wikienre

User Tools

Site Tools

Trace:
start:cursos:cisco

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
start:cursos:cisco [2025/11/18 18:34] – [NAT] 192.168.10.1start:cursos:cisco [2025/12/04 16:15] (current) – [VPN] 192.168.10.1
Line 622: Line 622:
  
 Después, configuramos la vlan correspondiente, o el modo trunk. Después, configuramos la vlan correspondiente, o el modo trunk.
 +
 +==== Modo para una única VLAN ====
 +
 +Para configurar una interfaz o rango para que pueda acceder una única vlan, una vez dentro, tenemos que combinar dos comandos:
 +
 +```
 +Switch(config)#int range fa0/1-24
 +Switch(config-if-range)#switchport mode access
 +Switch(config-if-range)#switchport access vlan 10
 +```
 +
 +Cualquier otro escenario donde tenga que pasar tráfico de más de una VLAN por una interfaz, hay que poner la interfaz en modo trunk.
 +
  
 ==== Modo trunk ==== ==== Modo trunk ====
  
-Configurar una interfaz en modo trunk es muy sencillo, con una línea es suficiente:+La configuración básica de una interfaz en modo trunk es muy sencillaya que con una línea es suficiente:
  
 ``` ```
Line 633: Line 646:
  
 <note> <note>
-El modo trunk no significa "que pase todo", sino "que pasen todas las VLAN que tengo definidas en mi base de datos". Por ello, si tiene que pasar una VLAN que no está definida en el switch, aunque el interfaz esté en modo trunk, no pasará. Hay que crear la VLAN con `vlan X`, y ya está.+El modo trunk no significa "que pase todo", sino "que pasen todas las VLAN definidas en la base de datos". Por ello, si tiene que pasar la VLAN 10 y no está definida en el switch, aunque el interfaz esté en modo trunk, no pasará. Hay que crear la VLAN con `vlan 10`, y ya está.
 </note> </note>
-==== Modo para VLAN ==== 
  
-Para configurar una interfaz o rango, una vez dentro, tenemos que hacer dos cosas:+También podemos restringir las VLAN que pueden pasar por un interfaz en modo trunk:
  
 ``` ```
-Switch(config)#int fa0/1-24 +Switch(config)#int g1/0/22 
-Switch(config-if-range)#switchport mode access +Switch(config-if)#switchport mode trunk 
-Switch(config-if-range)#switchport access vlan 10+Switch(config-if)#switchport trunk allowed vlan 1,99
 ``` ```
  
 +En este caso, sólo pasarán las VLAN 1 y 99, y la 10 (si existe), no pasará.
 +
 +
 +=== Trunk native ===
 +
 +Por último, hay casos donde hay que etiquetar una interfaz trunk con una VLAN nativa ("native"). Si en el extremo del interfaz hay un dispositivo que, por sí mismo, no etiqueta el tráfico, este tráfico llegará a la interfaz y usará la vlan nativa por defecto, que es la 1, en lugar de la correspondiente a la ip del dispositivo. Para conseguir que ese dispositivo que no etiqueta, cuando envíe tráfico por el switch, este tráfico salga con la etiqueta correspondiente a la vlan (por ejemplo, la 20), hay que usar la siguiente técnica:
 +
 +```
 +Switch(config)#int g1/0/22
 +Switch(config-if)#switchport mode trunk
 +Switch(config-if)#switchport trunk native vlan 20
 +```
 +
 +De esta forma, le llega todo el tráfico. Si no tiene etiqueta, se asigna a la vlan 20.
 +
 +==== Switch de capa 3 (L3) ====
 +
 +Lo que hemos visto es para switch de capa 2, donde nos limitamos a esa capa (direcciones MAC) y no usamos enrutamiento a nivel ip (capa 3). Para esto, existen los switches L3, que combinan el número elevado de puertos (para poder conectar muchos dispositivos) con las capacidades de enrutamiento, combinando un switch "tradicional" con un router "tradicional". Esto quiere decir que las funcionalidades básicas de un router (enrutamiento, dhcp, etc) las puede realizar exactamente de la misma forma que un router.
 +
 +Para proporcionar enrutamiento entre VLAN, los switches L3 utilizan
 +SVIs. Los SVIs se configuran utilizando el mismo comando `interface
 +vlan vlan-id` utilizado para crear el SVI de administración en un switch de capa
 +2. Se debe crear un SVI de Capa 3 para cada una de las VLAN enrutables.
 +
 +En principio, la gestión de los puertos a nivel de capa 2 no supone ninguna diferencia respecto a un switch de capa 2. La diferencia surge cuando configuramos el switch L3 como un router. En packet tracer hay 2 modelos: el 3560-24PS y el 3650-24PS. La diferencia es que el primero tiene la mayoría de puertos FastEthernet, mientras que el segundo tiene mayoría de puertos GigabitEthernet (aunque siempre hay al menos un par de puertos gigabit).
 +
 +El switch L3 tiene por defecto la misma configuración que uno L2, es decir, que por defecto asume que los puertos van a ser "tipo switch". Si queremos asignar una dirección ip a un puerto, procederemos de la siguiente forma:
 +
 +```
 +Sw3(config)#int g0/1
 +Sw3(config-if)#no switchport
 +Sw3(config-if)#ip address 192.168.10.1 255.255.255.0
 +...
 +```
 +
 +Y ya ese interfaz está en "modo router".
 +
 +=== VLAN en L3 ===
 +
 +
 +Aunque la primera parte es igual que en L2 (es decir, tener todas las VLAN definidas en la base de datos del switch), hay diferencias en la gestión de VLAN. Si queremos asignar un ip al switch para que gestione la VLAN 10, se la asignamos al SVI:
 +
 +```
 +Sw3(config)#int vlan 10
 +Sw3(config-if)#no shutdown
 +Sw3(config-if)#ip address 192.168.10.1 255.255.255.0
 +...
 +```
 +
 +Aquí podemos definir un enrutado `ospf` o cualquier otra cosa relacionada con el enrutamiento que se hace en el interfaz de un router.
 +
 +<note warning>
 +En el packet tracer, se puede usar `ip ospf X area Y` en el SVI, pero no se persisten los cambios. Por ello, para que sean permanentes las redes definidas en el SVI, hay que poner las `network <wildmask>` correspondientes en la sección `router ospf X`.
 +</note>
 +
 +<note>Una vez definidas todas las funcionalidades de un router, hay que usar el comando `ip routing` para que entren en funcionamiento.
 +</note>
  
 ===== Listas de control de acceso (ACL) ===== ===== Listas de control de acceso (ACL) =====
  
 Las listas de control de acceso (ACL) sirven para permitir o denegar el tráfico por una interfaz de un dispositivo. Valen tanto para routers como para switches. Las listas de control de acceso (ACL) sirven para permitir o denegar el tráfico por una interfaz de un dispositivo. Valen tanto para routers como para switches.
 +
 +Por defecto, sin ninguna ACL todo el tráfico está permitido. Sin embargo, cuando se crea una ACL, al final de la misma, lleva implícita una denegación de todo el tráfico que pase por la interfaz en que se aplica, por lo que previamente hay que combinar todas las reglas para que el resultado sea el esperado.
  
 Las ACL pueden tener un número o un nombre. Cada ACL es un conjunto de ACEs (Access Control Entry) que permiten (`permit`) o deniegan (`deny`). También pueden tener un comentario (`remark`). Cada ACE se evalúa en el orden que se ha introducido, y cuando una ACE se cumple, el resto se ignoran. La ACE usa una wildmask para indicar la máscara de subred, y también puede usar la palabra `host` para indicar una única ip en lugar de la wildmask `0.0.0.0`. Las ACL pueden tener un número o un nombre. Cada ACL es un conjunto de ACEs (Access Control Entry) que permiten (`permit`) o deniegan (`deny`). También pueden tener un comentario (`remark`). Cada ACE se evalúa en el orden que se ha introducido, y cuando una ACE se cumple, el resto se ignoran. La ACE usa una wildmask para indicar la máscara de subred, y también puede usar la palabra `host` para indicar una única ip en lugar de la wildmask `0.0.0.0`.
  
-Por defecto, sin ninguna ACL todo el tráfico está permitido. Sin embargo, cuando se crea una ACL, al final de la misma, lleva implícita una denegación de todo el tráfico que pase por la interfaz en que se aplica, por lo que previamente hay que combinar todas las reglas para que el resultado sea el esperado. 
  
 Las ACL numéricas pueden crearse de dos formas: Las ACL numéricas pueden crearse de dos formas:
Line 722: Line 792:
  
  
-Las ACL se definen a nivel global, pero no entran en funcionamiento hasta que se aplican a un interfaz. Esto permite tener múltiples ACLs inactivas, para pruebas. Las .ACL existentes se pueden ver con `[do] show access-lists`, y también con la configuración global.+Las ACL se definen a nivel global, pero no entran en funcionamiento hasta que se aplican a un interfaz. Esto permite tener múltiples ACLs inactivas, para pruebas. Las ACL existentes se pueden ver con `[do] show access-lists`, y también con la configuración global.
  
 Para aplicar una ACL, tenemos que entrar primero en la interfaz que vaya a aplicarla.: Para aplicar una ACL, tenemos que entrar primero en la interfaz que vaya a aplicarla.:
Line 733: Line 803:
 ``` ```
  
-Usamos `ip access-group <nombre|num> [in|out]`, donde `in` o `out` indica si se va a aplicar con tráfico entrante o tráfico saliente. Lo normal es a la entrada.+Usamos `ip access-group <nombre|num> [in|out]`, donde se indica si se va a aplicar con tráfico entrante (`in`) o saliente (`out`). Lo normal es a la entrada.
 <note> <note>
 **IMPORTANTE**: Sólo puede haber una ACL por interfaz y sentido (`in`|`out`) **IMPORTANTE**: Sólo puede haber una ACL por interfaz y sentido (`in`|`out`)
Line 766: Line 836:
 Router(config)#ip dhcp pool VOZ Router(config)#ip dhcp pool VOZ
 Router(dhcp-config)#network 192.168.0.0 255.255.255.0 Router(dhcp-config)#network 192.168.0.0 255.255.255.0
-Router(dhcp-config)#option default-router 192.168.0.1 +Router(dhcp-config)#default-router 192.168.0.1 
-Router(dhcp-config)#option 150 192.168.0.1+Router(dhcp-config)#option 150 ip 192.168.0.1
 Router(dhcp-config)#exit Router(dhcp-config)#exit
 ``` ```
Line 793: Line 863:
 Router(config)#telephony-service Router(config)#telephony-service
 Router(config-telephony)#max-dn 2 Router(config-telephony)#max-dn 2
-Router(config-telephony)#mex-ephones 2+Router(config-telephony)#max-ephones 2
 Router(config-telephony)#ip source-address 192.168.0.1 port 2000 Router(config-telephony)#ip source-address 192.168.0.1 port 2000
 Router(config-telephony)#auto assign 1 to 2 Router(config-telephony)#auto assign 1 to 2
Line 836: Line 906:
 Router2(config-dial-peer)#codec g711ulaw Router2(config-dial-peer)#codec g711ulaw
 ``` ```
 +
 +===== VPN =====
 +
 +Dentro de lo que soporta packet tracer, tenemos dos opciones:
 +
 +  - Cifrado de la conexión directamente en el interfaz.
 +  - Cifrado de los datos que viajan en la conexión a través de un túnel.
 +
 +Las dos opciones tienen en común el cifrado mediante IPSec, pero difieren en la estructura, su complejidad y facilidad para gestionarlas. Por el uso que se hace de ambas en la realidad, además de permitir no redundar en explicaciones, las veremos en orden inverso.
 +
 +==== Conexión a través de túnel ====
 +
 +La conexión a través de túnel exige que previamente esté funcionando la conexión WAN, y sobre este funcionamiento, sin supeditarlo, se añade una conexión punto a punto con el otro extremo. Simplemente necesitamos asignar una red /30 a la conexión punto a punto en un rango privado, y establecer la comunicación a través de esta conexión. Esta conexión se genera a través de una interfaz virtual llamada `tunnel X`, y que puede manejarse básicamente como cualquier interfaz.
 +
 +En un extremo:
 +```
 +interface Tunnel0
 + ip address 10.10.10.2 255.255.255.252
 + tunnel source 64.100.13.2
 + tunnel destination 209.165.118.2
 + tunnel mode gre ip
 +```
 +
 +y en el otro
 +```
 +interface Tunnel0
 + ip address 10.10.10.1 255.255.255.252
 + tunnel source 209.165.118.2
 + tunnel destination 64.100.13.2
 + tunnel mode gre ip
 +```
 +
 +<note>En `tunnel source` se puede sustituir la ip del interfaz por el nombre de la interfaz.</note>
 +
 +Después, se puede usar una ruta estática apuntando a la red remota y el otro extremo del túnel como gateway:
 +
 +En el primer extremo (siendo la red remota 192.168.30.0/24):
 +
 +```
 +ip route 192.168.30.0 255.255.255.0 10.10.10.1
 +```
 +
 +Y en el segundo, para acceder a la 192.168.10.0/24:
 +
 +```
 +ip route 192.168.10.0 255.255.255.0 10.10.10.2
 +```
 +
 +Una vez hecho esto, desde cualquiera de las redes de ambos lados se puede acceder al otro lado.
 +
 +<note>**IMPORTANTE**: Principalmente de cara a packet tracer, la LAN al interior de cada extremo NO puede publicarse por OSPF, eigrp, etc.</note>
 +
 +==== Cifrado IPSec ====
 +
 +El cifrado IPSec requiere que el router (básicamente la serie 29xx) pueda incorporar el módulo de seguridad `securityk9`. Esto podemos verlo con el comando `show version` en modo admin:
 +
 +
 +```
 +R1#show version
 +----------------------------------------------------------------
 +Technology Technology-package Technology-package
 +  Current Type Next reboot
 +-----------------------------------------------------------------
 +ipbase ipbasek9 Permanent ipbasek9
 +security None None None
 +uc None None None
 +data None None None
 +```
 +
 +Para activar el módulo hay que seguir estos pasos:
 +
 +```
 +R1(config)# license boot module c2900 technology-package securityk9
 +R1(config)# end
 +R1# copy running-config startup-config
 +R1# reload
 +```
 +
 +Después de reiniciar, volvemos a comprobar con `show version`.
 +
 +```
 +R1#show version
 +----------------------------------------------------------------
 +Technology Technology-package Technology-package
 +  Current Type Next reboot
 +-----------------------------------------------------------------
 +ipbase ipbasek9 Permanent ipbasek9
 +security securityk9 Evaluation securityk9
 +uc None None None
 +data None None None
 +```
 +
 +Estos pasos hay que repetirlos con cada router que vaya a usar el cifrado.
 +
 +Ahora, tenemos los routers R1 y R2.
 +
 +Primero tenemos que crear una ACL para el "tráfico interesante" (el que será cifrado):
 +
 +```
 +R1(config)# access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
 +```
 +
 +```
 +R2(config)# access-list 110 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
 +```
 +
 +A continuación, los parámetros en fase 1 para cada router:
 +
 +```
 +R1(config)# crypto isakmp policy 10
 +R1(config-isakmp)# encryption aes
 +R1(config-isakmp)# authentication pre-share
 +R1(config-isakmp)# group 2
 +R1(config-isakmp)# exit
 +R1(config)# crypto isakmp key cisco address 209.165.118.2
 +```
 +
  
  
  
start/cursos/cisco.1763490861.txt.gz · Last modified: 2025/11/18 18:34 by 192.168.10.1