SWITCH: Activar seguridad de puertos en switch int range f0/1-24 switchport mode access switchport nonegotiate switchport port-security switchport port-security maximum 1 switchport port-security violation shutdown switchport port-security mac-address 00E0.F976.DBD2---para ver la mac ipconfig /all en los pc switchport port-security mac-address sticky exit hacemos ping y mac-address-table podremos ver las mac de los dispositivos Crear vlans: vlan 10 name ADMINISTRACION vlan 20 name CONTABILIDAD vlan 30 name USUARIO exit Ahora vamos a configurar los puertos de las estaciones de trabajos en la VLAN 20:---solo en las vlans ya que el modo troncal permitira el trafico entre vlan y router int f0/1 o int range f0/1-24 switchport mode access switchport access vlan 20 switchport port-security switchport nonegotiate switchport port-security maximum 1 switchport port-security violation shutdown switchport port-security mac-address 00E0.F976.DBD2---para ver la mac ipconfig /all en los pc MODO TRUNK----va netamente hacia el router o otros switches pero no hacia las vlans int range f0/1-3 switchport mode trunk switchport trunk native vlan 99 switchport trunk allowed vlan 40,50,60,70,99 ----van todas las vlans no shut Configurar una IP de gestion al SWITCH en la Vlan20 para poder acceder por TELNET y configurar el equipo: enable configure terminal interface vlan 99 ip address 192.168.10.254 255.255.255.0 (dirección ip preferible la más alejada + la máscara que le vamos asignar) no shutdown MAS COMANDOS native vlan SW1(config)#ip default-gateway 192.168.99.254 ROUTER: En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk VLAN NATIVA EN ROUTER Creamos sub-interfaz int g0/0.99 encapsulation dot1Q 99 native y en el router debe ir en todas las interfaces Router(config)# interface f0/0.10 Router(config-if)# encapsulation dot1q 10 Router(config-if)# ip address 172.16.10.1 255.255.255.0 Router(config-if)# no shut Router(config-if)# interface f0/0.20 Router(config-if)# encapsulation dot1q 20 Router(config-if)# ip address 172.16.20.1 255.255.255.0 Router(config-if)# no shut Router(config-if)# interface f0/0.30 Router(config-if)# encapsulation dot1q 30 Router(config-if)# ip address 172.16.30.1 255.255.255.0 Router(config-if)# no shut int f0/0 no shut OSPF: estado de enlace protocolos de enrutamientos version 2 ipv4 primero router de la izquierdaa router ospf 1 passive-interface g0/0 ------------------- las actualizaciones no llegan a esa interfaz o sea que no necesitan las actualizaciones en este caso son las sub interfaces passive-interface g0/0.10 passive-interface g0/0.20 network 10.10.10.0 0.0.0.3 area 0 ---- brazos conectados y se le resta la mascara de 32 bits con los bits de la red network 192.168.10.0 0.0.0.255 area 0 router-id 1.1.1.1 luego ctrl+Z clear ip ospf process y le damos yes conf t router id identificador de dispositivos de ospf ospf v3 ipv6 unicast routing ipv6 router opsf 50 router-id 1.1.1.1 passive-interface ---todas las subinterfaces int s0/0/0 ipv6 add 2001:8db:acac:1::2/64 ipv6 ospf 50 area 0 ipv6 ospf hello o dead-interval do wr int f0/0.10-----dentro de todas las sub-interfaces ipv6 ospf 50 are 0 RUTA X DEFECTO ip route 0.0.0.0 0.0.0.0 s0/0/1---int salida o ip sig salto mejor ip sig salto ISP(config)#ipv6 route ::/0 2003:8db:acac:3::2 router ospf 1 default-information originate---- va en el router que va hacia isp o salida de internet LOOPBACK 0 int loopback 0 ip add 2.2.2.2 255.255.255.255 ------esto es dejar loopback con ID--la loppback es por si cae la ip de red dentrode router ospf 1 network 2.2.2.2 0.0.0.0 area 0----- se enruta loopback y su wild card dentro del primer serial del router central: Router(config)#int s0/0/0 Router(config-if)#ip ospf hello-interval 5----- deben estar igual en ambos extremos de router a router Router(config-if)#ip ospf dead-interval 20 Router(config-if)#ip ospf network point-to-point Router(config-if)#bandwidth 1024----- da un valor para que calcule los anchos de bandas y por donde se nvian los paquetes y juega con los valores de los seriales Router(config-if)#ip ospf cost fastethernet --------es decir que un gigaethernet es mayor el costo que un ahora configuramos el otro brazo serial conectado Router(config-if)#int s0/0/1 Router(config-if)#ip ospf hello-interval 5 Router(config-if)#ip ospf dead-interval 20 Router(config-if)#ip ospf cost 1 Router(config-if)#bandwidth 512 Router(config-if)#ip ospf network point-to-point Conigurar br o dr o nulo(0) dentro del router int f0/0 ip ospf priority 0 en r2 int f0/0 ip ospf priority 150---br y r3 forzar Dr int f0/0 ip ospf priority 255-----valor mas alto y este sera seleccionado como dr show ip ospf neighbor--- para ver cual es br dr RUTAS ESTATICAS IP ROUTE 172.16.4.0 255.255.255.0 172.16.4.130---IP SG SALTO Ipv6 route 2001:8db:acad:b:1/64 2001:8db:acad:b:2 SSH: username PABLO password DUOC ip domain-name xxx crypto key generate rsa 1024 ip ssh authentication-retries 3 ip ssh time-out 25 line vty 0 15 login local transport input ssh Configurar DHCP pool grupo de direcciones con nombre option 150 ip 172.16.0.100 ----tftp RT1(config)#ip dhcp excluded-address 172.16.0.1 ------ se excluye la de los gateway y los servidores si pusiste las redes aquí ya no es necesario hacerlos para las siguientes vlan RT1(config)#ip dhcp excluded-address 172.16.4.1 RT1(config)#ip dhcp excluded-address 10.0.0.9 RT1(config)#ip dhcp pool VLAN100----- grupo de direcciones con nombre RT1(dhcp-config) #default-router 172.16.0.1 ----- le damos el gateway de la vlan 100 RT1(dhcp-config)#dns-server 8.8.8.8 o 8.8.4.4 ---- una de las direcciones de google publicas RT1(dhcp-config) #network 172.16.0.0 255.255.252.0 --- le damos la red con su marcara luego en switch configuramos el mode trunk y el mode acces hacia las vlan en los seriales configuramos la redes y en el central le damos ospf mas su id ahora le damos el pool hacia el router que conecta el router RT4(config)#int g0/0 RT4(config-if)#no sh RT4(config-if)#ip address dhcp RT4(config-if)# %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0/0 assigned DHCP address 10.0.0.10, mask 255.255.255.252, hostname Router3 DHCP v6 autoconfiguracion Router(config)#hostname DHCP DHCP(config)#ipv6 dhcp pool STATELESS DHCP(config-dhcpv6)#domain-name cisco.cl DHCP(config-dhcpv6)#dns-server 2001:8db:acad:b::1 DHCP(config-dhcpv6)#do wr DHCP(config-dhcpv6)# DHCP(config-dhcpv6)#ex DHCP(config)#ipv6 unicast-routing DHCP(config)#int g0/1 DHCP(config-if)#ipv6 add 2001:8db:acad:a::1/64 DHCP(config-if)#ipv6 add FE80::1 link-local DHCP(config-if)#no sh DHCP(config-if)#ipv6 dhcp server STATELESS DHCP(config-if)#ipv6 nd other-config-flag ----- lo detecta con dhcp server STATELESS %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up DHCP STatefull RT3(config)#ipv6 dhcp pool cisco RT3(config-dhcpv6)#domain-name cisco.cl RT3(config-dhcpv6)#dns-server 2001:8db:acad:aaaa::1 RT3(config-dhcpv6)#prefix-delegation pool cisco lifetime 3600 3600 ---- tiempo de las vida de las ip con dhcp RT3(config)#ipv6 local pool cisco 2001:8db:acad:b::2/64 64 ---- le decimos que parta de la ip 2 y prefijo 64 RT3(config)#int g0/1 DHCP(config-if)#ipv6 add 2001:8db:acad:a::1/64 DHCP(config-if)#ipv6 add FE80::1 link-local RT3(config-if)#ipv6 dhcp server cisco RT3(config-if)#ipv6 nd managed-config-flag line console 0 logging synchronous---p ara que no se entrecorten los comandos VTP=virutal trunking protocol tiene modos SERVER - TRANSPARENTE (no aprende informacion de los server dejara la informacion pasar y no entrega las vlans pero debe estar presente) - CLIENTE switch x defecto modo server porque la conf de vtp esta relacionada con las vlan y en los unicos sw que configuro vlans son los server, en los otros no porque dependeria de los clientes y no habria necesidad de configurar las vlan eso lo haria el VTP Los sw aprenden entre servers VTP necesita dominio clave y la version primero SERVER(config)#vtp domain cisco.cl Changing VTP domain name from NULL to cisco.cl SERVER(config)#vtp password cisco Setting device VLAN database password to cisco SERVER(config)#vtp version 2 SERVER(config)#vtp mode server Device mode already VTP SERVER. luego mode trunk SERVER(config)#int range g0/1-2 SERVER(config-if-range)#sw SERVER(config-if-range)#switchport mo SERVER(config-if-range)#switchport mode trunk Switch(config)#hostname TRANSPARENTE TRANSPARENTE(config)#vtp domain cisco.cl Changing VTP domain name from NULL to cisco.cl TRANSPARENTE(config)#vtp password cisco Setting device VLAN database password to cisco TRANSPARENTE(config)#vtp version 2 TRANSPARENTE(config)#vtp mode transparent Setting device to VTP TRANSPARENT mode. SERVER(config-if-range)#switchport mode trunk Switch(config)#hostname CLIENTE CLIENTE(config)#vtp domain cisco.cl %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up Changing VTP domain name from NULL to cisco.cl CLIENTE(config)#vtp password cisco Setting device VLAN database password to cisco CLIENTE(config)#vtp version 2 CLIENTE(config)#vtp mode client Setting device to VTP CLIENT mode. sh vlan brief se debe aplicar el modo transparente primero en el sw correspondiente antes de los sw server y cliente "siempre" Los rangos de direcciones para utilizar con redes privadas son: Clase A: 10.0.0.0 a 10.255.255.255 Clase B: 172.16.0.0 a 172.31.255.255 Clase C: 192.168.0.0 a 192.168.255.255 Acces List standard Acces list standard 1-99---- puede volcar todo tipo de tráfico--- configura trabaja con origen se configura con el destino RT3(config)#access-list 1 deny 192.168.0.0 0.0.0.255 --- deniega el tráfico de esta red más su wildcard RT3(config)#access-list 1 permit any --- permite todo lo demas esta se antepone a lo anterior pero no lo niega RT3(config)#do wr Building configuration... [OK] RT3(config)#int s0/0/1 RT3(config-if)#ip access-group 1 in --- como es acces list standar se pone la interfaz de entrada acces list extendida 100-199 ---- trabaja con el destino y se configura en el origen R1(config)#access-list 100 deny tcp host 192.168.0.2 host 192.18.1.10 eq 80---denegamos el trafico dándole el host R1(config)#access-list 100 permit ip any any R1(config)#int g0/1 R1(config-if)#ip access-group 100 in Ej: icmp----protocolo ping no trabaja con puerto Tcp------ protocolo eq 80---puerto con el que trabaja tcp R1(config)#access-list 102 deny icmp host 192.168.0.2 host 192.168.1.10 R1(config)#int g0/1 R1(config-if)#ip access-group 102 in R1(config-if)#ex R1(config)#access-list 102 permit ip any any access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp ----para deshabilitar tftp access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp Acces-list ipv6 remark -- comentario denegar ftp ipv6 R1(config)#ipv6 access-list NO-FTP-SERVER R1(config-ipv6-acl)#remark deniega todo el trafico ftp hacia el server 30::10 R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 20 R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 21 R1(config-ipv6-acl)#permit ip any any R1(config-ipv6-acl)#do wr Building configuration... [OK] R1(config-ipv6-acl)# R1(config-ipv6-acl)#ex R1(config)#int g0/0 R1(config-if)#ipv6 traffic-filter NO-FTP-SERVER in R1(config)#ipv6 access-list NO-PING-SERVER R1(config-ipv6-acl)#remark deniega el ping al server 30::10 R1(config-ipv6-acl)#deny icmp any host 2001:8db:cafe:30::10 R1(config-ipv6-acl)#permit ip any any R1(config-ipv6-acl)#do wr Building configuration... [OK] R1(config-ipv6-acl)#ex R1(config)#int g0/1 R1(config-if)#ipv6 tr R1(config-if)#ipv6 traffic-filter NO-PING-SERVER in R1(config-if)#do wr Building configuration... [OK] R1(config-if)#ex R1(config)#ipv6 ac R1(config)#ipv6 access-list NO-HTTP-SERVER R1(config-ipv6-acl)#remar deniega el trafico http al server 30::10 R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 443 R1(config-ipv6-acl)#permit ip any any R1(config-ipv6-acl)#do wr Building configuration... [OK] R1(config-ipv6-acl)#ex R1(config)#int g0/1 R1(config-if)#ipv6 re R1(config-if)#ipv6 tr R1(config-if)#ipv6 traffic-filter NO-HTTP-SERVER in R1(config-if)#do wr Building configuration... [OK] R1(config-if)#ex R1(config)#ipv6 acc R1(config)#ipv6 access-list NO-HTTPS-SERVER R1(config-ipv6-acl)#re R1(config-ipv6-acl)#remark deniega el trafico https al server 30::10 R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 80 R1(config-ipv6-acl)#permit ip any any R1(config-ipv6-acl)#do wr Building configuration... [OK] R1(config-ipv6-acl)#ex R1(config)#int g0/1 R1(config-if)#ipv6 tr R1(config-if)#ipv6 traffic-filter NO-HTTPS-SERVER % Incomplete command. R1(config-if)#do wr Building configuration... [OK] Denegar ssh acces llist ipv6 C:\>ssh -l pablo 2001:8db:feed:2::2 ---- en los pc % Connection timed out; remote host not responding C:\> R1(config)#ipv6 access-list NO-SSH-R3 R1(config-ipv6-acl)#remark deniega el trafico ssh a router 3 30::10 R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:10::10 eq 22 R1(config-ipv6-acl)#do wr Building configuration... [OK] R1(config-ipv6-acl)#ex R1(config)#int s0/0/0 R1(config-if)#ipv6 trq R1(config-if)#ipv6 tr R1(config-if)#ipv6 traffic-filter NO-SSH-R3 out R1(config-if)# NAT= network address translation Direcciones privadas a publicas 3 tipos de NAT NAT estatico: Se ocupa siempre para servidores, va a ser de 1 a 1 osea que una dirección ip privada la vamos a transformar a una dirección pública. Se configura dónde está el servidor RT1(config)#ip nat inside source static 172.16.0.2 192.1.10.230 ---- transformamos la ip del pc a la última ip del servidor Lado inside son las lan`s (dirección ip que se va a traducir) y el outside la NAT osea lo que se va a traducir Nat inside RT1(config)#int g0/1 RT1(config-if)#ip nat inside RT1(config-if)#do wr Building configuration... [OK] Nat outside RT1(config-if)#ex RT1(config)#int s0/0/0 RT1(config-if)#ip nat outside RT1(config-if)#do wr Building configuration... RT1#sh ip nat tr ---- commando para saber si se tradujo Pro Inside global Inside local Outside local Outside global ---- Pro es el ping que le hicimos icmp 192.1.10.230:5 172.16.0.2:5 199.100.1.162:5 199.100.1.162:5 --- 192.1.10.230 172.16.0.2 --- --- RT1#debug ip nat ---- para que veamos los ping que hacemos IP NAT debugging is on RT1# NAT: s=172.16.0.2->192.1.10.230, d=199.100.1.162 [85] NAT*: s=199.100.1.162, d=192.1.10.230->172.16.0.2 [51] NAT: s=172.16.0.2->192.1.10.230, d=199.100.1.162 [86] Para desactivar RT1#undebug all All possible debugging has been turned off O otra opcion en no debug ip nat NAT Dinamico: Vamos a usar pool de direcciones no lo usaremos mucho (no lo vamos usar) Hay que crear un asl RT1(config)#access-list 1 permit 172.16.0.0 0.0.0.255---permitiremos la traduccion de toda la red Ahora el pool de direcciones a las que se traduciran RT1(config)#ip nat pool CISCO 191.1.10.227 191.1.10.228 netmask 255.255.255.248 Ahora le decimos que debe juntar las dos cosas para que se traduzcan las direcciones RT1(config)#ip nat inside source list 1 pool CISCO Comprobamos con debu ip all NAT: s=172.16.0.3->191.1.10.227, d=199.100.1.162 [9] NAT*: s=199.100.1.162, d=191.1.10.227->172.16.0.3 [59] NAT: s=172.16.0.4->191.1.10.228, d=199.100.1.162 [7] NAT*: s=199.100.1.162, d=191.1.10.228->172.16.0.4 [60] NAT x sobrecarga (PAT): port address translation Hay que borrar el dinámico para que sirva Se pueden sobrecargar tanto la interfaz con las ip RT1(config)#access-list 2 permit 172.16.0.0 0.0.0.255 RT1(config)#ip nat inside source list 2 interface serial 0/0/0 overload ---x sobrecarga interfaz Sobrecarga x ip RT1(config)#access-list 3 permit 172.16.0.0 0.0.0.255 RT1(config)#ip nat pool CISCO2 191.1.10.229 191.1.10.229 netmask 255.255.255.248 RT1(config)#ip nat inside source list 3 pool CISCO2 overload RT1(config)#do wr Building configuration... [OK] Acces web con nombres RMEL(config)#ip access-list extended ACCESS_WEB RMEL(config-ext-nacl)#deny tcp any host 200.1.1.20 eq 80 RMEL(config-ext-nacl)#permit ip any any RMEL(config-ext-nacl)#do wr Building configuration... [OK] RMEL(config-ext-nacl)#ex RMEL(config)#int g0/0.10 RMEL(config-subif)#ip access-group ACCESS_WEB in RMEL(config-subif)#do wr Building configuration... [OK] RMEL(config-subif)#ex Denegar ftp con nombres RSTG(config)#ip access-list extended ACCESS_FTP RSTG(config-ext-nacl)#deny tcp any RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 20 RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 21 RSTG(config-ext-nacl)#no deny tcp any host 200.1.1.30 eq 20 RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 21 RSTG(config-ext-nacl)#ip per RSTG(config-ext-nacl)#per RSTG(config-ext-nacl)#permit ip an RSTG(config-ext-nacl)#permit ip any an RSTG(config-ext-nacl)#permit ip any any RSTG(config-ext-nacl)#do wr Building configuration... [OK] RSTG(config-ext-nacl)#ex RSTG(config)#int g0/0.30 RSTG(config-subif)#ip ac RSTG(config-subif)#ip access-group ACCESS_FTP in RSTG(config-subif)#do wr Building configuration... [OK]