Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Cristóbal Alarcón Fabio

comandos ccna2

Anuncio 
SWITCH:
Activar seguridad de puertos en switch
int range f0/1-24
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address 00E0.F976.DBD2---para ver la mac ipconfig /all en los pc
switchport port-security mac-address sticky
exit
hacemos ping y mac-address-table podremos ver las mac de los dispositivos
Crear vlans:
vlan 10
name ADMINISTRACION
vlan 20
name CONTABILIDAD
vlan 30
name USUARIO
exit
Ahora vamos a configurar los puertos de las estaciones de trabajos en la VLAN 20:---solo en las
vlans ya que el modo troncal permitira el trafico entre vlan y router
int f0/1 o int range f0/1-24
switchport mode access
switchport access vlan 20
switchport port-security
switchport nonegotiate
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address 00E0.F976.DBD2---para ver la mac ipconfig /all en los pc
MODO TRUNK----va netamente hacia el router o otros switches pero no hacia las vlans
int range f0/1-3
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 40,50,60,70,99 ----van todas las vlans
no shut
Configurar una IP de gestion al SWITCH en la Vlan20 para poder acceder por TELNET y configurar
el equipo:
enable
configure terminal
interface vlan 99
ip address 192.168.10.254 255.255.255.0 (dirección ip preferible la más alejada + la máscara que
le vamos asignar)
no shutdown
MAS COMANDOS native vlan
SW1(config)#ip default-gateway 192.168.99.254
ROUTER:
En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk
VLAN NATIVA EN ROUTER
Creamos sub-interfaz int g0/0.99
encapsulation dot1Q 99 native
y en el router debe ir en todas las interfaces
Router(config)# interface f0/0.10
Router(config-if)# encapsulation dot1q 10
Router(config-if)# ip address 172.16.10.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# interface f0/0.20
Router(config-if)# encapsulation dot1q 20
Router(config-if)# ip address 172.16.20.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# interface f0/0.30
Router(config-if)# encapsulation dot1q 30
Router(config-if)# ip address 172.16.30.1 255.255.255.0
Router(config-if)# no shut
int f0/0
no shut
OSPF: estado de enlace protocolos de enrutamientos version 2 ipv4
primero router de la izquierdaa
router ospf 1
passive-interface g0/0 ------------------- las actualizaciones no llegan a esa interfaz o sea que no
necesitan las actualizaciones en este caso son las sub interfaces
passive-interface g0/0.10
passive-interface g0/0.20
network 10.10.10.0 0.0.0.3 area 0 ---- brazos conectados y se le resta la mascara de 32 bits con los
bits de la red
network 192.168.10.0 0.0.0.255 area 0
router-id 1.1.1.1
luego ctrl+Z
clear ip ospf process
y le damos yes
conf t
router id identificador de dispositivos de ospf
ospf v3
ipv6 unicast routing
ipv6 router opsf 50
router-id 1.1.1.1
passive-interface ---todas las subinterfaces
int s0/0/0
ipv6 add 2001:8db:acac:1::2/64
ipv6 ospf 50 area 0
ipv6 ospf hello o dead-interval
do wr
int f0/0.10-----dentro de todas las sub-interfaces
ipv6 ospf 50 are 0
RUTA X DEFECTO
ip route 0.0.0.0 0.0.0.0 s0/0/1---int salida o ip sig salto mejor ip sig salto
ISP(config)#ipv6 route ::/0 2003:8db:acac:3::2
router ospf 1
default-information originate---- va en el router que va hacia isp o salida de internet
LOOPBACK 0
int loopback 0
ip add 2.2.2.2 255.255.255.255 ------esto es dejar loopback con ID--la loppback es por si cae la ip
de red
dentrode router ospf 1
network 2.2.2.2 0.0.0.0 area 0----- se enruta loopback y su wild card
dentro del primer serial del router central:
Router(config)#int s0/0/0
Router(config-if)#ip ospf hello-interval 5----- deben estar igual en ambos extremos de router a
router
Router(config-if)#ip ospf dead-interval 20
Router(config-if)#ip ospf network point-to-point
Router(config-if)#bandwidth 1024----- da un valor para que calcule los anchos de bandas y por
donde se nvian los paquetes y juega con los valores de los seriales
Router(config-if)#ip ospf cost
fastethernet
--------es decir que un gigaethernet es mayor el costo que un
ahora configuramos el otro brazo serial conectado
Router(config-if)#int s0/0/1
Router(config-if)#ip ospf hello-interval 5
Router(config-if)#ip ospf dead-interval 20
Router(config-if)#ip ospf cost 1
Router(config-if)#bandwidth 512
Router(config-if)#ip ospf network point-to-point
Conigurar br o dr o nulo(0) dentro del router
int f0/0
ip ospf priority 0
en r2
int f0/0
ip ospf priority 150---br
y r3 forzar Dr
int f0/0
ip ospf priority 255-----valor mas alto y este sera seleccionado como dr
show ip ospf neighbor--- para ver cual es br dr
RUTAS ESTATICAS
IP ROUTE 172.16.4.0 255.255.255.0 172.16.4.130---IP SG SALTO
Ipv6 route 2001:8db:acad:b:1/64 2001:8db:acad:b:2
SSH:
username PABLO password DUOC
ip domain-name xxx
crypto key generate rsa
1024
ip ssh authentication-retries 3
ip ssh time-out 25
line vty 0 15
login local
transport input ssh
Configurar DHCP
pool grupo de direcciones con nombre
option 150 ip 172.16.0.100 ----tftp
RT1(config)#ip dhcp excluded-address 172.16.0.1 ------ se excluye la de los gateway y los servidores
si pusiste las redes aquí ya no es necesario hacerlos para las siguientes vlan
RT1(config)#ip dhcp excluded-address 172.16.4.1
RT1(config)#ip dhcp excluded-address 10.0.0.9
RT1(config)#ip dhcp pool VLAN100----- grupo de direcciones con nombre
RT1(dhcp-config) #default-router 172.16.0.1 ----- le damos el gateway de la vlan 100
RT1(dhcp-config)#dns-server 8.8.8.8 o 8.8.4.4 ---- una de las direcciones de google publicas
RT1(dhcp-config) #network 172.16.0.0 255.255.252.0 --- le damos la red con su marcara
luego en switch configuramos el mode trunk y el mode acces hacia las vlan
en los seriales configuramos la redes y en el central le damos ospf mas su id
ahora le damos el pool hacia el router que conecta el router
RT4(config)#int g0/0
RT4(config-if)#no sh
RT4(config-if)#ip address dhcp
RT4(config-if)#
%DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0/0 assigned DHCP address 10.0.0.10, mask
255.255.255.252, hostname Router3
DHCP v6 autoconfiguracion
Router(config)#hostname DHCP
DHCP(config)#ipv6 dhcp pool STATELESS
DHCP(config-dhcpv6)#domain-name cisco.cl
DHCP(config-dhcpv6)#dns-server 2001:8db:acad:b::1
DHCP(config-dhcpv6)#do wr
DHCP(config-dhcpv6)#
DHCP(config-dhcpv6)#ex
DHCP(config)#ipv6 unicast-routing
DHCP(config)#int g0/1
DHCP(config-if)#ipv6 add 2001:8db:acad:a::1/64
DHCP(config-if)#ipv6 add FE80::1 link-local
DHCP(config-if)#no sh
DHCP(config-if)#ipv6 dhcp server STATELESS
DHCP(config-if)#ipv6 nd other-config-flag ----- lo detecta con dhcp server STATELESS
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
DHCP STatefull
RT3(config)#ipv6 dhcp pool cisco
RT3(config-dhcpv6)#domain-name cisco.cl
RT3(config-dhcpv6)#dns-server 2001:8db:acad:aaaa::1
RT3(config-dhcpv6)#prefix-delegation pool cisco lifetime 3600 3600 ---- tiempo de las vida de las ip
con dhcp
RT3(config)#ipv6 local pool cisco 2001:8db:acad:b::2/64 64 ---- le decimos que parta de la ip 2 y
prefijo 64
RT3(config)#int g0/1
DHCP(config-if)#ipv6 add 2001:8db:acad:a::1/64
DHCP(config-if)#ipv6 add FE80::1 link-local
RT3(config-if)#ipv6 dhcp server cisco
RT3(config-if)#ipv6 nd managed-config-flag
line console 0
logging synchronous---p ara que no se entrecorten los comandos
VTP=virutal trunking protocol
tiene modos SERVER - TRANSPARENTE (no aprende informacion de los server dejara la
informacion pasar y no entrega las vlans pero debe estar presente) - CLIENTE
switch x defecto modo server porque la conf de vtp esta relacionada con las vlan y en los unicos
sw que configuro vlans son los server, en los otros no porque
dependeria de los clientes y no habria necesidad de configurar las vlan eso lo haria el VTP
Los sw aprenden entre servers
VTP necesita dominio
clave
y la version
primero
SERVER(config)#vtp domain cisco.cl
Changing VTP domain name from NULL to cisco.cl
SERVER(config)#vtp password cisco
Setting device VLAN database password to cisco
SERVER(config)#vtp version 2
SERVER(config)#vtp mode server
Device mode already VTP SERVER.
luego mode trunk
SERVER(config)#int range g0/1-2
SERVER(config-if-range)#sw
SERVER(config-if-range)#switchport mo
SERVER(config-if-range)#switchport mode trunk
Switch(config)#hostname TRANSPARENTE
TRANSPARENTE(config)#vtp domain cisco.cl
Changing VTP domain name from NULL to cisco.cl
TRANSPARENTE(config)#vtp password cisco
Setting device VLAN database password to cisco
TRANSPARENTE(config)#vtp version 2
TRANSPARENTE(config)#vtp mode transparent
Setting device to VTP TRANSPARENT mode.
SERVER(config-if-range)#switchport mode trunk
Switch(config)#hostname CLIENTE
CLIENTE(config)#vtp domain cisco.cl
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up
Changing VTP domain name from NULL to cisco.cl
CLIENTE(config)#vtp password cisco
Setting device VLAN database password to cisco
CLIENTE(config)#vtp version 2
CLIENTE(config)#vtp mode client
Setting device to VTP CLIENT mode.
sh vlan brief
se debe aplicar el modo transparente primero en el sw correspondiente antes de los sw server y
cliente "siempre"
Los rangos de direcciones para utilizar con redes privadas son:
Clase A: 10.0.0.0 a 10.255.255.255
Clase B: 172.16.0.0 a 172.31.255.255
Clase C: 192.168.0.0 a 192.168.255.255
Acces List standard
Acces list standard 1-99---- puede volcar todo tipo de tráfico--- configura trabaja con origen se
configura con el destino
RT3(config)#access-list 1 deny 192.168.0.0 0.0.0.255 --- deniega el tráfico de esta red más su
wildcard
RT3(config)#access-list 1 permit any --- permite todo lo demas esta se antepone a lo anterior pero
no lo niega
RT3(config)#do wr
Building configuration...
[OK]
RT3(config)#int s0/0/1
RT3(config-if)#ip access-group 1 in --- como es acces list standar se pone la interfaz de entrada
acces list extendida 100-199 ---- trabaja con el destino y se configura en el origen
R1(config)#access-list 100 deny tcp host 192.168.0.2 host 192.18.1.10 eq 80---denegamos el
trafico dándole el host
R1(config)#access-list 100 permit ip any any
R1(config)#int g0/1
R1(config-if)#ip access-group 100 in
Ej: icmp----protocolo ping no trabaja con puerto
Tcp------ protocolo eq 80---puerto con el que trabaja tcp
R1(config)#access-list 102 deny icmp host 192.168.0.2 host 192.168.1.10
R1(config)#int g0/1
R1(config-if)#ip access-group 102 in
R1(config-if)#ex
R1(config)#access-list 102 permit ip any any
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp ----para deshabilitar tftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
Acces-list ipv6
remark -- comentario
denegar ftp ipv6
R1(config)#ipv6 access-list NO-FTP-SERVER
R1(config-ipv6-acl)#remark deniega todo el trafico ftp hacia el server 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 20
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 21
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#
R1(config-ipv6-acl)#ex
R1(config)#int g0/0
R1(config-if)#ipv6 traffic-filter NO-FTP-SERVER in
R1(config)#ipv6 access-list NO-PING-SERVER
R1(config-ipv6-acl)#remark deniega el ping al server 30::10
R1(config-ipv6-acl)#deny icmp any host 2001:8db:cafe:30::10
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int g0/1
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-PING-SERVER in
R1(config-if)#do wr
Building configuration...
[OK]
R1(config-if)#ex
R1(config)#ipv6 ac
R1(config)#ipv6 access-list NO-HTTP-SERVER
R1(config-ipv6-acl)#remar deniega el trafico http al server 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 443
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int g0/1
R1(config-if)#ipv6 re
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-HTTP-SERVER in
R1(config-if)#do wr
Building configuration...
[OK]
R1(config-if)#ex
R1(config)#ipv6 acc
R1(config)#ipv6 access-list NO-HTTPS-SERVER
R1(config-ipv6-acl)#re
R1(config-ipv6-acl)#remark deniega el trafico https al server 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 80
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int g0/1
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-HTTPS-SERVER
% Incomplete command.
R1(config-if)#do wr
Building configuration...
[OK]
Denegar ssh acces llist ipv6
C:\>ssh -l pablo 2001:8db:feed:2::2 ---- en los pc
% Connection timed out; remote host not responding
C:\>
R1(config)#ipv6 access-list NO-SSH-R3
R1(config-ipv6-acl)#remark deniega el trafico ssh a router 3 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:10::10 eq 22
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int s0/0/0
R1(config-if)#ipv6 trq
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-SSH-R3 out
R1(config-if)#
NAT= network address translation
Direcciones privadas a publicas
3 tipos de NAT
NAT estatico:
Se ocupa siempre para servidores, va a ser de 1 a 1 osea que una dirección ip privada la vamos a
transformar a una dirección pública.
Se configura dónde está el servidor
RT1(config)#ip nat inside source static 172.16.0.2 192.1.10.230 ---- transformamos la ip del pc a la
última ip del servidor
Lado inside son las lan`s (dirección ip que se va a traducir) y el outside la NAT osea lo que se va a
traducir
Nat inside
RT1(config)#int g0/1
RT1(config-if)#ip nat inside
RT1(config-if)#do wr
Building configuration...
[OK]
Nat outside
RT1(config-if)#ex
RT1(config)#int s0/0/0
RT1(config-if)#ip nat outside
RT1(config-if)#do wr
Building configuration...
RT1#sh ip nat tr ---- commando para saber si se tradujo
Pro Inside global Inside local Outside local Outside global ---- Pro es el ping que le hicimos
icmp 192.1.10.230:5 172.16.0.2:5 199.100.1.162:5 199.100.1.162:5
--- 192.1.10.230 172.16.0.2 --- ---
RT1#debug ip nat ---- para que veamos los ping que hacemos
IP NAT debugging is on
RT1#
NAT: s=172.16.0.2->192.1.10.230, d=199.100.1.162 [85]
NAT*: s=199.100.1.162, d=192.1.10.230->172.16.0.2 [51]
NAT: s=172.16.0.2->192.1.10.230, d=199.100.1.162 [86]
Para desactivar
RT1#undebug all
All possible debugging has been turned off
O otra opcion en no debug ip nat
NAT Dinamico:
Vamos a usar pool de direcciones no lo usaremos mucho (no lo vamos usar)
Hay que crear un asl
RT1(config)#access-list 1 permit 172.16.0.0 0.0.0.255---permitiremos la traduccion de toda la red
Ahora el pool de direcciones a las que se traduciran
RT1(config)#ip nat pool CISCO 191.1.10.227 191.1.10.228 netmask 255.255.255.248
Ahora le decimos que debe juntar las dos cosas para que se traduzcan las direcciones
RT1(config)#ip nat inside source list 1 pool CISCO
Comprobamos con debu ip all
NAT: s=172.16.0.3->191.1.10.227, d=199.100.1.162 [9]
NAT*: s=199.100.1.162, d=191.1.10.227->172.16.0.3 [59]
NAT: s=172.16.0.4->191.1.10.228, d=199.100.1.162 [7]
NAT*: s=199.100.1.162, d=191.1.10.228->172.16.0.4 [60]
NAT x sobrecarga (PAT): port address translation Hay que borrar el dinámico para que sirva
Se pueden sobrecargar tanto la interfaz con las ip
RT1(config)#access-list 2 permit 172.16.0.0 0.0.0.255
RT1(config)#ip nat inside source list 2 interface serial 0/0/0 overload ---x sobrecarga interfaz
Sobrecarga x ip
RT1(config)#access-list 3 permit 172.16.0.0 0.0.0.255
RT1(config)#ip nat pool CISCO2 191.1.10.229 191.1.10.229 netmask 255.255.255.248
RT1(config)#ip nat inside source list 3 pool CISCO2 overload
RT1(config)#do wr
Building configuration...
[OK]
Acces web con nombres
RMEL(config)#ip access-list extended ACCESS_WEB
RMEL(config-ext-nacl)#deny tcp any host 200.1.1.20 eq 80
RMEL(config-ext-nacl)#permit ip any any
RMEL(config-ext-nacl)#do wr
Building configuration...
[OK]
RMEL(config-ext-nacl)#ex
RMEL(config)#int g0/0.10
RMEL(config-subif)#ip access-group ACCESS_WEB in
RMEL(config-subif)#do wr
Building configuration...
[OK]
RMEL(config-subif)#ex
Denegar ftp con nombres
RSTG(config)#ip access-list extended ACCESS_FTP
RSTG(config-ext-nacl)#deny tcp any
RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 20
RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 21
RSTG(config-ext-nacl)#no deny tcp any host 200.1.1.30 eq 20
RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 21
RSTG(config-ext-nacl)#ip per
RSTG(config-ext-nacl)#per
RSTG(config-ext-nacl)#permit ip an
RSTG(config-ext-nacl)#permit ip any an
RSTG(config-ext-nacl)#permit ip any any
RSTG(config-ext-nacl)#do wr
Building configuration...
[OK]
RSTG(config-ext-nacl)#ex
RSTG(config)#int g0/0.30
RSTG(config-subif)#ip ac
RSTG(config-subif)#ip access-group ACCESS_FTP in
RSTG(config-subif)#do wr
Building configuration...
[OK]
Documentos relacionados
Manual de Comandos Básicos de Switches.
Manual de Comandos Básicos de Switches.
93 KB
93 KB
PRESENTACIÓN DE REDES LOCALES. • Concepto red LAN. (MAN
PRESENTACIÓN DE REDES LOCALES. • Concepto red LAN. (MAN
Laboratorio redes de Computadores - U. T. F. S. M.
Laboratorio redes de Computadores - U. T. F. S. M.
Apuntes GRE
Apuntes GRE
Software de Configuración EZ Config El software EZ
Software de Configuración EZ Config El software EZ
Guía de estudio para examen del tercer parcial 8vo
Guía de estudio para examen del tercer parcial 8vo
Configuracion De Listas de Acceso
Configuracion De Listas de Acceso
Entorno del laboratorio
Entorno del laboratorio
Tema: PPP (protocolo de punto a punto)
Tema: PPP (protocolo de punto a punto)
Descargar
Anuncio
Anuncio