el costo acumulado de la ruta a la red 192.168.23.0/24 con S0/0/0. Observe que hay dos rutas con el mismo costo (128) a la red 192.168.23.0/24, una a través de S0/0/0 y otra a través de S0/0/1. R1# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O
128
192.168.3.0/24 [110/65] via 192.168.13.2, 00:00:26, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/128] via 192.168.13.2, 00:00:26, Serial0/0/1 [110/128] via 192.168.12.2, 00:00:42, Serial0/0/0 128
8.2.4.5: configuración de OSPFv2 básico de área única c.
129
Emita el comando bandwidth 128 para establecer el ancho de banda en S0/0/0 en 128 Kb/s. R1(config)# interface s0/0/0 R1(config-if)# bandwidth 128
d. Vuelva a emitir el comando show ip route ospf. En la tabla de routing, ya no se muestra la ruta a la red 192.168.23.0/24 a través de la interfaz S0/0/0. Esto es porque la mejor ruta, la que tiene el costo más bajo, ahora es a través de S0/0/1. R1# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O
192.168.3.0/24 [110/65] via 192.168.13.2, 00:04:51, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/128] via 192.168.13.2, 00:04:51, Serial0/0/1
e. Emita el comando show ip ospf interface brief. El costo de S0/0/0 cambió de 64 a 781, que es una representación precisa del costo de la velocidad del enlace. R1# show ip ospf interface brief Interface Se0/0/1 Se0/0/0 Gi0/0
f.
PID 1 1 1
Area 0 0 0
IP Address/Mask 192.168.13.1/30 192.168.12.1/30 192.168.1.1/24
Cost 64 781 1
State P2P P2P DR
Nbrs F/C 1/1 1/1 0/0
Cambie el ancho de banda de la interfaz S0/0/1 a la misma configuración que S0/0/0 en el R1.
g. Vuelva a emitir el comando show ip route ospf para ver el costo acumulado de ambas rutas a la red 192.168.23.0/24. Observe que otra vez hay dos rutas con el mismo costo (845) a la red 192.168.23.0/24: una a través de S0/0/0 y otra a través de S0/0/1. R1# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O
129
192.168.3.0/24 [110/782] via 192.168.13.2, 00:00:09, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/845] via 192.168.13.2, 00:00:09, Serial0/0/1 [110/845] via 192.168.12.2, 00:00:09, Serial0/0/0
129
8.2.4.5: configuración de OSPFv2 básico de área única
130
Explique la forma en que se calcularon los costos del R1 a las redes 192.168.3.0/24 y 192.168.23.0/30. ____________________________________________________________________________________ h. Emita el comando show ip route ospf en el R3. El costo acumulado de 192.168.1.0/24 todavía se muestra como 65. A diferencia del comando clock rate, el comando bandwidth se tiene que aplicar en ambos extremos de un enlace serial. R3# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O
i.
192.168.1.0/24 [110/65] via 192.168.13.1, 00:30:58, Serial0/0/0 192.168.12.0/30 is subnetted, 1 subnets 192.168.12.0 [110/128] via 192.168.23.1, 00:30:58, Serial0/0/1 [110/128] via 192.168.13.1, 00:30:58, Serial0/0/0
Emita el comando bandwidth 128 en todas las interfaces seriales restantes de la topología. ¿Cuál es el nuevo costo acumulado a la red 192.168.23.0/24 en el R1? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 3. cambiar el costo de la ruta. De manera predeterminada, OSPF utiliza la configuración de ancho de banda para calcular el costo de un enlace. Sin embargo, puede reemplazar este cálculo si configura manualmente el costo de un enlace mediante el comando ip ospf cost. Al igual que el comando bandwidth, el comando ip ospf cost solo afecta el lado del enlace en el que se aplicó. a. Emita el comando show ip route ospf en el R1. R1# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O O
130
192.168.2.0/24 [110/782] via 192.168.12.2, 00:00:26, Serial0/0/0 192.168.3.0/24 [110/782] via 192.168.13.2, 00:02:50, Serial0/0/1 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/1562] via 192.168.13.2, 00:02:40, Serial0/0/1 [110/1562] via 192.168.12.2, 00:02:40, Serial0/0/0
130
8.2.4.5: configuración de OSPFv2 básico de área única
131
b. Aplique el comando ip ospf cost 1565 a la interfaz S0/0/1 en el R1. Un costo de 1565 es mayor que el costo acumulado de la ruta a través del R2, que es 1562. R1(config)# int s0/0/1 R1(config-if)# ip ospf cost 1565 c.
Vuelva a emitir el comando show ip route ospf en el R1 para mostrar el efecto que produjo este cambio en la tabla de routing. Todas las rutas OSPF para el R1 ahora se enrutan a través del R2. R1# show ip route ospf Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP + - replicated route, % - next hop override Gateway of last resort is not set O O O
192.168.2.0/24 [110/782] via 192.168.12.2, 00:02:06, Serial0/0/0 192.168.3.0/24 [110/1563] via 192.168.12.2, 00:05:31, Serial0/0/0 192.168.23.0/30 is subnetted, 1 subnets 192.168.23.0 [110/1562] via 192.168.12.2, 01:14:02, Serial0/0/0
Nota: la manipulación de costos de enlace mediante el comando ip ospf cost es el método de preferencia y el más fácil para cambiar los costos de las rutas OSPF. Además de cambiar el costo basado en el ancho de banda, un administrador de red puede tener otros motivos para cambiar el costo de una ruta, como la preferencia por un proveedor de servicios específico o el costo monetario real de un enlace o de una ruta. Explique la razón por la que la ruta a la red 192.168.3.0/24 en el R1 ahora atraviesa el R2. _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
Reflexión 1. ¿Por qué es importante controlar la asignación de ID de router al utilizar el protocolo OSPF? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Por qué el proceso de elección de DR/BDR no es una preocupación en esta práctica de laboratorio? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 3. ¿Por qué querría configurar una interfaz OSPF como pasiva? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 131
131
8.3.3.6: configuración de OSPFv3 básico de área única Topología
Tabla de direccionamiento Dispositivo
Dirección IPv6
Gateway predeterminado
G0/0
2001:DB8:ACAD:A::1/64 FE80::1 link-local
No aplicable
S0/0/0 (DCE)
2001:DB8:ACAD:12::1/64 FE80::1 link-local
No aplicable
S0/0/1
2001:DB8:ACAD:13::1/64 FE80::1 link-local
No aplicable
G0/0
2001:DB8:ACAD:B::2/64 FE80::2 link-local
No aplicable
S0/0/0
2001:DB8:ACAD:12::2/64 FE80::2 link-local
No aplicable
S0/0/1 (DCE)
2001:DB8:ACAD:23::2/64 FE80::2 link-local
No aplicable
G0/0
2001:DB8:ACAD:C::3/64 FE80::3 link-local
No aplicable
S0/0/0 (DCE)
2001:DB8:ACAD:13::3/64 FE80::3 link-local
No aplicable
S0/0/1
2001:DB8:ACAD:23::3/64 FE80::3 link-local
No aplicable
PC-A
NIC
2001:DB8:ACAD:A::A/64
FE80::1
PC-B
NIC
2001:DB8:ACAD:B::B/64
FE80::2
PC-C
NIC
2001:DB8:ACAD:C::C/64
FE80::3
R1
R2
R3
132
Interfaz
132
8.3.3.6: configuración de OSPFv3 básico de área única
133
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar y verificar el routing OSPFv3 Parte 3: configurar interfaces pasivas OSPFv3
Información básica/situación El protocolo OSPF (Open Shortest Path First) es un protocolo de routing de estado de enlace para las redes IP. Se definió OSPFv2 para redes IPv4, y OSPFv3 para redes IPv6. En esta práctica de laboratorio, configurará la topología de la red con routing OSPFv3, asignará ID de router, configurará interfaces pasivas y utilizará varios comandos de CLI para ver y verificar la información de routing OSPFv3. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host y los routers.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers según sea necesario. Paso 3. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de vty. e. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado. f.
Configure logging synchronous para la línea de consola.
g. Cifre las contraseñas de texto no cifrado. h. Configure las direcciones link-local y de unidifusión IPv6 que se indican en la tabla de direccionamiento para todas las interfaces.
133
i.
Habilite el routing de unidifusión IPv6 en cada router.
j.
Copie la configuración en ejecución en la configuración de inicio 133
8.3.3.6: configuración de OSPFv3 básico de área única
134
Paso 4. configurar los equipos host. Paso 5. Probar la conectividad. Los routers deben poder hacerse ping entre sí, y cada computadora debe poder hacer ping a su gateway predeterminado. Las computadoras no pueden hacer ping a otras computadoras hasta que no se haya configurado el routing OSPFv3. Verifique y resuelva los problemas, si es necesario.
Parte 2. configurar el routing OSPFv3 En la parte 2, configurará el routing OSPFv3 en todos los routers de la red y, luego, verificará que las tablas de routing se hayan actualizado correctamente.
Paso 1. asignar ID a los routers. OSPFv3 sigue utilizando una dirección de 32 bits para la ID del router. Debido a que no hay direcciones IPv4 configuradas en los routers, asigne manualmente la ID del router mediante el comando router-id. a. Emita el comando ipv6 router ospf para iniciar un proceso OSPFv3 en el router. R1(config)# ipv6 router ospf 1 Nota: la ID del proceso OSPF se mantiene localmente y no tiene sentido para los otros routers de la red. b. Asigne la ID de router OSPFv3 1.1.1.1 al R1. R1(config-rtr)# router-id 1.1.1.1 c.
Inicie el proceso de routing de OSPFv3 y asigne la ID de router 2.2.2.2 al R2 y la ID de router 3.3.3.3 al R3.
d. Emita el comando show ipv6 ospf para verificar las ID de router de todos los routers. R2# show ipv6 ospf Routing Process "ospfv3 1" with ID 2.2.2.2 Event-log enabled, Maximum number of events: 1000, Mode: cyclic Router is not originating router-LSAs with maximum metric <Output Omitted>
Paso 2. configurar OSPFv6 en el R1. Con IPv6, es común tener varias direcciones IPv6 configuradas en una interfaz. La instrucción network se eliminó en OSPFv3. En cambio, el routing OSPFv3 se habilita en el nivel de la interfaz. a. Emita el comando ipv6 ospf 1 area 0 para cada interfaz en el R1 que participará en el routing OSPFv3. R1(config)# interface g0/0 R1(config-if)# ipv6 ospf 1 area 0 R1(config-if)# interface s0/0/0 R1(config-if)# ipv6 ospf 1 area 0 R1(config-if)# interface s0/0/1 R1(config-if)# ipv6 ospf 1 area 0 Nota: la ID del proceso debe coincidir con la ID del proceso que usó en el paso 1a. b. Asigne las interfaces en el R2 y el R3 al área 0 de OSPFv3. Al agregar las interfaces al área 0, debería ver mensajes de adyacencia de vecino. R1# *Mar 19 22:14:43.251: %OSPFv3-5-ADJCHG: Process 1, Nbr 2.2.2.2 on Serial0/0/0 from LOADING to FULL, Loading Done R1# *Mar 19 22:14:46.763: %OSPFv3-5-ADJCHG: Process 1, Nbr 3.3.3.3 on Serial0/0/1 from LOADING to FULL, Loading Done
134
134
8.3.3.6: configuración de OSPFv3 básico de área única
135
Paso 3. verificar vecinos de OSPFv3. Emita el comando show ipv6 ospf neighbor para verificar que el router haya formado una adyacencia con los routers vecinos. Si no se muestra la ID del router vecino o este no se muestra en el estado FULL, los dos routers no formaron una adyacencia OSPF. R1# show ipv6 ospf neighbor Neighbor ID 3.3.3.3 2.2.2.2
OSPFv3 Router with ID (1.1.1.1) (Process ID 1) Pri State Dead Time Interface ID 0 FULL/ 00:00:39 6 0 FULL/ 00:00:36 6
Interface Serial0/0/1 Serial0/0/0
Paso 4. verificar la configuración del protocolo OSPFv3. El comando show ipv6 protocols es una manera rápida de verificar información fundamental de configuración de OSPFv3, incluidas la ID del proceso OSPF, la ID del router y las interfaces habilitadas para OSPFv3. R1# show ipv6 protocols IPv6 Routing Protocol is "connected" IPv6 Routing Protocol is "ND" IPv6 Routing Protocol is "ospf 1" Router ID 1.1.1.1 Number of areas: 1 normal, 0 stub, 0 nssa Interfaces (Area 0): Serial0/0/1 Serial0/0/0 GigabitEthernet0/0 Redistribution: None
Paso 5. verificar las interfaces OSPFv3. a. Emita el comando show ipv6 ospf interface para mostrar una lista detallada de cada interfaz habilitada para OSPF. R1# show ipv6 ospf interface Serial0/0/1 is up, line protocol is up Link Local Address FE80::1, Interface ID 7 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type POINT_TO_POINT, Cost: 64 Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:05 Graceful restart helper support enabled Index 1/3/3, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 3.3.3.3 Suppress hello for 0 neighbor(s) Serial0/0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 6 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type POINT_TO_POINT, Cost: 64 Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 135
135
8.3.3.6: configuración de OSPFv3 básico de área única
136
Hello due in 00:00:00 Graceful restart helper support enabled Index 1/2/2, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 1, maximum is 2 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 2.2.2.2 Suppress hello for 0 neighbor(s) GigabitEthernet0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 3 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 1.1.1.1, local address FE80::1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:03 Graceful restart helper support enabled Index 1/1/1, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
b. Para mostrar un resumen de las interfaces con OSPFv3 habilitado, emita el comando show ipv6 ospf interface brief. R1# show ipv6 ospf interface brief Interface Se0/0/1 Se0/0/0 Gi0/0
PID 1 1 1
Area 0 0 0
Intf ID 7 6 3
Cost 64 64 1
State P2P P2P DR
Nbrs F/C 1/1 1/1 0/0
Paso 6. verificar la tabla de routing IPv6. Emita el comando show ipv6 route para verificar que todas las redes aparezcan en la tabla de routing. R2# show ipv6 route IPv6 Routing Table - default - 10 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 O 2001:DB8:ACAD:A::/64 [110/65] via FE80::1, Serial0/0/0 C 2001:DB8:ACAD:B::/64 [0/0] via GigabitEthernet0/0, directly connected L 2001:DB8:ACAD:B::2/128 [0/0] via GigabitEthernet0/0, receive O 2001:DB8:ACAD:C::/64 [110/65] via FE80::3, Serial0/0/1 C 2001:DB8:ACAD:12::/64 [0/0] via Serial0/0/0, directly connected 136
136
8.3.3.6: configuración de OSPFv3 básico de área única L O
C L L
137
2001:DB8:ACAD:12::2/128 [0/0] via Serial0/0/0, receive 2001:DB8:ACAD:13::/64 [110/128] via FE80::3, Serial0/0/1 via FE80::1, Serial0/0/0 2001:DB8:ACAD:23::/64 [0/0] via Serial0/0/1, directly connected 2001:DB8:ACAD:23::2/128 [0/0] via Serial0/0/1, receive FF00::/8 [0/0] via Null0, receive
¿Qué comando utilizaría para ver solamente las rutas OSPF en la tabla de routing? _______________________________________________________________________________________
Paso 7. Verificar la conectividad de extremo a extremo. Se debería poder hacer ping entre todas las computadoras de la topología. Verifique y resuelva los problemas, si es necesario. Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Parte 3. configurar las interfaces pasivas de OSPFv3 El comando passive-interface evita que se envíen actualizaciones de routing a través de la interfaz de router especificada. Esto se hace comúnmente para reducir el tráfico en las redes LAN, ya que no necesitan recibir comunicaciones de protocolo de routing dinámico. En la parte 3, utilizará el comando passive-interface para configurar una única interfaz como pasiva. También configurará OSPFv3 para que todas las interfaces del router sean pasivas de manera predeterminada y, luego, habilitará anuncios de routing OSPF en interfaces seleccionadas.
Paso 1. configurar una interfaz pasiva. a. Emita el comando show ipv6 ospf interface g0/0 en el R1. Observe el temporizador que indica cuándo se espera el siguiente paquete de saludo. Los paquetes de saludo se envían cada 10 segundos y se utilizan entre los routers OSPF para verificar que sus vecinos estén activos. R1# show ipv6 ospf interface g0/0 GigabitEthernet0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 3 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 1.1.1.1, local address FE80::1 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:05 Graceful restart helper support enabled Index 1/1/1, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
b. Emita el comando passive-interface para cambiar la interfaz G0/0 en el R1 a pasiva. R1(config)# ipv6 router ospf 1 R1(config-rtr)# passive-interface g0/0 137
137
8.3.3.6: configuración de OSPFv3 básico de área única c.
138
Vuelva a emitir el comando show ipv6 ospf interface g0/0 para verificar que la interfaz G0/0 ahora sea pasiva. R1# show ipv6 ospf interface g0/0 GigabitEthernet0/0 is up, line protocol is up Link Local Address FE80::1, Interface ID 3 Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1 Network Type BROADCAST, Cost: 1 Transmit Delay is 1 sec, State WAITING, Priority 1 No designated router on this network No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 No Hellos (Passive interface) Wait time before Designated router selection 00:00:34 Graceful restart helper support enabled Index 1/1/1, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
d. Emita el comando show ipv6 route ospf en el R2 y el R3 para verificar que todavía haya disponible una ruta a la red 2001:DB8:ACAD:A::/64. R2# show ipv6 route ospf IPv6 Routing Table - default - 10 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2 IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 O 2001:DB8:ACAD:A::/64 [110/65] via FE80::1, Serial0/0/0 O 2001:DB8:ACAD:C::/64 [110/65] via FE80::3, Serial0/0/1 O 2001:DB8:ACAD:13::/64 [110/128] via FE80::3, Serial0/0/1 via FE80::1, Serial0/0/0
Paso 2. establecer la interfaz pasiva como la interfaz predeterminada en el router. a. Emita el comando passive-interface default en el R2 para establecer todas las interfaces OSPFv3 como pasivas de manera predeterminada. R2(config)# ipv6 router ospf 1 R2(config-rtr)# passive-interface default b. Emita el comando show ipv6 ospf neighbor en el R1. Una vez que el temporizador de tiempo muerto caduca, el R2 ya no se muestra como un vecino OSPF. R1# show ipv6 ospf neighbor OSPFv3 Router with ID (1.1.1.1) (Process ID 1) Neighbor ID 3.3.3.3 138
Pri 0
State FULL/
-
Dead Time 00:00:37
Interface ID 6
Interface Serial0/0/1 138
8.3.3.6: configuración de OSPFv3 básico de área única c.
139
En el R2, emita el comando show ipv6 ospf interface s0/0/0 para ver el estado OSPF de la interfaz S0/0/0. R2# show ipv6 ospf interface s0/0/0 Serial0/0/0 is up, line protocol is up Link Local Address FE80::2, Interface ID 6 Area 0, Process ID 1, Instance ID 0, Router ID 2.2.2.2 Network Type POINT_TO_POINT, Cost: 64 Transmit Delay is 1 sec, State POINT_TO_POINT Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 No Hellos (Passive interface) Graceful restart helper support enabled Index 1/2/2, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 2, maximum is 3 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s)
d. Si todas las interfaces OSPFv3 en el R2 son pasivas, no se anuncia ninguna información de routing. Si este es el caso, el R1 y el R3 ya no deberían tener una ruta a la red 2001:DB8:ACAD:B::/64. Esto se puede verificar mediante el comando show ipv6 route. e. Ejecute el comando no passive-interface para cambiar S0/0/1 en el R2 a fin de que envíe y reciba actualizaciones de routing OSPFv3. Después de introducir este comando, aparece un mensaje informativo que explica que se estableció una adyacencia de vecino con el R3. R2(config)# ipv6 router ospf 1 R2(config-rtr)# no passive-interface s0/0/1 *Apr 8 19:21:57.939: %OSPFv3-5-ADJCHG: Process 1, Nbr 3.3.3.3 on Serial0/0/1 from LOADING to FULL, Loading Done f.
Vuelva a emitir los comandos show ipv6 route y show ipv6 ospf neighbor en el R1 y el R3, y busque una ruta a la red 2001:DB8:ACAD:B::/64. ¿Qué interfaz usa el R1 para enrutarse a la red 2001:DB8:ACAD:B::/64? _________ ¿Cuál es la métrica de costo acumulado para la red 2001:DB8:ACAD:B::/64 en el R1? _______ ¿El R2 aparece como vecino OSPFv3 en el R1? ________ ¿El R2 aparece como vecino OSPFv3 en el R3? ________ ¿Qué indica esta información? ____________________________________________________________________________________ ____________________________________________________________________________________
g. En el R2, emita el comando no passive-interface S0/0/0 para permitir que se anuncien las actualizaciones de routing OSPFv3 en esa interfaz. h. Verifique que el R1 y el R2 ahora sean vecinos OSPFv3.
Reflexión 1. Si la configuración OSPFv6 del R1 tiene la ID de proceso 1 y la configuración OSPFv3 del R2 tiene la ID de proceso 2, ¿se puede intercambiar información de routing entre ambos routers? ¿Por qué? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Cuál podría haber sido la razón para eliminar el comando network en OSPFv3? _______________________________________________________________________________________ _______________________________________________________________________________________ 139
139
9.2.2.7: configuración y verificación de ACL estándar Topología
Tabla de direccionamiento Dispositivo R1
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
192.168.10.1
255.255.255.0
N/A
Lo0
192.168.20.1
255.255.255.0
N/A
S0/0/0 (DCE)
10.1.1.1
255.255.255.252
N/A
S0/0/0
10.1.1.2
255.255.255.252
N/A
S0/0/1 (DCE)
10.2.2.2
255.255.255.252
N/A
Lo0
209.165.200.225
255.255.255.224
N/A
G0/1
192.168.30.1
255.255.255.0
N/A
Lo0
192.168.40.1
255.255.255.0
N/A
S0/0/1
10.2.2.1
255.255.255.252
N/A
S1
VLAN 1
192.168.10.11
255.255.255.0
192.168.10.1
S3
VLAN 1
192.168.30.11
255.255.255.0
192.168.30.1
PC-A
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-C
NIC
192.168.30.3
255.255.255.0
192.168.30.1
ISP
R3
140
Interfaz
140
9.2.2.7: configuración y verificación de ACL estándar
141
Objetivos Parte 1: establecer la topología e inicializar los dispositivos •
Configurar los equipos para que coincidan con la topología de la red.
•
Inicializar y volver a cargar los routers y los switches.
Parte 2: configurar los dispositivos y verificar la conectividad •
Asignar una dirección IP estática a las computadoras.
•
Configurar los parámetros básicos en los routers.
•
Configurar los parámetros básicos en los switches.
•
Configurar los procesos de routing EIGRP en el R1, el ISP y el R3.
•
Verificar la conectividad entre los dispositivos.
Parte 3: configurar y verificar ACL estándar numeradas y con nombre •
Configurar, aplicar y verificar una ACL estándar numerada.
•
Configurar, aplicar y verificar una ACL con nombre.
Parte 4: modificar una ACL estándar •
Modificar y verificar una ACL estándar con nombre.
•
Probar la ACL.
Información básica/situación La seguridad de red es una cuestión importante al diseñar y administrar redes IP. La capacidad para configurar reglas apropiadas para filtrar los paquetes, sobre la base de las políticas de seguridad establecidas, es una aptitud valiosa. En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas representadas por el R1 y el R3. La administración estableció algunas políticas de acceso entre las redes LAN ubicadas en el R1 y el R3, que usted debe implementar. El router ISP que se ubica entre el R1 y el R3 no tendrá ninguna ACL. Usted no tiene permitido el acceso administrativo al router ISP, debido a que solo puede controlar y administrar sus propios equipos. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. establecer la topología e inicializar los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, en caso de ser necesario.
141
141
9.2.2.7: configuración y verificación de ACL estándar
142
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers y los switches.
Parte 2. Configurar dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos en los routers, los switches y las computadoras. Consulte la topología y la tabla de direccionamiento para conocer los nombres de los dispositivos y obtener información de direcciones.
Paso 1. configurar las direcciones IP en la PC-A y en la PC-C. Paso 2. configurar los parámetros básicos de los routers. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.
Cree interfaces loopback en cada router como se muestra en la tabla de direccionamiento.
d. Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento. e. Configure class como la contraseña del modo EXEC privilegiado. f.
Asigne la frecuencia de reloj 128000 a las interfaces seriales DCE.
g. Asigne cisco como la contraseña de consola. h. Asigne cisco como la contraseña de vty y habilite acceso por Telnet.
Paso 3. (optativo) configurar los parámetros básicos en los switches. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.
Configure la dirección IP de la interfaz de administración, como se muestra en la topología y en la tabla de direccionamiento.
d. Configure class como la contraseña del modo EXEC privilegiado. e. Configure un gateway predeterminado. f.
Asigne cisco como la contraseña de consola.
g. Asigne cisco como la contraseña de vty y habilite acceso por Telnet.
Paso 4. Configure los procesos de routing de EIGRP en el R1, el ISP y el R3. a. Configure el sistema autónomo (AS) número 10 y anuncie todas las redes en el R1, el ISP y el R3. Desactivar la sumarización automática. b. Después de configurar EIGRP en el R1, el ISP y el R3, verifique que todos los routers tengan tablas de routing completas con todas las redes. De lo contrario, resuelva el problema.
Paso 5. verificar la conectividad entre los dispositivos. Nota: es muy importante probar si la conectividad funciona antes de configurar y aplicar listas de acceso. Tiene que asegurarse de que la red funcione adecuadamente antes de empezar a filtrar el tráfico. a. Desde la PC-A, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron correctamente? _______ b. Desde el R1, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron correctamente? _______ c. 142
Desde la PC-C, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron correctamente? _______ 142
9.2.2.7: configuración y verificación de ACL estándar
143
d. Desde el R3, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron correctamente? _______
Parte 3. configurar y verificar ACL estándar numeradas y con nombre Paso 1. configurar una ACL estándar numerada. Las ACL estándar filtran el tráfico únicamente sobre la base de la dirección IP de origen. Una práctica recomendada típica para las ACL estándar es configurarlas y aplicarlas lo más cerca posible del destino. Para la primera lista de acceso, cree una ACL estándar numerada que permita que el tráfico proveniente de todos los hosts en la red 192.168.10.0/24 y de todos los hosts en la red 192.168.20.0/24 acceda a todos los hosts en la red 192.168.30.0/24. La política de seguridad también indica que debe haber una entrada de control de acceso (ACE) deny any, también conocida como “instrucción de ACL”, al final de todas las ACL. ¿Qué máscara wildcard usaría para permitir que todos los hosts en la red 192.168.10.0/24 accedan a la red 192.168.30.0/24? _______________________________________________________________________________________ Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? ___________ ¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría? _______________________________________________________________________________________ a. Configure la ACL en el R3. Use 1 como el número de lista de acceso. R3(config)# R3(config)# R3(config)# R3(config)#
access-list access-list access-list access-list
1 1 1 1
remark Allow R1 LANs Access permit 192.168.10.0 0.0.0.255 permit 192.168.20.0 0.0.0.255 deny any
b. Aplique la ACL a la interfaz apropiada en el sentido correcto. R3(config)# interface g0/1 R3(config-if)# ip access-group 1 out c.
Verifique una ACL numerada. El uso de diversos comandos show puede ayudarle a verificar la sintaxis y la colocación de las ACL en el router. ¿Qué comando usaría para ver la lista de acceso 1 en su totalidad, con todas las ACE? ____________________________________________________________________________________ ¿Qué comando usaría para ver dónde se aplicó la lista de acceso y en qué sentido? ____________________________________________________________________________________ 1) En el R3, emita el comando show access-lists 1. R3# show access-list 1 Standard IP access list 1 10 permit 192.168.10.0, wildcard bits 0.0.0.255 20 permit 192.168.20.0, wildcard bits 0.0.0.255 30 deny any
2) En el R3, emita el comando show ip interface g0/1. R3# show ip interface g0/1 GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.30.1/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set 143
143
9.2.2.7: configuración y verificación de ACL estándar
144
Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 1 Inbound access list is not set Output omitted
3) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.10.0/24 acceda a la red 192.168.30.0/24. Desde el símbolo del sistema en la PC-A, haga ping a la dirección IP de la PC-C. ¿Tuvieron éxito los pings? _______ 4) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.20.0/24 acceda a la red 192.168.30.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R1 como origen. Haga ping a la dirección IP de la PC-C. ¿Tuvieron éxito los pings? _______ R1# ping Protocol [ip]: Target IP address: 192.168.30.3 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 192.168.20.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.3, timeout is 2 seconds: Packet sent with a source address of 192.168.20.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
d. Desde la petición de entrada del R1, vuelva a hacer ping a la dirección IP de la PC-C. R1# ping 192.168.3.3 ¿El ping se realizó correctamente? ¿Por qué o por qué no? ____________________________________________________________________________________
Paso 2. configurar una ACL estándar con nombre. Cree una ACL estándar con nombre que se ajuste a la siguiente política: permitir que el tráfico de todos los hosts en la red 192.168.40.0/24 tenga acceso a todos los hosts en la red 192.168.10.0/24. Además, solo debe permitir el acceso del host PC-C a la red 192.168.10.0/24. El nombre de esta lista de acceso debe ser BRANCH-OFFICEPOLICY. Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? ___________ ¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría? _______________________________________________________________________________________ a. Cree la ACL estándar con nombre BRANCH-OFFICE-POLICY en el R1. R1(config)# ip access-list standard BRANCH-OFFICE-POLICY R1(config-std-nacl)# permit host 192.168.30.3 R1(config-std-nacl)# permit 192.168.40.0 0.0.0.255 R1(config-std-nacl)# end 144
144
9.2.2.7: configuración y verificación de ACL estándar
145
R1# *Feb 15 15:56:55.707: %SYS-5-CONFIG_I: Configured from console by console
Observe la primera ACE permit en la lista de acceso. ¿Cuál sería otra forma de escribir esto? ____________________________________________________________________________________ b. Aplique la ACL a la interfaz apropiada en el sentido correcto. R1# config t R1(config)# interface g0/1 R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out c.
Verifique una ACL con nombre. 1) En el R1, emita el comando show access-lists. R1# show access-lists Standard IP access list BRANCH-OFFICE-POLICY 10 permit 192.168.30.3 20 permit 192.168.40.0, wildcard bits 0.0.0.255
¿Hay alguna diferencia entre esta ACL en el R1 y la ACL en el R3? Si es así, ¿cuál es? ________________________________________________________________________________ ________________________________________________________________________________ 2) En el R1, emita el comando show ip interface g0/1. R1# show ip interface g0/1 GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.10.1/24 Broadcast address is 255.255.255.255 Address determined by non-volatile memory MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is BRANCH-OFFICE-POLICY Inbound access list is not set <Output Omitted>
3) Pruebe la ACL. Desde el símbolo del sistema en la PC-C, haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? _______ 4) Pruebe la ACL para asegurarse de que solo el host PC-C tenga acceso a la red 192.168.10.0/24. Debe hacer un ping extendido y usar la dirección G0/1 en el R3 como origen. Haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? _______ 5) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.40.0/24 acceda a la red 192.168.10.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R3 como origen. Haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? _______
Parte 4. modificar una ACL estándar En el ámbito empresarial, es común que las políticas de seguridad cambien. Por este motivo, quizá sea necesario modificar las ACL. En la parte 4, cambiará una de las ACL que configuró anteriormente para que coincida con una nueva política de administración que se debe implementar. La administración decidió que los usuarios de la red 209.165.200.224/27 no deben tener acceso total a la red 192.168.10.0/24. La administración también desea que las ACL en todos sus routers se ajusten a reglas coherentes. Se debe colocar una ACE deny any al final de todas las ACL. Debe modificar la ACL BRANCHOFFICE-POLICY. Agregará dos líneas adicionales a esta ACL. Hay dos formas de hacer esto: 145
145
9.2.2.7: configuración y verificación de ACL estándar
146
OPCIÓN 1: emita un comando no ip access-list standard BRANCH-OFFICE-POLICY en el modo de configuración global. Esto quitaría la ACL completa del router. Según el IOS del router, ocurriría una de las siguientes situaciones: se cancelaría todo el filtrado de paquetes y se permitiría el acceso de todos los paquetes al router o bien, debido a que no quitó el comando ip access-group de la interfaz G0/1, el filtrado se sigue implementando. Independientemente de lo que suceda, una vez que la ACL ya no esté, puede volver a escribir toda la ACL o cortarla y pegarla con un editor de texto. OPCIÓN 2: puede modificar las ACL implementadas y agregar o eliminar líneas específicas dentro de las ACL. Esto puede ser práctico, especialmente con las ACL que tienen muchas líneas de código. Al volver a escribir toda la ACL, o al cortarla y pegarla, se pueden producir errores con facilidad. La modificación de las líneas específicas dentro de la ACL se logra fácilmente. Nota: para esta práctica de laboratorio, utilice la opción 2.
Paso 1. modificar una ACL estándar con nombre. a. En el modo EXEC privilegiado en el R1, emita el comando show access-lists. R1# show access-lists Standard IP access list BRANCH-OFFICE-POLICY 10 permit 192.168.30.3 (8 matches) 20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches)
b. Agregue dos líneas adicionales al final de la ACL. En el modo de configuración global, modifique la ACL BRANCH-OFFICE-POLICY. R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31 R1(config-std-nacl)# 40 deny any R1(config-std-nacl)# end c.
Verifique la ACL. 1) En el R1, emita el comando show access-lists. R1# show access-lists Standard IP access list BRANCH-OFFICE-POLICY 10 permit 192.168.30.3 (8 matches) 20 permit 192.168.40.0, wildcard bits 0.0.0.255 (5 matches) 30 permit 209.165.200.224, wildcard bits 0.0.0.31 40 deny any
¿Debe aplicar la ACL BRANCH-OFFICE-POLICY a la interfaz G0/1 en el R1? ________________________________________________________________________________ 2) Desde la entrada de comandos del ISP, emita un ping extendido. Pruebe la ACL para ver si permite que el tráfico de la red 209.165.200.224/27 acceda a la red 192.168.10.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el ISP como origen. Haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? _______
Reflexión 1. Como puede observar, las ACL estándar son muy eficaces y funcionan muy bien. ¿Por qué tendría la necesidad de usar ACL extendidas? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. Generalmente, se requiere escribir más al usar una ACL con nombre que una ACL numerada. ¿Por qué elegiría ACL con nombre en vez de ACL numeradas? _______________________________________________________________________________________ _______________________________________________________________________________________ 146
146
9.2.3.4: configuración y verificación de restricciones de VTY Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/0
192.168.0.1
255.255.255.0
N/A
G0/1
192.168.1.1
255.255.255.0
N/A
S1
VLAN 1
192.168.1.2
255.255.255.0
192.168.1.1
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
PC-B
NIC
192.168.0.3
255.255.255.0
192.168.0.1
Objetivos Parte 1: configurar los parámetros básicos de los dispositivos Parte 2: configurar y aplicar la lista de control de acceso en el R1 Parte 3: verificar la lista de control de acceso mediante Telnet Parte 4: configurar y aplicar la lista de control de acceso en el S1 (desafío)
Información básica/situación Es aconsejable restringir el acceso a las interfaces de administración del router, como las líneas de consola y las líneas vty. Se puede utilizar una lista de control de acceso (ACL) para permitir el acceso de direcciones IP específicas, lo que asegura que solo la computadora del administrador tenga permiso para acceder al router mediante telnet o SSH. Nota: en los resultados del dispositivo de Cisco, la ACL se abrevia como access-list. En esta práctica de laboratorio, creará y aplicará una ACL estándar con nombre para restringir el acceso remoto a las líneas vty del router. Después de crear y aplicar la ACL, probará y verificará la ACL intentando acceder al router desde diferentes direcciones IP mediante Telnet. En esta práctica de laboratorio se le proporcionarán los comandos necesarios para crear y aplicar la ACL. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
147
147
9.2.3.4: configuración y verificación de restricciones de VTY
148
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Nota: las interfaces Gigabit Ethernet en los routers Cisco 1941 cuentan con detección automática, y se puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco, puede ser necesario usar un cable cruzado Ethernet.
Parte 1. Configurar los parámetros básicos de dispositivos En la parte 1, establecerá la topología de la red y configurará las direcciones IP de las interfaces, el acceso a los dispositivos y las contraseñas del router.
Paso 1. Realice el cableado de red tal como se muestra en el diagrama de topología. Paso 2. configurar los parámetros de red de la PC-A y la PC-A, según la tabla de direccionamiento. Paso 3. inicializar y volver a cargar el router y el switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos, según el diagrama de la topología. c.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola, active logging synchronous y habilite el inicio de sesión. e. Asigne cisco como la contraseña de vty, active logging synchronous y habilite el inicio de sesión. f.
Cifre las contraseñas de texto no cifrado.
g. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está prohibido. h. Configure las direcciones IP en las interfaces que se indican en la tabla de direccionamiento. i.
Configure el gateway predeterminado del switch.
j.
Guarde la configuración en ejecución en el archivo de configuración de inicio.
Parte 2. configurar y aplicar la lista de control de acceso en el R1 En la parte 2, configurará una ACL estándar con nombre y la aplicará a las líneas de terminal virtual del router para restringir el acceso remoto al router.
Paso 1. configurar y aplicar una ACL estándar con nombre. a. Acceda al router R1 mediante el puerto de consola y habilite el modo EXEC privilegiado. b. En el modo de configuración global, use un espacio y un signo de interrogación para ver las opciones de comandos de ip access-list. R1(config)# ip access-list ? extended helper log-update logging resequence standard 148
Extended Access List Access List acts on helper-address Control access list log updates Control access list logging Resequence Access List Standard Access List 148
9.2.3.4: configuración y verificación de restricciones de VTY c.
149
Use un espacio y un signo de interrogación para ver las opciones de comandos de ip access-list standard. R1(config)# ip access-list standard ? <1-99> <1300-1999> WORD
Standard IP access-list number Standard IP access-list number (expanded range) Access-list name
d. Agregue ADMIN-MGT al final del comando ip access-list standard y presione Enter. Ahora se encuentra en el modo de configuración de listas de acceso estándar con nombre (config-std-nacl). R1(config)# ip access-list standard ADMIN-MGT R1(config-std-nacl)# e. Introduzca la entrada de control de acceso (ACE) permit o deny de su ACL, también conocida como “instrucción de ACL”, de a una línea por vez. Recuerde que al final de la ACL hay una instrucción implícita deny any, que deniega todo el tráfico. Introduzca un signo de interrogación para ver las opciones de comandos. R1(config-std-nacl)# ? Standard Access List configuration commands: <1-2147483647> Sequence Number default Set a command to its defaults deny Specify packets to reject exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment
f.
Cree una ACE permit para la PC-A de Administrador en 192.168.1.3 y una ACE permit adicional para admitir otras direcciones IP administrativas reservadas desde 192.168.1.4 hasta 192.168.1.7. Observe que la primera ACE permit indica un único host, debido al uso de la palabra clave host. Se podría haber usado la ACE permit 192.168.1.3 0.0.0.0. La segunda ACE permit admite los hosts 192.168.1.4 a 192.168.1.7 debido a que se usa el carácter comodín 0.0.0.3, que es lo inverso de la máscara de subred 255.255.255.252. R1(config-std-nacl)# permit host 192.168.1.3 R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3 R1(config-std-nacl)# exit No es necesario introducir una ACE deny, porque hay una ACE deny any implícita al final de la ACL.
g. Ahora que creó una ACL con nombre, aplíquela a las líneas vty. R1(config)# line vty 0 4 R1(config-line)# access-class ADMIN-MGT in R1(config-line)# exit
Parte 3. verificar la lista de control de acceso mediante Telnet En la parte 3, usará Telnet para acceder al router y verificar que la ACL con nombre funcione correctamente. Nota: SSH es más seguro que Telnet; sin embargo, SSH requiere que el dispositivo de red esté configurado para aceptar conexiones SSH. En esta práctica de laboratorio, se usa Telnet por cuestiones de facilidad. a. Abra un símbolo del sistema en la PC-A y verifique que pueda comunicarse con el router mediante el comando ping. C:\Users\user1> ping 192.168.1.1 Pinging 192.168.1.1 with 32 bytes of data: Reply from 192.168.1.1: bytes=32 time=5ms TTL=64 Reply from 192.168.1.1: bytes=32 time=1ms TTL=64 Reply from 192.168.1.1: bytes=32 time=1ms TTL=64 Reply from 192.168.1.1: bytes=32 time=1ms TTL=64 149
149
9.2.3.4: configuración y verificación de restricciones de VTY
150
Ping statistics for 192.168.1.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 5ms, Average = 2ms C:\Users\user1>
b. Use el símbolo del sistema de la PC-A para iniciar el programa cliente de Telnet y acceda al router mediante telnet. Introduzca los datos de inicio de sesión y luego las contraseñas de enable. Debería haber iniciado sesión correctamente, visto el mensaje de aviso y recibido una petición de entrada de comandos del R1. C:\Users\user1> telnet 192.168.1.1 Unauthorized access is prohibited! User Access Verification Password: R1>enable Password: R1#
¿La conexión Telnet se realizó correctamente? ______________________________________________ c.
Escriba exit en el símbolo del sistema y presione Enter para salir de la sesión de Telnet.
d. Cambie la dirección IP para comprobar si la ACL con nombre bloquea direcciones IP no permitidas. Cambie la dirección IPv4 a 192.168.1.100 en la PC-A. e. Intente acceder al R1 mediante telnet en 192.168.1.1 otra vez. ¿La sesión de Telnet se estableció correctamente?__________________________________________________________________________ ¿Qué mensaje recibió? ___________________________________________________________ f.
Cambie la dirección IP de la PC-A para comprobar si la ACL con nombre permite que un host con una dirección IP en el rango de 192.168.1.4 a 192.168.1.7 acceda al router mediante telnet. Después de cambiar la dirección IP de la PC-A, abra el símbolo del sistema de Windows e intente acceder al router R1 mediante telnet. ¿La sesión de Telnet se estableció correctamente?________________________________________
g. En el modo EXEC privilegiado en el R1, escriba el comando show ip access-lists y presione Enter. En el resultado del comando, observe la forma en que el IOS de Cisco asigna automáticamente los números de línea a las ACE de la ACL en incrementos de 10 y muestra la cantidad de veces que se encontraron coincidencias para cada ACE permit (entre paréntesis). R1# show ip access-lists Standard IP access list ADMIN-MGT 10 permit 192.168.1.3 (2 matches) 20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)
Debido a que se establecieron correctamente dos conexiones Telnet al router y cada sesión de Telnet se inició desde una dirección IP que coincide con una de las ACE permit, hay coincidencias para cada ACE permit. ¿Por qué piensa que hay dos coincidencias para cada ACE permit cuando se inició solo una conexión desde cada dirección IP? ____________________________________________________________________________________ ____________________________________________________________________________________ ¿De qué forma determinaría el momento en el que el protocolo Telnet ocasiona las dos coincidencias durante la conexión Telnet? ____________________________________________________________________________________ 150
150
9.2.3.4: configuración y verificación de restricciones de VTY
151
h. En el R1, ingrese al modo de configuración global. i.
Ingrese al modo de configuración de lista de acceso para la lista de acceso con nombre ADMIN-MGT y agregue una ACE deny any al final de la lista de acceso. R1(config)# ip access-list standard ADMIN-MGT R1(config-std-nacl)# deny any R1(config-std-nacl)# exit Nota: debido a que hay una ACE deny any implícita al final de todas las ACL, agregar una ACE deny any explícita es innecesario, pero puede serle útil al administrador de red a efectos de registro o simplemente para saber la cantidad de veces que se produjeron coincidencias con la ACE deny any de la lista de acceso.
j.
Intente acceder al R1 mediante telnet desde la PC-B. Esto crea una coincidencia con la ACE deny any en la lista de acceso con nombre ADMIN-MGT.
k.
En el modo EXEC privilegiado, escriba el comando show ip access-lists y presione Enter. Ahora debería ver varias coincidencias con la ACE deny any. R1# show ip access-lists Standard IP access list ADMIN-MGT 10 permit 192.168.1.3 (2 matches) 20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches) 30 deny any (3 matches)
La conexión Telnet fallida produce más coincidencias con la ACE deny explícita que una conexión correcta. ¿Por qué cree que sucede esto? ____________________________________________________________________________________ ____________________________________________________________________________________
Parte 4. configurar y aplicar la lista de control de acceso en el S1 (desafío) Paso 1. configurar y aplicar una ACL estándar con nombre para las líneas vty en el S1. a. Sin consultar los comandos de configuración del R1, intente configurar la ACL en el S1 y permita solo la dirección IP de la PC-A. b. Aplique la ACL a las líneas vty del S1. Recuerde que hay más líneas vty en un switch que en un router.
Paso 2. probar la ACL de vty en el S1. Acceda mediante Telnet desde cada una de las computadoras para verificar que la ACL de vty funcione correctamente. Debería poder acceder al S1 mediante telnet desde la PC-A, pero no desde la PC-B.
Reflexión 1. Como lo demuestra el acceso remoto a vty, las ACL son filtros de contenido eficaces que tienen una aplicación más allá de las interfaces de red de entrada y de salida. ¿De qué otras formas se pueden aplicar las ACL? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿La aplicación de una ACL a una interfaz de administración remota de vty mejora la seguridad de una conexión Telnet? ¿Esto convierte a Telnet en una herramienta de administración de acceso remoto más viable? _______________________________________________________________________________________ _______________________________________________________________________________________ 3. ¿Por qué tiene sentido aplicar una ACL a las líneas vty, en vez de a interfaces específicas? _______________________________________________________________________________________ _______________________________________________________________________________________ 151
151
9.3.2.13: configuración y verificación de ACL extendidas Topología
Tabla de direccionamiento Dispositivo R1
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
192.168.10.1
255.255.255.0
N/A
Lo0
192.168.20.1
255.255.255.0
N/A
S0/0/0 (DCE)
10.1.1.1
255.255.255.252
N/A
S0/0/0
10.1.1.2
255.255.255.252
N/A
S0/0/1 (DCE)
10.2.2.2
255.255.255.252
N/A
Lo0
209.165.200.225
255.255.255.224
N/A
Lo1
209.165.201.1
255.255.255.224
N/A
G0/1
192.168.30.1
255.255.255.0
N/A
Lo0
192.168.40.1
255.255.255.0
N/A
S0/0/1
10.2.2.1
255.255.255.252
N/A
S1
VLAN 1
192.168.10.11
255.255.255.0
192.168.10.1
S3
VLAN 1
192.168.30.11
255.255.255.0
192.168.30.1
PC-A
NIC
192.168.10.3
255.255.255.0
192.168.10.1
PC-C
NIC
192.168.30.3
255.255.255.0
192.168.30.1
ISP
R3
152
Interfaz
152
9.3.2.13: configuración y verificación de ACL extendidas
153
Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los dispositivos y verificar la conectividad •
Configurar los parámetros básicos de las computadoras, los routers y los switches.
•
Configurar los procesos de routing EIGRP en el R1, el ISP y el R3.
Parte 3: configurar y verificar ACL extendidas numeradas y con nombre •
Configurar, aplicar y verificar una ACL extendida numerada.
•
Configurar, aplicar y verificar una ACL extendida con nombre.
Parte 4: modificar y verificar ACL extendidas
Información básica/situación Las listas de control de acceso (ACL) extendidas son sumamente eficaces. Ofrecen un mayor grado de control que las ACL estándar en cuanto a los tipos de tráfico que se pueden filtrar y también en cuanto al lugar de origen y el destino del tráfico. En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas representadas por el R1 y el R3. La administración estableció algunas políticas de acceso entre las redes LAN ubicadas en el R1 y el R3, que usted debe implementar. El router ISP que se ubica entre el R1 y el R3 no tiene ninguna ACL. Usted no tiene permitido el acceso administrativo al router ISP, dado que solo puede controlar y administrar sus propios equipos. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. establecer la topología e inicializar los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers y los switches.
Parte 2. Configurar dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos en los routers, los switches y las computadoras. Consulte la topología y la tabla de direccionamiento para conocer los nombres de los dispositivos y obtener información de direcciones.
153
153
9.3.2.13: configuración y verificación de ACL extendidas
154
Paso 1. configurar las direcciones IP en la PC-A y en la PC-C. Paso 2. configurar los parámetros básicos en el R1. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Cree una interfaz loopback en el R1.
d. Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento. e. Configure class como la contraseña del modo EXEC privilegiado. f.
Asigne la frecuencia de reloj 128000 a la interfaz S0/0/0.
g. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el acceso por Telnet. Configure logging synchronous para las líneas de consola y las líneas vty. h. Habilite el acceso web en el R1 para simular un servidor web con autenticación local para el usuario admin. R1(config)# ip http server R1(config)# ip http authentication local R1(config)# username admin privilege 15 secret class
Paso 3. configurar los parámetros básicos en el ISP. a. Configure el nombre del dispositivo como se muestra en la topología. b. Cree las interfaces loopback en el ISP. c.
Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento.
d. Desactive la búsqueda del DNS. e. Asigne class como la contraseña del modo EXEC privilegiado. f.
Asigne la frecuencia de reloj 128000 a la interfaz S0/0/1.
g. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el acceso por Telnet. Configure logging synchronous para las líneas de consola y las líneas vty. h. Habilite el acceso web en el ISP. Utilice los mismos parámetros que en el paso 2h.
Paso 4. configurar los parámetros básicos en el R3. a. Configure el nombre del dispositivo como se muestra en la topología. b. Cree una interfaz loopback en el R3. c.
Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de direccionamiento.
d. Desactive la búsqueda del DNS. e. Asigne class como la contraseña del modo EXEC privilegiado. f.
Asigne cisco como la contraseña de consola y configure logging synchronous en la línea de consola.
g. Habilite SSH en el R3. R3(config)# ip domain-name cisco.com R3(config)# crypto key generate rsa modulus 1024 R3(config)# line vty 0 4 R3(config-line)# login local R3(config-line)# transport input ssh h. Habilite el acceso web en el R3. Utilice los mismos parámetros que en el paso 2h.
154
154
9.3.2.13: configuración y verificación de ACL extendidas
155
Paso 5. (optativo) configurar los parámetros básicos en el S1 y el S3. a. Configure los nombres de host como se muestra en la topología. b. Configure las direcciones IP de las interfaces de administración como se muestra en la topología y en la tabla de direccionamiento. c.
Desactive la búsqueda del DNS.
d. Configure class como la contraseña del modo EXEC privilegiado. e. Configure la dirección de gateway predeterminado.
Paso 6. Configure el routing de EIGRP en el R1, el ISP y el R3. a. Configure el sistema autónomo (AS) número 10 y anuncie todas las redes en el R1, el ISP y el R3. Desactivar la sumarización automática. b. Después de configurar EIGRP en el R1, el ISP y el R3, verifique que todos los routers tengan tablas de routing completas con todas las redes. De lo contrario, resuelva el problema.
Paso 7. verificar la conectividad entre los dispositivos. Nota: es muy importante verificar la conectividad antes de configurar y aplicar ACL. Asegúrese de que la red funcione adecuadamente antes de empezar a filtrar el tráfico. a. Desde la PC-A, haga ping a la PC-C y a las interfaces loopback y de serie en el R3. ¿Los pings se realizaron correctamente? ________ b. Desde el R1, haga ping a la PC-C y a las interfaces loopback y serial en el R3. ¿Los pings se realizaron correctamente? ________ c.
Desde la PC-C, haga ping a la PC-A y a las interfaces loopback y serial en el R1. ¿Los pings se realizaron correctamente? ________
d. Desde el R3, haga ping a la PC-A y a las interfaces loopback y serial en el R1. ¿Los pings se realizaron correctamente? ________ e. Desde la PC-A, haga ping a las interfaces loopback en el router ISP. ¿Los pings se realizaron correctamente? ________ f.
Desde la PC-C, haga ping a las interfaces loopback en el router ISP. ¿Los pings se realizaron correctamente? ________
g. Abra un navegador web en la PC-A y vaya a http://209.165.200.225 en el ISP. Se le pide que introduzca un nombre de usuario y contraseña. Utilice admin como el nombre de usuario y class como la contraseña. Si se le solicita que acepte una firma, acéptela. El router cargará Cisco Configuration Professional (CCP) Express en una ventana diferente. Es posible que se le solicite un nombre de usuario y una contraseña. Utilice admin como el nombre de usuario y class como la contraseña. h. Abra un navegador web en la PC-C y vaya a http://10.1.1.1 en el R1. Se le pide que introduzca un nombre de usuario y contraseña. Utilice admin como el nombre de usuario y class como la contraseña. Si se le solicita que acepte una firma, acéptela. El router cargará CCP Express en una ventana diferente. Es posible que se le solicite un nombre de usuario y una contraseña. Utilice admin como el nombre de usuario y class como la contraseña.
Parte 3. configurar y verificar ACL extendidas numeradas y con nombre Las ACL extendidas filtran el tráfico de diferentes formas. Las ACL extendidas pueden realizar el filtrado según direcciones IP de origen, puertos de origen, dirección IP de destino y puertos de destino, así como según varios protocolos y servicios. Las políticas de seguridad son las siguientes: 1. Permitir que el tráfico web que se origina en la red 192.168.10.0/24 vaya a cualquier red. 155
155
9.3.2.13: configuración y verificación de ACL extendidas
156
2. Permitir una conexión SSH a la interfaz serial del R3 desde la PC-A. 3. Permitir que los usuarios en la red 192.168.10.0.24 accedan a la red 192.168.20.0/24. 4. Permitir que el tráfico web que se origina en la red 192.168.30.0/24 acceda al R1 mediante la interfaz web y la red 209.165.200.224/27 en el ISP. NO se debe permitir que la red 192.168.30.0/24 tenga acceso a cualquier otra red a través de la web. Al observar las políticas de seguridad mencionadas anteriormente, sabe que necesitará al menos dos ACL para cumplir con ellas. Una práctica recomendada es colocar ACL extendidas lo más cerca posible del origen. Para estas políticas, respetaremos esta práctica.
Paso 1. configurar una ACL extendida numerada en el R1 para las políticas de seguridad 1 y 2. Usará una ACL extendida numerada en el R1. ¿Cuáles son los rangos de las ACL extendidas? _______________________________________________________________________________________ a. Configure la ACL en el R1. Use 100 como el número de la ACL. R1(config)# access-list 100 remark Allow Web & SSH Access R1(config)# access-list 100 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22 R1(config)# access-list 100 permit tcp any any eq 80 ¿Qué indica el 80 que aparece en el resultado del comando anterior? ____________________________________________________________________________________ ¿A qué interfaz debe aplicarse la ACL 100? ____________________________________________________________________________________ ____________________________________________________________________________________ ¿En qué sentido se debería aplicar la ACL 100? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Aplique la ACL 100 a la interfaz S0/0/0. R1(config)# int s0/0/0 R1(config-if)# ip access-group 100 out c.
Verifique la ACL 100. 1) Abra un navegador web en la PC-A y vaya a http://209.165.200.225 (el router ISP). La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 2) Establezca una conexión SSH de la PC-A al R3 con 10.2.2.1 como dirección IP. Inicie sesión con las credenciales admin y class. La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 3) En la petición de entrada del modo EXEC privilegiado en el R1, emita el comando show access-lists. R1# show access-lists Extended IP access list 100 10 permit tcp host 192.168.10.3 host 10.2.2.1 eq 22 (22 matches) 20 permit tcp any any eq www (111 matches) 4) Desde el símbolo del sistema de la PC-A, emita un ping a 10.2.2.1. Explique los resultados. ________________________________________________________________________________ ________________________________________________________________________________ ________________________________________________________________________________
156
156
9.3.2.13: configuración y verificación de ACL extendidas
157
Paso 2. configurar una ACL extendida con nombre en el R3 para la política de seguridad 3. a. Configure la política en el R3. Asigne el nombre WEB-POLICY a la ACL. R3(config)# ip access-list extended WEB-POLICY R3(config-ext-nacl)# permit tcp 192.168.30.0 0.0.0.255 host 10.1.1.1 eq 80 R3(config-ext-nacl)# permit tcp 192.168.30.0 0.0.0.255 209.165.200.224 0.0.0.31 eq 80 b. Aplique la ACL WEB-POLICY a la interfaz S0/0/1. R3(config-ext-nacl)# int S0/0/1 R3(config-if)# ip access-group WEB-POLICY out c.
Verifique la ACL WEB-POLICY. 1) En la petición de entrada del modo EXEC privilegiado en el R3, emita el comando show ip interface s0/0/1. ¿Cuál es el nombre de la ACL, si tiene un nombre? ____________________________________ ¿En qué sentido se aplicó la ACL? _______________________________________ 2) Abra un navegador web en la PC-C y vaya a http://209.165.200.225 (el router ISP). La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 3) Desde la PC-C, inicie una sesión web en http://10.1.1.1 (R1). La conexión debería realizarse correctamente; de lo contrario, resuelva el problema. 4) Desde la PC-C, inicie una sesión web en http://209.165.201.1 (router ISP). La conexión debería fallar; de lo contrario, resuelva el problema. 5) Desde el símbolo del sistema de la PC-C, haga ping a la PC-A. ¿Cuál fue el resultado y por qué? ________________________________________________________________________________
Parte 4. modificar y verificar ACL extendidas Debido a las ACL aplicadas en el R1 y el R3, no se permiten pings ni ningún otro tipo de tráfico entre las redes LAN en el R1 y el R3. La administración decidió que debe permitirse todo el tráfico entre las redes 192.168.10.0/24 y 192.168.30.0/24. Debe modificar las ACL en el R1 y el R3.
Paso 1. modificar la ACL 100 en el R1. a. En el modo EXEC privilegiado en el R1, emita el comando show access-lists. ¿Cuántas líneas hay en esta lista de acceso? _____________________ b. Ingrese al modo de configuración global y modifique la ACL en el R1. R1(config)# ip access-list extended 100 R1(config-ext-nacl)# 30 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 R1(config-ext-nacl)# end c.
Emita el comando show access-lists. ¿En qué lugar de la ACL 100 apareció la línea nueva que acaba de agregar? ____________________________________________________________________________________
Paso 2. modificar la ACL WEB-POLICY en el R3. a. En el modo EXEC privilegiado en el R3, emita el comando show access-lists. ¿Cuántas líneas hay en esta lista de acceso? ________________________ b. Ingrese al modo de configuración global y modifique la ACL en el R3. R3(config)# ip access-list extended WEB-POLICY 157
157
9.3.2.13: configuración y verificación de ACL extendidas
158
R3(config-ext-nacl)# 30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 R3(config-ext-nacl)# end c.
Emita el comando show access-lists para verificar que la línea nueva se haya agregado al final de la ACL.
Paso 3. verificar las ACL modificadas. a. Desde la PC-A, haga ping a la dirección IP de la PC-C. ¿Tuvieron éxito los pings? ______________ b. Desde la PC-C, haga ping a la dirección IP de la PC-A. ¿Tuvieron éxito los pings? ______________ ¿Por qué las ACL funcionaron inmediatamente para los pings después de que las cambió? ____________________________________________________________________________________
Reflexión 1. ¿Por qué es necesario planificar y probar meticulosamente las ACL? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. Qué tipo de ACL es mejor: ¿estándar o extendida? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 3. ¿Por qué la entrada de control de acceso (ACE), o la instrucción de ACL, deny any implícita de las ACL aplicadas al R1 y el R3 no bloquea los paquetes de saludo ni las actualizaciones de routing EIGRP? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
158
158
9.4.2.7: resolución de problemas de configuración y colocación de ACL Topología
Tabla de direccionamiento Dispositivo HQ
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/1
10.1.1.2
255.255.255.252
N/A
Lo0
192.168.4.1
255.255.255.0
N/A
G0/1
192.168.3.1
255.255.255.0
N/A
S0/0/0 (DCE)
10.1.1.1
255.255.255.252
N/A
S1
VLAN 1
192.168.1.11
255.255.255.0
192.168.1.1
S3
VLAN 1
192.168.3.11
255.255.255.0
192.168.3.1
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
PC-C
NIC
192.168.3.3
255.255.255.0
192.168.3.1
ISP
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de acceso interno Parte 3: resolver problemas de acceso remoto 159
159
9.4.2.7: resolución de problemas de configuración y colocación de ACL
160
Información básica/situación Una lista de control de acceso (ACL) es una serie de comandos de IOS que proporcionan un filtrado de tráfico básico en un router Cisco. Las ACL se usan para seleccionar los tipos de tráfico que se deben procesar. Cada instrucción de ACL individual se denomina “entrada de control de acceso” (ACE). Las ACE en la ACL se evalúan de arriba abajo, y al final de la lista hay una ACE deny all implícita. Las ACL también controlan los tipos de tráfico entrante y saliente de una red según los hosts o las redes de origen y destino. Para procesar el tráfico deseado correctamente, la ubicación de las ACL es fundamental. En esta práctica de laboratorio, una pequeña empresa acaba de agregar un servidor web a la red para permitir que los clientes tengan acceso a información confidencial. La red de la empresa se divide en dos zonas: zona de red corporativa y zona perimetral (DMZ). La zona de red corporativa aloja los servidores privados y los clientes internos. La DMZ aloja el servidor web al que se puede acceder de forma externa (simulado por Lo0 en HQ). Debido a que la empresa solo puede administrar su propio router HQ, todas las ACL deben aplicarse al router HQ. •
La ACL 101 se implementa para limitar el tráfico saliente de la zona de red corporativa. Esta zona aloja los servidores privados y los clientes internos (192.168.1.0/24). Ninguna otra red debe poder acceder a ella.
•
La ACL 102 se usa para limitar el tráfico entrante a la red corporativa. A esa red solo pueden acceder las respuestas a las solicitudes que se originaron dentro de la red corporativa. Esto incluye solicitudes basadas en TCP de los hosts internos, como web y FTP. Se permite el acceso de ICMP a la red para fines de resolución de problemas, de forma que los hosts internos pueden recibir mensajes ICMP entrantes generados en respuesta a pings.
•
La ACL 121 controla el tráfico externo hacia la DMZ y la red corporativa. Solo se permite el acceso de tráfico HTTP al servidor web DMZ (simulado por Lo0 en el R1). Se permite cualquier otro tráfico relacionado con la red, como EIGRP, desde redes externas. Además, se deniega el acceso a la red corporativa a las direcciones privadas internas válidas, como 192.168.1.0, las direcciones de loopback, como 127.0.0.0, y las direcciones de multidifusión, con el fin de impedir ataques malintencionados de usuarios externos a la red.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers y los switches con algunos parámetros básicos, como contraseñas y direcciones IP. También se proporcionan configuraciones predefinidas para la configuración inicial del router. Además, configurará los parámetros de IP de las computadoras en la topología.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host.
160
160
9.4.2.7: resolución de problemas de configuración y colocación de ACL
161
Paso 3. inicializar y volver a cargar los routers y los switches según sea necesario. Paso 4.
(optativo) configurar los parámetros básicos de cada switch.
a. Desactive la búsqueda del DNS. b. Configure los nombres de host como se muestra en la topología. c.
Configure la dirección IP y el gateway predeterminado en la tabla de direccionamiento.
d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Asigne class como la contraseña del modo EXEC privilegiado. f.
Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.
Paso 5. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure los nombres de host como se muestra en la topología. c.
Asigne cisco como la contraseña de consola y la contraseña de vty.
d. Asigne class como la contraseña del modo EXEC privilegiado. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.
Paso 6. Configure el acceso HTTP y las credenciales de usuario en el router HQ. Las credenciales de usuario local se configuran para acceder al servidor web simulado (192.168.4.1). HQ(config)# ip http server HQ(config)# username admin privilege 15 secret adminpass HQ(config)# ip http authentication local
Paso 7. cargar las configuraciones de los routers. Se le proporcionan las configuraciones de los routers ISP y HQ. Estas configuraciones contienen errores, y su trabajo es determinar las configuraciones incorrectas y corregirlas. Router ISP hostname ISP interface GigabitEthernet0/1 ip address 192.168.3.1 255.255.255.0 no shutdown interface Serial0/0/0 ip address 10.1.1.1 255.255.255.252 clock rate 128000 no shutdown router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.3.0 no auto-summary end Router HQ hostname HQ interface Loopback0 ip address 192.168.4.1 255.255.255.0 interface GigabitEthernet0/1 161
161
9.4.2.7: resolución de problemas de configuración y colocación de ACL
162
ip address 192.168.1.1 255.255.255.0 ip access-group 101 out ip access-group 102 in no shutdown interface Serial0/0/1 ip address 10.1.1.2 255.255.255.252 ip access-group 121 in no shutdown router eigrp 1 network 10.1.1.0 0.0.0.3 network 192.168.1.0 network 192.168.4.0 no auto-summary access-list 101 permit ip 192.168.11.0 0.0.0.255 any access-list 101 deny ip any any access-list 102 permit tcp any any established access-list 102 permit icmp any any echo-reply access-list 102 permit icmp any any unreachable access-list 102 deny ip any any access-list 121 permit tcp any host 192.168.4.1 eq 89 access-list 121 deny icmp any host 192.168.4.11 access-list 121 deny ip 192.168.1.0 0.0.0.255 any access-list 121 deny ip 127.0.0.0 0.255.255.255 any access-list 121 deny ip 224.0.0.0 31.255.255.255 any access-list 121 permit ip any any access-list 121 deny ip any any end
Parte 2. resolver problemas de acceso interno En la parte 2, se examinan las ACL en el router HQ para determinar si se configuraron correctamente.
Paso 1. resolver problemas en la ACL 101. La ACL 101 se implementa para limitar el tráfico saliente de la zona de red corporativa. Esta zona solo aloja clientes internos y servidores privados. Solo la red 192.168.1.0/24 puede salir de esta zona de red corporativa. a. ¿Se puede hacer ping de la PC-A a su gateway predeterminado? ______________ b. Después de verificar que la PC-A esté configurada correctamente, examine el router HQ y vea el resumen de la ACL 101 para encontrar posibles errores de configuración. Introduzca el comando show access-lists 101. HQ# show access-lists 101 Extended IP access list 101 10 permit ip 192.168.11.0 0.0.0.255 any 20 deny ip any any
c.
¿Existe algún problema en la ACL 101?________________________________________________________
d. Examine la interfaz del gateway predeterminado para la red 192.168.1.0 /24. Verifique que la ACL 101 esté aplicada en el sentido correcto en la interfaz G0/1. Introduzca el comando show ip interface g0/1. HQ# show ip interface g0/1 GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes 162
162
9.4.2.7: resolución de problemas de configuración y colocación de ACL
163
Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 101 Inbound access list is 102
¿El sentido de la ACL 101 en la interfaz G0/1 está configurado correctamente? ____________________________________________________________________________________ e. Corrija los errores encontrados con respecto a la ACL 101 y verifique que el tráfico de la red 192.168.1.0 /24 puede salir de la red corporativa. Registre los comandos usados para corregir los errores. ____________________________________________________________________________________ ____________________________________________________________________________________ f.
Verifique que se pueda hacer ping de la PC-A a su interfaz de gateway predeterminado.
Paso 2. resolver problemas en la ACL 102. La ACL 102 se implementa para limitar el tráfico entrante a la red corporativa. No se permite el acceso de tráfico que se origina en redes externas a la red corporativa. Se permite el acceso de tráfico remoto a la red corporativa si el tráfico establecido se originó en la red interna. Se permiten mensajes de respuesta ICMP para fines de resolución de problemas. a. ¿Se puede hacer ping de la PC-A a la PC-C? ____________ b. Examine el router HQ y vea el resumen de la ACL 102 para encontrar posibles errores de configuración. Introduzca el comando show access-lists 102. HQ# show access-lists 102 Extended IP access list 102 10 permit tcp any any established 20 permit icmp any any echo-reply 30 permit icmp any any unreachable 40 deny ip any any (57 matches)
c.
¿Existe algún problema en la ACL 102? ____________________________________________________________________________________
d. Verifique que la ACL 102 esté aplicada en el sentido correcto en la interfaz G0/1. Introduzca el comando show ip interface g0/1. HQ# show ip interface g0/1 GigabitEthernet0/1 is up, line protocol is up Internet address is 192.168.1.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.10 Outgoing access list is 101 Inbound access list is 101
e. ¿Existe algún problema con la aplicación de la ACL 102 a la interfaz G0/1? ____________________________________________________________________________________ f.
Corrija los errores encontrados con respecto a la ACL 102. Registre los comandos usados para corregir los errores. _____________________________________________________________________________ _____________________________________________________________________________
163
163
9.4.2.7: resolución de problemas de configuración y colocación de ACL
164
g. ¿Se puede hacer ping de la PC-A a la PC-C ahora? __________
Parte 3. resolver problemas de acceso remoto En la parte 3, se configuró la ACL 121 para prevenir los ataques de suplantación de identidad provenientes de redes externas y para permitir solo el acceso HTTP remoto al servidor web (192.168.4.1) en la DMZ. a. Verifique que la ACL 121 esté configurada correctamente. Introduzca el comando show ip access-list 121. HQ# show ip access-lists 121 Extended IP access list 121 10 permit tcp any host 192.168.4.1 eq 89 20 deny icmp any host 192.168.4.11 30 deny ip 192.168.1.0 0.0.0.255 any 40 deny ip 127.0.0.0 0.255.255.255 any 50 deny ip 224.0.0.0 31.255.255.255 any 60 permit ip any any (354 matches) 70 deny ip any any
¿Existe algún problema en esta ACL? ____________________________________________________________________________________ ____________________________________________________________________________________ b. Verifique que la ACL 121 esté aplicada en el sentido correcto en la interfaz S0/0/1 del R1. Introduzca el comando show ip interface s0/0/1. HQ# show ip interface s0/0/1 Serial0/0/1 is up, line protocol is up Internet address is 10.1.1.2/30 Broadcast address is 255.255.255.255 <Output Omitted> Multicast reserved groups joined: 224.0.0.10 Outgoing access list is not set Inbound access list is 121
¿Existe algún problema con la aplicación de esta ACL? ____________________________________________________________________________________ ____________________________________________________________________________________ c.
Si se encontraron errores, haga los cambios necesarios a la configuración de la ACL 121 y regístrelos. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
d. Verifique que la PC-C solo pueda acceder al servidor web simulado en el HQ mediante el navegador web. Para acceder al servidor web (192.168.4.1), proporcione el nombre de usuario admin y la contraseña adminpass.
Reflexión 1. ¿Cómo se debería ordenar la instrucción de ACL, de lo general a lo específico o viceversa? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. Si elimina una ACL con el comando no access-list y la ACL sigue aplicada a la interfaz, ¿qué sucede? _______________________________________________________________________________________ _______________________________________________________________________________________ 164
164
9.5.2.7: configuración y verificación de ACL de IPv6 Topología
Tabla de direccionamiento Dispositivo R1
Dirección IP
Gateway predeterminado
G0/0
2001:DB8:ACAD:B::1/64
N/A
G0/1
2001:DB8:ACAD:A::1/64
N/A
S0/0/0 (DCE)
2001:DB8:AAAA:1::1/64
N/A
S0/0/0
2001:DB8:AAAA:1::2/64
N/A
S0/0/1 (DCE)
2001:DB8:AAAA:2::2/64
N/A
G0/1
2001:DB8:CAFE:C::1/64
N/A
S0/0/1
2001:DB8:AAAA:2::1/64
N/A
S1
VLAN1
2001:DB8:ACAD:A::A/64
N/A
S2
VLAN1
2001:DB8:ACAD:B::A/64
N/A
S3
VLAN1
2001:DB8:CAFE:C::A/64
N/A
PC-A
NIC
2001:DB8:ACAD:A::3/64
FE80::1
PC-B
NIC
2001:DB8:ACAD:B::3/64
FE80::1
PC-C
NIC
2001:DB8:CAFE:C::3/64
FE80::1
R2
R3
165
Interfaz
165
9.5.2.7: configuración y verificación de ACL de IPv6
166
Objetivos Parte 1: establecer la topología e inicializar los dispositivos Parte 2: configurar los dispositivos y verificar la conectividad Parte 3: configurar y verificar las ACL de IPv6 Parte 4: editar las ACL de IPv6
Información básica/situación Puede filtrar el tráfico IPv6 mediante la creación de listas de control de acceso (ACL) de IPv6 y su aplicación a las interfaces, en forma similar al modo en que se crean ACL de IPv4 con nombre. Los tipos de ACL de IPv6 son extendida y con nombre. Las ACL estándar y numeradas ya no se utilizan con IPv6. Para aplicar una ACL de IPv6 a una interfaz vty, use el nuevo comando ipv6 traffic-filter. El comando ipv6 access-class todavía se usa para aplicar una ACL de IPv6 a las interfaces. En esta práctica de laboratorio, aplicará reglas de filtrado IPv6 y luego verificará que restrinjan el acceso según lo esperado. También editará una ACL de IPv6 y borrará los contadores de coincidencias. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
3 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. establecer la topología e inicializar los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, en caso de ser necesario.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers y los switches.
Parte 2. Configurar dispositivos y verificar la conectividad En la parte 2, configurará los parámetros básicos en los routers, los switches y las computadoras. Consulte la topología y la tabla de direccionamiento incluidos al comienzo de esta práctica de laboratorio para conocer los nombres de los dispositivos y obtener información de direcciones.
Paso 1. configurar direcciones IPv6 en todas las computadoras. Configure las direcciones IPv6 de unidifusión global según la tabla de direccionamiento. Utilice la dirección linklocal FE80::1 para el gateway predeterminado en todas las computadoras.
Paso 2. configurar los switches. a. Desactive la búsqueda del DNS. 166
166
9.5.2.7: configuración y verificación de ACL de IPv6
167
b. Asigne el nombre de host. c.
Asigne ccna-lab.com como nombre de dominio.
d. Cifre las contraseñas de texto no cifrado. e. Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado. f.
Cree una base de datos de usuarios local con el nombre de usuario admin y la contraseña classadm.
g. Asigne class como la contraseña cifrada del modo EXEC privilegiado. h. Asigne cisco como la contraseña de consola y habilite el inicio de sesión. i.
Habilite el inicio de sesión en las líneas VTY con la base de datos local.
j.
Genere una clave criptográfica rsa para ssh con un tamaño de módulo de 1024 bits.
k.
Cambie las líneas VTY de transport input a «all» solo para SSH y Telnet.
l.
Asigne una dirección IPv6 a la VLAN 1 según la tabla de direccionamiento.
m. Desactive administrativamente todas las interfaces inactivas.
Paso 3. configurar los parámetros básicos en todos los routers. a. Desactive la búsqueda del DNS. b. Asigne el nombre de host. c.
Asigne ccna-lab.com como nombre de dominio.
d. Cifre las contraseñas de texto no cifrado. e. Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado. f.
Cree una base de datos de usuarios local con el nombre de usuario admin y la contraseña classadm.
g. Asigne class como la contraseña cifrada del modo EXEC privilegiado. h. Asigne cisco como la contraseña de consola y habilite el inicio de sesión. i.
Habilite el inicio de sesión en las líneas VTY con la base de datos local.
j.
Genere una clave criptográfica rsa para ssh con un tamaño de módulo de 1024 bits.
k.
Cambie las líneas VTY de transport input a «all» solo para SSH y Telnet.
Paso 4. configurar los parámetros de IPv6 en el R1. a. Configure la dirección IPv6 de unidifusión en las interfaces G0/0, G0/1 y S0/0/0. b. Configure la dirección IPv6 link-local en las interfaces G0/0, G0/1 y S0/0/0. Utilice FE80::1 como la dirección link-local en las tres interfaces. c.
Establezca la frecuencia de reloj en S0/0/0 en 128000.
d. Habilite las interfaces. e. Habilite el routing de unidifusión IPv6. f.
Configure una ruta predeterminada IPv6 para que use la interfaz S0/0/0. R1(config)# ipv6 route ::/0 s0/0/0
Paso 5. configurar los parámetros de IPv6 en el R2. a. Configure la dirección IPv6 de unidifusión en las interfaces S0/0/0 y S0/0/1. b. Configure la dirección IPv6 link-local en las interfaces S0/0/0 y S0/0/1. Utilice FE80::2 como la dirección linklocal en ambas interfaces. c.
Establezca la frecuencia de reloj en S0/0/1 en 128000.
d. Habilite las interfaces. 167
167
9.5.2.7: configuración y verificación de ACL de IPv6
168
e. Habilite el routing de unidifusión IPv6. f.
Configure rutas estáticas IPv6 para la administración del tráfico de las subredes LAN del R1 y el R3. R2(config)# ipv6 route 2001:db8:acad::/48 s0/0/0 R2(config)# ipv6 route 2001:db8:cafe:c::/64 s0/0/1
Paso 6. configurar los parámetros de IPv6 en el R3. a. Configure la dirección IPv6 de unidifusión en las interfaces G0/1 y S0/0/1. b. Configure la dirección IPv6 link-local en las interfaces G0/1 y S0/0/1. Utilice FE80::1 como la dirección linklocal en ambas interfaces. c.
Habilite las interfaces.
d. Habilite el routing de unidifusión IPv6. e. Configure una ruta predeterminada IPv6 para que use la interfaz S0/0/1. R3(config)# ipv6 route ::/0 s0/0/1
Paso 7. Verifique la conectividad. a. Se debería poder hacer ping entre todas las computadoras de la topología. b. Acceda al R1 mediante Telnet desde todas las computadoras en la topología. c.
Acceda al R1 mediante SSH desde todas las computadoras en la topología.
d. Acceda al S1 mediante Telnet desde todas las computadoras en la topología. e. Acceda al S1 mediante SSH desde todas las computadoras en la topología. f.
Solucione los problemas de conectividad ahora, porque las ACL que cree en la parte 3 de esta práctica de laboratorio restringirán el acceso a ciertas áreas de la red.
Nota: Tera Term requiere que la dirección IPv6 de destino esté entre corchetes. Introduzca la dirección IPv6 como se muestra, haga clic en OK (Aceptar) y, luego, haga clic en Continue (Continuar) para aceptar la advertencia de seguridad y conectarse al router.
Introduzca las credenciales de usuario configuradas (nombre de usuario admin y contraseña classadm) y seleccione Use plain password to log in (Usar contraseña no cifrada para iniciar sesión) en el cuadro de diálogo SSH Authentication (Autenticación de SSH). Haga clic en Aceptar para continuar.
168
168
9.5.2.7: configuración y verificación de ACL de IPv6
169
Parte 3. configurar y verificar las ACL de IPv6 Paso 1. configurar y verificar las restricciones de VTY en el R1. a. Cree una ACL para permitir que solo los hosts de la red 2001:db8:acad:a::/64 accedan al R1 mediante telnet. Todos los hosts deben poder acceder al R1 mediante ssh. R1(config)# ipv6 access-list RESTRICT-VTY R1(config-ipv6-acl)# permit tcp 2001:db8:acad:a::/64 any R1(config-ipv6-acl)# permit tcp any any eq 22 b. Aplique la ACL RESTRICT-VTY a las líneas VTY del R1. R1(config-ipv6-acl)# line vty 0 4 R1(config-line)# ipv6 access-class RESTRICT-VTY in R1(config-line)# end R1# c.
Visualice la nueva ACL. R1# show access-lists IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any sequence 10 permit tcp any any eq 22 sequence 20
d. Verifique que la ACL RESTRICT-VTY solo permita tráfico de Telnet de la red 2001:db8:acad:a::/64. ¿De qué forma la ACL RESTRICT-VTY permite únicamente el acceso de hosts de la red 2001:db8:acad:a::/64 al R1 mediante telnet? ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ 169
169
9.5.2.7: configuración y verificación de ACL de IPv6
170
¿Qué hace la segunda instrucción permit en la ACL RESTRICT-VTY? ____________________________________________________________________________________
Paso 2. restringir el acceso por Telnet a la red 2001:db8:acad:a::/64. a. Cree una ACL denominada RESTRICTED-LAN que bloquee el acceso por Telnet a la red 2001:db8:acad:a::/64. R1(config)# ipv6 access-list RESTRICTED-LAN R1(config-ipv6-acl)# remark Block Telnet from outside R1(config-ipv6-acl)# deny tcp any 2001:db8:acad:a::/64 eq telnet R1(config-ipv6-acl)# permit ipv6 any any b. Aplique la ACL RESTRICTED-LAN a la interfaz G0/1 para todo el tráfico saliente. R1(config-ipv6-acl)# int g0/1 R1(config-if)# ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end c.
Desde la PC-B y la PC-C, acceda al S1 mediante Telnet para verificar que se haya restringido Telnet. Desde la PC-B, acceda al S1 mediante SSH para verificar que todavía se pueda llegar al dispositivo mediante SSH. Resuelva cualquier problema, si es necesario.
d. Use el comando show ipv6 access-list para ver la ACL RESTRICTED-LAN. R1# show ipv6 access-lists RESTRICTED-LAN IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet (6 matches) sequence 20 permit ipv6 any any (45 matches) sequence 30
Observe que cada instrucción identifica el número de aciertos o coincidencias que se produjeron desde la aplicación de la ACL a la interfaz. e. Use el comando clear ipv6 access-list para restablecer los contadores de coincidencias de la ACL RESTRICTED-LAN. R1# clear ipv6 access-list RESTRICTED-LAN f.
Vuelva a mostrar la ACL con el comando show access-lists para confirmar que se hayan borrado los contadores. R1# show access-lists RESTRICTED-LAN IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any sequence 30
Parte 4. editar las ACL de IPv6 En la parte 4, editará la ACL RESTRICTED-LAN que creó en la parte 3. Antes de editar la ACL, se recomienda eliminarla de la interfaz a la que esté aplicada. Una vez que haya terminado de editarla, vuelva a aplicar la ACL a la interfaz. Nota: muchos administradores de red hacen una copia de la ACL y editan la copia. Después de terminar la edición, el administrador debe eliminar la ACL antigua y aplicar la ACL editada a la interfaz. Este método mantiene la ACL implementada hasta que esté listo para aplicar la copia editada.
Paso 1. eliminar la ACL de la interfaz. R1(config)# int g0/1 R1(config-if)# no ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end
170
170
9.5.2.7: configuración y verificación de ACL de IPv6
171
Paso 2. Use el comando show access-lists para ver la ACL. R1# show access-lists IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any (4 matches) sequence 10 permit tcp any any eq 22 (6 matches) sequence 20 IPv6 access list RESTRICTED-LAN deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (36 matches) sequence 30
Paso 3. Introduzca una nueva instrucción de ACL con número de secuencia. R1(config)# ipv6 access-list RESTRICTED-LAN R1(config-ipv6-acl)# permit tcp 2001:db8:acad:b::/64 host 2001:db8:acad:a::a eq 23 sequence 15 ¿Qué hace esta nueva instrucción permit? _______________________________________________________________________________________
Paso 4. insertar una nueva instrucción de ACL al final de la ACL. R1(config-ipv6-acl)# permit tcp any host 2001:db8:acad:a::3 eq www Nota: esta instrucción permit solo se usa para mostrar cómo agregar una instrucción al final de una ACL. Nunca habrá coincidencias con esta línea de la ACL, dado que la instrucción permit anterior coincide con todo.
Paso 5. Use el comando do show access-lists para ver el cambio en la ACL. R1(config-ipv6-acl)# do show access-list IPv6 access list RESTRICT-VTY permit tcp 2001:DB8:ACAD:A::/64 any (2 matches) sequence 10 permit tcp any any eq 22 (6 matches) sequence 20 IPv6 access list RESTRICTED-LAN permit tcp 2001:DB8:ACAD:B::/64 host 2001:DB8:ACAD:A::A eq telnet sequence 15 deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (124 matches) sequence 30 permit tcp any host 2001:DB8:ACAD:A::3 eq www sequence 40
Nota: el comando do se puede usar para ejecutar cualquier comando de EXEC privilegiado en el modo de configuración global o un submodo de este.
Paso 6. eliminar una instrucción de ACL. Utilice el comando no para eliminar la instrucción permit que acaba de agregar. R1(config-ipv6-acl)# no permit tcp any host 2001:DB8:ACAD:A::3 eq www
Paso 7. usar el comando do show access-lists RESTRICTED-LAN para ver la ACL. R1(config-ipv6-acl)# do show access-list RESTRICTED-LAN IPv6 access list RESTRICTED-LAN permit tcp 2001:DB8:ACAD:B::/64 host 2001:DB8:ACAD:A::A eq telnet sequence 15 deny tcp any 2001:DB8:ACAD:A::/64 eq telnet sequence 20 permit ipv6 any any (214 matches) sequence 30
Paso 8. volver a aplicar la ACL RESTRICTED-LAN a la interfaz G0/1. R1(config-ipv6-acl)# int g0/1 R1(config-if)# ipv6 traffic-filter RESTRICTED-LAN out R1(config-if)# end 171
171
9.5.2.7: configuración y verificación de ACL de IPv6
172
Paso 9. probar los cambios en la ACL. Desde la PC-B, acceda al S1 mediante Telnet. Resuelva cualquier problema, si es necesario.
Reflexión 1. ¿Cuál es la causa de que el conteo de coincidencias en la instrucción permit ipv6 any any en RESTRICTED-LAN siga aumentando? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Qué comando utilizaría para restablecer los contadores de la ACL en las líneas VTY? _______________________________________________________________________________________
Tabla de resumen de interfaces del router Resumen de interfaces del router Modelo de router
Interfaz Ethernet #1
Interfaz Ethernet n.º 2
Interfaz serial #1
Interfaz serial n.º 2
1800
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
1900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2801
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/1/0 (S0/1/0)
Serial 0/1/1 (S0/1/1)
2811
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de Cisco para representar la interfaz.
172
172
10.1.2.4: configuración de DHCPv4 básico en un router Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/0
192.168.0.1
255.255.255.0
N/A
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/0 (DCE)
192.168.2.253
255.255.255.252
N/A
S0/0/0
192.168.2.254
255.255.255.252
N/A
S0/0/1 (DCE)
209.165.200.226
255.255.255.224
N/A
ISP
S0/0/1
209.165.200.225
255.255.255.224
N/A
PC-A
NIC
DHCP
DHCP
DHCP
PC-B
NIC
DHCP
DHCP
DHCP
R2
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar un servidor de DHCPv4 y un agente de retransmisión DHCP
173
173
10.1.2.4: configuración de DHCPv4 básico en un router
174
Información básica/situación El protocolo de configuración dinámica de host (DHCP) es un protocolo de red que permite a los administradores de red administrar y automatizar la asignación de direcciones IP. Sin DHCP, el administrador debe asignar y configurar manualmente las direcciones IP, los servidores DNS preferidos y los gateways predeterminados. A medida que aumenta el tamaño de la red, esto se convierte en un problema administrativo cuando los dispositivos se trasladan de una red interna a otra. En esta situación, la empresa creció en tamaño, y los administradores de red ya no pueden asignar direcciones IP a los dispositivos de forma manual. Su tarea es configurar el router R2 para asignar direcciones IPv4 en dos subredes diferentes conectadas al router R1. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar DHCP. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers y switches con los parámetros básicos, como las contraseñas y las direcciones IP. Además, configurará los parámetros de IP de las computadoras en la topología.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers y los switches. Paso 3. configurar los parámetros básicos para cada router. a. Desactive la búsqueda DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos. f.
Configure las direcciones IP para todas las interfaces de los routers de acuerdo con la tabla de direccionamiento.
g. Configure la interfaz DCE serial en el R1 y el R2 con una frecuencia de reloj de 128000. 174
174
10.1.2.4: configuración de DHCPv4 básico en un router
175
h. Configure EIGRP for R1. R1(config)# router R1(config-router)# R1(config-router)# R1(config-router)# R1(config-router)# i.
eigrp 1 network 192.168.0.0 0.0.0.255 network 192.168.1.0 0.0.0.255 network 192.168.2.252 0.0.0.3 no auto-summary
Configure EIGRP y una ruta predeterminada al ISP en el R2. R2(config)# router eigrp 1 R2(config-router)# network 192.168.2.252 0.0.0.3 R2(config-router)# redistribute static R2(config-router)# exit R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.225
j.
Configure una ruta estática resumida en el ISP para llegar a las redes en los routers R1 y R2. ISP(config)# ip route 192.168.0.0 255.255.252.0 209.165.200.226
k.
Copie la configuración en ejecución en la configuración de inicio
Paso 4. verificar la conectividad de red entre los routers. Si algún ping entre los routers falla, corrija los errores antes de continuar con el siguiente paso. Use los comandos show ip route y show ip interface brief para detectar posibles problemas.
Paso 5. verificar que los equipos host estén configurados para DHCP.
Parte 2. configurar un servidor de DHCPv4 y un agente de retransmisión DHCP Para asignar automáticamente la información de dirección en la red, configure el R2 como servidor de DHCPv4 y el R1 como agente de retransmisión DHCP.
Paso 1. configurar los parámetros del servidor de DHCPv4 en el router R2. En el R2, configure un conjunto de direcciones DHCP para cada LAN del R1. Utilice el nombre de conjunto R1G0 para G0/0 LAN y R1G1 para G0/1 LAN. Asimismo, configure las direcciones que se excluirán de los conjuntos de direcciones. La práctica recomendada indica que primero se deben configurar las direcciones excluidas, a fin de garantizar que no se arrienden accidentalmente a otros dispositivos. Excluya las primeras nueve direcciones en cada LAN del R1; empiece por .1. El resto de las direcciones deben estar disponibles en el conjunto de direcciones DHCP. Asegúrese de que cada conjunto de direcciones DHCP incluya un gateway predeterminado, el dominio ccna-lab.com, un servidor DNS (209.165.200.225) y un tiempo de arrendamiento de dos días. En las líneas a continuación, escriba los comandos necesarios para configurar los servicios DHCP en el router R2, incluso las direcciones DHCP excluidas y los conjuntos de direcciones DHCP. Nota: los comandos requeridos para la parte 2 se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar DHCP en el R1 y el R2 sin consultar el apéndice. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ 175
175
10.1.2.4: configuración de DHCPv4 básico en un router
176
____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ En la PC-A o la PC-B, abra un símbolo del sistema e introduzca el comando ipconfig /all. ¿Alguno de los equipos host recibió una dirección IP del servidor de DHCP? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 2. configurar el R1 como agente de retransmisión DHCP. Configure las direcciones IP de ayuda en el R1 para que reenvíen todas las solicitudes de DHCP al servidor de DHCP en el R2. En las líneas a continuación, escriba los comandos necesarios para configurar el R1 como agente de retransmisión DHCP para las LAN del R1. _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
Paso 3. registrar la configuración IP para la PC-A y la PC-B. En la PC-A y la PC-B, emita el comando ipconfig /all para verificar que las computadoras recibieron la información de la dirección IP del servidor de DHCP en el R2. Registre la dirección IP y la dirección MAC de cada computadora. _______________________________________________________________________________________ Según el pool de DHCP que se configuró en el R2, ¿cuáles son las primeras direcciones IP disponibles que la PCA y la PC-B pueden arrendar? _______________________________________________________________________________________
Paso 4. verificar los servicios DHCP y los arrendamientos de direcciones en el R2. a. En el R2, introduzca el comando show ip dhcp binding para ver los arrendamientos de direcciones DHCP. Junto con las direcciones IP que se arrendaron, ¿qué otra información útil de identificación de cliente aparece en el resultado? __________________________________________________________________________________ b. En el R2, introduzca el comando show ip dhcp server statistics para ver la actividad de mensajes y las estadísticas del pool de DHCP. ¿Cuántos tipos de mensajes DHCP se indican en el resultado? 176
176
10.1.2.4: configuración de DHCPv4 básico en un router
177
____________________________________________________________________________________ c.
En el R2, introduzca el comando show ip dhcp pool para ver la configuración del pool de DHCP. En el resultado del comando show ip dhcp pool, ¿a qué hace referencia el índice actual (Current index)? ____________________________________________________________________________________
d. En el R2, introduzca el comando show run | section dhcp para ver la configuración DHCP en la configuración en ejecución. e. En el R2, introduzca el comando show run interface para las interfaces G0/0 y G0/1 para ver la configuración de retransmisión DHCP en la configuración en ejecución.
Reflexión ¿Cuál cree que es el beneficio de usar agentes de retransmisión DHCP en lugar de varios routers que funcionen como servidores de DHCP? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
Apéndice A: comandos de configuración de DHCP Router R1 R1(config)# interface g0/0 R1(config-if)# ip helper-address 192.168.2.254 R1(config-if)# exit R1(config-if)# interface g0/1 R1(config-if)# ip helper-address 192.168.2.254
Router R2 R2(config)# ip dhcp excluded-address 192.168.0.1 192.168.0.9 R2(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9 R2(config)# ip dhcp pool R1G1 R2(dhcp-config)# network 192.168.1.0 255.255.255.0 R2(dhcp-config)# default-router 192.168.1.1 R2(dhcp-config)# dns-server 209.165.200.225 R2(dhcp-config)# domain-name ccna-lab.com R2(dhcp-config)# lease 2 R2(dhcp-config)# exit R2(config)# ip dhcp pool R1G0 R2(dhcp-config)# network 192.168.0.0 255.255.255.0 R2(dhcp-config)# default-router 192.168.0.1 R2(dhcp-config)# dns-server 209.165.200.225 R2(dhcp-config)# domain-name ccna-lab.com R2(dhcp-config)# lease 2
177
177
10.1.2.5: configuración de DHCPv4 básico en un switch Topología
Tabla de direccionamiento Dispositivo R1
S1
Interfaz
Dirección IP
Máscara de subred
G0/1
192.168.1.10
255.255.255.0
Lo0
209.165.200.225
255.255.255.224
VLAN 1
192.168.1.1
255.255.255.0
VLAN 2
192.168.2.1
255.255.255.0
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: cambiar la preferencia de SDM •
Establecer la preferencia de SDM en lanbase-routing en el S1.
Parte 3: configurar DHCPv4 •
Configurar DHCPv4 para la VLAN 1.
•
Verificar la conectividad y DHCPv4.
Parte 4: configurar DHCP para varias VLAN •
Asignar puertos a la VLAN 2.
•
Configurar DHCPv4 para la VLAN 2.
•
Verificar la conectividad y DHCPv4.
Parte 5: habilitar el routing IP
178
•
Habilite el routing IP en el switch.
•
Crear rutas estáticas. 178
10.1.2.5: configuración de DHCPv4 básico en un switch
179
Información básica/situación Un switch Cisco 2960 puede funcionar como un servidor de DHCPv4. El servidor de DHCPv4 de Cisco asigna y administra direcciones IPv4 de conjuntos de direcciones identificados que están asociados a VLAN específicas e interfaces virtuales de switch (SVI). El switch Cisco 2960 también puede funcionar como un dispositivo de capa 3 y hacer routing entre VLAN y una cantidad limitada de rutas estáticas. En esta práctica de laboratorio, configurará DHCPv4 para VLAN únicas y múltiples en un switch Cisco 2960, habilitará el routing en el switch para permitir la comunicación entre las VLAN y agregará rutas estáticas para permitir la comunicación entre todos los hosts. Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que efectivamente se necesitan para configurar DHCP. Sin embargo, los comandos requeridos se proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el apéndice. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos Paso 1: realizar el cableado de red tal como se muestra en la topología. Paso 2: inicializar y volver a cargar los routers y switches. Paso 3. configurar los parámetros básicos en los dispositivos. a. Asigne los nombres de dispositivos como se muestra en la topología. b. Desactive la búsqueda del DNS. c.
Asigne class como la contraseña de enable y asigne cisco como la contraseña de consola y la contraseña de vty.
d. Configure las direcciones IP en las interfaces G0/1 y Lo0 del R1, según la tabla de direccionamiento. e. Configure las direcciones IP en las interfaces VLAN 1 y VLAN 2 del S1, según la tabla de direccionamiento. f.
Guarde la configuración en ejecución en el archivo de configuración de inicio.
Parte 2. cambiar la preferencia de SDM Switch Database Manager (SDM) de Cisco proporciona varias plantillas para el switch Cisco 2960. Las plantillas pueden habilitarse para admitir funciones específicas según el modo en que se utilice el switch en la red. En esta práctica de laboratorio, la plantilla lanbase-routing está habilitada para permitir que el switch realice el routing entre VLAN y admita el routing estático.
179
179
10.1.2.5: configuración de DHCPv4 básico en un switch
180
Paso 1. mostrar la preferencia de SDM en el S1. En el S1, emita el comando show sdm prefer en modo EXEC privilegiado. Si no se cambió la plantilla predeterminada de fábrica, debería seguir siendo default. La plantilla default no admite routing estático. Si se habilitó el direccionamiento IPv6, la plantilla será dual-ipv4-and-ipv6 default. S1# show sdm prefer The current template is "default" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number number number number
of of of of
unicast mac addresses: IPv4 IGMP groups: IPv4/MAC qos aces: IPv4/MAC security aces:
8K 0.25K 0.125k 0.375k
¿Cuál es la plantilla actual? _______________________________________________________________________________________
Paso 2. cambiar la preferencia de SDM en el S1. a. Establezca la preferencia de SDM en lanbase-routing. (Si lanbase-routing es la plantilla actual, continúe con la parte 3). En el modo de configuración global, emita el comando sdm prefer lanbase-routing. S1(config)# sdm prefer lanbase-routing Changes to the running SDM preferences have been stored, but cannot take effect until the next reload. Use 'show sdm prefer' to see what SDM preference is currently active.
¿Qué plantilla estará disponible después de la recarga? __________________________________ b. Se debe volver a cargar el switch para que la plantilla esté habilitada. S1# reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm]
Nota: la nueva plantilla se utilizará después del reinicio, incluso si no se guardó la configuración en ejecución. Para guardar la configuración en ejecución, responda yes (sí) para guardar la configuración modificada del sistema.
Paso 3. verificar que la plantilla lanbase-routing esté cargada. Emita el comando show sdm prefer para verificar si la plantilla lanbase-routing se cargó en el S1. S1# show sdm prefer The current template is "lanbase-routing" template. The selected template optimizes the resources in the switch to support this level of features for 0 routed interfaces and 255 VLANs. number of unicast mac addresses: number of IPv4 IGMP groups + multicast routes: number of IPv4 unicast routes: number of directly-connected IPv4 hosts: number of indirect IPv4 routes: number of IPv6 multicast groups: number of directly-connected IPv6 addresses: 180
4K 0.25K 0.75K 0.75K 16 0.375k 0.75K 180
10.1.2.5: configuración de DHCPv4 básico en un switch number of indirect IPv6 unicast routes: number of IPv4 policy based routing aces: number of IPv4/MAC qos aces: number of IPv4/MAC security aces: number of IPv6 policy based routing aces: number of IPv6 qos aces: number of IPv6 security aces:
181 16 0 0.125k 0.375k 0 0.375k 127
Parte 3. configurar DHCPv4 En la parte 3, configurará DHCPv4 para la VLAN 1, revisará las configuraciones IP en los equipos host para validar la funcionalidad de DHCP y verificará la conectividad de todos los dispositivos en la VLAN 1.
Paso 1. configurar DHCP para la VLAN 1. a. Excluya las primeras 10 direcciones host válidas de la red 192.168.1.0/24. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ b. Cree un pool de DHCP con el nombre DHCP1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ c.
Asigne la red 192.168.1.0/24 para las direcciones disponibles. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________
d. Asigne el gateway predeterminado como 192.168.1.1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ e. Asigne el servidor DNS como 192.168.1.9. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ f.
Asigne un tiempo de arrendamiento de tres días. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________
g. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Paso 2. verificar la conectividad y DHCP. a. En la PC-A y la PC-B, abra el símbolo del sistema y emita el comando ipconfig. Si la información de IP no está presente, o si está incompleta, emita el comando ipconfig /release, seguido del comando ipconfig /renew. Para la PC-A, incluya lo siguiente: Dirección IP: ________________________________________ Máscara de subred: ___________________________________ Gateway predeterminado: ______________________________ Para la PC-B, incluya lo siguiente: Dirección IP: ________________________________________ Máscara de subred: ___________________________________ Gateway predeterminado: ______________________________ b. Pruebe la conectividad haciendo ping de la PC-A al gateway predeterminado, la PC-B y el R1. ¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 1? __________ ¿Es posible hacer ping de la PC-A a la PC-B? __________ 181
181
10.1.2.5: configuración de DHCPv4 básico en un switch
182
¿Es posible hacer ping de la PC-A a la interfaz G0/1 del R1? __________ Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija el error.
Parte 4. configurar DHCPv4 para varias VLAN En la parte 4, asignará la PC-A un puerto que accede a la VLAN 2, configurará DHCPv4 para la VLAN 2, renovará la configuración IP de la PC-A para validar DHCPv4 y verificará la conectividad dentro de la VLAN.
Paso 1. asignar un puerto a la VLAN 2. Coloque el puerto F0/6 en la VLAN 2. En el espacio proporcionado, escriba el comando que utilizó. _______________________________________________________________________________________ _______________________________________________________________________________________
Paso 2. configurar DHCPv4 para la VLAN 2. a. Excluya las primeras 10 direcciones host válidas de la red 192.168.2.0. En el espacio proporcionado, escriba el comando que utilizó. ___________________________________________________________________________________ b. Cree un pool de DHCP con el nombre DHCP2. En el espacio proporcionado, escriba el comando que utilizó. ___________________________________________________________________________________ c.
Asigne la red 192.168.2.0/24 para las direcciones disponibles. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________
d. Asigne el gateway predeterminado como 192.168.2.1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ e. Asigne el servidor DNS como 192.168.2.9. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ f.
Asigne un tiempo de arrendamiento de tres días. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________
g. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Paso 3. verificar la conectividad y DHCPv4. a. En la PC-A, abra el símbolo del sistema y emita el comando ipconfig /release, seguido del comando ipconfig /renew. Para la PC-A, incluya lo siguiente: Dirección IP: ________________________________________ Máscara de subred: ___________________________________ Gateway predeterminado: ______________________________ b. Pruebe la conectividad haciendo ping de la PC-A al gateway predeterminado de la VLAN 2 y a la PC-B. ¿Es posible hacer ping de la PC-A al gateway predeterminado? __________ ¿Es posible hacer ping de la PC-A a la PC-B? __________ ¿Los pings eran correctos? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________ 182
182
10.1.2.5: configuración de DHCPv4 básico en un switch c.
183
Emita el comando show ip route en el S1. ¿Qué resultado arrojó este comando? ____________________________________________________________________________________ ____________________________________________________________________________________
Parte 5. habilitar el routing IP En la parte 5, habilitará el routing IP en el switch, que permitirá la comunicación entre VLAN. Para que todas las redes se comuniquen, se deben implementar rutas estáticas en el S1 y el R1.
Paso 1. habilitar el routing IP en el S1. a. En el modo de configuración global, utilice el comando ip routing para habilitar el routing en el S1. S1(config)# ip routing b. Verificar la conectividad entre las VLAN. ¿Es posible hacer ping de la PC-A a la PC-B? __________ ¿Qué función realiza el switch? ____________________________________________________________________________________ c.
Vea la información de la tabla de routing para el S1. ¿Qué información de la ruta está incluida en el resultado de este comando? ____________________________________________________________________________________ ____________________________________________________________________________________
d. Vea la información de la tabla de routing para el R1. ¿Qué información de la ruta está incluida en el resultado de este comando? ____________________________________________________________________________________ ____________________________________________________________________________________ e. ¿Es posible hacer ping de la PC-A al R1? __________ ¿Es posible hacer ping de la PC-A a la interfaz Lo0? __________ Considere la tabla de routing de los dos dispositivos, ¿qué se debe agregar para que haya comunicación entre todas las redes? ____________________________________________________________________________________
Paso 2. asignar rutas estáticas. Habilitar el routing IP permite que el switch enrute entre VLAN asignadas en el switch. Para que todas las VLAN se comuniquen con el router, es necesario agregar rutas estáticas a la tabla de routing del switch y del router. a. En el S1, cree una ruta estática predeterminada al R1. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ b. En el R1, cree una ruta estática a la VLAN 2. En el espacio proporcionado, escriba el comando que utilizó. ____________________________________________________________________________________ c.
Vea la información de la tabla de routing para el S1. ¿Cómo está representada la ruta estática predeterminada? ____________________________________________________________________________________
d. Vea la información de la tabla de routing para el R1. 183
183
10.1.2.5: configuración de DHCPv4 básico en un switch
184
¿Cómo está representada la ruta estática? ____________________________________________________________________________________ e. ¿Es posible hacer ping de la PC-A al R1? __________ ¿Es posible hacer ping de la PC-A a la interfaz Lo0? __________
Reflexión 1. Al configurar DHCPv4, ¿por qué excluiría las direcciones estáticas antes de configurar el pool de DHCPv4? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. Si hay varios pools de DHCPv4 presentes, ¿cómo asigna el switch la información de IP a los hosts? _______________________________________________________________________________________ _______________________________________________________________________________________ 3. Además del switching, ¿qué funciones puede llevar a cabo el switch Cisco 2960? _______________________________________________________________________________________ _______________________________________________________________________________________
Apéndice A: comandos de configuración Configurar DHCPv4 S1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10 S1(config)# ip dhcp pool DHCP1 S1(dhcp-config)# network 192.168.1.0 255.255.255.0 S1(dhcp-config)# default-router 192.168.1.1 S1(dhcp-config)# dns-server 192.168.1.9 S1(dhcp-config)# lease 3
Configurar DHCPv4 para varias VLAN S1(config)# interface f0/6 S1(config-if)# switchport access vlan 2 S1(config)# ip dhcp excluded-address 192.168.2.1 192.168.2.10 S1(config)# ip dhcp pool DHCP2 S1(dhcp-config)# network 192.168.2.0 255.255.255.0 S1(dhcp-config)# default-router 192.168.2.1 S1(dhcp-config)# dns-server 192.168.2.9 S1(dhcp-config)# lease 3
Habilitar routing IP S1(config)# ip routing S1(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.10 R1(config)# ip route 192.168.2.0 255.255.255.0 g0/1
184
184
10.1.4.4: resolución de problemas de DHCPv4 Topología
Tabla de direccionamiento Dispositivo R1
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/0
192.168.0.1
255.255.255.128
N/A
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/0 (DCE)
192.168.0.253
255.255.255.252
N/A
S0/0/0
192.168.0.254
255.255.255.252
N/A
S0/0/1 (DCE)
209.165.200.226
255.255.255.252
N/A
ISP
S0/0/1
209.165.200.225
255.255.255.252
N/A
S1
VLAN 1
192.168.1.2
255.255.255.0
192.168.1.1
S2
VLAN 1
192.168.0.2
255.255.255.128
192.168.0.1
PC-A
NIC
DHCP
DHCP
DHCP
PC-B
NIC
DHCP
DHCP
DHCP
R2
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de DHCPv4 185
185
10.1.4.4: resolución de problemas de DHCPv4
186
Información básica/situación El protocolo de configuración dinámica de host (DHCP) es un protocolo de red que permite que los administradores de red administren y automaticen la asignación de direcciones IP. Sin DHCP, el administrador debe asignar y configurar manualmente las direcciones IP, los servidores DNS preferidos y el gateway predeterminado. A medida que aumenta el tamaño de la red, esto se convierte en un problema administrativo cuando los dispositivos se trasladan de una red interna a otra. En esta situación, la empresa creció en tamaño, y los administradores de red ya no pueden asignar direcciones IP a los dispositivos de forma manual. El router R2 se configuró como servidor de DHCP para asignar direcciones IP a los dispositivos host en las LAN del R1. Varios errores en la configuración han resultado en problemas de conectividad. Se le solicita solucionar los problemas, corregir los errores de configuración y documentar su trabajo. Asegúrese de que la red admita lo siguiente: 1) El router R2 debe funcionar como servidor de DHCP para las redes 192.168.0.0/25 y 192.168.1.0/24 conectadas al R1. 2) Todas las computadoras conectadas al S1 y al S2 deben recibir una dirección IP en la red correcta mediante DHCP. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers y switches con los parámetros básicos, como las contraseñas y las direcciones IP. Además, configurará los parámetros de IP de las computadoras en la topología.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar los routers y los switches. Paso 3. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y la contraseña de vty. e. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos. 186
186
10.1.4.4: resolución de problemas de DHCPv4 f.
187
Configure las direcciones IP para todas las interfaces del router.
g. Establezca la frecuencia de reloj en 128000 para todas las interfaces DCE del router. h. Configure EIGRP para el R1. R1(config)# router R1(config-router)# R1(config-router)# R1(config-router)# R1(config-router)# i.
eigrp 1 network 192.168.0.0 0.0.0.127 network 192.168.0.252 0.0.0.3 network 192.168.1.0 no auto-summary
Configure EIGRP y una ruta estática predeterminada en el R2. R2(config)# router eigrp 1 R2(config-router)# network 192.168.0.252 0.0.0.3 R2(config-router)# redistribute static R2(config-router)# exit R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.225
j.
Configure una ruta estática resumida en el ISP a las redes de los routers R1 y R2. ISP(config)# ip route 192.168.0.0 255.255.254.0 209.165.200.226
Paso 4. verificar la conectividad de red entre los routers. Si algún ping entre los routers falla, corrija los errores antes de continuar con el siguiente paso. Use los comandos show ip route y show ip interface brief para detectar posibles problemas.
Paso 5. configurar los parámetros básicos para cada switch. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Configure la dirección IP de la interfaz VLAN 1 y el gateway predeterminado para cada switch.
d. Asigne class como la contraseña del modo EXEC privilegiado. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.
Configure logging synchronous para la línea de consola.
Paso 6. verificar que los hosts estén configurados para DHCP. Paso 7. cargar la configuración de DHCP inicial para el R1 y el R2. Router R1 interface GigabitEthernet0/1 ip helper-address 192.168.0.253 Router R2 ip dhcp excluded-address 192.168.11.1 192.168.11.9 ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp pool R1G1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 ip dhcp pool R1G0 network 192.168.0.0 255.255.255.128 default-router 192.168.11.1
187
187
10.1.4.4: resolución de problemas de DHCPv4
188
Parte 2. resolución de problemas de DHCPv4 Una vez que se configuraron los routers R1 y R2 con los parámetros de DHCPv4, se presentaron varios errores en las configuraciones DHCP, lo que produjo problemas de conectividad. El R2 se configuró como servidor de DHCP. Para ambos pools de direcciones de DHCP, las primeras nueve direcciones se reservan para los routers y los switches. El R1 transmite la información de DHCP a todas las LAN del R1. Actualmente, la PC-A y la PC-B no tienen acceso a la red. Use los comandos show y debug para determinar y corregir los problemas de conectividad de red.
Paso 1. registrar la configuración IP para la PC-A y la PC-B. a. En el símbolo del sistema, introduzca el comando ipconfig /all para mostrar las direcciones IP y MAC de la PC-A y la PC-B. b. Registre las direcciones IP y MAC en la siguiente tabla. La dirección MAC se puede usar para determinar qué computadora interviene en el mensaje de depuración. Dirección IP/máscara de subred
Dirección MAC
PC-A
PC-B
Paso 2. resolver los problemas de DHCP para la red 192.168.1.0/24 en el router R1. El router R1 es un agente de retransmisión DHCP para todas las LAN del R1. En este paso, solo se examinará el proceso de DHCP para la red 192.168.1.0/24. Las primeras nueve direcciones se reservan para otros dispositivos de red, como routers, switches y servidores. a. Use un comando debug de DHCP para observar el proceso de DHCP en el router R2. R2# debug ip dhcp server events b. En el R1, muestre la configuración en ejecución para la interfaz G0/1. R1# show run interface g0/1 interface GigabitEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.0.253 duplex auto speed auto Si hay problemas de retransmisión DHCP, registre todos los comandos que se necesiten para corregir los errores de configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ c.
En el símbolo del sistema de la PC-A, escriba ipconfig /renew para recibir una dirección del servidor de DHCP. Registre la dirección IP, la máscara de subred y el gateway predeterminado configurados para la PCA. ____________________________________________________________________________________
d. Observe los mensajes de depuración en el router R2 para el proceso de renovación de DHCP de la PC-A. El servidor de DHCP intentó asignar la dirección 192.168.1.1/24 a la PC-A. Esta dirección ya está en uso para la interfaz G0/1 en el R1. El mismo problema se produce con la dirección IP 192.168.1.2/24, debido a que esta 188
188
10.1.4.4: resolución de problemas de DHCPv4
189
dirección se asignó al S1 en la configuración inicial. Por lo tanto, la dirección IP 192.168.1.3/24 se asignó a la PC-A. El conflicto de asignación de DHCP indica que puede existir un problema con la instrucción de dirección excluida en la configuración del servidor de DHCP en el R2. *Mar 5 06:32:16.939: DHCPD: Sending notification of DISCOVER: *Mar 5 06:32:16.939: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.939: DHCPD: circuit id 00000000 *Mar 5 06:32:16.939: DHCPD: Seeing if there is an internally specified pool class: *Mar 5 06:32:16.939: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.939: DHCPD: circuit id 00000000 *Mar 5 06:32:16.943: DHCPD: Allocated binding 2944C764 *Mar 5 06:32:16.943: DHCPD: Adding binding to radix tree (192.168.1.1) *Mar 5 06:32:16.943: DHCPD: Adding binding to hash tree *Mar 5 06:32:16.943: DHCPD: assigned IP address 192.168.1.1 to client 0100.5056.be76.8c. *Mar 5 06:32:16.951: %DHCPD-4-PING_CONFLICT: DHCP address conflict: server pinged 192.168.1.1. *Mar 5 06:32:16.951: DHCPD: returned 192.168.1.1 to address pool R1G1. *Mar 5 06:32:16.951: DHCPD: Sending notification of DISCOVER: *Mar 5 06:32:16.951: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.951: DHCPD: circuit id 00000000 *Mar 5 06:32:1 R2#6.951: DHCPD: Seeing if there is an internally specified pool class: *Mar 5 06:32:16.951: DHCPD: htype 1 chaddr 0050.56be.768c *Mar 5 06:32:16.951: DHCPD: circuit id 00000000 *Mar 5 06:32:16.951: DHCPD: Allocated binding 31DC93C8 *Mar 5 06:32:16.951: DHCPD: Adding binding to radix tree (192.168.1.2) *Mar 5 06:32:16.951: DHCPD: Adding binding to hash tree *Mar 5 06:32:16.951: DHCPD: assigned IP address 192.168.1.2 to client 0100.5056.be76.8c. *Mar 5 06:32:18.383: %DHCPD-4-PING_CONFLICT: DHCP address conflict: server pinged 192.168.1.2. *Mar 5 06:32:18.383: DHCPD: returned 192.168.1.2 to address pool R1G1. *Mar 5 06:32:18.383: DHCPD: Sending notification of DISCOVER: *Mar 5 06:32:18.383: DHCPD: htype 1 chaddr 0050.56be.6c89 *Mar 5 06:32:18.383: DHCPD: circuit id 00000000 *Mar 5 06:32:18.383: DHCPD: Seeing if there is an internally specified pool class: *Mar 5 06:32:18.383: DHCPD: htype 1 chaddr 0050.56be.6c89 *Mar 5 06:32:18.383: DHCPD: circuit id 00000000 *Mar 5 06:32:18.383: DHCPD: Allocated binding 2A40E074 *Mar 5 06:32:18.383: DHCPD: Adding binding to radix tree (192.168.1.3) *Mar 5 06:32:18.383: DHCPD: Adding binding to hash tree *Mar 5 06:32:18.383: DHCPD: assigned IP address 192.168.1.3 to client 0100.5056.be76.8c. <Output Omitted>
e. Muestre la configuración del servidor de DHCP en el R2. Las primeras nueve direcciones para la red 192.168.1.0/24 no se excluyeron del pool de DHCP. R2# show run | section dhcp ip dhcp excluded-address 192.168.11.1 192.168.11.9 ip dhcp excluded-address 192.168.0.1 192.168.0.9 ip dhcp pool R1G1 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 ip dhcp pool R1G0 network 192.168.0.0 255.255.255.128 default-router 192.168.1.1 189
189
10.1.4.4: resolución de problemas de DHCPv4
190
Registre los comandos usados para corregir el error en el R2. ____________________________________________________________________________________ ____________________________________________________________________________________ f.
En el símbolo del sistema de la PC-A, escriba ipconfig /release para devolver la dirección 192.168.1.3 al pool de DHCP. El proceso se puede observar en el mensaje de depuración en el R2. *Mar *Mar *Mar *Mar *Mar *Mar
5 5 5 5 5 5
06:49:59.563: DHCPD: Sending notification of TERMINATION: 06:49:59.563: DHCPD: address 192.168.1.3 mask 255.255.255.0 06:49:59.563: DHCPD: reason flags: RELEASE 06:49:59.563: DHCPD: htype 1 chaddr 0050.56be.768c 06:49:59.563: DHCPD: lease time remaining (secs) = 85340 06:49:59.563: DHCPD: returned 192.168.1.3 to address pool R1G1.
g. En el símbolo del sistema de la PC-A, escriba ipconfig /renew para que se asigne una nueva dirección IP del servidor de DHCP. Registre la dirección IP asignada y la información del gateway predeterminado. ____________________________________________________________________________________ El proceso se puede observar en el mensaje de depuración en el R2. *Mar 5 *Mar 5 *Mar 5 *Mar 5 *Mar 5 *Mar 5 *Mar 5 *Mar 5 *Mar 5 *Mar 5 *Mar 5 <Output
06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: 06:50:11.863: Omitted>
DHCPD: Sending notification of DISCOVER: DHCPD: htype 1 chaddr 0050.56be.768c DHCPD: circuit id 00000000 DHCPD: Seeing if there is an internally specified pool class: DHCPD: htype 1 chaddr 0050.56be.768c DHCPD: circuit id 00000000 DHCPD: requested address 192.168.1.3 has already been assigned. DHCPD: Allocated binding 3003018C DHCPD: Adding binding to radix tree (192.168.1.10) DHCPD: Adding binding to hash tree DHCPD: assigned IP address 192.168.1.10 to client 0100.5056.be76.8c.
h. Verificar la conectividad de la red ¿Se puede hacer ping de la PC-A al gateway predeterminado asignado? ___________ ¿Se puede hacer ping de la PC-A al router R2? ___________ ¿Se puede hacer ping de la PC-A al router ISP? ___________
Paso 3. resolver los problemas de DHCP de la red 192.168.0.0/25 en el R1. El router R1 es un agente de retransmisión DHCP para todas las LAN del R1. En este paso, solo se examina el proceso de DHCP para la red 192.168.0.0/25. Las primeras nueve direcciones se reservan para otros dispositivos de red. a. Use un comando debug de DHCP para observar el proceso de DHCP en el R2. R2# debug ip dhcp server events b. Muestre la configuración en ejecución para la interfaz G0/0 en el R1 a fin de identificar posibles problemas de DHCP. R1# show run interface g0/0 interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.128 duplex auto speed auto Registre los problemas y todos los comandos que se necesiten para corregir los errores de configuración. ____________________________________________________________________________________ 190
190
10.1.4.4: resolución de problemas de DHCPv4
191
____________________________________________________________________________________ ____________________________________________________________________________________ c.
En el símbolo del sistema de la PC-B, escriba ipconfig /renew para recibir una dirección del servidor de DHCP. Registre la dirección IP, la máscara de subred y el gateway predeterminado configurados para la PCB. ____________________________________________________________________________________
d. Observe los mensajes de depuración en el router R2 para ver el proceso de renovación de la PC-A. El servidor de DHCP asignó la dirección 192.168.0.10/25 a la PC-B. *Mar *Mar *Mar *Mar *Mar *Mar *Mar *Mar *Mar *Mar
5 5 5 5 5 5 5 5 5 5
07:15:09.663: DHCPD: Sending notification of DISCOVER: 07:15:09.663: DHCPD: htype 1 chaddr 0050.56be.f6db 07:15:09.663: DHCPD: circuit id 00000000 07:15:09.663: DHCPD: Seeing if there is an internally specified pool class: 07:15:09.663: DHCPD: htype 1 chaddr 0050.56be.f6db 07:15:09.663: DHCPD: circuit id 00000000 07:15:09.707: DHCPD: Sending notification of ASSIGNMENT: 07:15:09.707: DHCPD: address 192.168.0.10 mask 255.255.255.128 07:15:09.707: DHCPD: htype 1 chaddr 0050.56be.f6db 07:15:09.707: DHCPD: lease time remaining (secs) = 86400
e. Verificar la conectividad de la red ¿Se puede hacer ping de la PC-B al gateway predeterminado asignado por DHCP? ___________ ¿Se puede hacer ping de la PC-B a su gateway predeterminado (192.168.0.1)? ___________ ¿Se puede hacer ping de la PC-B al router R2? ___________ ¿Se puede hacer ping de la PC-B al router ISP? ___________ f.
Si falló algún problema en el paso e, registre los problemas y todos los comandos necesarios para resolverlos. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
g. Libere y renueve las configuraciones IP en la PC-B. Repita el paso e para verificar la conectividad de red. h. Interrumpa el proceso de depuración con el comando undebug all. R2# undebug all Se ha desactivado toda depuración posible
Reflexión ¿Cuáles son los beneficios de utilizar DHCP? _______________________________________________________________________________________ _______________________________________________________________________________________
191
191
10.2.3.5: configuración de DHCPv6 sin estado y con estado Topología
Tabla de direccionamiento Dispositivo
Interfaz
Dirección IPv6
Longitud de prefijo
Gateway predeterminado
R1
G0/1
2001:DB8:ACAD:A::1
64
No aplicable
S1
VLAN 1
Asignada mediante SLAAC
64
Asignada mediante SLAAC
PC-A
NIC
Asignada mediante SLAAC y DHCPv6
64
Asignado por el R1
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: configurar la red para SLAAC Parte 3: configurar la red para DHCPv6 sin estado Parte 4: configurar la red para DHCPv6 con estado
Información básica/situación La asignación dinámica de direcciones IPv6 de unidifusión global se puede configurar de tres maneras: •
Solo mediante configuración automática de dirección sin estado (SLAAC)
•
Mediante el protocolo de configuración dinámica de host sin estado para IPv6 (DHCPv6)
•
Mediante DHCPv6 con estado
Con SLAAC (se pronuncia “slac”), no se necesita un servidor de DHCPv6 para que los hosts adquieran direcciones IPv6. Se puede usar para recibir información adicional que necesita el host, como el nombre de dominio y la dirección del servidor de nombres de dominio (DNS). El uso de SLAAC para asignar direcciones host IPv6 y de DHCPv6 para asignar otros parámetros de red se denomina “DHCPv6 sin estado”. Con DHCPv6 con estado, el servidor de DHCP asigna toda la información, incluida la dirección host IPv6. La determinación de cómo los hosts obtienen la información de direccionamiento dinámico IPv6 depende de la configuración de indicadores incluida en los mensajes de anuncio de router (RA). En esta práctica de laboratorio, primero configurará la red para que utilice SLAAC. Una vez que verificó la conectividad, configurará los parámetros de DHCPv6 y modificará la red para que utilice DHCPv6 sin estado. Una vez que verificó que DHCPv6 sin estado funcione correctamente, modificará la configuración del R1 para que utilice DHCPv6 con estado. Se usará Wireshark en la PC-A para verificar las tres configuraciones dinámicas de red. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. 192
192
10.2.3.5: configuración de DHCPv6 sin estado y con estado
193
Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota: la plantilla default bias que utiliza el Switch Database Manager (SDM) no proporciona capacidades de dirección IPv6. Verifique que se utilice la plantilla dual-ipv4-and-ipv6 o la plantilla lanbase-routing en SDM. La nueva plantilla se utilizará después de reiniciar, aunque no se guarde la configuración. S1# show sdm prefer Siga estos pasos para asignar la plantilla dual-ipv4-and-ipv6 como la plantilla de SDM predeterminada: S1# config t S1(config)# sdm prefer dual-ipv4-and-ipv6 default S1(config)# end S1# reload
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
1 computadora (Windows 7 o Vista con Wireshark y un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Nota: los servicios de cliente DHCPv6 están deshabilitados en Windows XP. Se recomienda usar un host con Windows 7 para esta práctica de laboratorio.
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los parámetros básicos de configuración, como los nombres de dispositivos, las contraseñas y las direcciones IP de interfaz.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch según sea necesario. Paso 3. Configurar R1 a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo. c.
Cifre las contraseñas de texto no cifrado.
d. Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado. e. Asigne class como la contraseña cifrada del modo EXEC privilegiado. f.
Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión.
g. Establezca el inicio de sesión de consola en modo sincrónico. h. Guardar la configuración en ejecución en la configuración de inicio.
Paso 4. configurar el S1. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo. c. 193
Cifre las contraseñas de texto no cifrado. 193
10.2.3.5: configuración de DHCPv6 sin estado y con estado
194
d. Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado. e. Asigne class como la contraseña cifrada del modo EXEC privilegiado. f.
Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión.
g. Establezca el inicio de sesión de consola en modo sincrónico. h. Desactive administrativamente todas las interfaces inactivas. i.
Guarde la configuración en ejecución en la configuración de inicio.
Parte 2. configurar la red para SLAAC Paso 1. preparar la PC-A. a. Verifique que se haya habilitado el protocolo IPv6 en la ventana Propiedades de conexión de área local. Si la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) no está marcada, haga clic para activarla.
b. Inicie una captura del tráfico en la NIC con Wireshark. c.
Filtre la captura de datos para ver solo los mensajes RA. Esto se puede realizar mediante el filtrado de paquetes IPv6 con una dirección de destino FF02::1, que es la dirección de solo unidifusión del grupo de clientes. La entrada de filtro que se usa con Wireshark es ipv6.dst==ff02::1, como se muestra aquí.
Paso 2. Configurar R1 a. Habilite el routing de unidifusión IPv6. b. Asigne la dirección IPv6 de unidifusión a la interfaz G0/1 según la tabla de direccionamiento. c.
Asigne FE80::1 como la dirección IPv6 link-local para la interfaz G0/1.
d. Active la interfaz G0/1. 194
194
10.2.3.5: configuración de DHCPv6 sin estado y con estado
195
Paso 3. verificar que el R1 forme parte del grupo de multidifusión de todos los routers. Use el comando show ipv6 interface g0/1 para verificar que G0/1 forme parte del grupo de multidifusión de todos los routers (FF02::2). Los mensajes RA no se envían por G0/1 sin esa asignación de grupo. R1# show ipv6 interface g0/1 GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses.
Paso 4. configurar el S1. Use el comando ipv6 address autoconfig en la VLAN 1 para obtener una dirección IPv6 a través de SLAAC. S1(config)# interface vlan 1 S1(config-if)# ipv6 address autoconfig S1(config-if)# end
Paso 5. verificar que SLAAC haya proporcionado una dirección de unidifusión al S1. Use el comando show ipv6 interface para verificar que SLAAC haya proporcionado una dirección de unidifusión a la VLAN1 en el S1. S1# show ipv6 interface Vlan1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::ED9:96FF:FEE8:8A40 No Virtual link-local address(es): Stateless address autoconfig enabled Global unicast address(es): 2001:DB8:ACAD:A:ED9:96FF:FEE8:8A40, subnet is 2001:DB8:ACAD:A::/64 [EUI/CAL/PRE] valid lifetime 2591988 preferred lifetime 604788 Joined group address(es): FF02::1 FF02::1:FFE8:8A40 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent Output features: Check hwidb 195
195
10.2.3.5: configuración de DHCPv6 sin estado y con estado
196
ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND NS retransmit interval is 1000 milliseconds Default router is FE80::1 on Vlan1
Paso 6. verificar que SLAAC haya proporcionado información de dirección IPv6 en la PC-A. a. En el símbolo del sistema de la PC-A, emita el comando ipconfig /all. Verifique que la PC-A muestre una dirección IPv6 con el prefijo 2001:db8:acad:a::/64. El gateway predeterminado debe tener la dirección FE80::1.
b. En Wireshark, observe uno de los mensajes RA que se capturaron. Expanda la capa Internet Control Message Protocol v6 (Protocolo de mensajes de control de Internet v6) para ver la información de Flags (Indicadores) y Prefix (Prefijo). Los primeros dos indicadores controlan el uso de DHCPv6 y no se establecen si no se configura DHCPv6. La información del prefijo también está incluida en este mensaje RA.
Parte 3. configurar la red para DHCPv6 sin estado Paso 1. configurar un servidor de DHCP IPv6 en el R1. a. Cree un pool de DHCP IPv6. R1(config)# ipv6 dhcp pool IPV6POOL-A 196
196
10.2.3.5: configuración de DHCPv6 sin estado y con estado
197
b. Asigne un nombre de dominio al pool. R1(config-dhcpv6)# domain-name ccna-statelessDHCPv6.com c.
Asigne una dirección de servidor DNS. R1(config-dhcpv6)# dns-server 2001:db8:acad:a::abcd R1(config-dhcpv6)# exit
d. Asigne el pool de DHCPv6 a la interfaz. R1(config)# interface g0/1 R1(config-if)# ipv6 dhcp server IPV6POOL-A e. Establezca la detección de redes (ND) DHCPv6 other-config-flag. R1(config-if)# ipv6 nd other-config-flag R1(config-if)# end
Paso 2. verificar la configuración de DHCPv6 en la interfaz G0/1 del R1. Use el comando show ipv6 interface g0/1 para verificar que la interfaz ahora forme parte del grupo IPv6 de multidifusión de todos los servidores de DHCPv6 (FF02::1:2). La última línea del resultado de este comando show verifica que se haya establecido other-config-flag. R1# show ipv6 interface g0/1 GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:2 FF02::1:FF00:1 FF05::1:3 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses. Hosts use DHCP to obtain other configuration.
Paso 3. ver los cambios realizados en la red en la PC-A. Use el comando ipconfig /all para revisar los cambios realizados en la red. Observe que se recuperó información adicional, como la información del nombre de dominio y del servidor DNS, del servidor de DHCPv6. Sin embargo, las direcciones IPv6 de unidifusión global y link-local se obtuvieron previamente mediante SLAAC.
197
197
10.2.3.5: configuración de DHCPv6 sin estado y con estado
198
Paso 4. ver los mensajes RA en Wireshark. Desplácese hasta el último mensaje RA que se muestra en Wireshark y expándalo para ver la configuración de indicadores ICMPv6. Observe que el indicador Other configuration (Otra configuración) está establecido en 1.
Paso 5. verificar que la PC-A no haya obtenido su dirección IPv6 de un servidor de DHCPv6. Use los comandos show ipv6 dhcp binding y show ipv6 dhcp pool para verificar que la PC-A no haya obtenido una dirección IPv6 del pool de DHCPv6. R1# show ipv6 dhcp binding R1# show ipv6 dhcp pool DHCPv6 pool: IPV6POOL-A DNS server: 2001:DB8:ACAD:A::ABCD Domain name: ccna-statelessDHCPv6.com Active clients: 0
Paso 6. restablecer la configuración de red IPv6 de la PC-A. a. Desactive la interfaz F0/6 del S1.
198
198
10.2.3.5: configuración de DHCPv6 sin estado y con estado
199
Nota: la desactivación de la interfaz F0/6 evita que la PC-A reciba una nueva dirección IPv6 antes de que usted vuelva a configurar el R1 para DHCPv6 con estado en la parte 4. S1(config)# interface f0/6 S1(config-if)# shutdown b. Detenga la captura de tráfico con Wireshark en la NIC de la PC-A. c.
Restablezca la configuración de IPv6 en la PC-A para eliminar la configuración de DHCPv6 sin estado. 1) Abra la ventana Propiedades de conexión de área local, desactive la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en Aceptar para aceptar el cambio. 2) Vuelva a abrir la ventana Propiedades de conexión de área local, haga clic para habilitar la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para aceptar el cambio.
Parte 4. configurar la red para DHCPv6 con estado Paso 1. preparar la PC-A. a. Inicie una captura del tráfico en la NIC con Wireshark. b. Filtre la captura de datos para ver solo los mensajes RA. Esto se puede realizar mediante el filtrado de paquetes IPv6 con una dirección de destino FF02::1, que es la dirección de solo unidifusión del grupo de clientes.
Paso 2. cambiar el pool de DHCPv6 en el R1. a. Agregue el prefijo de red al pool. R1(config)# ipv6 dhcp pool IPV6POOL-A R1(config-dhcpv6)# address prefix 2001:db8:acad:a::/64 b. Cambie el nombre de dominio a ccna-statefulDHCPv6.com. Nota: debe eliminar el antiguo nombre de dominio. El comando domain-name no lo reemplaza. R1(config-dhcpv6)# no domain-name ccna-statelessDHCPv6.com R1(config-dhcpv6)# domain-name ccna-StatefulDHCPv6.com R1(config-dhcpv6)# end c.
Verifique la configuración del pool de DHCPv6. R1# show ipv6 dhcp pool DHCPv6 pool: IPV6POOL-A Address allocation prefix: 2001:DB8:ACAD:A::/64 valid 172800 preferred 86400 (0 in use, 0 conflicts) DNS server: 2001:DB8:ACAD:A::ABCD Domain name: ccna-StatefulDHCPv6.com Active clients: 0
d. Ingrese al modo de depuración para verificar la asignación de direcciones de DHCPv6 con estado. R1# debug ipv6 dhcp detail IPv6 DHCP debugging is on (detailed)
Paso 3. establecer el indicador en G0/1 para DHCPv6 con estado. Nota: la desactivación de la interfaz G0/1 antes de realizar cambios asegura que se envíe un mensaje RA cuando se activa la interfaz. R1(config)# interface g0/1 199
199
10.2.3.5: configuración de DHCPv6 sin estado y con estado R1(config-if)# R1(config-if)# R1(config-if)# R1(config-if)#
200
shutdown ipv6 nd managed-config-flag no shutdown end
Paso 4. habilitar la interfaz F0/6 en el S1. Ahora que configuró el R1 para DHCPv6 con estado, puede volver a conectar la PC-A a la red activando la interfaz F0/6 en el S1. S1(config)# interface f0/6 S1(config-if)# no shutdown S1(config-if)# end
Paso 5. verificar la configuración de DHCPv6 con estado en el R1. a. Emita el comando show ipv6 interface g0/1 para verificar que la interfaz esté en el modo DHCPv6 con estado. R1# show ipv6 interface g0/1 GigabitEthernet0/1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:2 FF02::1:FF00:1 FF05::1:3 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use DHCP to obtain routable addresses. Hosts use DHCP to obtain other configuration.
b. En el símbolo del sistema de la PC-A, escriba ipconfig /release6 para liberar la dirección IPv6 asignada actualmente. Luego, escriba ipconfig /renew6 para solicitar una dirección IPv6 del servidor de DHCPv6. c.
Emita el comando show ipv6 dhcp pool para verificar el número de clientes activos. R1# show ipv6 dhcp pool DHCPv6 pool: IPV6POOL-A Address allocation prefix: 2001:DB8:ACAD:A::/64 valid 172800 preferred 86400 (1 in use, 0 conflicts) DNS server: 2001:DB8:ACAD:A::ABCD Domain name: ccna-StatefulDHCPv6.com Active clients: 1
200
200
10.2.3.5: configuración de DHCPv6 sin estado y con estado
201
d. Emita el comando show ipv6 dhcp binding para verificar que la PC-A haya recibido su dirección IPv6 de unidifusión del pool de DHCP. Compare la dirección de cliente con la dirección IPv6 link-local en la PC-A mediante el comando ipconfig /all. Compare la dirección proporcionada por el comando show con la dirección IPv6 que se indica con el comando ipconfig /all en la PC-A. R1# show ipv6 dhcp binding Client: FE80::D428:7DE2:997C:B05A DUID: 0001000117F6723D000C298D5444 Username : unassigned IA NA: IA ID 0x0E000C29, T1 43200, T2 69120 Address: 2001:DB8:ACAD:A:B55C:8519:8915:57CE preferred lifetime 86400, valid lifetime 172800 expires at Mar 07 2013 04:09 PM (171595 seconds)
e. Emita el comando undebug all en el R1 para detener la depuración de DHCPv6. Nota: escribir u all es la forma más abreviada de este comando y sirve para saber si quiere evitar que los mensajes de depuración se desplacen hacia abajo constantemente en la pantalla de la sesión de terminal. Si hay varias depuraciones en proceso, el comando undebug all las detiene todas. R1# u all Se ha desactivado toda depuración posible
f.
Revise los mensajes de depuración que aparecieron en la pantalla de terminal del R1. 1) Examine el mensaje de solicitud de la PC-A que solicita información de red. *Mar 5 16:42:39.775: IPv6 DHCP: Received SOLICIT from FE80::D428:7DE2:997C:B05A on GigabitEthernet0/1 *Mar 5 16:42:39.775: IPv6 DHCP: detailed packet contents *Mar 5 16:42:39.775: src FE80::D428:7DE2:997C:B05A (GigabitEthernet0/1) *Mar 5 16:42:39.775: dst FF02::1:2 *Mar 5 16:42:39.775: type SOLICIT(1), xid 1039238 *Mar 5 16:42:39.775: option ELAPSED-TIME(8), len 2 *Mar 5 16:42:39.775: elapsed-time 6300 *Mar 5 16:42:39.775: option CLIENTID(1), len 14
2) Examine el mensaje de respuesta enviado a la PC-A con la información de red DHCP. *Mar 5 16:42:39.779: IPv6 DHCP: Sending REPLY to FE80::D428:7DE2:997C:B05A on GigabitEthernet0/1 *Mar 5 16:42:39.779: IPv6 DHCP: detailed packet contents 201
201
10.2.3.5: configuración de DHCPv6 sin estado y con estado *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: R1#17F6723D000C298D5444 *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779: *Mar 5 16:42:39.779:
202
src FE80::1 dst FE80::D428:7DE2:997C:B05A (GigabitEthernet0/1) type REPLY(7), xid 1039238 option SERVERID(2), len 10 00030001FC994775C3E0 option CLIENTID(1), len 14 00010001 option IA-NA(3), len 40 IAID 0x0E000C29, T1 43200, T2 69120 option IAADDR(5), len 24 IPv6 address 2001:DB8:ACAD:A:B55C:8519:8915:57CE preferred 86400, valid 172800 option DNS-SERVERS(23), len 16 2001:DB8:ACAD:A::ABCD option DOMAIN-LIST(24), len 26 ccna-StatefulDHCPv6.com
Paso 6. verificar DHCPv6 con estado en la PC-A. a. Detenga la captura de Wireshark en la PC-A. b. Expanda el mensaje RA más reciente que se indica en Wireshark. Verifique que se haya establecido el indicador Managed address configuration (Configuración de dirección administrada).
c.
202
Cambie el filtro en Wireshark para ver solo los paquetes DHCPv6 escribiendo dhcpv6 y, a continuación, haga clic en Apply (Aplicar). Resalte la última respuesta DHCPv6 de la lista y expanda la información de DHCPv6. Examine la información de red DHCPv6 incluida en este paquete.
202
10.2.3.5: configuración de DHCPv6 sin estado y con estado
203
Reflexión 1. ¿Qué método de direccionamiento IPv6 utiliza más recursos de memoria en el router configurado como servidor de DHCPv6: DHCPv6 sin estado o DHCPv6 con estado? ¿Por qué? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Qué tipo de asignación dinámica de direcciones IPv6 recomienda Cisco: DHCPv6 sin estado o DHCPv6 con estado? _______________________________________________________________________________________ _______________________________________________________________________________________
Tabla de resumen de interfaces del router Resumen de interfaces del router Modelo de router
Interfaz Ethernet #1
Interfaz Ethernet n.º 2
Interfaz serial #1
Interfaz serial n.º 2
1800
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
1900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2801
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/1/0 (S0/1/0)
Serial 0/1/1 (S0/1/1)
2811
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
203
203
10.2.4.4: resolución de problemas de DHCPv6 Topología
Tabla de direccionamiento Dispositivo
Interfaz
Dirección IPv6
Longitud de prefijo
Gateway predeterminado
R1
G0/1
2001:DB8:ACAD:A::1
64
No aplicable
S1
VLAN 1
Asignada mediante SLAAC
64
Asignada mediante SLAAC
PC-A
NIC
Asignada mediante SLAAC y DHCPv6
64
Asignada mediante SLAAC
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de conectividad de IPv6 Parte 3: resolver problemas de DHCPv6 sin estado
Información básica/situación La capacidad de resolver problemas de red es una aptitud muy útil para los administradores de red. Cuando se realiza la resolución de problemas en una red, es importante comprender los grupos de direcciones IPv6 y cómo se usan. Es necesario saber qué comandos usar para extraer información de red IPv6 a fin de resolver los problemas con eficacia. En esta práctica de laboratorio, cargará las configuraciones en el R1 y el S1. Estas configuraciones incluyen problemas que impiden que funcione DHCPv6 sin estado en la red. Deberá llevar a cabo la resolución de estos problemas en el R1 y el S1. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor. Nota: la plantilla default bias que utiliza el Switch Database Manager (SDM) no proporciona capacidades de dirección IPv6. Verifique que se utilice la plantilla dual-ipv4-and-ipv6 o la plantilla lanbase-routing en SDM. La nueva plantilla se utilizará después de reiniciar, aunque no se guarde la configuración. S1# show sdm prefer Siga esta configuración para asignar la plantilla dual-ipv4-and-ipv6 como la plantilla de SDM predeterminada: S1# config t S1(config)# sdm prefer dual-ipv4-and-ipv6 default 204
204
10.2.4.4: resolución de problemas de DHCPv6
205
S1(config)# end S1# reload
Recursos necesarios •
1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario. Configurará los parámetros básicos en el router y el switch. A continuación, antes de comenzar con la resolución de problemas, cargará las configuraciones de IPv6 proporcionadas.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. inicializar y volver a cargar el router y el switch. Paso 3. configurar los parámetros básicos en el router y el switch. a. Desactive la búsqueda del DNS. b. Configure los nombres de los dispositivos como se muestra en la topología. c.
Cifre las contraseñas de texto no cifrado.
d. Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado. e. Asigne class como la contraseña cifrada del modo EXEC privilegiado. f.
Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de comandos.
Paso 4. cargar la configuración de IPv6 en el R1. ip domain name ccna-lab.com ipv6 dhcp pool IPV6POOL-A dns-server 2001:DB8:ACAD:CAFE::A domain-name ccna-lab.com interface g0/0 no ip address shutdown duplex auto speed auto interface g0/1 no ip address duplex auto speed auto ipv6 address FE80::1 link-local ipv6 address 2001:DB8:ACAD:A::11/64 end 205
205
10.2.4.4: resolución de problemas de DHCPv6
206
Paso 5. cargar la configuración de IPv6 en el S1. interface range f0/1-24 shutdown interface range g0/1-2 shutdown interface Vlan1 shutdown end
Paso 6. guardar las configuraciones en ejecución en el R1 y el S1. Paso 7. verificar que se haya habilitado IPv6 en la PC-A. Verifique que se haya habilitado IPv6 en la ventana Propiedades de conexión de área local en la PC-A.
Parte 2. resolver problemas de conectividad de IPv6 En la parte 2, probará y verificará la conectividad de IPv6 de capa 3 en la red. Continúe con la resolución de problemas de la red hasta que se haya establecido la conectividad de capa 3 en todos los dispositivos. No continúe con la parte 3 hasta que no haya completado correctamente la parte 2.
Paso 1. resolver problemas de interfaces IPv6 en el R1. a. Según la topología, ¿qué interfaz debe estar activa en el R1 para poder establecer la conectividad de red? Registre los comandos utilizados para identificar las interfaces que están activas. ____________________________________________________________________________________ ____________________________________________________________________________________ b. Si es necesario, siga los pasos requeridos para activar la interfaz. Registre los comandos utilizados para corregir los errores de configuración y verifique que la interfaz esté activa. ____________________________________________________________________________________ ____________________________________________________________________________________ c.
Identifique las direcciones IPv6 configuradas en el R1. Registre las direcciones encontradas y los comandos utilizados para ver las direcciones IPv6. ____________________________________________________________________________________ ____________________________________________________________________________________
d. Determine si se cometió un error de configuración. Si se identificó algún error, registre todos los comandos utilizados para corregir la configuración. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ e. En el R1, ¿qué grupo de multidifusión se necesita para que funcione SLAAC? ____________________________________________________________________________________ f.
¿Qué comando se usa para verificar que el R1 forme parte de ese grupo? ____________________________________________________________________________________
g. Si el R1 no forma parte del grupo de multidifusión que se necesita para que SLAAC funcione correctamente, realice los cambios necesarios a la configuración para incorporarlo al grupo. Registre los comandos necesarios para corregir los errores de configuración. ____________________________________________________________________________________ 206
206
10.2.4.4: resolución de problemas de DHCPv6
207
h. Vuelva a emitir el comando para verificar que se haya incorporado la interfaz G0/1 al grupo de multidifusión de todos los routers (FF02::2). Nota: si no puede incorporar la interfaz al grupo de multidifusión de todos los routers, es posible que deba guardar la configuración actual y volver a cargar el router.
Paso 2. resolver problemas del S1. a. ¿Las interfaces necesarias para la conectividad de red están activas en el S1? _______ Registre los comandos que se usan para activar las interfaces necesarias en el S1. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ b. ¿Qué comando podría utilizar para determinar si se asignó una dirección IPv6 de unidifusión al S1? ____________________________________________________________________________________ c.
¿El S1 tiene configurada una dirección IPv6 de unidifusión? Si es así, ¿cuál es? ____________________________________________________________________________________
d. Si el S1 no recibe una dirección SLAAC, realice los cambios de configuración necesarios para permitir que reciba una. Registre los comandos utilizados. ____________________________________________________________________________________ ____________________________________________________________________________________ e. Vuelva a emitir el comando que verifica que la interfaz ahora recibe una dirección SLAAC. f.
¿Se puede hacer ping del S1 a la dirección IPv6 de unidifusión asignada a la interfaz G0/1 que se asignó al R1? ____________________________________________________________________________________
Paso 3. resolver problemas de la PC-A. a. Emita el comando usado en la PC-A para verificar la dirección IPv6 asignada. Registre el comando. ____________________________________________________________________________________ b. ¿Cuál es la dirección IPv6 de unidifusión que SLAAC proporciona a la PC-A? ____________________________________________________________________________________ c.
¿Se puede hacer ping de la PC-A a la dirección de gateway predeterminado que asignó SLAAC? ____________________________________________________________________________________
d. ¿Se puede hacer ping de la PC-A a la interfaz de administración en el S1? ____________________________________________________________________________________ ____________________________________________________________________________________ Nota: continúe con la resolución de problemas hasta que pueda hacer ping al R1 y el S1 con la PC-A.
Parte 3. resolver problemas de DHCPv6 sin estado En la parte 3, probará y verificará que DHCPv6 sin estado funcione correctamente en la red. Deberá usar los comandos de CLI IPv6 correctos en el router para determinar si DHCPv6 sin estado funciona. Quizá desee usar el comando debug para determinar si se solicita el servidor de DHCP.
Paso 1. determinar si DHCPv6 sin estado funciona correctamente. a. ¿Cuál es el nombre del pool de DHCP IPv6? ¿Cómo llegó a esta conclusión? ____________________________________________________________________________________ 207
207
10.2.4.4: resolución de problemas de DHCPv6
208
b. ¿Qué información de red se indica en el pool de DHCPv6? ____________________________________________________________________________________ ____________________________________________________________________________________ c.
¿Se asignó la información de DHCPv6 a la PC-A? ¿Cómo llegó a esta conclusión? ____________________________________________________________________________________ ____________________________________________________________________________________
Paso 2. resolver problemas del R1. a. ¿Qué comandos se pueden usar para determinar si se configuró el R1 para DHCPv6 sin estado? ____________________________________________________________________________________ ____________________________________________________________________________________ b. ¿La interfaz G0/1 en R1 se encuentra en el modo de DHCPv6 sin estado? ____________________________________________________________________________________ ____________________________________________________________________________________ c.
¿Qué comando se puede usar para incorporar el R1 al grupo de servidores de DHCPv6? ____________________________________________________________________________________ ____________________________________________________________________________________
d. Verifique que el grupo de servidores de DHCPv6 esté configurado para la interfaz G0/1. e. ¿La PC-A recibe la información de DHCP ahora? Explique. ____________________________________________________________________________________ ____________________________________________________________________________________ f.
¿Qué falta en la configuración de G0/1 que genera que los hosts usen el servidor de DHCP para recuperar otra información de red? ____________________________________________________________________________________ ____________________________________________________________________________________
g. Restablezca la configuración de IPv6 en la PC-A. 1) Abra la ventana Propiedades de conexión de área local, desactive la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para que acepte el cambio. 2) Vuelva a abrir la ventana Propiedades de conexión de área local, haga clic en la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para que acepte el cambio. h. Emita el comando para verificar que se hayan realizado los cambios en la PC-A. Nota: continúe con la resolución de problemas hasta que la PC-A reciba la información adicional de DHCP del R1.
Reflexión 1. ¿Cuál es el comando que se necesita en el pool de DHCPv6 para DHCPv6 con estado y que no se necesita para DHCPv6 sin estado? ¿Por qué? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Qué comando se necesita en la interfaz para cambiar la red para que use DHCPv6 con estado en lugar de DHCPv6 sin estado? _______________________________________________________________________________________
208
208
11.2.2.6: configuración de NAT dinámica y estática Topología
Tabla de direccionamiento Dispositivo Gateway
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/1
209.165.201.18
255.255.255.252
N/A
S0/0/0 (DCE)
209.165.201.17
255.255.255.252
N/A
Lo0
192.31.7.1
255.255.255.255
N/A
PC-A (servidor simulado)
NIC
192.168.1.20
255.255.255.0
192.168.1.1
PC-B
NIC
192.168.1.21
255.255.255.0
192.168.1.1
ISP
Objetivos Parte 1: armar la red y verificar la conectividad Parte 2: configurar y verificar la NAT estática Parte 3: configurar y verificar la NAT dinámica
Información básica/situación La traducción de direcciones de red (NAT) es el proceso en el que un dispositivo de red, como un router Cisco, asigna una dirección pública a los dispositivos host dentro de una red privada. El motivo principal para usar NAT es reducir el número de direcciones IP públicas que usa una organización, ya que la cantidad de direcciones IPv4 públicas disponibles es limitada. En esta práctica de laboratorio, un ISP asignó a una empresa el espacio de direcciones IP públicas 209.165.200.224/27. Esto proporciona 30 direcciones IP públicas a la empresa. Las direcciones 209.165.200.225 a 209.165.200.241 son para la asignación estática, y las direcciones 209.165.200.242 a 209.165.200.254 son para la asignación dinámica. Del ISP al router de gateway se usa una ruta estática, y del gateway al router ISP se usa
209
209
11.2.2.6: configuración de NAT dinámica y estática
210
una ruta predeterminada. La conexión del ISP a Internet se simula mediante una dirección de loopback en el router ISP. Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y verificar la conectividad En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como las direcciones IP de interfaz, el routing estático, el acceso a los dispositivos y las contraseñas.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según sea necesario.
Paso 2. configurar los equipos host. Paso 3. inicializar y volver a cargar los routers y los switches según sea necesario. Paso 4. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure las direcciones IP para los routers como se indica en la tabla de direccionamiento. c.
Establezca la frecuencia de reloj en 1280000 para las interfaces seriales DCE.
d. Configure el nombre del dispositivo como se muestra en la topología. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada del comando.
Paso 5. crear un servidor web simulado en el ISP. a. Cree un usuario local denominado webuser con la contraseña cifrada webpass. ISP(config)# username webuser privilege 15 secret webpass b. Habilite el servicio del servidor HTTP en el ISP. ISP(config)# ip http server c. 210
Configure el servicio HTTP para utilizar la base de datos local. 210
11.2.2.6: configuración de NAT dinámica y estática
211
ISP(config)# ip http authentication local
Paso 6. configurar el routing estático. a. Cree una ruta estática del router ISP al router Gateway usando el rango asignado de direcciones de red públicas 209.165.200.224/27. ISP(config)# ip route 209.165.200.224 255.255.255.224 209.165.201.18 b. Cree una ruta predeterminada del router Gateway al router ISP. Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17
Paso 7. Guardar la configuración en ejecución en la configuración de inicio. Paso 8. Verificar la conectividad de la red a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway. Resuelva los problemas si los pings fallan. b. Muestre las tablas de routing en ambos routers para verificar que las rutas estáticas se encuentren en la tabla de routing y estén configuradas correctamente en ambos routers.
Parte 2. configurar y verificar la NAT estática. La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales, y estas asignaciones se mantienen constantes. La NAT estática resulta útil, en especial para los servidores web o los dispositivos que deben tener direcciones estáticas que sean accesibles desde Internet.
Paso 1. configurar una asignación estática. El mapa estático se configura para indicarle al router que traduzca entre la dirección privada del servidor interno 192.168.1.20 y la dirección pública 209.165.200.225. Esto permite que los usuarios tengan acceso a la PC-A desde Internet. La PC-A simula un servidor o un dispositivo con una dirección constante a la que se puede acceder desde Internet. Gateway(config)# ip nat inside source static 192.168.1.20 209.165.200.225
Paso 2. Especifique las interfaces. Emita los comandos ip nat inside e ip nat outside en las interfaces. Gateway(config)# interface g0/1 Gateway(config-if)# ip nat inside Gateway(config-if)# interface s0/0/1 Gateway(config-if)# ip nat outside
Paso 3. probar la configuración. a. Muestre la tabla de NAT estática mediante la emisión del comando show ip nat translations. Gateway# show ip nat translations Pro Inside global --- 209.165.200.225
Inside local 192.168.1.20
Outside local ---
Outside global ---
¿Cuál es la traducción de la dirección host local interna? 192.168.1.20 = _________________________________________________________ ¿Quién asigna la dirección global interna? ____________________________________________________________________________________ ¿Quién asigna la dirección local interna? ____________________________________________________________________________________ 211
211
11.2.2.6: configuración de NAT dinámica y estática
212
b. En la PC-A, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping falló, resuelva y corrija los problemas. En el router Gateway, muestre la tabla de NAT. Gateway# show ip nat translations Pro Inside global Inside local icmp 209.165.200.225:1 192.168.1.20:1 --- 209.165.200.225 192.168.1.20
Outside local 192.31.7.1:1 ---
Outside global 192.31.7.1:1 ---
Cuando la PC-A envió una solicitud de ICMP (ping) a la dirección 192.31.7.1 en el ISP, se agregó a la tabla una entrada de NAT en la que se indicó ICMP como protocolo. ¿Qué número de puerto se usó en este intercambio ICMP? ________________ Nota: puede ser necesario desactivar el firewall de la PC-A para que el ping se realice correctamente. c.
En la PC-A, acceda a la interfaz Lo0 del ISP mediante telnet y muestre la tabla de NAT. Pro Inside global icmp 209.165.200.225:1 tcp 209.165.200.225:1034 --- 209.165.200.225
Inside local 192.168.1.20:1 192.168.1.20:1034 192.168.1.20
Outside local 192.31.7.1:1 192.31.7.1:23 ---
Outside global 192.31.7.1:1 192.31.7.1:23 ---
Nota: es posible que se haya agotado el tiempo para la NAT de la solicitud de ICMP y se haya eliminado de la tabla de NAT. ¿Qué protocolo se usó para esta traducción? ____________ ¿Cuáles son los números de puerto que se usaron? Global/local interno: ________________ Global/local externo: ________________ d. Debido a que se configuró NAT estática para la PC-A, verifique que el ping del ISP a la dirección pública de NAT estática de la PC-A (209.165.200.225) se realice correctamente. e. En el router Gateway, muestre la tabla de NAT para verificar la traducción. Gateway# show ip nat translations Pro Inside global Inside local icmp 209.165.200.225:12 192.168.1.20:12 --- 209.165.200.225 192.168.1.20
Outside local 209.165.201.17:12 ---
Outside global 209.165.201.17:12 ---
Observe que la dirección local externa y la dirección global externa son iguales. Esta dirección es la dirección de origen de red remota del ISP. Para que el ping del ISP se realice correctamente, la dirección global interna de NAT estática 209.165.200.225 se tradujo a la dirección local interna de la PC-A (192.168.1.20). f.
Verifique las estadísticas de NAT mediante el comando show ip nat statistics en el router Gateway. Gateway# show ip nat statics Total active translations: 2 (1 static, 1 dynamic; 1 extended) Peak translations: 2, occurred 00:02:12 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 39 Misses: 0 CEF Translated packets: 39, CEF Punted packets: 0 Expired translations: 3 Dynamic mappings: Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0
Nota: este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente. 212
212
11.2.2.6: configuración de NAT dinámica y estática
213
Parte 3. configurar y verificar la NAT dinámica La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada. Cuando un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una dirección IPv4 pública disponible del conjunto. La NAT dinámica produce una asignación de varias direcciones a varias direcciones entre direcciones locales y globales.
Paso 1. borrar las NAT. Antes de seguir agregando NAT dinámicas, borre las NAT y las estadísticas de la parte 2. Gateway# clear ip nat translation * Gateway# clear ip nat statistics
Paso 2. definir una lista de control de acceso (ACL) que coincida con el rango de direcciones IP privadas de LAN. La ACL 1 se utiliza para permitir que se traduzca la red 192.168.1.0/24. Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Paso 3. verificar que la configuración de interfaces NAT siga siendo válida. Emita el comando show ip nat statistics en el router Gateway para verificar la configuración NAT.
Paso 4. definir el conjunto de direcciones IP públicas utilizables. Gateway(config)# ip nat pool public_access 209.165.200.242 209.165.200.254 netmask 255.255.255.224
Paso 5. definir la NAT desde la lista de origen interna hasta el conjunto externo. Nota: recuerde que los nombres de conjuntos de NAT distinguen mayúsculas de minúsculas, y el nombre del conjunto que se introduzca aquí debe coincidir con el que se usó en el paso anterior. Gateway(config)# ip nat inside source list 1 pool public_access
Paso 6. probar la configuración. a. En la PC-B, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping falló, resuelva y corrija los problemas. En el router Gateway, muestre la tabla de NAT. Gateway# show ip nat translations Pro Inside global --- 209.165.200.225 icmp 209.165.200.242:1 --- 209.165.200.242
Inside local 192.168.1.20 192.168.1.21:1 192.168.1.21
Outside local --192.31.7.1:1 ---
Outside global --192.31.7.1:1 ---
¿Cuál es la traducción de la dirección host local interna de la PC-B? 192.168.1.21 = _________________________________________________________ Cuando la PC-B envió un mensaje ICMP a la dirección 192.31.7.1 en el ISP, se agregó a la tabla una entrada de NAT dinámica en la que se indicó ICMP como el protocolo. ¿Qué número de puerto se usó en este intercambio ICMP? ______________ b. En la PC-B, abra un explorador e introduzca la dirección IP del servidor web simulado ISP (interfaz Lo0). Cuando se le solicite, inicie sesión como webuser con la contraseña webpass. c.
Muestre la tabla de NAT. Pro Inside global Inside local Outside local --- 209.165.200.225 192.168.1.20 --tcp 209.165.200.242:1038 192.168.1.21:1038 192.31.7.1:80
213
Outside global --192.31.7.1:80 213
11.2.2.6: configuración de NAT dinámica y estática tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp ---
209.165.200.242:1039 192.168.1.21:1039 192.31.7.1:80 209.165.200.242:1040 192.168.1.21:1040 192.31.7.1:80 209.165.200.242:1041 192.168.1.21:1041 192.31.7.1:80 209.165.200.242:1042 192.168.1.21:1042 192.31.7.1:80 209.165.200.242:1043 192.168.1.21:1043 192.31.7.1:80 209.165.200.242:1044 192.168.1.21:1044 192.31.7.1:80 209.165.200.242:1045 192.168.1.21:1045 192.31.7.1:80 209.165.200.242:1046 192.168.1.21:1046 192.31.7.1:80 209.165.200.242:1047 192.168.1.21:1047 192.31.7.1:80 209.165.200.242:1048 192.168.1.21:1048 192.31.7.1:80 209.165.200.242:1049 192.168.1.21:1049 192.31.7.1:80 209.165.200.242:1050 192.168.1.21:1050 192.31.7.1:80 209.165.200.242:1051 192.168.1.21:1051 192.31.7.1:80 209.165.200.242:1052 192.168.1.21:1052 192.31.7.1:80 209.165.200.242 192.168.1.22 ---
214 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 192.31.7.1:80 ---
¿Qué protocolo se usó en esta traducción? ____________ ¿Qué números de puerto se usaron? Interno: ________________
Externo: ______________
¿Qué número de puerto bien conocido y qué servicio se usaron? ________________ d. Verifique las estadísticas de NAT mediante el comando show ip nat statistics en el router Gateway. Gateway# show ip nat statistics Total active translations: 3 (1 static, 2 dynamic; 1 extended) Peak translations: 17, occurred 00:06:40 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 345 Misses: 0 CEF Translated packets: 345, CEF Punted packets: 0 Expired translations: 20 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 2 pool public_access: netmask 255.255.255.224 start 209.165.200.242 end 209.165.200.254 type generic, total addresses 13, allocated 1 (7%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0
Nota: este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente.
Paso 7. eliminar la entrada de NAT estática. En el paso 7, se elimina la entrada de NAT estática y se puede observar la entrada de NAT. a. Elimine la NAT estática de la parte 2. Introduzca yes (sí) cuando se le solicite eliminar entradas secundarias. Gateway(config)# no ip nat inside source static 192.168.1.20 209.165.200.225 Static entry in use, do you want to delete child entries? [no]: yes 214
214
11.2.2.6: configuración de NAT dinámica y estática
215
b. Borre las NAT y las estadísticas. c.
Haga ping al ISP (192.31.7.1) desde ambos hosts.
d. Muestre la tabla y las estadísticas de NAT. Gateway# show ip nat statistics Total active translations: 4 (0 static, 4 dynamic; 2 extended) Peak translations: 15, occurred 00:00:43 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 16 Misses: 0 CEF Translated packets: 285, CEF Punted packets: 0 Expired translations: 11 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 4 pool public_access: netmask 255.255.255.224 start 209.165.200.242 end 209.165.200.254 type generic, total addresses 13, allocated 2 (15%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0
Gateway# show ip nat translation Pro Inside global Inside local icmp 209.165.200.243:512 192.168.1.20:512 --- 209.165.200.243 192.168.1.20 icmp 209.165.200.242:512 192.168.1.21:512 --- 209.165.200.242 192.168.1.21
Outside local 192.31.7.1:512 --192.31.7.1:512 ---
Outside global 192.31.7.1:512 --192.31.7.1:512 ---
Nota: este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente.
Reflexión 1. ¿Por qué debe utilizarse la NAT en una red? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Cuáles son las limitaciones de NAT? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________
215
215
11.2.3.7: configuración de un conjunto de NAT con sobrecarga y PAT Topología
Tabla de direccionamiento Dispositivo Gateway
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/1
209.165.201.18
255.255.255.252
N/A
S0/0/0 (DCE)
209.165.201.17
255.255.255.252
N/A
Lo0
192.31.7.1
255.255.255.255
N/A
PC-A
NIC
192.168.1.20
255.255.255.0
192.168.1.1
PC-B
NIC
192.168.1.21
255.255.255.0
192.168.1.1
PC-C
NIC
192.168.1.22
255.255.255.0
192.168.1.1
ISP
Objetivos Parte 1: armar la red y verificar la conectividad Parte 2: configurar y verificar un conjunto de NAT con sobrecarga Parte 3: configurar y verificar PAT
Información básica/situación En la primera parte de la práctica de laboratorio, el ISP asigna a su empresa el rango de direcciones IP públicas 209.165.200.224/29. Esto proporciona seis direcciones IP públicas a la empresa. Un conjunto de NAT dinámica con sobrecarga consta de un conjunto de direcciones IP en una relación de varias direcciones a varias direcciones. El router usa la primera dirección IP del conjunto y asigna las conexiones mediante el uso de la dirección IP más un número de puerto único. Una vez que se alcanzó la cantidad máxima de traducciones para una única dirección IP en el router (específico de la plataforma y el hardware), utiliza la siguiente dirección IP del conjunto. En la parte 2, el ISP asignó una única dirección IP, 209.165.201.18, a su empresa para usarla en la conexión a Internet del router Gateway de la empresa al ISP. Usará la traducción de la dirección del puerto (PAT) para convertir varias direcciones internas en la única dirección pública utilizable. Se probará, se verá y se verificará que se produzcan las traducciones y se interpretarán las estadísticas de NAT/PAT para controlar el proceso. 216
216
11.2.3.7: configuración de un conjunto de NAT con sobrecarga y PAT
217
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y verificar la conectividad En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como las direcciones IP de interfaz, el routing estático, el acceso a los dispositivos y las contraseñas.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Paso 3. inicializar y volver a cargar los routers y los switches. Paso 4. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure las direcciones IP para los routers como se indica en la tabla de direccionamiento. c.
Establezca la frecuencia de reloj en 128000 para la interfaz serial DCE.
d. Configure el nombre del dispositivo como se muestra en la topología. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada del comando.
Paso 5. configurar el routing estático. a. Cree una ruta estática desde el router ISP hasta el router Gateway. ISP(config)# ip route 209.165.200.224 255.255.255.248 209.165.201.18 b. Cree una ruta predeterminada del router Gateway al router ISP. Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17
Paso 6. Verificar la conectividad de la red a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway. Resuelva los problemas si los pings fallan. b. Verifique que las rutas estáticas estén bien configuradas en ambos routers. 217
217
11.2.3.7: configuración de un conjunto de NAT con sobrecarga y PAT
218
Parte 2. configurar y verificar el conjunto de NAT con sobrecarga En la parte 2, configurará el router Gateway para que traduzca las direcciones IP de la red 192.168.1.0/24 a una de las seis direcciones utilizables del rango 209.165.200.224/29.
Paso 1. definir una lista de control de acceso que coincida con las direcciones IP privadas de LAN. La ACL 1 se utiliza para permitir que se traduzca la red 192.168.1.0/24. Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Paso 2. definir el conjunto de direcciones IP públicas utilizables. Gateway(config)# ip nat pool public_access 209.165.200.225 netmask 255.255.255.248
209.165.200.230
Paso 3. definir la NAT desde la lista de origen interna hasta el conjunto externo. Gateway(config)# ip nat inside source list 1 pool public_access overload
Paso 4. Especifique las interfaces. Emita los comandos ip nat inside e ip nat outside en las interfaces. Gateway(config)# interface g0/1 Gateway(config-if)# ip nat inside Gateway(config-if)# interface s0/0/1 Gateway(config-if)# ip nat outside
Paso 5. verificar la configuración del conjunto de NAT con sobrecarga. a. Desde cada equipo host, haga ping a la dirección 192.31.7.1 del router ISP. b. Muestre las estadísticas de NAT en el router Gateway. Gateway# show ip nat statistics Total active translations: 3 (0 static, 3 dynamic; 3 extended) Peak translations: 3, occurred 00:00:25 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 24 Misses: 0 CEF Translated packets: 24, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 1] access-list 1 pool public_access refcount 3 pool public_access: netmask 255.255.255.248 start 209.165.200.225 end 209.165.200.230 type generic, total addresses 6, allocated 1 (16%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0
c.
Muestre las NAT en el router Gateway. Gateway# show ip nat translations
218
218
11.2.3.7: configuración de un conjunto de NAT con sobrecarga y PAT Pro Inside global icmp 209.165.200.225:0 icmp 209.165.200.225:1 icmp 209.165.200.225:2
Inside local 192.168.1.20:1 192.168.1.21:1 192.168.1.22:1
Outside local 192.31.7.1:1 192.31.7.1:1 192.31.7.1:1
219 Outside global 192.31.7.1:0 192.31.7.1:1 192.31.7.1:2
Nota: es posible que no vea las tres traducciones, según el tiempo que haya transcurrido desde que hizo los pings en cada computadora. Las traducciones de ICMP tienen un valor de tiempo de espera corto. ¿Cuántas direcciones IP locales internas se indican en el resultado de muestra anterior? __________ ¿Cuántas direcciones IP globales internas se indican? __________ ¿Cuántos números de puerto se usan en conjunto con las direcciones globales internas? _________ ¿Cuál sería el resultado de hacer ping del router ISP a la dirección local interna de la PC-A? ¿Por qué? ____________________________________________________________________________________ ____________________________________________________________________________________
Parte 3. configurar y verificar PAT En la parte 3, configurará PAT mediante el uso de una interfaz, en lugar de un conjunto de direcciones, a fin de definir la dirección externa. No todos los comandos de la parte 2 se volverán a usar en la parte 3.
Paso 1. borrar las NAT y las estadísticas en el router Gateway. Paso 2. verificar la configuración para NAT. a. Verifique que se hayan borrado las estadísticas. b. Verifique que las interfaces externa e interna estén configuradas para NAT. c.
Verifique que la ACL aún esté configurada para NAT. ¿Qué comando usó para confirmar los resultados de los pasos a al c? ____________________________________________________________________________________
Paso 3. eliminar el conjunto de direcciones IP públicas utilizables. Gateway(config)# no ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248
Paso 4. eliminar la traducción NAT de la lista de origen interna al conjunto externo. Gateway(config)# no ip nat inside source list 1 pool public_access overload
Paso 5. asociar la lista de origen a la interfaz externa. Gateway(config)# ip nat inside source list 1 interface serial 0/0/1 overload
Paso 6. probar la configuración PAT. a. Desde cada computadora, haga ping a la dirección 192.31.7.1 del router ISP. b. Muestre las estadísticas de NAT en el router Gateway. Gateway# show ip nat statistics Total active translations: 3 (0 static, 3 dynamic; 3 extended) Peak translations: 3, occurred 00:00:19 ago Outside interfaces: Serial0/0/1 Inside interfaces: GigabitEthernet0/1 Hits: 24 Misses: 0 219
219
11.2.3.7: configuración de un conjunto de NAT con sobrecarga y PAT
220
CEF Translated packets: 24, CEF Punted packets: 0 Expired translations: 0 Dynamic mappings: -- Inside Source [Id: 2] access-list 1 interface Serial0/0/1 refcount 3 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0
c.
Muestre las traducciones NAT en el Gateway. Gateway# show ip nat translations Pro Inside global icmp 209.165.201.18:3 icmp 209.165.201.18:1 icmp 209.165.201.18:4
Inside local 192.168.1.20:1 192.168.1.21:1 192.168.1.22:1
Outside local 192.31.7.1:1 192.31.7.1:1 192.31.7.1:1
Outside global 192.31.7.1:3 192.31.7.1:1 192.31.7.1:4
Reflexión ¿Qué ventajas tiene la PAT? _______________________________________________________________________________________ _______________________________________________________________________________________
Tabla de resumen de interfaces del router Resumen de interfaces del router Modelo de router
Interfaz Ethernet #1
Interfaz Ethernet n.º 2
Interfaz serial #1
Interfaz serial n.º 2
1800
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
1900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2801
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/1/0 (S0/1/0)
Serial 0/1/1 (S0/1/1)
2811
Fast Ethernet 0/0 (F0/0)
Fast Ethernet 0/1 (F0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
2900
Gigabit Ethernet 0/0 (G0/0)
Gigabit Ethernet 0/1 (G0/1)
Serial 0/0/0 (S0/0/0)
Serial 0/0/1 (S0/0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de Cisco para representar la interfaz.
220
220
11.3.1.5: resolución de problemas de configuración NAT Topología
Tabla de direccionamiento Dispositivo Gateway
Interfaz
Dirección IP
Máscara de subred
Gateway predeterminado
G0/1
192.168.1.1
255.255.255.0
N/A
S0/0/1
209.165.200.225
255.255.255.252
N/A
S0/0/0 (DCE)
209.165.200.226
255.255.255.252
N/A
Lo0
198.133.219.1
255.255.255.255
N/A
PC-A
NIC
192.168.1.3
255.255.255.0
192.168.1.1
PC-B
NIC
192.168.1.4
255.255.255.0
192.168.1.1
ISP
Objetivos Parte 1: armar la red y configurar los parámetros básicos de los dispositivos Parte 2: resolver problemas de la NAT estática Parte 3: resolver problemas de la NAT dinámica
Información básica/situación En esta práctica de laboratorio, la configuración del router Gateway estuvo a cargo de un administrador de red inexperto de la empresa. Varios errores en la configuración produjeron problemas de NAT. El jefe le solicitó a usted que resuelva y corrija los errores de NAT, y que documente su trabajo. Asegúrese de que la red admita lo siguiente: •
La PC-A funciona como servidor web con una NAT estática y se debe poder llegar a dicha computadora desde el exterior a través de la dirección 209.165.200.254.
•
La PC-B funciona como equipo host y recibe dinámicamente una dirección IP del conjunto de direcciones creado con el nombre NAT_POOL, que usa el rango 209.165.200.240/29.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. 221
221
11.3.1.5: resolución de problemas de configuración NAT
222
Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio para obtener los identificadores de interfaz correctos. Nota: asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios •
2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
•
1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
•
2 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
•
Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
•
Cables Ethernet y seriales, como se muestra en la topología
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos En la parte 1, establecerá la topología de la red y configurará los routers con los parámetros básicos. Se incluyen configuraciones adicionales relacionadas con NAT. La configuración NAT para el router Gateway contiene los errores que usted identificará y corregirá a medida que avance con la práctica de laboratorio.
Paso 1. realizar el cableado de red tal como se muestra en la topología. Paso 2. configurar los equipos host. Paso 3. inicializar y volver a cargar el switch y los routers. Paso 4. configurar los parámetros básicos para cada router. a. Desactive la búsqueda del DNS. b. Configure el nombre del dispositivo como se muestra en la topología. c.
Configure las direcciones IP como se indica en la tabla de direccionamiento.
d. Establezca la frecuencia de reloj en 128000 para las interfaces seriales DCE. e. Asigne cisco como la contraseña de consola y la contraseña de vty. f.
Asigne class como la contraseña cifrada del modo EXEC privilegiado.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada del comando.
Paso 5. configurar el routing estático. a. Cree una ruta estática del router ISP al rango de direcciones de red públicas 209.165.200.224/27 asignado por el router Gateway. ISP(config)# ip route 209.165.200.224 255.255.255.224 s0/0/0 b. Cree una ruta predeterminada del router Gateway al router ISP. Gateway(config)# ip route 0.0.0.0 0.0.0.0 s0/0/1
Paso 6. cargar las configuraciones de los routers. Se incluyen las configuraciones de los routers. La configuración del router Gateway contiene errores. Identifique y corrija los errores de configuración. Configuración del router Gateway interface g0/1 ip nat outside 222
222
11.3.1.5: resolución de problemas de configuración NAT
223
no shutdown interface s0/0/0 ip nat outside interface s0/0/1 no shutdown ip nat inside source static 192.168.2.3 209.165.200.254 ip nat pool NAT_POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 ip nat inside source list NAT_ACL pool NATPOOL ip access-list standard NAT_ACL permit 192.168.10.0 0.0.0.255 banner motd $AUTHORIZED ACCESS ONLY$ end
Paso 7. Guardar la configuración en ejecución en la configuración de inicio.
Parte 2. resolver problemas de la NAT estática En la parte 2, examinará la NAT estática de la PC-A para determinar si se configuró correctamente. Resolverá los problemas de la situación hasta que se verifique la NAT estática correcta. a. Para resolver problemas de NAT, use el comando debug ip nat. Active la depuración de NAT para ver las traducciones en tiempo real a través del router Gateway. Gateway# debug ip nat b. En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ c.
En el router Gateway, introduzca el comando que permite ver todas las traducciones NAT actuales en dicho router. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ ¿Por qué ve una traducción NAT en la tabla pero no se produjo ninguna cuando se hizo ping de la PC-A a la interfaz loopback del ISP? ¿Qué se necesita para corregir el problema? ____________________________________________________________________________________
d. Registre todos los comandos que se necesitan para corregir el error de configuración NAT estática. ____________________________________________________________________________________ ____________________________________________________________________________________ e. En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ f.
En el router Gateway, introduzca el comando que permite observar la cantidad total de NAT actuales. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ ¿La NAT estática se realiza correctamente? ¿Por qué? ____________________________________________________________________________________
g. En el router Gateway, introduzca el comando que permite ver la configuración actual del router. Escriba el comando en el espacio que se incluye a continuación. ____________________________________________________________________________________ h. ¿Existe algún problema en la configuración actual que impida que se realice la NAT estática? ____________________________________________________________________________________ 223
223
11.3.1.5: resolución de problemas de configuración NAT i.
224
Registre todos los comandos que se necesitan para corregir los errores de configuración NAT estática. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
j.
En la PC-A, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________
k.
Use el comando show ip nat translations verbose para verificar la funcionalidad de la NAT estática. Nota: el valor de tiempo de espera para ICMP es muy corto. Si no ve todas las traducciones en el resultado, vuelva a hacer el ping. ¿La traducción de NAT estática se realiza correctamente? ____________________ Si no se realiza la NAT estática, repita los pasos anteriores para resolver los problemas de configuración.
Parte 3. resolución de problemas de la NAT dinámica a. En la PC-B, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ________________ b. En el router Gateway, introduzca el comando que permite ver la configuración actual del router. ¿Existe algún problema en la configuración actual que impida que se realice la NAT dinámica? ____________________________________________________________________________________ c.
Registre todos los comandos que se necesitan para corregir los errores de configuración NAT dinámica. ____________________________________________________________________________________ ____________________________________________________________________________________ ____________________________________________________________________________________
d. En la PC-B, haga ping a Lo0 en el router ISP. ¿Aparece alguna traducción de depuración NAT en el router Gateway? ____________________________________________________________________________________ e. Use el comando show ip nat statistics para ver el uso de NAT. ¿La NAT se realiza correctamente? _______________ ¿Qué porcentaje de direcciones dinámicas se asignó? __________ f.
Desactive toda depuración con el comando undebug all.
Reflexión 1. ¿Cuál es el beneficio de una NAT estática? _______________________________________________________________________________________ _______________________________________________________________________________________ 2. ¿Qué problemas surgirían si 10 equipos host en esta red intentaran comunicarse con Internet al mismo tiempo? _______________________________________________________________________________________ _______________________________________________________________________________________
224
224