Differences

This shows you the differences between two versions of the page.

--- start:cursos:cisco [2025/11/27 17:23] – [Telefonía IP] 192.168.10.1
+++ start:cursos:cisco [2025/12/04 16:15] (current) – [VPN] 192.168.10.1
@@ Line 672: / Line 672: @@
 De esta forma, le llega todo el tráfico. Si no tiene etiqueta, se asigna a la vlan 20.
+==== Switch de capa 3 (L3) ====
+Lo que hemos visto es para switch de capa 2, donde nos limitamos a esa capa (direcciones MAC) y no usamos enrutamiento a nivel ip (capa 3). Para esto, existen los switches L3, que combinan el número elevado de puertos (para poder conectar muchos dispositivos) con las capacidades de enrutamiento, combinando un switch "tradicional" con un router "tradicional". Esto quiere decir que las funcionalidades básicas de un router (enrutamiento, dhcp, etc) las puede realizar exactamente de la misma forma que un router.
+Para proporcionar enrutamiento entre VLAN, los switches L3 utilizan
+SVIs. Los SVIs se configuran utilizando el mismo comando `interface
+vlan vlan-id` utilizado para crear el SVI de administración en un switch de capa
+. Se debe crear un SVI de Capa 3 para cada una de las VLAN enrutables.
+En principio, la gestión de los puertos a nivel de capa 2 no supone ninguna diferencia respecto a un switch de capa 2. La diferencia surge cuando configuramos el switch L3 como un router. En packet tracer hay 2 modelos: el 3560-24PS y el 3650-24PS. La diferencia es que el primero tiene la mayoría de puertos FastEthernet, mientras que el segundo tiene mayoría de puertos GigabitEthernet (aunque siempre hay al menos un par de puertos gigabit).
+El switch L3 tiene por defecto la misma configuración que uno L2, es decir, que por defecto asume que los puertos van a ser "tipo switch". Si queremos asignar una dirección ip a un puerto, procederemos de la siguiente forma:
+```
+Sw3(config)#int g0/1
+Sw3(config-if)#no switchport
+Sw3(config-if)#ip address 192.168.10.1 255.255.255.0
+...
+```
+Y ya ese interfaz está en "modo router".
+=== VLAN en L3 ===
+Aunque la primera parte es igual que en L2 (es decir, tener todas las VLAN definidas en la base de datos del switch), hay diferencias en la gestión de VLAN. Si queremos asignar un ip al switch para que gestione la VLAN 10, se la asignamos al SVI:
+```
+Sw3(config)#int vlan 10
+Sw3(config-if)#no shutdown
+Sw3(config-if)#ip address 192.168.10.1 255.255.255.0
+...
+```
+Aquí podemos definir un enrutado `ospf` o cualquier otra cosa relacionada con el enrutamiento que se hace en el interfaz de un router.
+<note warning>
+En el packet tracer, se puede usar `ip ospf X area Y` en el SVI, pero no se persisten los cambios. Por ello, para que sean permanentes las redes definidas en el SVI, hay que poner las `network <wildmask>` correspondientes en la sección `router ospf X`.
+</note>
+<note>Una vez definidas todas las funcionalidades de un router, hay que usar el comando `ip routing` para que entren en funcionamiento.
+</note>
 ===== Listas de control de acceso (ACL) =====
@@ Line 796: / Line 837: @@
 Router(dhcp-config)#network 192.168.0.0 255.255.255.0
 Router(dhcp-config)#default-router 192.168.0.1
-Router(dhcp-config)#option ip 150 192.168.0.1
+Router(dhcp-config)#option 150 ip 192.168.0.1
 Router(dhcp-config)#exit
 ```
@@ Line 822: / Line 863: @@
 Router(config)#telephony-service
 Router(config-telephony)#max-dn 2
-Router(config-telephony)#mex-ephones 2
+Router(config-telephony)#max-ephones 2
 Router(config-telephony)#ip source-address 192.168.0.1 port 2000
 Router(config-telephony)#auto assign 1 to 2
@@ Line 865: / Line 906: @@
 Router2(config-dial-peer)#codec g711ulaw
 ```
+===== VPN =====
+Dentro de lo que soporta packet tracer, tenemos dos opciones:
+  - Cifrado de la conexión directamente en el interfaz.
+  - Cifrado de los datos que viajan en la conexión a través de un túnel.
+Las dos opciones tienen en común el cifrado mediante IPSec, pero difieren en la estructura, su complejidad y facilidad para gestionarlas. Por el uso que se hace de ambas en la realidad, además de permitir no redundar en explicaciones, las veremos en orden inverso.
+==== Conexión a través de túnel ====
+La conexión a través de túnel exige que previamente esté funcionando la conexión WAN, y sobre este funcionamiento, sin supeditarlo, se añade una conexión punto a punto con el otro extremo. Simplemente necesitamos asignar una red /30 a la conexión punto a punto en un rango privado, y establecer la comunicación a través de esta conexión. Esta conexión se genera a través de una interfaz virtual llamada `tunnel X`, y que puede manejarse básicamente como cualquier interfaz.
+En un extremo:
+```
+interface Tunnel0
+ ip address 10.10.10.2 255.255.255.252
+ tunnel source 64.100.13.2
+ tunnel destination 209.165.118.2
+ tunnel mode gre ip
+```
+y en el otro
+```
+interface Tunnel0
+ ip address 10.10.10.1 255.255.255.252
+ tunnel source 209.165.118.2
+ tunnel destination 64.100.13.2
+ tunnel mode gre ip
+```
+<note>En `tunnel source` se puede sustituir la ip del interfaz por el nombre de la interfaz.</note>
+Después, se puede usar una ruta estática apuntando a la red remota y el otro extremo del túnel como gateway:
+En el primer extremo (siendo la red remota 192.168.30.0/24):
+```
+ip route 192.168.30.0 255.255.255.0 10.10.10.1
+```
+Y en el segundo, para acceder a la 192.168.10.0/24:
+```
+ip route 192.168.10.0 255.255.255.0 10.10.10.2
+```
+Una vez hecho esto, desde cualquiera de las redes de ambos lados se puede acceder al otro lado.
+<note>**IMPORTANTE**: Principalmente de cara a packet tracer, la LAN al interior de cada extremo NO puede publicarse por OSPF, eigrp, etc.</note>
+==== Cifrado IPSec ====
+El cifrado IPSec requiere que el router (básicamente la serie 29xx) pueda incorporar el módulo de seguridad `securityk9`. Esto podemos verlo con el comando `show version` en modo admin:
+```
+R1#show version
+----------------------------------------------------------------
+Technology	Technology-package 		Technology-package
+ 			Current		Type 		Next reboot
+-----------------------------------------------------------------
+ipbase		ipbasek9	Permanent	ipbasek9
+security	None		None		None
+uc 			None 		None 		None
+data 		None 		None 		None
+```
+Para activar el módulo hay que seguir estos pasos:
+```
+R1(config)# license boot module c2900 technology-package securityk9
+R1(config)# end
+R1# copy running-config startup-config
+R1# reload
+```
+Después de reiniciar, volvemos a comprobar con `show version`.
+```
+R1#show version
+----------------------------------------------------------------
+Technology	Technology-package 		Technology-package
+ 		Current		Type 		Next reboot
+-----------------------------------------------------------------
+ipbase		ipbasek9	Permanent	ipbasek9
+security	securityk9 	Evaluation 	securityk9
+uc 		None 		None 		None
+data 		None 		None 		None
+```
+Estos pasos hay que repetirlos con cada router que vaya a usar el cifrado.
+Ahora, tenemos los routers R1 y R2.
+Primero tenemos que crear una ACL para el "tráfico interesante" (el que será cifrado):
+```
+R1(config)# access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
+```
+```
+R2(config)# access-list 110 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
+```
+A continuación, los parámetros en fase 1 para cada router:
+```
+R1(config)# crypto isakmp policy 10
+R1(config-isakmp)# encryption aes
+R1(config-isakmp)# authentication pre-share
+R1(config-isakmp)# group 2
+R1(config-isakmp)# exit
+R1(config)# crypto isakmp key cisco address 209.165.118.2
+```