Subido por Cristóbal Alarcón Fabio

comandos ccna2

Anuncio
SWITCH:
Activar seguridad de puertos en switch
int range f0/1-24
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address 00E0.F976.DBD2---para ver la mac ipconfig /all en los pc
switchport port-security mac-address sticky
exit
hacemos ping y mac-address-table podremos ver las mac de los dispositivos
Crear vlans:
vlan 10
name ADMINISTRACION
vlan 20
name CONTABILIDAD
vlan 30
name USUARIO
exit
Ahora vamos a configurar los puertos de las estaciones de trabajos en la VLAN 20:---solo en las
vlans ya que el modo troncal permitira el trafico entre vlan y router
int f0/1 o int range f0/1-24
switchport mode access
switchport access vlan 20
switchport port-security
switchport nonegotiate
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address 00E0.F976.DBD2---para ver la mac ipconfig /all en los pc
MODO TRUNK----va netamente hacia el router o otros switches pero no hacia las vlans
int range f0/1-3
switchport mode trunk
switchport trunk native vlan 99
switchport trunk allowed vlan 40,50,60,70,99 ----van todas las vlans
no shut
Configurar una IP de gestion al SWITCH en la Vlan20 para poder acceder por TELNET y configurar
el equipo:
enable
configure terminal
interface vlan 99
ip address 192.168.10.254 255.255.255.0 (dirección ip preferible la más alejada + la máscara que
le vamos asignar)
no shutdown
MAS COMANDOS native vlan
SW1(config)#ip default-gateway 192.168.99.254
ROUTER:
En el router creamos una subinterfaz por cada VLAN transportada en el enlace trunk
VLAN NATIVA EN ROUTER
Creamos sub-interfaz int g0/0.99
encapsulation dot1Q 99 native
y en el router debe ir en todas las interfaces
Router(config)# interface f0/0.10
Router(config-if)# encapsulation dot1q 10
Router(config-if)# ip address 172.16.10.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# interface f0/0.20
Router(config-if)# encapsulation dot1q 20
Router(config-if)# ip address 172.16.20.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# interface f0/0.30
Router(config-if)# encapsulation dot1q 30
Router(config-if)# ip address 172.16.30.1 255.255.255.0
Router(config-if)# no shut
int f0/0
no shut
OSPF: estado de enlace protocolos de enrutamientos version 2 ipv4
primero router de la izquierdaa
router ospf 1
passive-interface g0/0 ------------------- las actualizaciones no llegan a esa interfaz o sea que no
necesitan las actualizaciones en este caso son las sub interfaces
passive-interface g0/0.10
passive-interface g0/0.20
network 10.10.10.0 0.0.0.3 area 0 ---- brazos conectados y se le resta la mascara de 32 bits con los
bits de la red
network 192.168.10.0 0.0.0.255 area 0
router-id 1.1.1.1
luego ctrl+Z
clear ip ospf process
y le damos yes
conf t
router id identificador de dispositivos de ospf
ospf v3
ipv6 unicast routing
ipv6 router opsf 50
router-id 1.1.1.1
passive-interface ---todas las subinterfaces
int s0/0/0
ipv6 add 2001:8db:acac:1::2/64
ipv6 ospf 50 area 0
ipv6 ospf hello o dead-interval
do wr
int f0/0.10-----dentro de todas las sub-interfaces
ipv6 ospf 50 are 0
RUTA X DEFECTO
ip route 0.0.0.0 0.0.0.0 s0/0/1---int salida o ip sig salto mejor ip sig salto
ISP(config)#ipv6 route ::/0 2003:8db:acac:3::2
router ospf 1
default-information originate---- va en el router que va hacia isp o salida de internet
LOOPBACK 0
int loopback 0
ip add 2.2.2.2 255.255.255.255 ------esto es dejar loopback con ID--la loppback es por si cae la ip
de red
dentrode router ospf 1
network 2.2.2.2 0.0.0.0 area 0----- se enruta loopback y su wild card
dentro del primer serial del router central:
Router(config)#int s0/0/0
Router(config-if)#ip ospf hello-interval 5----- deben estar igual en ambos extremos de router a
router
Router(config-if)#ip ospf dead-interval 20
Router(config-if)#ip ospf network point-to-point
Router(config-if)#bandwidth 1024----- da un valor para que calcule los anchos de bandas y por
donde se nvian los paquetes y juega con los valores de los seriales
Router(config-if)#ip ospf cost
fastethernet
--------es decir que un gigaethernet es mayor el costo que un
ahora configuramos el otro brazo serial conectado
Router(config-if)#int s0/0/1
Router(config-if)#ip ospf hello-interval 5
Router(config-if)#ip ospf dead-interval 20
Router(config-if)#ip ospf cost 1
Router(config-if)#bandwidth 512
Router(config-if)#ip ospf network point-to-point
Conigurar br o dr o nulo(0) dentro del router
int f0/0
ip ospf priority 0
en r2
int f0/0
ip ospf priority 150---br
y r3 forzar Dr
int f0/0
ip ospf priority 255-----valor mas alto y este sera seleccionado como dr
show ip ospf neighbor--- para ver cual es br dr
RUTAS ESTATICAS
IP ROUTE 172.16.4.0 255.255.255.0 172.16.4.130---IP SG SALTO
Ipv6 route 2001:8db:acad:b:1/64 2001:8db:acad:b:2
SSH:
username PABLO password DUOC
ip domain-name xxx
crypto key generate rsa
1024
ip ssh authentication-retries 3
ip ssh time-out 25
line vty 0 15
login local
transport input ssh
Configurar DHCP
pool grupo de direcciones con nombre
option 150 ip 172.16.0.100 ----tftp
RT1(config)#ip dhcp excluded-address 172.16.0.1 ------ se excluye la de los gateway y los servidores
si pusiste las redes aquí ya no es necesario hacerlos para las siguientes vlan
RT1(config)#ip dhcp excluded-address 172.16.4.1
RT1(config)#ip dhcp excluded-address 10.0.0.9
RT1(config)#ip dhcp pool VLAN100----- grupo de direcciones con nombre
RT1(dhcp-config) #default-router 172.16.0.1 ----- le damos el gateway de la vlan 100
RT1(dhcp-config)#dns-server 8.8.8.8 o 8.8.4.4 ---- una de las direcciones de google publicas
RT1(dhcp-config) #network 172.16.0.0 255.255.252.0 --- le damos la red con su marcara
luego en switch configuramos el mode trunk y el mode acces hacia las vlan
en los seriales configuramos la redes y en el central le damos ospf mas su id
ahora le damos el pool hacia el router que conecta el router
RT4(config)#int g0/0
RT4(config-if)#no sh
RT4(config-if)#ip address dhcp
RT4(config-if)#
%DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0/0 assigned DHCP address 10.0.0.10, mask
255.255.255.252, hostname Router3
DHCP v6 autoconfiguracion
Router(config)#hostname DHCP
DHCP(config)#ipv6 dhcp pool STATELESS
DHCP(config-dhcpv6)#domain-name cisco.cl
DHCP(config-dhcpv6)#dns-server 2001:8db:acad:b::1
DHCP(config-dhcpv6)#do wr
DHCP(config-dhcpv6)#
DHCP(config-dhcpv6)#ex
DHCP(config)#ipv6 unicast-routing
DHCP(config)#int g0/1
DHCP(config-if)#ipv6 add 2001:8db:acad:a::1/64
DHCP(config-if)#ipv6 add FE80::1 link-local
DHCP(config-if)#no sh
DHCP(config-if)#ipv6 dhcp server STATELESS
DHCP(config-if)#ipv6 nd other-config-flag ----- lo detecta con dhcp server STATELESS
%LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to up
DHCP STatefull
RT3(config)#ipv6 dhcp pool cisco
RT3(config-dhcpv6)#domain-name cisco.cl
RT3(config-dhcpv6)#dns-server 2001:8db:acad:aaaa::1
RT3(config-dhcpv6)#prefix-delegation pool cisco lifetime 3600 3600 ---- tiempo de las vida de las ip
con dhcp
RT3(config)#ipv6 local pool cisco 2001:8db:acad:b::2/64 64 ---- le decimos que parta de la ip 2 y
prefijo 64
RT3(config)#int g0/1
DHCP(config-if)#ipv6 add 2001:8db:acad:a::1/64
DHCP(config-if)#ipv6 add FE80::1 link-local
RT3(config-if)#ipv6 dhcp server cisco
RT3(config-if)#ipv6 nd managed-config-flag
line console 0
logging synchronous---p ara que no se entrecorten los comandos
VTP=virutal trunking protocol
tiene modos SERVER - TRANSPARENTE (no aprende informacion de los server dejara la
informacion pasar y no entrega las vlans pero debe estar presente) - CLIENTE
switch x defecto modo server porque la conf de vtp esta relacionada con las vlan y en los unicos
sw que configuro vlans son los server, en los otros no porque
dependeria de los clientes y no habria necesidad de configurar las vlan eso lo haria el VTP
Los sw aprenden entre servers
VTP necesita dominio
clave
y la version
primero
SERVER(config)#vtp domain cisco.cl
Changing VTP domain name from NULL to cisco.cl
SERVER(config)#vtp password cisco
Setting device VLAN database password to cisco
SERVER(config)#vtp version 2
SERVER(config)#vtp mode server
Device mode already VTP SERVER.
luego mode trunk
SERVER(config)#int range g0/1-2
SERVER(config-if-range)#sw
SERVER(config-if-range)#switchport mo
SERVER(config-if-range)#switchport mode trunk
Switch(config)#hostname TRANSPARENTE
TRANSPARENTE(config)#vtp domain cisco.cl
Changing VTP domain name from NULL to cisco.cl
TRANSPARENTE(config)#vtp password cisco
Setting device VLAN database password to cisco
TRANSPARENTE(config)#vtp version 2
TRANSPARENTE(config)#vtp mode transparent
Setting device to VTP TRANSPARENT mode.
SERVER(config-if-range)#switchport mode trunk
Switch(config)#hostname CLIENTE
CLIENTE(config)#vtp domain cisco.cl
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/2, changed state to up
Changing VTP domain name from NULL to cisco.cl
CLIENTE(config)#vtp password cisco
Setting device VLAN database password to cisco
CLIENTE(config)#vtp version 2
CLIENTE(config)#vtp mode client
Setting device to VTP CLIENT mode.
sh vlan brief
se debe aplicar el modo transparente primero en el sw correspondiente antes de los sw server y
cliente "siempre"
Los rangos de direcciones para utilizar con redes privadas son:
Clase A: 10.0.0.0 a 10.255.255.255
Clase B: 172.16.0.0 a 172.31.255.255
Clase C: 192.168.0.0 a 192.168.255.255
Acces List standard
Acces list standard 1-99---- puede volcar todo tipo de tráfico--- configura trabaja con origen se
configura con el destino
RT3(config)#access-list 1 deny 192.168.0.0 0.0.0.255 --- deniega el tráfico de esta red más su
wildcard
RT3(config)#access-list 1 permit any --- permite todo lo demas esta se antepone a lo anterior pero
no lo niega
RT3(config)#do wr
Building configuration...
[OK]
RT3(config)#int s0/0/1
RT3(config-if)#ip access-group 1 in --- como es acces list standar se pone la interfaz de entrada
acces list extendida 100-199 ---- trabaja con el destino y se configura en el origen
R1(config)#access-list 100 deny tcp host 192.168.0.2 host 192.18.1.10 eq 80---denegamos el
trafico dándole el host
R1(config)#access-list 100 permit ip any any
R1(config)#int g0/1
R1(config-if)#ip access-group 100 in
Ej: icmp----protocolo ping no trabaja con puerto
Tcp------ protocolo eq 80---puerto con el que trabaja tcp
R1(config)#access-list 102 deny icmp host 192.168.0.2 host 192.168.1.10
R1(config)#int g0/1
R1(config-if)#ip access-group 102 in
R1(config-if)#ex
R1(config)#access-list 102 permit ip any any
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp ----para deshabilitar tftp
access-list 101 permit udp host 10.1.1.2 host 172.16.1.1 eq tftp
Acces-list ipv6
remark -- comentario
denegar ftp ipv6
R1(config)#ipv6 access-list NO-FTP-SERVER
R1(config-ipv6-acl)#remark deniega todo el trafico ftp hacia el server 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 20
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 21
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#
R1(config-ipv6-acl)#ex
R1(config)#int g0/0
R1(config-if)#ipv6 traffic-filter NO-FTP-SERVER in
R1(config)#ipv6 access-list NO-PING-SERVER
R1(config-ipv6-acl)#remark deniega el ping al server 30::10
R1(config-ipv6-acl)#deny icmp any host 2001:8db:cafe:30::10
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int g0/1
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-PING-SERVER in
R1(config-if)#do wr
Building configuration...
[OK]
R1(config-if)#ex
R1(config)#ipv6 ac
R1(config)#ipv6 access-list NO-HTTP-SERVER
R1(config-ipv6-acl)#remar deniega el trafico http al server 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 443
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int g0/1
R1(config-if)#ipv6 re
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-HTTP-SERVER in
R1(config-if)#do wr
Building configuration...
[OK]
R1(config-if)#ex
R1(config)#ipv6 acc
R1(config)#ipv6 access-list NO-HTTPS-SERVER
R1(config-ipv6-acl)#re
R1(config-ipv6-acl)#remark deniega el trafico https al server 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:30::10 eq 80
R1(config-ipv6-acl)#permit ip any any
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int g0/1
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-HTTPS-SERVER
% Incomplete command.
R1(config-if)#do wr
Building configuration...
[OK]
Denegar ssh acces llist ipv6
C:\>ssh -l pablo 2001:8db:feed:2::2 ---- en los pc
% Connection timed out; remote host not responding
C:\>
R1(config)#ipv6 access-list NO-SSH-R3
R1(config-ipv6-acl)#remark deniega el trafico ssh a router 3 30::10
R1(config-ipv6-acl)#deny tcp any host 2001:8db:cafe:10::10 eq 22
R1(config-ipv6-acl)#do wr
Building configuration...
[OK]
R1(config-ipv6-acl)#ex
R1(config)#int s0/0/0
R1(config-if)#ipv6 trq
R1(config-if)#ipv6 tr
R1(config-if)#ipv6 traffic-filter NO-SSH-R3 out
R1(config-if)#
NAT= network address translation
Direcciones privadas a publicas
3 tipos de NAT
NAT estatico:
Se ocupa siempre para servidores, va a ser de 1 a 1 osea que una dirección ip privada la vamos a
transformar a una dirección pública.
Se configura dónde está el servidor
RT1(config)#ip nat inside source static 172.16.0.2 192.1.10.230 ---- transformamos la ip del pc a la
última ip del servidor
Lado inside son las lan`s (dirección ip que se va a traducir) y el outside la NAT osea lo que se va a
traducir
Nat inside
RT1(config)#int g0/1
RT1(config-if)#ip nat inside
RT1(config-if)#do wr
Building configuration...
[OK]
Nat outside
RT1(config-if)#ex
RT1(config)#int s0/0/0
RT1(config-if)#ip nat outside
RT1(config-if)#do wr
Building configuration...
RT1#sh ip nat tr ---- commando para saber si se tradujo
Pro Inside global Inside local Outside local Outside global ---- Pro es el ping que le hicimos
icmp 192.1.10.230:5 172.16.0.2:5 199.100.1.162:5 199.100.1.162:5
--- 192.1.10.230 172.16.0.2 --- ---
RT1#debug ip nat ---- para que veamos los ping que hacemos
IP NAT debugging is on
RT1#
NAT: s=172.16.0.2->192.1.10.230, d=199.100.1.162 [85]
NAT*: s=199.100.1.162, d=192.1.10.230->172.16.0.2 [51]
NAT: s=172.16.0.2->192.1.10.230, d=199.100.1.162 [86]
Para desactivar
RT1#undebug all
All possible debugging has been turned off
O otra opcion en no debug ip nat
NAT Dinamico:
Vamos a usar pool de direcciones no lo usaremos mucho (no lo vamos usar)
Hay que crear un asl
RT1(config)#access-list 1 permit 172.16.0.0 0.0.0.255---permitiremos la traduccion de toda la red
Ahora el pool de direcciones a las que se traduciran
RT1(config)#ip nat pool CISCO 191.1.10.227 191.1.10.228 netmask 255.255.255.248
Ahora le decimos que debe juntar las dos cosas para que se traduzcan las direcciones
RT1(config)#ip nat inside source list 1 pool CISCO
Comprobamos con debu ip all
NAT: s=172.16.0.3->191.1.10.227, d=199.100.1.162 [9]
NAT*: s=199.100.1.162, d=191.1.10.227->172.16.0.3 [59]
NAT: s=172.16.0.4->191.1.10.228, d=199.100.1.162 [7]
NAT*: s=199.100.1.162, d=191.1.10.228->172.16.0.4 [60]
NAT x sobrecarga (PAT): port address translation Hay que borrar el dinámico para que sirva
Se pueden sobrecargar tanto la interfaz con las ip
RT1(config)#access-list 2 permit 172.16.0.0 0.0.0.255
RT1(config)#ip nat inside source list 2 interface serial 0/0/0 overload ---x sobrecarga interfaz
Sobrecarga x ip
RT1(config)#access-list 3 permit 172.16.0.0 0.0.0.255
RT1(config)#ip nat pool CISCO2 191.1.10.229 191.1.10.229 netmask 255.255.255.248
RT1(config)#ip nat inside source list 3 pool CISCO2 overload
RT1(config)#do wr
Building configuration...
[OK]
Acces web con nombres
RMEL(config)#ip access-list extended ACCESS_WEB
RMEL(config-ext-nacl)#deny tcp any host 200.1.1.20 eq 80
RMEL(config-ext-nacl)#permit ip any any
RMEL(config-ext-nacl)#do wr
Building configuration...
[OK]
RMEL(config-ext-nacl)#ex
RMEL(config)#int g0/0.10
RMEL(config-subif)#ip access-group ACCESS_WEB in
RMEL(config-subif)#do wr
Building configuration...
[OK]
RMEL(config-subif)#ex
Denegar ftp con nombres
RSTG(config)#ip access-list extended ACCESS_FTP
RSTG(config-ext-nacl)#deny tcp any
RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 20
RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 21
RSTG(config-ext-nacl)#no deny tcp any host 200.1.1.30 eq 20
RSTG(config-ext-nacl)#deny tcp any host 200.1.1.30 eq 21
RSTG(config-ext-nacl)#ip per
RSTG(config-ext-nacl)#per
RSTG(config-ext-nacl)#permit ip an
RSTG(config-ext-nacl)#permit ip any an
RSTG(config-ext-nacl)#permit ip any any
RSTG(config-ext-nacl)#do wr
Building configuration...
[OK]
RSTG(config-ext-nacl)#ex
RSTG(config)#int g0/0.30
RSTG(config-subif)#ip ac
RSTG(config-subif)#ip access-group ACCESS_FTP in
RSTG(config-subif)#do wr
Building configuration...
[OK]
Descargar