Академический Документы
Профессиональный Документы
Культура Документы
Captulo 1: Introduccin
1.1. Introduccin
1.2. Objetivos
Captulo 2: Estado actual del tema a tratar
2.1. Introduccin a la red IP Multimedia de Adif
Captulo 3: Propuesta
Captulo 4: Desarrollo
4.1. Tabla de enrutamiento
4.2. Configuracin WAN
4.3. Enlaces Etherchannel
4.4. Configuracin ruteo entre VLANs
4.5. Configuracin rapid PVST
4.6. Configuracin OSPF
4.7. Configuracin Servidor DHCP
4.8. Habilitar SSH en Switch
4.9. Seguridad
4.10. Configuracin Routers Internet
4.11. Configuracin ACLs
Captulo 5: Pruebas
Captulo 6: Conclusiones
Captulo 1: Introduccin
1.1- Introduccin
1.2- Objetivos
Pgina 2 de 32
Crear enlaces Etherchannel
Configurar Ruteo entre VLANs
Crear ACLs estndar y extendidas
Aplicar criterios de seguridad
Pgina 3 de 32
Captulo 2: Estado actual del tema a tratar.
2.1- Introduccin a la Red IP Multimedia de Adif
Pgina 4 de 32
La conexin del equipamiento de servicios en las estaciones se realiza a
travs Nodos de Acceso, o Nodos de Nivel 3, que estn tambin
interconectados en anillo. Estando cada anillo de Nivel 3 conectado a 2
Nodos de Nivel 2 (Ver Fig.3).
Pgina 5 de 32
Los Nodos Regionales de Tercer Nivel que se encuentren en la misma
estacin que uno de Segundo Nivel se conectarn a este mediante una
conexin RJ45 Ethernet 100 BaseT. En el resto de estaciones se conectarn
al sistema de transmisin tambin a travs de Ethernet o de enlaces serie,
segn disponibilidad (ver Fig.4).
Debido a las largas distancias entre estaciones (nodos del anillo 3), es
necesario hacer uso de un sistema de transmisin PDH/SDH. De acuerdo
con la topologa real de ADIF, o bien se hace uso de enlaces serie
conectados al sistema de transmisin o de enlaces Ethernet.
En el caso de enlaces serie, se utilizar el protocolo ppp, mientras que en
los enlaces Ethernet el pppoe debido a la imposibilidad de lo enlaces
Ethernet de soportar ppp de forma nativa.
Como nodos de nivel 2 se usan los routers de la serie Catalyst WS-C6503-E.
Como nodos de nivel 3, se emplearn routers de la serie Cisco 2911.
Pgina 6 de 32
Captulo 3: Propuesta
Pgina 7 de 32
Este anillo se correspondera con la capa de acceso del modelo jerrquico de
tres niveles de Cisco.
Se corresponden con las distintas estaciones extendidas a lo largo del
territorio nacional y ofrecen los distintos servicios de explotacin ferroviaria.
Entre sus funciones estn la continuacin de control de acceso y polticas,
creacin de dominios de colisin separados (segmentacin), conectividad de
grupos de trabajo en la capa de distribucin .
La seccin sombreada de azul se corresponde con uno de los anillos de nivel
2. Su equivalente en le modelo jerrquico de Cisco sera la capa de
distribucin (ver Fig.7).
Pgina 8 de 32
Aqu adems se implementan las polticas de red, por ejemplo: ruteo,
access-list, etc.
La seccin sombreada de amarillo se corresponde finalmente con el anillo 1,
si bien, no es un anillo, se corresponde a una parte del mismo. Se tratara
de la capa de Ncleo del citado modelo de Cisco (Ver Fig.8).
Estara compuesto por switches multilayer de altas velocidades cuya funcin
principal es la de conmutar trfico tan rpido como sea posible, siempre
manteniendo unas condiciones de fiabilidad.
Pgina 9 de 32
Captulo 4: Desarrollo
4.1- Tabla de enrutamiento
MSCARA DE
DISPOSITIVO INTERFAZ DIRECCIN IP GATEWAY
SUBRED
PC 0 VLAN 10 Fa0 192.168.5.10 192.168.5.1 255.255.255.0
PC 1 VLAN 20 Fa0 192.168.9.10 192.168.9.1 255.255.255.0
PC 2 VLAN 30 Fa0 192.168.11.10 192.168.11.1 255.255.255.0
PC 3 VLAN 10 Fa0 192.168.5.11 192.168.5.1 255.255.255.0
PC 4 VLAN 20 Fa0 192.168.9.11 192.168.9.1 255.255.255.0
PC 5 VLAN 30 Fa0 192.168.11.11 192.168.11.1 255.255.255.0
Fa0 192.168.12.10 192.168.12.1 255.255.255.0
PC INTRA/INTERNET
SERVIDOR DNS: 192.168.2.2
Fa0 192.168.12.11 192.168.12.1 255.255.255.0
PC INTRANET
SERVIDOR DNS: 192.168.2.2
G0/2 192.168.12.1 - 255.255.255.0
N3_R_JAE_BEG01 G0/0 172.27.177.222 - 255.255.255.252
G0/1 172.27.177.225 - 255.255.255.252
G0/0 172.27.177.218 - 255.255.255.252
N3_R_JAE_JOD01
G0/1 172.27.177.221 - 255.255.255.252
G0/0 172.27.177.214 - 255.255.255.252
N3_R_JAE_QUE01
G0/1 172.27.177.217 - 255.255.255.252
G0/0 172.27.177.210 - 255.255.255.252
N3_R_JAE_HUE01
G0/1 172.27.177.213 - 255.255.255.252
G0/0 172.27.177.206 - 255.255.255.252
N3_R_GRA_ALA01
G0/1 172.27.177.209 - 255.255.255.252
G0/0 172.27.177.233 - 255.255.255.252
N3_R_JAE_TOR01
G0/1 172.27.177.230 - 255.255.255.252
G0/0 172.27.177.237 - 255.255.255.252
N3_R_JAE_GAR01
G0/1 172.27.177.234 - 255.255.255.252
G0/0 172.27.177.241 - 255.255.255.252
G0/1 172.27.177.238 - 255.255.255.252
G0/2.8 192.168.11.1 - 255.255.255.0
N3_R_JAE_PRO01
G0/2.10 192.168.6.1 - 255.255.255.0
G0/2.20 192.168.9.1 - 255.255.255.0
G0/2.60 10.10.25.1 - 255.255.255.0
G0/0 172.27.177.245 - 255.255.255.252
N3_R_JAE_LAR01
G0/1 172.27.177.242 - 255.255.255.252
G0/0 172.27.177.249 - 255.255.255.252
N3_R_GRA_CAB01
G0/1 172.27.177.246 - 255.255.255.252
G0/0 172.27.177.253 - 255.255.255.252
N3_R_GRA_PED01
G0/1 172.27.177.250 - 255.255.255.252
F0/0 172.27.177.229 - 255.255.255.252
F1/0 172.27.177.226 - 255.255.255.252
N2_R_JAE_LIN01
G2/0 172.27.177.201 - 255.255.255.252
G3/0 172.27.177.1 - 255.255.255.252
DISPOSITIVO INTERFA DIRECCIN IP GATEWAY MSCARA DE
Pgina 10 de 32
Z SUBRED
F0/0 172.27.177.254 - 255.255.255.252
F1/0 172.27.177.205 - 255.255.255.252
N2_R_GRA_MOR01
G2/0 172.27.177.202 - 255.255.255.252
G3/0 172.27.177.14 - 255.255.255.252
G0/0 172.27.50.13 - 255.255.255.252
N2_R_SEV01
G0/1 172.27.50.10 - 255.255.255.252
G0/0 172.27.50.9 - 255.255.255.252
N2_R_COR01
G0/1 172.27.50.6 - 255.255.255.252
G0/0 172.27.50.5 - 255.255.255.252
N2_R_MAD_ATO01 G0/1 172.27.50.2 - 255.255.255.252
G0/2 172.27.1.1 - 255.255.255.252
Fa0 DHCP 192.168.5.1 255.255.255.0
PC 0
SERVIDOR DNS: 192.168.2.2
Fa0 DHCP 192.168.5.1 255.255.255.0
PC 1
SERVIDOR DNS: 192.168.2.2
Fa0 DHCP 192.168.5.1 255.255.255.0
PC 2
SERVIDOR DNS: 192.168.2.2
SERVIDOR DNS Fa0 192.168.2.2 192.168.2.1 255.255.255.0
SERVIDOR CORREO Fa0 192.168.4.2 192.168.4.1 255.255.255.0
SERVIDOR INTERNET Fa0 212.58.124.26 212.58.124.25 255.255.255.0
INTRANET Fa0 192.168.3.2 192.168.3.1 255.255.255.0
F0/1 172.27.1.5 - 255.255.255.252
MLSW2
G0/2 172.27.1.2 - 255.255.255.252
F0/1 172.27.1.6 - 255.255.255.252
G0/1 172.27.1.18 - 255.255.255.252
G0/2 172.27.1.21 - 255.255.255.252
MLSW1 F0/5 192.168.2.1 - 255.255.255.0
F0/6 192.168.3.1 - 255.255.255.0
F0/7 192.168.4.1 - 255.255.255.0
F0/8 192.168.5.1 - 255.255.255.0
G0/0 212.58.124.25 - 255.255.255.0
R_INTERNET2
G0/1 172.27.1.22 - 255.255.255.252
G0/0 81.37.110.64 - 255.255.255.0
R_INTERNET1
G0/1 172.27.1.17 - 255.255.255.252
Pgina 11 de 32
4.2- Configuracin WAN
Pgina 12 de 32
La configuracin planteada en el libro es la siguiente:
RX(config):interface dialer 5
RX(config-if):ip address negotiated
RX(config-if):ip mtu 1492
RX(config-if):dialer pool 5
RX(config-if):ppp chap hostname customer2222
RX(config-if):ppp chap password ConnectMe
RX(config-if):no shutdown
RX(config):interface GigabitEthernet 0/0
RX(config-if):no ip address
RX(config-if):pppoe enable
RX(config-if):pppoe-client dial-pool-number 5
RX(config-if):no shutdown
Pgina 13 de 32
ello que slo necesita una direccin de red por cada grupo de enlaces
multilink.
Nota: Tampoco se ha podido implementar en la simulacin packet tracer el
uso de enlaces multilink. No obstante la configuracin sera:
RX(config):interface Multilink 1
RX(config-if):ip address 172.27.55.XXX 255.255.255.252
RX(config-if):ppp multilink
RX(config-if):ppp multilink group 1
Pgina 14 de 32
4.3- Enlaces Etherchannel
Pgina 15 de 32
SW-X(config-vlan)# exit
SW-X(config)#vlan 99
SW-X(config-vlan)#name NATIVE
SW-X(config-vlan)# exit
Lo siguiente es configurar las interfaces del SW-X que van a los PCs, y
debemos configurarlas en modo acceso y cada una con su VLAN:
SW-X(config)#interface fa0/5
SW-X(config-if)#switchport mode access
SW-X(config-if)#switchport access vlan 10
SW-X(config)#interface fa0/6
SW-X(config-if)#switchport mode access
SW-X(config-if)#switchport access vlan 20
SW-X(config)#interface fa0/7
SW-X(config-if)#switchport mode access
SW-X(config-if)#switchport access vlan 30
La configuracin es la misma en los Switch B y C.
Para el SW-B
SW-B(config)#interface range fa0/1-2
SW-B(config-if-range)#channel-group 1 mode active
Pgina 16 de 32
SW-B(config-if-range)#interface port-channel 1
SW-B(config-if)#switchport mode trunk
SW-B(config-if)#interface range fa0/3-4
SW-B(config-if-range)#channel-group 3 mode active
SW-B(config-if-range)#interface port-channel 3
SW-B(config-if)#switchport mode trunk
SW-B(config-if)#exit
Para el SW-A
SW-A(config)#interface range fa0/1-2
SW-A(config-if-range)#channel-group 2 mode active
SW-A(config-if-range)#interface port-channel 2
SW-A(config-if)#switchport mode trunk
SW-A(config-if)#interface range fa0/3-4
SW-A(config-if-range)#channel-group 3 mode active
SW-A(config-if-range)#interface port-channel 3
SW-A(config-if)#switchport mode trunk
SW-A(config-if)#exit
SW-A(config)#interface g0/1
SW-A(config-if)#no shutdown
SW-A(config-if)#switchport mode trunk
SW-A(config)#interface vlan 60
SW-A(config-if)#ip address 10.10.25.254 255.255.255.0
SW-A(config-if)#no shutdown
SW-C(config)#interface vlan 60
SW-C(config-if)#ip address 10.10.25.253 255.255.255.0
SW-C(config-if)#no shutdown
SW-B(config)#interface vlan 60
SW-B(config-if)#ip address 10.10.25.252 255.255.255.0
Pgina 17 de 32
SW-B(config-if)#no shutdown
N3_R_JAE_PRO01(config)#interface gi 0/2
N3_R_JAE_PRO01(config-if)#no shutdown
N3_R_JAE_PRO01(config-if)#interface gi 0/2.10
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 10
N3_R_JAE_PRO01(config-subif)#ip address 192.168.5.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#interface gi 0/2.20
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 20
N3_R_JAE_PRO01(config-subif)#ip address 192.168.9.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#interface gi 0/2.8
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 30
N3_R_JAE_PRO01(config-subif)#ip address 192.168.11.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#interface gi 0/2.60
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 60
N3_R_JAE_PRO01(config-subif)#ip address 10.10.25.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#exit
Pgina 18 de 32
SW-B(config)#spanning-tree mode rapid-pvst
SW-B(config)#spanning-tree vlan 10 root secondary
SW-B(config)#spanning-tree vlan 20 root secondary
SW-B(config)#spanning-tree vlan 30 root primary
SW-B(config)#spanning-tree vlan 60 root primary
SW-B(config)#spanning-tree vlan 99 root primary
Pgina 19 de 32
4.6- Configuracin OSPF
OSPF5 son las siglas de Open Shortest Path First (El camino ms corto
primero), un protocolo de encaminamiento jerrquico de pasarela interior o
IGP (Interior Gateway Protocol), que usa el algoritmo SmoothWall Dijkstra
enlace-estado (LSE - Link State Algorithm) para calcular la ruta idnea
entre dos nodos cualesquiera de un sistema autnomo.
Su medida de mtrica se denomina coste, y tiene en cuenta diversos
parmetros tales como el ancho de banda y la congestin de los enlaces.
OSPF construye adems una base de datos enlace-estado (link-state
database, LSDB) idntica en todos los routers de la zona.
Una red OSPF se puede descomponer en regiones (reas) ms pequeas.
Hay un rea especial llamada rea backbone que forma la parte central de
la red a la que se encuentran conectadas el resto de reas de la misma. Las
rutas entre las diferentes reas circulan siempre por el backbone, por lo
tanto todas las reas deben conectar con el backbone. Si no es posible
hacer una conexin directa con el backbone, se puede hacer un enlace
virtual entre redes.
Los routers (tambin conocidos como encaminadores) en el mismo dominio
de multidifusin o en el extremo de un enlace punto-a-punto forman
enlaces cuando se descubren los unos a los otros. En un segmento de red
Ethernet los routers eligen a un router designado (Designated Router, DR) y
un router designado secundario o de copia (Backup Designated Router,
BDR) que actan como hubs para reducir el trfico entre los diferentes
routers
Para el caso de estudio se ha designado el rea 1 correspondiente a la
totalidad del anillo de Nivel 3. Este rea conecta con el rea 0
correspondiente con los anillos de Nivel 1 y 2.
Vamos a configurar OSPF para tener conectividad entre todos los routers,
no vamos a hacer ningn enrutamiento esttico, slo dinmico.
En toda la red utilizaremos los siguientes valores:
Process ID 1
reas 0 y 1 (dependiendo del anillo en el que nos encontremos)
5
https://es.wikipedia.org/wiki/Open_Shortest_Path_First
Pgina 20 de 32
Anillo 3
La configuracin adoptada para cada uno de los nodos del anillo 3 es la
siguiente:
N3_R_XXX_XXX01(config)#router ospf 1
N3_R_XXX_XXX01(config-router)#network 172.27.177.XXX 0.0.0.3 area 1
N3_R_XXX_XXX01(config-router)#network 172.27.177.XXX 0.0.0.3 area 1
Anillo 2
La configuracin adoptada para cada uno de los nodos del anillo 2 es la
siguiente:
N2_R_XXX_XXX01(config)#router ospf 1
N2_R_XXX_XXX01(config-router)#network 172.27.50.XXX 0.0.0.3 area 0
N2_R_XXX_XXX01(config-router)#network 172.27.50.XXX 0.0.0.3 area 0
Anillo 1
La configuracin adoptada para cada uno de los nodos del anillo 1 es la
siguiente:
MLSWX (config)#router ospf 1
MLSWX (config-router)#network 172.27.1.XXX 0.0.0.3 area 0
MLSWX (config-router)#network 172.27.1.XXX 0.0.0.3 area 0
Pgina 21 de 32
Para la SEGURIDAD OSPF en cada interfaz se hace uso de la autenticacin
MD5:
NX_R_X_X01 (config)#interface GX/X
NX_R_X_X01 (config-if)# ip ospf message-digest-key 1 md5 ciscoOSPF
NX_R_X_X01 (config-if)# ip ospf authentication message-digest
Actualizaciones de enrutamiento
Pgina 22 de 32
4.7- Configuracin Servidor DHCP
Pgina 23 de 32
SW-A(config)#2048
SW-A(config)#username cisco password cisco
SW-A(config)#line vty 0 4
SW-A(config-line)#login local
SW-A(config-line)#transport input ssh
SW-A(config-line)#line vty 5 15
SW-A(config-line)#login local
SW-A(config-line)#transport input ssh
4.9- Seguridad
Pgina 24 de 32
restrict: [nombre_switch(config-if)#switchport port-security violation
restrict].
Para configurar el puerto como apagado (shutdown) y provocar que al
conectar un equipo que no este registrado en la tabla de direcciones mac,
este puerto se apague y se registre en los logs: switchport port-security
violation shutdown: [nombre_switch(config-if)#switchport port-security
violation shutdown].
Configurar el puerto como pegajoso (sticky): Para configurar el puerto como
sticky y provocar que el equipo adquiera la direccin mac del equipo
conectado a dicho puerto de manera automtica y aplique las reglas
configuradas con esta direccin mac, se utiliza el comando switchport port-
security mac-address sticky: [nombre_switch(config-if)#switchport port-
security mac-address sticky].
MLSW_1(config)#interface fa0/5
MLSW_1 (config-if)#switchport port-security
Pgina 25 de 32
MLSW_1 (config-if)#switchport port-security violation restrict
MLSW_1 (config-if)#switchport port-security maximum 2
MLSW_1 (config-if)#switchport port-security mac-address sticky
MLSW_1 (config-if)#
MLSW_1 (config-if)#interface fa0/6
MLSW_1 (config-if)#switchport port-security
MLSW_1 (config-if)#switchport port-security violation restrict
MLSW_1 (config-if)#switchport port-security maximum 2
MLSW_1 (config-if)#switchport port-security mac-address sticky
MLSW_1 (config-if)#
MLSW_1 (config-if)#interface fa0/7
MLSW_1 (config-if)#switchport port-security
MLSW_1 (config-if)#switchport port-security violation restrict
MLSW_1 (config-if)#switchport port-security maximum 2
MLSW_1 (config-if)#switchport port-security mac-address sticky
Pgina 26 de 32
por el contrario debe de advertirse la penalizacin sobre el acceso no
autorizado.
NR_X(config)#line console 0
NR_X (config-line)#password cisco
NR_X (config-line)#login
Se propone para el caso de estudio una configuracin con dos routers que
simulan el acceso a dos proveedores de servicios de internet(ISP) distintos.
Uno de los routers acta como proveedor principal y el otro como backup.
Cada proveedor tiene asignado una direccin pblica, por lo cual es
necesario que cada router haga uso de PAT para poder traducir las distintas
conexiones TCP y UDP hechas por los hosts de la red interna.
PAT, tambin conocido como NAT con sobrecarga, por tanto asigna a una ip
pblica muchas ip privadas. Estas ip privadas acceden a Internet utilizando
diferentes puertos.
Aqu la configuracin para el Router R_INTERNET1 que acta como la ruta
principal de ISP de Internet:
R_INTERNET1(config)#interface g0/1
R_INTERNET1(config-if)#description Link Salida a Internet
Pgina 27 de 32
R_INTERNET1(config-if)#ip address 172.27.1.17 255.255.255.252
R_INTERNET1(config-if)#ip nat inside
R_INTERNET1(config)#interface g0/0
R_INTERNET1(config-if)#description INTERNET OPERADOR 1
R_INTERNET1(config-if)#ip address 81.37.110.64 255.255.255.0
R_INTERNET1(config-if)#ip nat outsider
R_INTERNET2(config)#interface g0/0
R_INTERNET2(config-if)#description INTERNET OPERADOR 2
R_INTERNET2(config-if)#address 212.58.124.25 255.255.255.0
R_INTERNET2(config-if)#ip nat outside
R_INTERNET2(config)#interface g0/1
R_INTERNET2(config-if)#description Link Salida a Internet
R_INTERNET2(config-if)#ip address 172.27.1.22 255.255.255.252
R_INTERNET2(config-if)#ip ospf authentication message-digest
R_INTERNET2(config-if)# ip nat inside
Pgina 28 de 32
Configuracin rutas estticas a Internet en MultiLayerSwitch
Pgina 29 de 32
4.11- Configuracin ACLs
Pgina 30 de 32
Permitimos a PC INTR/INTER el acceso completo.
N2_R_JAE_LIN01(config-ext-nacl)#permit ip host 192.168.12.10 any
Pgina 31 de 32
Captulo 5: Pruebas
Pgina 32 de 32