INDICE

Captulo 1: Introduccin
1.1. Introduccin
1.2. Objetivos
Captulo 2: Estado actual del tema a tratar
2.1. Introduccin a la red IP Multimedia de Adif
Captulo 3: Propuesta
Captulo 4: Desarrollo
4.1. Tabla de enrutamiento
4.2. Configuracin WAN
4.3. Enlaces Etherchannel
4.4. Configuracin ruteo entre VLANs
4.5. Configuracin rapid PVST
4.6. Configuracin OSPF
4.7. Configuracin Servidor DHCP
4.8. Habilitar SSH en Switch
4.9. Seguridad
4.10. Configuracin Routers Internet
4.11. Configuracin ACLs
Captulo 5: Pruebas
Captulo 6: Conclusiones
Captulo 1: Introduccin
1.1- Introduccin

El presente proyecto se redacta con carcter de Trabajo de Fin de Curso,

para la obtencin por parte de quien lo suscribe del ttulo de Experto
Profesional en Configuracin y Administracin de Redes.
Se trata de una propuesta totalmente personal que surge de mi propia
necesidad, a fin de comprender la topologa actual de la red IP Multimedia
de Adif, e intentar poner en prctica el mayor nmero posible de conceptos
y destrezas adquiridos a lo largo del curso.
Aunque intenta sustentarse en la topologa e infraestructura real de Adif,
este proyecto y debido a la imposibilidad de conocer todos los detalles de la
misma, hace uso de una informacin combinada entre informacin real e
inventada.
He desarrollado este proyecto lo suficientemente complejo para que sirva
como Proyecto de Fin de Curso, no pretendiendo en ningn momento ser un
fiel reflejo de la realidad.

1.2- Objetivos

Con el objeto de poner en prctica los conocimientos adquiridos en los

mdulos 2, 3 y 4 del Cisco Certified Network Associate (CCNA), se propone
crear un modelo que simule una topologa jerrquica, y sobre ella aplicar
una serie de configuraciones a los equipos que la constituyen.
TAREAS A REALIZAR:
Aplicar el modelo jerrquico de 3 capas de Cisco
Configurar las interfaces de los routers
Configuracin WAN
Configurar un servidor con el servicio DHCP
Configurar los servidores con varios servicios, HTTP, DNS
Configurar el protocolo de enrutamiento OSPF, con dos reas.
Creacin de VLANs
Habilitar en Routers/Switch el servicio SSH
Configurar PVST+

Pgina 2 de 32
 Crear enlaces Etherchannel
Configurar Ruteo entre VLANs
Crear ACLs estndar y extendidas
Aplicar criterios de seguridad

Adems, se adjunta archivo de Packet Tracert con la topologa empleada.

Pgina 3 de 32
 Captulo 2: Estado actual del tema a tratar.
2.1- Introduccin a la Red IP Multimedia de Adif

Definicin Red IP Multimedia1: Es un conjunto de especificaciones que

describen la arquitectura de las redes de siguiente generacin, para
soportar telefona y servicios multimedia a travs de IP. Ms
concretamente, define un marco de trabajo y arquitectura base para trfico
de voz, datos, video, servicios e imgenes conjuntamente a travs de
infraestructura basada en el ruteo de paquetes a travs de direcciones IP
(Ver Fig.1).

Figura 1: Concepto de Red IP Multimedia 1

La topologa de red IP de Adif es una estructura jerrquica (Ver Fig.2)

clsica en 3 niveles (Troncal, Distribucin y Acceso), en la que cada nivel
est dividido en anillos independientes interconectados a travs de los
nodos de nivel superior.
Hay un anillo de Nivel 1 que une los Nodos Principales de la Red IP
Multimedia creando la Red Troncal de Comunicaciones. De este Anillo
Troncal (o de Nivel 1) cuelgan un nmero reducido de Anillos de
Distribucin, o de Nivel 2, que extienden la Red IP geogrficamente,
manteniendo todos los requerimientos de ancho de banda, calidad de
servicio y disponibilidad de la Red Troncal.
1
Formacin de Red para los operadores de ADIF ZONA SUR" de Infoglobal

Pgina 4 de 32
La conexin del equipamiento de servicios en las estaciones se realiza a
travs Nodos de Acceso, o Nodos de Nivel 3, que estn tambin
interconectados en anillo. Estando cada anillo de Nivel 3 conectado a 2
Nodos de Nivel 2 (Ver Fig.3).

Figura 2: Modelo Jerrquico de tres capas de Cisco.

Fuente:https://ipref.wordpress.com/2008/11/28/modelo-jerarquico-de-red/

Figura 3: Esquema general Red IP Multimedia. Fuente:" Formacin de Red para

los operadores de ADIF ZONA SUR" de Infoglobal

Los nodos de Nivel 2 se interconectan a los sistemas SDH mediante

convertidores de interfaz E3/Ethernet, donde es necesario y en el resto de
casos directamente en Ethernet.

Pgina 5 de 32
Los Nodos Regionales de Tercer Nivel que se encuentren en la misma
estacin que uno de Segundo Nivel se conectarn a este mediante una
conexin RJ45 Ethernet 100 BaseT. En el resto de estaciones se conectarn
al sistema de transmisin tambin a travs de Ethernet o de enlaces serie,
segn disponibilidad (ver Fig.4).
Debido a las largas distancias entre estaciones (nodos del anillo 3), es
necesario hacer uso de un sistema de transmisin PDH/SDH. De acuerdo
con la topologa real de ADIF, o bien se hace uso de enlaces serie
conectados al sistema de transmisin o de enlaces Ethernet.
En el caso de enlaces serie, se utilizar el protocolo ppp, mientras que en
los enlaces Ethernet el pppoe debido a la imposibilidad de lo enlaces
Ethernet de soportar ppp de forma nativa.
Como nodos de nivel 2 se usan los routers de la serie Catalyst WS-C6503-E.
Como nodos de nivel 3, se emplearn routers de la serie Cisco 2911.

Figura 4: Esquema general de la topologa real ADIF. Fuente:" Formacin de Red

para los operadores de ADIF ZONA SUR" de Infoglobal

Pgina 6 de 32
Captulo 3: Propuesta

Figura 5: Esquema general de la topologa propuesta.

Se propone una topologa de estudio (ver Fig.5), correspondiente a una

pequea porcin de la real comentada en el apartado anterior. Se muestra
un anillo de nivel 3 correspondiente a la seccin sombreada de color verde
(ver Fig.6)

Figura 6: Anillo de Nivel 3.

Pgina 7 de 32
Este anillo se correspondera con la capa de acceso del modelo jerrquico de
tres niveles de Cisco.
Se corresponden con las distintas estaciones extendidas a lo largo del
territorio nacional y ofrecen los distintos servicios de explotacin ferroviaria.
Entre sus funciones estn la continuacin de control de acceso y polticas,
creacin de dominios de colisin separados (segmentacin), conectividad de
grupos de trabajo en la capa de distribucin .
La seccin sombreada de azul se corresponde con uno de los anillos de nivel
2. Su equivalente en le modelo jerrquico de Cisco sera la capa de
distribucin (ver Fig.7).

Figura 7: Anillo de Nivel 2.

Esta capa es el medio de comunicacin entre la capa de acceso y el Ncleo.

Las funciones de esta capa son proveer ruteo, filtrado, acceso a la red WAN
y determinar que paquetes deben llegar al Ncleo. Adems, determina cul
es la manera ms rpida de responder a los requerimientos de red, por
ejemplo, cmo traer un archivo desde un servidor.

Pgina 8 de 32
Aqu adems se implementan las polticas de red, por ejemplo: ruteo,
access-list, etc.
La seccin sombreada de amarillo se corresponde finalmente con el anillo 1,
si bien, no es un anillo, se corresponde a una parte del mismo. Se tratara
de la capa de Ncleo del citado modelo de Cisco (Ver Fig.8).
Estara compuesto por switches multilayer de altas velocidades cuya funcin
principal es la de conmutar trfico tan rpido como sea posible, siempre
manteniendo unas condiciones de fiabilidad.

Figura 8: Implementacin parcial del Anillo de Nivel 1.

Pgina 9 de 32
 Captulo 4: Desarrollo
4.1- Tabla de enrutamiento

MSCARA DE
DISPOSITIVO INTERFAZ DIRECCIN IP GATEWAY
SUBRED
PC 0 VLAN 10 Fa0 192.168.5.10 192.168.5.1 255.255.255.0
PC 1 VLAN 20 Fa0 192.168.9.10 192.168.9.1 255.255.255.0
PC 2 VLAN 30 Fa0 192.168.11.10 192.168.11.1 255.255.255.0
PC 3 VLAN 10 Fa0 192.168.5.11 192.168.5.1 255.255.255.0
PC 4 VLAN 20 Fa0 192.168.9.11 192.168.9.1 255.255.255.0
PC 5 VLAN 30 Fa0 192.168.11.11 192.168.11.1 255.255.255.0
Fa0 192.168.12.10 192.168.12.1 255.255.255.0
PC INTRA/INTERNET
SERVIDOR DNS: 192.168.2.2
Fa0 192.168.12.11 192.168.12.1 255.255.255.0
PC INTRANET
SERVIDOR DNS: 192.168.2.2
G0/2 192.168.12.1 - 255.255.255.0
N3_R_JAE_BEG01 G0/0 172.27.177.222 - 255.255.255.252
G0/1 172.27.177.225 - 255.255.255.252
G0/0 172.27.177.218 - 255.255.255.252
N3_R_JAE_JOD01
G0/1 172.27.177.221 - 255.255.255.252
G0/0 172.27.177.214 - 255.255.255.252
N3_R_JAE_QUE01
G0/1 172.27.177.217 - 255.255.255.252
G0/0 172.27.177.210 - 255.255.255.252
N3_R_JAE_HUE01
G0/1 172.27.177.213 - 255.255.255.252
G0/0 172.27.177.206 - 255.255.255.252
N3_R_GRA_ALA01
G0/1 172.27.177.209 - 255.255.255.252
G0/0 172.27.177.233 - 255.255.255.252
N3_R_JAE_TOR01
G0/1 172.27.177.230 - 255.255.255.252
G0/0 172.27.177.237 - 255.255.255.252
N3_R_JAE_GAR01
G0/1 172.27.177.234 - 255.255.255.252
G0/0 172.27.177.241 - 255.255.255.252
G0/1 172.27.177.238 - 255.255.255.252
G0/2.8 192.168.11.1 - 255.255.255.0
N3_R_JAE_PRO01
G0/2.10 192.168.6.1 - 255.255.255.0
G0/2.20 192.168.9.1 - 255.255.255.0
G0/2.60 10.10.25.1 - 255.255.255.0
G0/0 172.27.177.245 - 255.255.255.252
N3_R_JAE_LAR01
G0/1 172.27.177.242 - 255.255.255.252
G0/0 172.27.177.249 - 255.255.255.252
N3_R_GRA_CAB01
G0/1 172.27.177.246 - 255.255.255.252
G0/0 172.27.177.253 - 255.255.255.252
N3_R_GRA_PED01
G0/1 172.27.177.250 - 255.255.255.252
F0/0 172.27.177.229 - 255.255.255.252
F1/0 172.27.177.226 - 255.255.255.252
N2_R_JAE_LIN01
G2/0 172.27.177.201 - 255.255.255.252
G3/0 172.27.177.1 - 255.255.255.252
DISPOSITIVO INTERFA DIRECCIN IP GATEWAY MSCARA DE

Pgina 10 de 32
 Z SUBRED
F0/0 172.27.177.254 - 255.255.255.252
F1/0 172.27.177.205 - 255.255.255.252
N2_R_GRA_MOR01
G2/0 172.27.177.202 - 255.255.255.252
G3/0 172.27.177.14 - 255.255.255.252
G0/0 172.27.50.13 - 255.255.255.252
N2_R_SEV01
G0/1 172.27.50.10 - 255.255.255.252
G0/0 172.27.50.9 - 255.255.255.252
N2_R_COR01
G0/1 172.27.50.6 - 255.255.255.252
G0/0 172.27.50.5 - 255.255.255.252
N2_R_MAD_ATO01 G0/1 172.27.50.2 - 255.255.255.252
G0/2 172.27.1.1 - 255.255.255.252
Fa0 DHCP 192.168.5.1 255.255.255.0
PC 0
SERVIDOR DNS: 192.168.2.2
Fa0 DHCP 192.168.5.1 255.255.255.0
PC 1
SERVIDOR DNS: 192.168.2.2
Fa0 DHCP 192.168.5.1 255.255.255.0
PC 2
SERVIDOR DNS: 192.168.2.2
SERVIDOR DNS Fa0 192.168.2.2 192.168.2.1 255.255.255.0
SERVIDOR CORREO Fa0 192.168.4.2 192.168.4.1 255.255.255.0
SERVIDOR INTERNET Fa0 212.58.124.26 212.58.124.25 255.255.255.0
INTRANET Fa0 192.168.3.2 192.168.3.1 255.255.255.0
F0/1 172.27.1.5 - 255.255.255.252
MLSW2
G0/2 172.27.1.2 - 255.255.255.252
F0/1 172.27.1.6 - 255.255.255.252
G0/1 172.27.1.18 - 255.255.255.252
G0/2 172.27.1.21 - 255.255.255.252
MLSW1 F0/5 192.168.2.1 - 255.255.255.0
F0/6 192.168.3.1 - 255.255.255.0
F0/7 192.168.4.1 - 255.255.255.0
F0/8 192.168.5.1 - 255.255.255.0
G0/0 212.58.124.25 - 255.255.255.0
R_INTERNET2
G0/1 172.27.1.22 - 255.255.255.252
G0/0 81.37.110.64 - 255.255.255.0
R_INTERNET1
G0/1 172.27.1.17 - 255.255.255.252

Pgina 11 de 32
 4.2- Configuracin WAN

Tal y como se ha comentado en el apartado de introduccin a la red IP

multimedia de ADIF, las largas distancias entre estaciones se consiguen
salvar gracias a los sistemas de transmisin PDH/SDH. La conexin a estos
sistemas se har bien por enlaces serie o por enlaces ethernet. En el caso
de enlaces serie, se utilizar el protocolo ppp, mientras que en los enlaces
Ethernet el pppoe debido a la imposibilidad de lo enlaces Ethernet de
soportar ppp de forma nativa.

Definicin Protocolo Punto-a-Punto (PPP)2:Ppp, es un protocolo de

nivel de enlace de datos comnmente usado para establecer una conexin
directa entre dos nodos de una red de computadoras. Puede proveer
autentificacin de conexin, cifrado de, y compresin.
PPP es usado en varios tipos de redes fsicas, incluyendo: cable serial, lnea
telefnica, lnea troncal, telefona celular, especializado en enlace de radio y
enlace de fibra ptica como SONET.

Definicin PPPoE3 (Point-to-Point Protocol over Ethernet o

Protocolo Punto a Punto sobre Ethernet): PPPoe es un protocolo de red
para la encapsulacin PPP sobre una capa de Ethernet. Es utilizada
mayoritariamente para proveer conexin de banda ancha mediante servicios
de cable mdem y DSL. Este ofrece las ventajas del protocolo PPP como son
la autenticacin, cifrado, mantencin y compresin. En esencia, es un
protocolo, que permite implementar una capa IP sobre una conexin entre
dos puertos Ethernet, pero con las caractersticas de software del protocolo
PPP, por lo que es utilizado para virtualmente "marcar" a otra mquina
dentro de la red Ethernet, logrando una conexin "serial" con ella, con la
que se pueden transferir paquetes IP, basado en las caractersticas del
protocolo PPP.

(Nota: Debido a las limitaciones de la herramienta Packet Tracert, no se ha

podido seguir la implementacin del captulo 6 del Mdulo CCNA 4, sobre
configuracin de PPPoe, en el ejemplo prctico)
2
https://es.wikipedia.org/wiki/Point-to-Point_Protocol
3
https://es.wikipedia.org/wiki/PPPoE

Pgina 12 de 32
La configuracin planteada en el libro es la siguiente:

RX(config):interface dialer 5
RX(config-if):ip address negotiated
RX(config-if):ip mtu 1492
RX(config-if):dialer pool 5
RX(config-if):ppp chap hostname customer2222
RX(config-if):ppp chap password ConnectMe
RX(config-if):no shutdown
RX(config):interface GigabitEthernet 0/0
RX(config-if):no ip address
RX(config-if):pppoe enable
RX(config-if):pppoe-client dial-pool-number 5
RX(config-if):no shutdown

No obstante cabe mencionar que para simular estas distancias se ha

empleado una nube junto con un modem dsl, aunque no se haya realizado
configuracin adicional alguna como se muestra en la Fig.9.

Figura 9: Configuracin WAN en simulacin Packet Tracert.

En aquellos casos en los que el sistema de transmisin no permite el uso de

conexiones Ethernet, se usan enlaces Multilink PPP entre los nodos de nivel
3 de estaciones, para balancear la carga, y aumentar la disponibilidad de los
enlaces. Ya que si un enlace individual falla, Multilink PPP puede detectar el
fallo automticamente y retirar ese enlace. Cuando el enlace vuelva a estar
operativo, se reinserta de nuevo sin necesidad de configuracin adicional.
Al trabajar en la capa de enlace, no necesita re-configuracin en la capa de
red. Ya que aparece como un enlace lgico a las capas superiores, es por

Pgina 13 de 32
ello que slo necesita una direccin de red por cada grupo de enlaces
multilink.
Nota: Tampoco se ha podido implementar en la simulacin packet tracer el
uso de enlaces multilink. No obstante la configuracin sera:

RX(config):interface Multilink 1
RX(config-if):ip address 172.27.55.XXX 255.255.255.252
RX(config-if):ppp multilink
RX(config-if):ppp multilink group 1

RX(config):interface serial 0/1/0

RX(config-if):no ip address
RX(config-if):encapsulation ppp
RX(config-if):ppp multilink
RX(config-if):ppp multilink group 1

RX(config):interface serial 0/1/1

RX(config-if):no ip address
RX(config-if):encapsulation ppp
RX(config-if):ppp multilink
RX(config-if):ppp multilink group 1

Pgina 14 de 32
4.3- Enlaces Etherchannel

Figura 10: Configuracin Etherchannel en simulacin Packet Tracert.

Una vez configurados los PCs del PC 0 al PC 5 VLAN-X, configuramos los

Switch A,B Y C, que se configuran exactamente igual.
Creamos los nombres de las VLANs
SW-X(config)#vlan 10
SW-X(config-vlan)#name TELEMANDO
SW-X(config-vlan)#exit
SW-X(config)#vlan 20
SW-X(config-vlan)#name GRABADORAS
SW-X(config-vlan)#exit
SW-X(config)#vlan 30
SW-X(config-vlan)#name VIDEOCAMARAS
SW-X(config-vlan)# exit
SW-X(config)#vlan 60
SW-X(config-vlan)#name SVI

Pgina 15 de 32
SW-X(config-vlan)# exit
SW-X(config)#vlan 99
SW-X(config-vlan)#name NATIVE
SW-X(config-vlan)# exit

Lo siguiente es configurar las interfaces del SW-X que van a los PCs, y
debemos configurarlas en modo acceso y cada una con su VLAN:

SW-X(config)#interface fa0/5
SW-X(config-if)#switchport mode access
SW-X(config-if)#switchport access vlan 10
SW-X(config)#interface fa0/6
SW-X(config-if)#switchport mode access
SW-X(config-if)#switchport access vlan 20
SW-X(config)#interface fa0/7
SW-X(config-if)#switchport mode access
SW-X(config-if)#switchport access vlan 30
La configuracin es la misma en los Switch B y C.

Ahora configuramos los etherchannel:

Para el SW-C
SW-C(config)#interface range fa0/3-4
SW-C(config-if-range)#channel-group 1 mode active
SW-C(config-if-range)#interface port-channel 1
SW-C(config-if)#switchport mode trunk

SW-C(config-if)#interface range fa0/1-2

SW-C(config-if-range)#channel-group 2 mode active
SW-C(config-if-range)#interface port-channel 2
SW-C(config-if)#switchport mode trunk
SW-C(config-if)#exit

Para el SW-B
SW-B(config)#interface range fa0/1-2
SW-B(config-if-range)#channel-group 1 mode active

Pgina 16 de 32
SW-B(config-if-range)#interface port-channel 1
SW-B(config-if)#switchport mode trunk
SW-B(config-if)#interface range fa0/3-4
SW-B(config-if-range)#channel-group 3 mode active
SW-B(config-if-range)#interface port-channel 3
SW-B(config-if)#switchport mode trunk
SW-B(config-if)#exit

Para el SW-A
SW-A(config)#interface range fa0/1-2
SW-A(config-if-range)#channel-group 2 mode active
SW-A(config-if-range)#interface port-channel 2
SW-A(config-if)#switchport mode trunk
SW-A(config-if)#interface range fa0/3-4
SW-A(config-if-range)#channel-group 3 mode active
SW-A(config-if-range)#interface port-channel 3
SW-A(config-if)#switchport mode trunk
SW-A(config-if)#exit

SW-A(config)#interface g0/1
SW-A(config-if)#no shutdown
SW-A(config-if)#switchport mode trunk

Esta interfaz debe permitir el acceso a todas la VLANs configuradas

anteriormente, por eso debe ser una interfaz en modo troncal.
Tambin configuramos la VLAN nativa, en este caso la 99.

SW-A(config)#interface vlan 60
SW-A(config-if)#ip address 10.10.25.254 255.255.255.0
SW-A(config-if)#no shutdown
SW-C(config)#interface vlan 60
SW-C(config-if)#ip address 10.10.25.253 255.255.255.0
SW-C(config-if)#no shutdown
SW-B(config)#interface vlan 60
SW-B(config-if)#ip address 10.10.25.252 255.255.255.0

Pgina 17 de 32
 SW-B(config-if)#no shutdown

SW-X(config)#ip default-gateway 10.10.25.1 en los tres switches.

4.4- Configuracin Ruteo entre VLANs

N3_R_JAE_PRO01(config)#interface gi 0/2
N3_R_JAE_PRO01(config-if)#no shutdown
N3_R_JAE_PRO01(config-if)#interface gi 0/2.10
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 10
N3_R_JAE_PRO01(config-subif)#ip address 192.168.5.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#interface gi 0/2.20
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 20
N3_R_JAE_PRO01(config-subif)#ip address 192.168.9.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#interface gi 0/2.8
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 30
N3_R_JAE_PRO01(config-subif)#ip address 192.168.11.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#interface gi 0/2.60
N3_R_JAE_PRO01(config-subif)#encapsulation dot1q 60
N3_R_JAE_PRO01(config-subif)#ip address 10.10.25.1 255.255.255.0
N3_R_JAE_PRO01(config-subif)#exit

4.5- Configuracin rapid PVST

PVST4 (Per VLAN Spanning Tree), es un protocolo estndar de Cisco, que se

utiliza para configurar STP en VLANs distintas dentro de un switch.
Este protocolo mantiene una instancia de spanning-tree para cada VLAN
configurada en la red. Utiliza el protocolo de enlace troncal ISL propiedad de
Cisco que permite que un enlace troncal de la VLAN se encuentre en estado
de enviar para algunas VLAN y en estado de bloqueo para otras.
Debido a que PVST trata a cada VLAN como una red independiente, puede
balancear la carga de trfico de la Capa 2 mediante el envo de algunas
VLAN de un enlace troncal y otras de otro enlace troncal sin generar bucles.
4
https://es.wikipedia.org/wiki/PVST

Pgina 18 de 32
SW-B(config)#spanning-tree mode rapid-pvst
SW-B(config)#spanning-tree vlan 10 root secondary
SW-B(config)#spanning-tree vlan 20 root secondary
SW-B(config)#spanning-tree vlan 30 root primary
SW-B(config)#spanning-tree vlan 60 root primary
SW-B(config)#spanning-tree vlan 99 root primary

SW-C(config)#spanning-tree mode rapid-pvst

SW-C(config)#spanning-tree vlan 10 root primary
SW-C(config)#spanning-tree vlan 20 root primary
SW-C(config)#spanning-tree vlan 30 root secondary
SW-C(config)#spanning-tree vlan 60 root secondary
SW-C(config)#spanning-tree vlan 99 root secondary
SW-C(config)#

SW-A(config)#spanning-tree mode rapid-pvst

Pgina 19 de 32
 4.6- Configuracin OSPF

OSPF5 son las siglas de Open Shortest Path First (El camino ms corto
primero), un protocolo de encaminamiento jerrquico de pasarela interior o
IGP (Interior Gateway Protocol), que usa el algoritmo SmoothWall Dijkstra
enlace-estado (LSE - Link State Algorithm) para calcular la ruta idnea
entre dos nodos cualesquiera de un sistema autnomo.
Su medida de mtrica se denomina coste, y tiene en cuenta diversos
parmetros tales como el ancho de banda y la congestin de los enlaces.
OSPF construye adems una base de datos enlace-estado (link-state
database, LSDB) idntica en todos los routers de la zona.
Una red OSPF se puede descomponer en regiones (reas) ms pequeas.
Hay un rea especial llamada rea backbone que forma la parte central de
la red a la que se encuentran conectadas el resto de reas de la misma. Las
rutas entre las diferentes reas circulan siempre por el backbone, por lo
tanto todas las reas deben conectar con el backbone. Si no es posible
hacer una conexin directa con el backbone, se puede hacer un enlace
virtual entre redes.
Los routers (tambin conocidos como encaminadores) en el mismo dominio
de multidifusin o en el extremo de un enlace punto-a-punto forman
enlaces cuando se descubren los unos a los otros. En un segmento de red
Ethernet los routers eligen a un router designado (Designated Router, DR) y
un router designado secundario o de copia (Backup Designated Router,
BDR) que actan como hubs para reducir el trfico entre los diferentes
routers
Para el caso de estudio se ha designado el rea 1 correspondiente a la
totalidad del anillo de Nivel 3. Este rea conecta con el rea 0
correspondiente con los anillos de Nivel 1 y 2.
Vamos a configurar OSPF para tener conectividad entre todos los routers,
no vamos a hacer ningn enrutamiento esttico, slo dinmico.
En toda la red utilizaremos los siguientes valores:
Process ID 1
reas 0 y 1 (dependiendo del anillo en el que nos encontremos)

5
https://es.wikipedia.org/wiki/Open_Shortest_Path_First

Pgina 20 de 32
Anillo 3
La configuracin adoptada para cada uno de los nodos del anillo 3 es la
siguiente:
N3_R_XXX_XXX01(config)#router ospf 1
N3_R_XXX_XXX01(config-router)#network 172.27.177.XXX 0.0.0.3 area 1
N3_R_XXX_XXX01(config-router)#network 172.27.177.XXX 0.0.0.3 area 1

N2_R_JAE_LIN01 y N2_R_GRA_MOR01 actan como ABR(Area Border

Router), el resto de nodos actan como nodos Routers internos.

Anillo 2
La configuracin adoptada para cada uno de los nodos del anillo 2 es la
siguiente:
N2_R_XXX_XXX01(config)#router ospf 1
N2_R_XXX_XXX01(config-router)#network 172.27.50.XXX 0.0.0.3 area 0
N2_R_XXX_XXX01(config-router)#network 172.27.50.XXX 0.0.0.3 area 0

Anillo 1
La configuracin adoptada para cada uno de los nodos del anillo 1 es la
siguiente:
MLSWX (config)#router ospf 1
MLSWX (config-router)#network 172.27.1.XXX 0.0.0.3 area 0
MLSWX (config-router)#network 172.27.1.XXX 0.0.0.3 area 0

Gracias al enrutamiento dinmico OSPF, al aadir un nuevo router en la red,

ste automticamente puede aprender la topologa, al mismo tiempo que
informar al resto de routers que a travs de l es posible alcanzar nuevas
redes. Si en esa red se conectara un nuevo router que anunciara rutas
falsas y los routers originales confiasen en este nuevo router, pronto
adaptaran sus tablas de rutas para incluir informacin errnea, provocando
un mal funcionamiento en la red.

Pgina 21 de 32
Para la SEGURIDAD OSPF en cada interfaz se hace uso de la autenticacin
MD5:
NX_R_X_X01 (config)#interface GX/X
NX_R_X_X01 (config-if)# ip ospf message-digest-key 1 md5 ciscoOSPF
NX_R_X_X01 (config-if)# ip ospf authentication message-digest

Actualizaciones de enrutamiento

Para indicar al protocolo que se est configurando que NO enve

actualizaciones de enrutamiento a travs de una interfaz determinada se
hace uso de un comando utilizado con todos los protocolos de enrutamiento
excepto BGP.
En RIP, IGRP y EIGRP, indica simplemente que no se envan actualizaciones,
pero la interfaz seguir copiando las que reciba de sus colindantes.
En OSPF la interfaz pasiva no recibir ni enviar actualizaciones de
enrutamiento.
Y OSPF y EIGRP, suprime el envo de paquetes hello, por lo que se impide el
establecimiento de relaciones de vecindad con los colindantes.
Existen dos formas de hacerlo o bien declarar una por una la interfaz que va
a ser pasiva, o hacer todas pasivas por defecto e indicar como no pasiva
aquella interfaz que queramos que enve actualizaciones de enrutamiento.
La solucin adoptada es la siguiente:

NX_R_X_X01 (config)#router ospf 1

NX_R_X_X01 (config-router)#passive-interface default
NX_R_X_X01 (config-router)#no passive-interface X/X

Pgina 22 de 32
 4.7- Configuracin Servidor DHCP

Figura 11: Configuracin Servidor DHCP en simulacin Packet Tracert.

MLSW_1(config)#ip dhcp excluded-address 192.168.5.1

MLSW_1(config)#ip dhcp pool lanAdmin
MLSW_1(dhcp-config)#network 192.168.5.0 255.255.255.0
MLSW_1(dhcp-config)#default-router 192.168.5.1
MLSW_1(dhcp-config)#dns-server 192.168.2.2
MLSW_1(dhcp-config)#exit

4.8- Habilitar SSH en Switch

Secure Shell (SSH)6 es un protocolo que proporciona una conexin de

acceso remoto segura para dispositivos de red. La comunicacin entre el
cliente y el servidor est cifrada en las versiones 1 y 2 de SSH. Implemente
la versin 2 de SSH siempre que sea posible, ya que usa un algoritmo de
cifrado con seguridad mejorada.
Para poder habilitar el acceso remoto al Switch A la configuracin adoptada
es la siguiente:
SW-A(config)#ip ssh version 2
SW-A(config)#ip domain-name ccnaproyecto.com
SW-A(config)#crypto key generate rsa
6
http://www.cisco.com/cisco/web/support/LA/7/72/72973_ssh.html

Pgina 23 de 32
SW-A(config)#2048
SW-A(config)#username cisco password cisco
SW-A(config)#line vty 0 4
SW-A(config-line)#login local
SW-A(config-line)#transport input ssh
SW-A(config-line)#line vty 5 15
SW-A(config-line)#login local
SW-A(config-line)#transport input ssh

4.9- Seguridad

Configurar la seguridad en los puertos del switch

Para habilitar la seguridad desde el modo de configuracin de interfaz

ingresamos el comando switchport port-security: [nombre_switch(config-
if)#switchport port-security].
Limitar la cantidad de direcciones mac permitidas en cada puerto:Para
realizar esta configuracin, ingresamos desde el modo de configuracin de
interfaz el comando switchport port-security mximum:
[nombre_switch(config-if)#switchport port-security maximum 1]. NOTA: El
numero 1 es un numero opcional entre 1 y 132.
Configurar la accin que se ejecutar al violar la limitacin del puerto:
Ingresamos desde el modo de configuracin de la interfaz el comando.
switchport port-security violation: [nombre_switch(config)#switchport
port-security violation].
Para configurar el puerto como protegido (protect) y provocar que al
conectar un equipo que no este registrado en la tabla de direcciones mac,
este puerto no permita que el equipo ingrese a la red: switchport port-
security violation protect: [nombre_switch(config-if)#switchport port-
security violation protect].
Para configurar el puerto como restringido (restrict) y provocar que al
conectar un equipo que no este registrado en la tabla de direcciones mac,
este puerto no permita que el equipo ingrese a la red y registre la conexin
de este equipo al puerto en los logs: switchport port-security violation

Pgina 24 de 32
restrict: [nombre_switch(config-if)#switchport port-security violation
restrict].
Para configurar el puerto como apagado (shutdown) y provocar que al
conectar un equipo que no este registrado en la tabla de direcciones mac,
este puerto se apague y se registre en los logs: switchport port-security
violation shutdown: [nombre_switch(config-if)#switchport port-security
violation shutdown].
Configurar el puerto como pegajoso (sticky): Para configurar el puerto como
sticky y provocar que el equipo adquiera la direccin mac del equipo
conectado a dicho puerto de manera automtica y aplique las reglas
configuradas con esta direccin mac, se utiliza el comando switchport port-
security mac-address sticky: [nombre_switch(config-if)#switchport port-
security mac-address sticky].

En el caso de estudio se ha aplicado seguridad a las interfaces fa0/5-7 en el

MLSW_1 (Ver Fig.12).

Figura 12: Implementacin de Seguridad en Multilayer Switch en simulacin

Packet Tracert.

MLSW_1(config)#interface fa0/5
MLSW_1 (config-if)#switchport port-security

Pgina 25 de 32
MLSW_1 (config-if)#switchport port-security violation restrict
MLSW_1 (config-if)#switchport port-security maximum 2
MLSW_1 (config-if)#switchport port-security mac-address sticky
MLSW_1 (config-if)#
MLSW_1 (config-if)#interface fa0/6
MLSW_1 (config-if)#switchport port-security
MLSW_1 (config-if)#switchport port-security violation restrict
MLSW_1 (config-if)#switchport port-security maximum 2
MLSW_1 (config-if)#switchport port-security mac-address sticky
MLSW_1 (config-if)#
MLSW_1 (config-if)#interface fa0/7
MLSW_1 (config-if)#switchport port-security
MLSW_1 (config-if)#switchport port-security violation restrict
MLSW_1 (config-if)#switchport port-security maximum 2
MLSW_1 (config-if)#switchport port-security mac-address sticky

Parmetros generales de seguridad: El mensaje del da (banner

motd)

El mensaje del da (banner motd) es un mensaje con el que podemos dar

aviso o una advertencia el cual se podr ver al momento de ingresar al
equipo mediante lnea de comando, este mensaje se configura de la
siguiente manera:
Desde el modo de configuracin global se ingresa el comando banner motd
[ carcter] , el carcter es cualquier carcter. Hay que tener cuidado de no
usar este carcter en el cuerpo del mensaje ya que este mismo carcter
indica el fin del mensaje

SW_X(config)# banner motd @!Acceso slo a personal autorizado@

NOTA IMPORTANTE: el mensaje del da nunca debe de contener algn

mensaje de bienvenida o alentando a ingresar al equipo, ya que en caso de
un acceso no autorizado puede repercutir en alguna situacin no deseada,

Pgina 26 de 32
por el contrario debe de advertirse la penalizacin sobre el acceso no
autorizado.

Parmetros generales de seguridad: Asegurar el acceso a consola y

las lneas de acceso remoto

NR_X(config)#line console 0
NR_X (config-line)#password cisco
NR_X (config-line)#login

NR_X (config)#line vty 0 4

NR_X (config-line)#password cisco
NR_X (config-line)#login

NR_X (config)#line aux 0

NR_X (config-line)#password cisco
NR_X (config-line)#login

4.10- Configuracin Routers Internet

Se propone para el caso de estudio una configuracin con dos routers que
simulan el acceso a dos proveedores de servicios de internet(ISP) distintos.
Uno de los routers acta como proveedor principal y el otro como backup.
Cada proveedor tiene asignado una direccin pblica, por lo cual es
necesario que cada router haga uso de PAT para poder traducir las distintas
conexiones TCP y UDP hechas por los hosts de la red interna.
PAT, tambin conocido como NAT con sobrecarga, por tanto asigna a una ip
pblica muchas ip privadas. Estas ip privadas acceden a Internet utilizando
diferentes puertos.
Aqu la configuracin para el Router R_INTERNET1 que acta como la ruta
principal de ISP de Internet:

R_INTERNET1(config)#interface g0/1
R_INTERNET1(config-if)#description Link Salida a Internet

Pgina 27 de 32
R_INTERNET1(config-if)#ip address 172.27.1.17 255.255.255.252
R_INTERNET1(config-if)#ip nat inside

R_INTERNET1(config)#interface g0/0
R_INTERNET1(config-if)#description INTERNET OPERADOR 1
R_INTERNET1(config-if)#ip address 81.37.110.64 255.255.255.0
R_INTERNET1(config-if)#ip nat outsider

Aqu la configuracin para PAT:

R_INTERNET1(config)#ip nat inside source list 1 interface g0/0 overload

R_INTERNET1(config)#access-list 1 remark ACL para hacer PAT con la
conexin a INTERNET
R_INTERNET1(config)#access-list 1 permit 192.168.0.0 0.0.255.255

Aqu la configuracin del router R_INTERNET2 que acta como la ruta de

Backup de ISP de Internet:

R_INTERNET2(config)#interface g0/0
R_INTERNET2(config-if)#description INTERNET OPERADOR 2
R_INTERNET2(config-if)#address 212.58.124.25 255.255.255.0
R_INTERNET2(config-if)#ip nat outside

R_INTERNET2(config)#interface g0/1
R_INTERNET2(config-if)#description Link Salida a Internet
R_INTERNET2(config-if)#ip address 172.27.1.22 255.255.255.252
R_INTERNET2(config-if)#ip ospf authentication message-digest
R_INTERNET2(config-if)# ip nat inside

Aqu la configuracin para PAT:

R_INTERNET2(config)#ip nat inside source list 1 interface g0/0 overload

R_INTERNET2(config)#access-list 1 remark ACL para hacer PAT con la
conexin a INTERNET
R_INTERNET2(config)#access-list 1 permit 192.168.0.0 0.0.255.255

Pgina 28 de 32
Configuracin rutas estticas a Internet en MultiLayerSwitch

Las rutas estticas tienen una distancia administrativa (ad) de 1 cuando se

ingresa la direccin IP del siguiente salto 0 si la ruta queda asociada a la
interfaz de salida. La que tenga la distancia administrativa ms baja ser la
que se escoja como primera opcin para alcanzar la red de destino y la otra
quedar como respaldo.
Para que uno de los dos routers acte como router principal crearemos en el
multilayer switch MLSW1 dos rutas estticas (Ver Fig.13), una de las
cuales actuar de backup.

Figura 13: Configuracin Routers Internet en simulacin Packet Tracert.

Para la ruta principal:

MLSW_1(config)#ip route 0.0.0.0 0.0.0.0 g0/1
Para la ruta secundaria:
MLSW_1(config)#ip route 0.0.0.0 0.0.0.0 g0/2 50

Pgina 29 de 32
4.11- Configuracin ACLs

Para controlar el acceso a los PCs pertenecientes a las VLANs se ha

decidido que slo los PC de la red 192.168.5.0 puedan acceder, por ello se
crea una ACL estandard nombrada ACCESO_SW_ADMIN, en el router
N3_R_JAE_PRO01.

N3_R_JAE_PRO01(config)#ip access-list standard ACCESO_SW_ADMIN

N3_R_JAE_PRO01(config-std-nacl)#permit 192.168.5.0 0.0.0.255
N3_R_JAE_PRO01(config-std-nacl)#permit 192.168.4.0 0.0.0.255
N3_R_JAE_PRO01(config-std-nacl)#deny any
N3_R_JAE_PRO01(config)#interface g0/2.8
N3_R_JAE_PRO01(config-subif)#ip access-group ACCESO_SW_ADMIN out
N3_R_JAE_PRO01(config-subif)#interface g0/2.10
N3_R_JAE_PRO01(config-subif)#ip access-group ACCESO_SW_ADMIN out
N3_R_JAE_PRO01(config-subif)#interface g0/2.20
N3_R_JAE_PRO01(config-subif)#ip access-group ACCESO_SW_ADMIN out

Para el acceso a internet se ha decidido que slo el ordenador con nombre

PC INTRA/INTERNET pueda acceder, para ello y de acuerdo con la jerarqua
clsica de 3 niveles de Cisco, se configura una ACL en los routers:
N2_R_JAE_LIN01 y N2_R_GRA_MOR01.
Estos dos routers pertenecen a la capa de distribucin y estn como
intermediarios entre los dos anillos OSPF (rea 0 y 1).
EL PC INTRANET podr acceder a la intranet, pero no a internet. El resto de
PCs del anillo (PCs VLANs), slo podrn acceder al correo electrnico.

Para configurar esto se crear una ACL extendida nombrada

N2_R_JAE_LIN01(config)#ip access-list extended ACCESO_INTERNET

Permitimos el acceso a ospf

N2_R_JAE_LIN01(config-ext-nacl)#permit ospf any any

Pgina 30 de 32
Permitimos a PC INTR/INTER el acceso completo.
N2_R_JAE_LIN01(config-ext-nacl)#permit ip host 192.168.12.10 any

Permitimos a los PCs de la red 192.168.12.0 el acceso a la intranet y al

servidor dns.
N2_R_JAE_LIN01(config-ext-nacl)#permit ip 192.168.12.0 0.0.0.255
192.168.0.0 0.0.3.255

Permitimos acceso a todos al servidor de correo

N2_R_JAE_LIN01(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255
192.168.4.0 0.0.0.255

Ahora aplicamos la ACL a las interfaces en concreto:

N2_R_JAE_LIN01(config)#interface f0/0
N2_R_JAE_LIN01(config-if)#ip access-group ACCESO_INTERNET in
N2_R_JAE_LIN01(config-if)#interface f1/0
N2_R_JAE_LIN01(config-if)#ip access-group ACCESO_INTERNET in

Todo este proceso se repite con el router N2_R_GRA_MOR01.

Pgina 31 de 32
Captulo 5: Pruebas

Pgina 32 de 32