Ccna 2 Nap - Lista de Chequeo - DHCP

TAREA 5
APLICAR LISTAS DE CONTROL DE ACCESO
PRESENTADO POR
EYDER ALEXANDER CORTES
ALEXIS PEDROZA
OSCAR ENRIQUE ADARVE
JOSE ANGEL BOSSA
GRUPO 2150507_27
PRESENTADO A:
NANCY AMPARO GUACA
UNIVERSIDADNACIONALABIERTAYADISTANCIA ESCUELA DE CIENCIAS BÁSICAS,

TECNOLOGÍA E INGENIERÍA
PRINCIPIO DE ENRUTAMIENTO
NOVIEMBRE DE 2019
CONTENIDO
INTRODUCCION..........................................................................................................................................................4
4.4.1.2 Configure IP ACLs to Mitigate Attacks (Instructor Version): ....................................................................6
7.2.3.4 CONFIGURACIÓN Y VERIFICACIÓN DE RESTRICCIONES VTY.................................................................. 24
Parte 1. Configurar los parámetros básicos de dispositivos ............................................................................... 25
Parte 2. Configurar y aplicar la lista de control de acceso en el R1 .................................................................... 29
Parte 3. Verificar la lista de control de acceso mediante Telnet ........................................................................ 31
Parte 4. Configurar y aplicar la lista de control de acceso en el S1 (desafío) ............................................ 37
7.2.2.6 Configuración y verificación de ACL IPv4 estándar ................................................................................ 43
8.1.2.4 Configuracion de DHCPv4 basico en un router. ..................................................................................... 90
Parte 5. Armar la red y configurar los ajustes básicos de los dispositivos ......................................................... 92
Parte 6. Configurar un servidor de DHCPv4 y un agente de retransmisión DHCP ........................................... 100
8.2.4.5 CONFIGURACION DE OSPFVv2 BASICO DE AREA UNICA ..................................................................... 119
Parte 1. armar la red y configurar los parámetros básicos de los dispositivos ................................................ 121
Parte 2. Configurar y verificar el enrutamiento OSPF....................................................................................... 124
Parte 3. cambiar las asignaciones de ID del router........................................................................................... 129
Parte 4. configurar las interfaces pasivas de OSPF ........................................................................................... 131
Parte 5. cambiar las métricas de OSPF ............................................................................................................. 134
8.1.2.5 Configuracion de DHCPv4 basico en un switch.................................................................................... 143
Parte 6. Armar la red y configurar los ajustes básicos de los dispositivos ....................................................... 144
Parte 7. Cambiar la preferencia de SDM .......................................................................................................... 147
Parte 8. Configurar DHCPv4 .............................................................................................................................. 151
Parte 9. Configurar DHCPv4 para varias VLAN.................................................................................................. 152
Parte 10. Habilitar el routing IP ..................................................................................................................... 154
8.1.4.4 SOLUCION DE PROBLEMAS DE DHCPv4. .............................................................................................. 165
8.2.4.4 RESOLUCION DE PROBLEMAS DE DHCPv6 ........................................................................................... 202
Parte 11: Armar la red y configurar los ajustes básicos de los dispositivos .................................................. 204
Parte 12: Solucionar problemas de conectividad de IPv6............................................................................. 207
Parte 13: Solucionar problemas de DHCPv6 sin estado ................................................................................ 211
8.2.3.5 CONFIGURING STATELES AND STATEFUL DHCPv6:.............................................................................. 219
Parte 14: Armar la red y configurar los ajustes básicos de los dispositivos .................................................. 221
Parte 15: Configurar la red para SLAAC ........................................................................................................ 225
Parte 16: Configurar la red para DHCPv6 sin estado .................................................................................... 231
Parte 17: Configurar la red para el DHCPv6 con estado ............................................................................... 236
8.3.3.6 CONFIGURACIÓN DE OSPFV3 BÁSICO DE ÁREA ÚNICA. ...................................................................... 244
Parte 18. armar la red y configurar los parámetros básicos de los dispositivos........................................... 247
Parte 19. configurar el routing OSPFv3 ......................................................................................................... 247
Parte 20. configurar las interfaces pasivas de OSPFv3 ................................................................................. 251
9.2.2.6 CONFIGURACION DE NAT DINAMICA Y ESTATICA. .............................................................................. 254
Parte 21. Armar la red y verificar la conectividad ......................................................................................... 256
Parte 22. Configuración y verificación de la NAT estática ............................................................................ 268
Parte 23. Configuración y verificación de la NAT dinámica .......................................................................... 274
9.2.3.7 CONFIGURACION DE LA TRADUCCION DE LA DIRECCION DEL PUERTO (PAT) .................................... 291
Parte 24. Armar la red y verificar la conectividad ......................................................................................... 293
Parte 25. Configuración y verificación del conjunto de NAT con sobrecarga ............................................... 299
Parte 26. Configuración y verificación de PAT .............................................................................................. 305
9.2.1.10 CONFIGURING STANDARD ACLs......................................................................................................... 317
9.2.1.11 CONFIGURING NAMED STANDARD ACLs. .......................................................................................... 331
9.2.3.3 CONFIGURING AN ACL ON VTY LINES .....................................................................................................6
9.5.2.6 ...................................................................................................................................................................... 11
10.1.2.5 CONFIGURE CDP AND LLDP – ILM. ....................................................................................................... 11
Parte 1: Armar la red y configurar los ajustes básicos de los dispositivos ......................................................... 12
Parte 2: Detectar la red con el protocolo CDP .................................................................................................... 20
Parte 3: Detectar la red con el protocolo LLDP................................................................................................... 30
10.2.3.6 CONFIGURACION DE SYSLOG Y NTP..................................................................................................... 36
Parte 27. Configurar los parámetros básicos de dispositivos ......................................................................... 37
Parte 28. Configurar NTP ................................................................................................................................ 43
Parte 29. Configurar syslog ............................................................................................................................. 45
10.2.3.6.1 CONFIGURACION DE SYSLOG Y NTP. (GNS3). ................................................................................ 64
Parte 30. Configurar los parámetros básicos de dispositivos ......................................................................... 66
Parte 31. Configurar NTP ................................................................................................................................ 74
Parte 32. Configurar syslog ............................................................................................................................. 76
11.2.2.6 CONFIGURING DYNAMIC AND STATIC NAT ......................................................................................... 95
Parte 33. armar la red y verificar la conectividad ........................................................................................... 97
Parte 34. configurar y verificar la NAT estática............................................................................................. 107
Parte 35. configurar y verificar la NAT dinámica .......................................................................................... 111
11.2.3.7 CONFIGURING NAT POOL OVERLOAD AND PAT. .............................................................................. 117
Parte 36. armar la red y verificar la conectividad ......................................................................................... 119
Parte 37. configurar y verificar el conjunto de NAT con sobrecarga ............................................................ 128
Parte 38. configurar y verificar PAT .............................................................................................................. 132
12. LINKS DE ARCHIVOS: (Simulación Informe): ........................................................................................... 136
CONCLUSIONES ..................................................................................................................................................... 138
BIBLIOGRAFIA: ...................................................................................................................................................... 139
INTRODUCCION
Dada la importancia de la presente unidad para el desarrollo y puesta en marcha de los

protocolos de seguridad, implementación de enrutamiento en IPv4 e IPv6, procesamiento de
paquetes de bloqueos, accesos y peticiones de los usuarios, asignaciones de direccionamiento
estático y dinámicos, establecimiento de la NAT con sus respectivas sobrecarga tanto dinámica
como nativa, configuraciones de la red y PAT, Configuración de OSPFv2 y OSPFv3 con sus
áreas resueltas, y de igual manera la configuración de una ACL en VTY Líneas.
El grupo colaborativo conformado por cada uno de sus integrantes realizarán el desarrollo
teórico-práctico del componente, analizaran cada uno de los contenidos y entraran en consenso
y debate con sus partes, dando así las pautas con el material en cada una de las practicas, los
integrantes del grupo cuentan con material de consulta, no solo en la plataforma de la
universidad, de igual manera en la plataforma Cisco, con el fin de resolver inquietudes y
novedades en cada uno de los puntos a resolver, se cuenta con el apoyo del tutor de curso, de
la mano con el director del diplomado, quienes establecerán las pautas y resolverán las posibles
novedades o dudas.
Para dar comienzo a la presente unidad, se desarrollarán de manera sistemática una serie de
ejercicios (laboratorios) detallando en pormenor los pasos, aplicaciones y comandos que darán
origen a preguntas con el ánimo de reforzar el procedimiento y afianzar la labor realizada.
Se establecerá mediante ejecución las ordenes de sentencia de las ACL, que consiste en la
decisión que emite el router en el momento de enviar o recibir paquetes, mediante el IOS realiza
una verificación si cumple o no el paquete de manera satisfactoria el requerimiento, cuando se
cumple la condición, no se seguirán ejecutando las verificaciones o las llamadas sentencias de
condición.
Se estudiará la ACL estándar su importancia en el servicio para el bloqueo específico de una
red o un Host, en el análisis se entenderá la autenticación de todo el tráfico y la denegación del
mismo.
Es importante destacar el grado de importancia que tiene el simulador Cisco Packet Tracer, ya
que, sin la ejecución del mismo, la interpretación y grado de análisis serían nulos, pese a que
algunos comandos no los permite ejecutar, es importante tener en cuenta que la visión que
ofrece nos permite adquirir conocimiento y desarrollar si se quiere la crítica necesaria para inferir
en decisiones de implementación y diseño en una red.
4.4.1.2 Configure IP ACLs to Mitigate Attacks (Instructor Version):
(ALEXIS PEDROZA)
Packet Tracer - Configure IP ACLs to Mitigate Attacks

(Instructor Version)
Instructor Note: Red font color or Gray highlights indicate text that appears in the instructor copy only.
Topology
Addressing Table
Default
Device Interface IP Address Subnet Mask Gateway Switch Port
S
Fa0/1 192.168.1.1 255.255.255.0 N/A 1 Fa0/5
R1
255.255.255.25
S0/0/0 (DCE) 10.1.1.1 2 N/A N/A
255.255.255.25
S0/0/0 10.1.1.2 2 N/A N/A
255.255.255.25
R2 S0/0/1 (DCE) 10.2.2.2 2 N/A N/A
Lo0 192.168.2.1 255.255.255.0 N/A N/A
S
Fa0/1 192.168.3.1 255.255.255.0 N/A 3 Fa0/5
R3
255.255.255.25
S0/0/1 10.2.2.1 2 N/A N/A
S
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1 1 Fa0/6
S
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1 3 Fa0/18
Objectives
• Verify connectivity among devices before firewall configuration.
• Use ACLs to ensure remote access to the routers is available only from management station
PC-C.
• Configure ACLs on R1 and R3 to mitigate attacks.
• Verify ACL functionality.
Background / Scenario
Access to routers R1, R2, and R3 should only be permitted from PC-C, the management station.
PC-C is also used for connectivity testing to PC-A, a server providing DNS, SMTP, FTP, and
HTTPS services.
© 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 1 of 5
Standard operating procedure is to apply ACLs on edge routers to mitigate common threats based
on source and/or destination IP address. In this activity, you create ACLs on edge routers R1 and
R3 to achieve this goal. You then verify ACL functionality from internal and external hosts.
The routers have been pre-configured with the following:
o Enable password: ciscoenpa55
o Password for console: ciscoconpa55

o Username for VTY lines: SSHadmin
o Password for VTY lines:

ciscosshpa55 o IP addressing
o Static routing
Part 1: Verify Basic Network Connectivity
Verify network connectivity prior to configuring the IP ACLs.
Step 1: From PC-A, verify connectivity to PC-C and R2.
a. From the command prompt, ping PC-C (192.168.3.3).

b. From the command prompt, establish a SSH session to R2 Lo0 interface (192.168.2.1) using
username SSHadmin and password ciscosshpa55. When finished, exit the SSH session.
PC> ssh -l SSHadmin 192.168.2.1
Step 2: From PC-C, verify connectivity to PC-A and R2.
a. From the command prompt, ping PC-A (192.168.1.3).
b. From the command prompt, establish a SSH session to R2 Lo0 interface (192.168.2.1) using
username SSHadmin and password ciscosshpa55. Close the SSH session when finished.
PC> ssh -l SSHadmin 192.168.2.1

c. Open a web browser to the PC-A server (192.168.1.3) to display the web page. Close the
browser when done.
Part 2: Secure Access to Routers
Step 1: Configure ACL 10 to block all remote access to the routers except from PC-C.
Use the access-list command to create a numbered IP ACL on R1, R2, and R3.
R1(config)# access-list 10 permit 192.168.3.3 0.0.0.0

Step 2: Apply ACL 10 to ingress traffic on the VTY lines.
Use the access-class command to apply the access list to incoming traffic on the VTY lines.
R1(config-line)# access-class 10 in
Step 3: Verify exclusive access from management station PC-C.
a. Establish a SSH session to 192.168.2.1 from PC-C (should be successful).
PC> ssh –l SSHadmin 192.168.2.1
b. Establish a SSH session to 192.168.2.1 from PC-A (should fail).
Part 3: Create a Numbered IP ACL 120 on R1

Permit any outside host to access DNS, SMTP, and FTP services on server PC-A, deny any
outside host access to HTTPS services on PC-A, and permit PC-C to access R1 via SSH.
Step 1: Verify that PC-C can access the PC-A via HTTPS using the web browser.
Be sure to disable HTTP and enable HTTPS on server PC-A
Step 2: Configure ACL 120 to specifically permit and deny the specified traffic.
Use the access-list command to create a numbered IP ACL.
R1(config)# access-list 120 permit udp any host 192.168.1.3 eq domain
R1(config)# access-list 120 permit tcp any host 192.168.1.3 eq smtp
R1(config)# access-list 120 permit tcp any host 192.168.1.3 eq ftp
R1(config)# access-list 120 deny tcp any host 192.168.1.3 eq 443
R1(config)# access-list 120 permit tcp host 192.168.3.3 host 10.1.1.1

eq 22
Step 3: Apply the ACL to interface S0/0/0.
Use the ip access-group command to apply the access list to incoming traffic on interface S0/0/0.
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 120 in
Step 4: Verify that PC-C cannot access PC-A via HTTPS using the web browser.
Part 4: Modify An Existing ACL on R1
Permit ICMP echo replies and destination unreachable messages from the outside network
(relative to R1); deny all other incoming ICMP packets.
Step 1: Verify that PC-A cannot successfully ping the loopback interface on R2.
Step 2: Make any necessary changes to ACL 120 to permit and deny the specified traffic.
R1(config)# access-list 120 permit icmp any any echo-reply
R1(config)# access-list 120 permit icmp any any unreachable
R1(config)# access-list 120 deny icmp any any
R1(config)# access-list 120 permit ip any any
Step 3: Verify that PC-A can successfully ping the loopback interface on R2.
Deny all outbound packets with source address outside the range of internal IP addresses on R3.
Step 1: Configure ACL 110 to permit only traffic from the inside network.
R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 any
Step 2: Apply the ACL to interface F0/1.
Use the ip access-group command to apply the access list to incoming traffic on interface F0/1.
R3(config)# interface fa0/1
On R3, block all packets containing the source IP address from the following pool of addresses:
127.0.0.0/8, any RFC 1918 private addresses, and any IP multicast address.
Step 1: Configure ACL 100 to block all specified traffic from the outside network.
You should also block traffic sourced from your own internal address space if it is not an RFC 1918 address (in
this activity, your internal address space is part of the private address space specified in RFC 1918).
R3(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any

R3(config)# access-list 100 permit ip any any
Step 2: Apply the ACL to interface Serial 0/0/1.
Use the ip access-group command to apply the access list to incoming traffic on interface Serial
0/0/1.
Step 3: Confirm that the specified traffic entering interface Serial 0/0/1 is dropped.
From the PC-C command prompt, ping the PC-A server. The ICMP echo replies are blocked
by the ACL since they are sourced from the 192.168.0.0/16 address space.
Step 4: Check results.
Your completion percentage should be 100%. Click Check Results to see feedback and
verification of which required components have been completed.
!!!Script for R1
access-list 10 permit 192.168.3.3 0.0.0.0
line vty 0 4
access-class 10 in
access-list 120 permit udp any host 192.168.1.3 eq domain
access-list 120 permit tcp any host 192.168.1.3 eq smtp
access-list 120 permit tcp any host 192.168.1.3 eq ftp
access-list 120 deny tcp any host 192.168.1.3 eq 443
access-list 120 permit tcp host 192.168.3.3 host 10.1.1.1

eq 22 interface s0/0/0
ip access-group 120 in
access-list 120 permit icmp any any echo-reply
access-list 120 permit icmp any any unreachable
access-list 120 deny icmp any any
access-list 120 permit ip any any
!!!Script for R2
line vty 0 4
access-class 10 in
!!!Script for R3
line vty 0 4
access-class 10 in
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
interface s0/0/1
access-list 110 permit ip 192.168.3.0 0.0.0.255 any
interface fa0/1
REFERENCIA
https://www.youtube.com/watch?v=_pGD5S0Fnl4
https://www.youtube.com/watch?v=QD3f77NuVr4
2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 5 of 5
7.2.3.4 CONFIGURACIÓN Y VERIFICACIÓN DE RESTRICCIONES VTY.
(JOSE ANGEL BOSSA)
Práctica de laboratorio: Configuración y verificación de

restricciones VTY
Topología
Tabla de direccionamiento
Máscara de Gateway
Dispositivo Interfaces Dirección IP subred predeterminado
R1 G0/0 192.168.0.1 255.255.255.0 N/D

G0/1 192.168.1.1 255.255.255.0 N/D
S1 VLAN 1 192.168.1.2 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.0.3 255.255.255.0 192.168.0.1
Objetivos
Parte 1: Configurar los parámetros básicos de los dispositivos
Parte 2: Configurar y aplicar la lista de control de acceso en el R1
Parte 3: Verificar la lista de control de acceso mediante Telnet
Parte 4: Configurar y aplicar la lista de control de acceso en el S1 (desafío)
Aspectos básicos/situación
Es aconsejable restringir el acceso a las interfaces de administración del router, como las líneas de consola y
las líneas vty. Se puede utilizar una lista de control de acceso (ACL) para permitir el acceso de direcciones IP
específicas, lo que asegura que solo la computadora del administrador tenga permiso para acceder al router
mediante telnet o SSH.
Nota: En los resultados de los dispositivos Cisco, ACL se abrevia como access-list (lista de acceso).
En esta práctica de laboratorio, creará y aplicará una ACL estándar con nombre para restringir el acceso
remoto a las líneas vty del router.
Después de crear y aplicar la ACL, probará y verificará la ACL intentando acceder al router desde diferentes
direcciones IP mediante Telnet.
En esta práctica de laboratorio se le proporcionarán los comandos necesarios para crear y aplicar la ACL.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros routers,
switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para
obtener los identificadores de interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte al instructor.
Recursos necesarios
• 1 router (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 1 switch (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• 2 PC (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos de consola
• Cables Ethernet, como se muestra en la topología
Nota: Las interfaces Gigabit Ethernet en los routers Cisco de la serie 1941 tienen detección automática, y se
puede utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco,
puede ser necesario usar un cable Ethernet cruzado.
Parte 1. Configurar los parámetros básicos de dispositivos

En la parte 1, establecerá la topología de la red y configurará las direcciones IP de las interfaces, el acceso a
los dispositivos y las contraseñas del router.
Paso 1: Realizar el cableado de red tal como se muestra en el diagrama de topología

Paso 2: Configurar los parámetros de red de la PC-A y la PC-B, según la tabla de
direccionamiento
Paso 3: Inicializar y volver a cargar el router y el switch
a. Acceda al router e ingrese al modo de configuración global.
b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el router.

no ip domain-lookup
hostname R1
service password-encryption
enable secret class
banner motd #
Unauthorized access is strictly prohibited. #
Line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
c. Configure las direcciones IP en las interfaces que se indican en la tabla de direccionamiento.
d. Guarde la configuración en ejecución en el archivo de configuración de inicio.

e. Acceda al switch mediante el puerto de consola e ingrese al modo de configuración global.
f. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el switch.
no ip domain-lookup
hostname S1
enable secret class
banner motd #
Line con 0
password cisco
login
logging synchronous
line vty 0 15
password cisco
login
exit
g. Configure las direcciones IP en la interfaz de VLAN1 que se indican en la tabla de direcciones.

h. Configure el gateway predeterminado para el switch.
i. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Parte 2. Configurar y aplicar la lista de control de acceso en el R1
En la parte 2, configurará una ACL estándar con nombre y la aplicará a las líneas de terminal virtual del
router para restringir el acceso remoto al router.
Paso 1: Configurar y aplicar una ACL estándar con nombre

a. Acceda al router R1 mediante el puerto de consola y habilite el modo EXEC privilegiado.
b. En el modo de configuración global, use un espacio y un signo de interrogación para ver las opciones de
comandos de ip access-list.
R1(config)# ip access-list ?
extended Extended Access List
helper Access List acts on helper-address
log-update Control access list log updates
logging Control access list logging
resequence Resequence Access List
standard Standard Access List
c. Use un espacio y un signo de interrogación para ver las opciones de comandos de ip access-list
standard.
R1(config)# ip access-list standard ?
<1-99> Standard IP access-list number
<1300-1999> Standard IP access-list number (expanded range)
WORD Access-listname
d. Agregue ADMIN-MGT al final del comando ip access-list standard y presione Enter. Ahora se
encuentra en el modo de configuración de listas de acceso estándar con nombre (config-std-nacl).
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)#
e. Introduzca la entrada de control de acceso (ACE) permit o deny de su ACL, también conocida como
“instrucción de ACL”, de a una línea por vez. Recuerde que al final de la ACL hay una instrucción
implícita denyany, que deniega todo el tráfico. Introduzca un signo de interrogación para ver las
opciones de comandos.
R1(config-std-nacl)# ?
Standard Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exitExit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
f. Cree una ACE permit para la PC-A de Administrador en 192.168.1.3 y una ACE permit adicional para
admitir otras direcciones IP administrativas reservadas desde 192.168.1.4 hasta 192.168.1.7. Observe
que la primera ACE permit indica un único host pues usa la palabra clave host. Se podría haber usado la
ACE permit 192.168.1.3 0.0.0.0 en lugar de esta. La segunda ACE permit admite los hosts 192.168.1.4
a 192.168.1.7 debido a que se usa el carácter comodín 0.0.0.3, que es lo inverso de la máscara de
subred 255.255.255.252.
R1(config-std-nacl)# permit host 192.168.1.3
R1(config-std-nacl)# permit 192.168.1.4 0.0.0.3
R1(config-std-nacl)#exit
No es necesario introducir una ACE deny, porque hay una ACE denyany implícita al final de la ACL.
g. Ahora que creó una ACL con nombre, aplíquela a las líneas vty.
R1(config)# line vty 0 15
R1(config-line)# access-class ADMIN-MGT in
R1(config-line)# exit
Parte 3. Verificar la lista de control de acceso mediante Telnet

En la parte 3, usará Telnet para acceder al router y verificar que la ACL con nombre funcione correctamente.
Nota: SSH es más seguro que Telnet; sin embargo, SSH requiere que el dispositivo de red esté configurado
para aceptar conexiones SSH. En esta práctica de laboratorio, se usa Telnet por cuestiones de facilidad.
a. Abra un símbolo del sistema en la PC-A y verifique que pueda comunicarse con el router mediante el
comando ping.
C:\Users\user1>ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.1.1: bytes=32 time=5ms TTL=64
Ping statistics for 192.168.1.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 5ms, Average = 2ms
C:\Users\user1>
b. Use el símbolo del sistema de la PC-A para iniciar el programa cliente de Telnet y acceda al router
mediante telnet. Introduzca los datos de inicio de sesión y luego las contraseñas de enable. Debería
haber iniciado sesión correctamente, visto el mensaje de aviso y recibido una petición de entrada de
comandos del R1.
C:\Users\user1>telnet 192.168.1.1
Unauthorized access is prohibited!
User Access Verification
Password:
R1>enable
Contraseña:
R1#
¿La conexión Telnet se realizó correctamente?

SI
c. Escriba exit en el símbolo del sistema y presione Enter para salir de la sesión de Telnet.
d. Cambie la dirección IP para comprobar si la ACL con nombre bloquea direcciones IP no permitidas.
Cambie la dirección IPv4 a 192.168.1.100 en la PC-A.
e. Intente acceder al R1 mediante telnet en 192.168.1.1 otra vez. ¿La sesión de Telnet se estableció
correctamente?
NO
.
¿Qué mensaje recibió? Connection refused by remote host
f. Cambie la dirección IP de la PC-A para comprobar si la ACL con nombre permite que un host con una
dirección IP en el rango de 192.168.1.4 a 192.168.1.7 acceda al router mediante telnet. Después de
cambiar la dirección IP de la PC-A, abra el símbolo del sistema de Windows e intente acceder al router
R1 mediante telnet.
¿La sesión de Telnet se estableció correctamente?
SI
g. En el modo EXEC privilegiado en el R1, escriba el comando show ipaccess-lists y presione Enter. En el
resultado del comando, observe la forma en que el IOS de Cisco asigna automáticamente los números
de línea a las ACE de la ACL en incrementos de 10 y muestra la cantidad de veces que se encontraron
coincidencias para cada ACE permit (entre paréntesis).
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
20 permit 192.168.1.4, wildcard bits 0.0.0.3 (2 matches)
Debido a que se establecieron correctamente dos conexiones Telnet al router y cada sesión de Telnet se
inició desde una dirección IP que coincide con una de las ACE permit, hay coincidencias para cada ACE
permit.
¿Por qué piensa que hay dos coincidencias para cada ACE permit cuando se inició solo una conexión
desde cada dirección IP?
Se refiere a cuántas veces la información de control se envía al enrutador generando una
coincidencia con el enrutador que permite ACE
¿De qué forma determinaría el momento en el que el protocolo Telnet ocasiona las dos coincidencias
durante la conexión Telnet?
El analizador de protocolos, permitiría capturar y analizar los paquetes de protocolos telnet, para
determinar cuándo el ACL permite que se generen coincidencias ACE.
h. En el R1, ingrese al modo de configuración global.
i. Ingrese al modo de configuración de lista de acceso para la lista de acceso con nombre ADMIN-MGT y
agregue una ACE denyany al final de la lista de acceso.
R1(config)# ip access-list standard ADMIN-MGT
R1(config-std-nacl)# deny any
R1(config-std-nacl)# exit
Nota: Dado que hay una ACE denyany implícita al final de todas las ACL, agregar una ACE denyany
explícita es innecesario. Sin embargo, el denyany explícito al final de la ACL puede ser útil para que el
administrador de red registre o, simplemente, conozca la cantidad de veces que coincidió la ACE de lista
de acceso deny any.
j. Intente acceder al R1 mediante telnet desde la PC-B. Esto crea una coincidencia con la ACE deny any
en la lista de acceso con nombre ADMIN-MGT.
k. En el modo EXEC privilegiado, escriba el comando show ipaccess-listsy presione Enter. Ahora debería
ver varias coincidencias con la ACE denyany.
R1# show ip access-lists
Standard IP access list ADMIN-MGT
10 permit 192.168.1.3 (2 matches)
30 denyany (3 matches)
La conexión Telnet fallida produce más coincidencias con la ACE deny explícita que una conexión
correcta. ¿Por qué cree que sucede esto?
Telnet realiza varios intentos para crear la sesión.
Parte 4. Configurar y aplicar la lista de control de acceso en el S1
(desafío)
Paso 1: Configurar y aplicar una ACL estándar con nombre para las líneas vty en el S1
a. Sin consultar los comandos de configuración del R1, intente configurar la ACL en el S1 y permita solo la
dirección IP de la PC-A.
b. Aplique la ACL a las líneas vty del S1. Recuerde que hay más líneas vty en un switch que en un router.
Paso 2: Probar la ACL de vty en el S1

Acceda mediante Telnet desde cada una de las computadoras para verificar que la ACL de vty funcione
correctamente. Debería poder acceder al S1 mediante telnet desde la PC-A, pero no desde la PC-B.
Reflexión
1. Como lo demuestra el acceso remoto a vty, las ACL son filtros de contenido eficaces que tienen una
aplicación más allá de las interfaces de red de entrada y de salida. ¿De qué otras formas se pueden aplicar
las ACL?
Las ACL se pueden aplicar a aplicaciones de red y aplicaciones de servidor.
1. ¿La aplicación de una ACL a una interfaz de administración remota de vty mejora la seguridad de una
conexión Telnet? ¿Esto convierte a Telnet en una herramienta de administración de acceso remoto más
viable?
Las ACL ayudan a restringir el acceso de administración remota a los dispositivos de
red, no hacen nada para encriptar los datos propiamente dichos que se envían por la
red. Si un programa de terceros que se encuentra en la red captura o detecta esta
información, la red no es segura.
2. ¿Por qué tiene sentido aplicar una ACL a las líneas vty, en vez de a interfaces específicas?
Al aplicar la ACL a las líneas vty lógicas, no importa por qué interfaz llega la solicitud
de Telnet o SSH. Las ACL de vty no dependen de interfaces. Además, las ACL de vty se
pueden aplicar una vez, en lugar de tener que aplicarse a varias interfaces.
Tabla de resumen de interfaces de router
Resumen de interfaces de router
Modelo de Interfaz Ethernet 1 Interfaz Ethernet 2 Interfaz serial 1 Interfaz serial 2

router
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en un comando de Cisco IOS
para representar la interfaz.
Configuraciones de dispositivos
Router R1
Buildingconfiguration...
Currentconfiguration : 1467 bytes

!
versión 15.2
servicetimestampsdebugdatetimemsec
servicetimestamps log datetimemsec
servicepassword-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enablesecret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
noaaa new-model
!
no ip domain lookup
ipcef
no ipv6 cef
multilink bundle-name authenticated
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0/0
no ip address
shutdown
clockrate 2000000
!
no ip address
shutdown
!
ip forward-protocolnd
!
noip http server
noip http secure-server
!
!
ip access-list standard ADMIN-MGT
permit 192.168.1.3
permit 192.168.1.4 0.0.0.3
deny any
!
control-plane
!
bannermotd ^CProhibido el acceso no autorizado.^C
!
línea con 0
password 7 070C285F4D06
loggingsynchronous
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
linevty 0 4
access-class ADMIN-MGT in
password 7 13061E010803
logging synchronous
login
transport input all
linevty 5 15
password 7 13061E010803
logging synchronous
login
!
schedulerallocate 20000 1000
!
end
Switch S1

!
versión 15.0
noservicepad
service timestamps debug datetimemsec
service timestamps log datetimemsec
!
hostname S1
!
boot-start-marker
boot-end-marker
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
noaaa new-model
systemmtu routing 1500
!
noip domain-lookup
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Vlan1
ip address 192.168.1.2 255.255.255.0
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
ip access-list standard ADMIN-MGT
permit 192.168.1.3
!
bannermotd ^CProhibido el acceso no autorizado.^C
!
línea con 0
password 7 01100F175804
loggingsynchronous
login
linevty 0 4
password 7 01100F175804
logging synchronous
login
linevty 5 14
password 7 01100F175804
logging synchronous
login
linevty 15
password 7 0822455D0A16
login
!
End
Conclusiones del ejercicio
• En este ejercicio se trabajo en las restricciones de acceso a interfaces de administración del Router, esto
se logro mediante una lista de control de acceso o ACL. De esta manera solo el administrador puede
tener comunicación atraves de Telnet o SSH.
• Esta es una práctica muy importante para la administración de la red en términos de seguridad de la
misma.
• El estudiante crea listas de acceso y comprueba su correcta configuración y funcionalidad.

7.2.2.6 Configuración y verificación de ACL IPv4 estándar
(OSCAR ENRIQUE ADARVE)
Práctica de laboratorio: Configuración y verificación de ACL IPv4

estándar (versión para el instructor – laboratorio opcional)
Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la
copia del instructor solamente. Las actividades opcionales están elaboradas para mejorar la compresión o
proporcionar práctica adicional.
Topología
Tabla de asignación de direcciones
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
R1 G0/1 192.168.10.1 255.255.255.0 N/D

Lo0 192.168.20.1 255.255.255.0 N/D
S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/D
ISP S0/0/0 10.1.1.2 255.255.255.252 N/D
S0/0/1 (DCE) 10.2.2.2 255.255.255.252 N/D
Lo0 209.165.200.225 255.255.255.224 N/D
R3 G0/1 192.168.30.1 255.255.255.0 N/D
Lo0 192.168.40.1 255.255.255.0 N/D
S0/0/1 10.2.2.1 255.255.255.252 N/D
S1 VLAN 1 192.168.10.11 255.255.255.0 192.168.10.1
S3 VLAN 1 192.168.30.11 255.255.255.0 192.168.30.1
PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1
PC-C NIC 192.168.30.3 255.255.255.0 192.168.30.1
Objetivos
Parte 1: Establecer la topología e inicializar los dispositivos
• Configurar los equipos para que coincidan con la topología de la red.
• Inicializar y volver a cargar los routers y los switches.
Parte 2: Configurar los dispositivos y verificar la conectividad
• Asignar una dirección IP estática a las computadoras.
• Configurar los parámetros básicos en los routers.
• Configurar los parámetros básicos en los switches.
• Configure el routing RIP en R1, ISP y R3.
• Verificar la conectividad entre los dispositivos.
Parte 3: Configurar y verificar ACL estándar numeradas y con nombre
• Configurar, aplicar y verificar una ACL estándar numerada.
• Configurar, aplicar y verificar una ACL con nombre.
Parte 4: Modificar una ACL estándar
• Modificar y verificar una ACL estándar con nombre.
• Probar la ACL.
La seguridad de red es una cuestión importante al diseñar y administrar redes IP. La capacidad para
configurar reglas apropiadas para filtrar los paquetes, sobre la base de las políticas de seguridad
establecidas, es una aptitud valiosa.
En esta práctica de laboratorio, establecerá reglas de filtrado para dos oficinas representadas por el R1 y el
R3. La administración estableció algunas políticas de acceso entre las redes LAN ubicadas en el R1 y el R3,
que usted debe implementar. El router ISP que se ubica entre el R1 y el R3 no tendrá ninguna ACL. Usted no
tiene permitido el acceso administrativo al router ISP, debido a que solo puede controlar y administrar sus
propios equipos.
(ISR) Cisco de la serie 1941 con Cisco IOS versión 15.2(4)M3 (imagen universalk9). Los switches que se
utilizan son Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones de Cisco IOS. Según el modelo y la versión de Cisco IOS, los comandos
laboratorio. Consulte la tabla Resumen de interfaces del router al final de la práctica de laboratorio para
Nota para el instructor: Consulte el manual de prácticas de laboratorio para el instructor a fin de conocer los
procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios
• 3 routers (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal o similar)
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o comparable)
• Cables Ethernet y seriales, como se muestra en la topología
Parte 1: Establecer la topología e inicializar los dispositivos

En la parte 1, establecerá la topología de la red y borrará cualquier configuración, en caso de ser necesario.
Paso 1: Realizar el cableado de red tal como se muestra en la topología
Paso 2: Inicializar y volver a cargar los routers y los switches
Parte 2: Configurar los dispositivos y verificar la conectividad

En la parte 2, configurará los parámetros básicos en los routers, los switches y las computadoras. Consulte la
topología y la tabla de direccionamiento para conocer los nombres de los dispositivos y obtener información
de direcciones.
Paso 3: Configurar las direcciones IP en la PC-A y en la PC-C
Paso 4: Configurar los parámetros básicos de los routers

no ip domain-lookup
hostname R1
enable secret class
banner motd #
Line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
c. Configure el nombre del dispositivo como se muestra en la topología.
d. Cree interfaces loopback en cada router como se muestra en la tabla de direccionamiento.
e. Configure las direcciones IP de interfaz, como se muestra en la topología y en la tabla de
direccionamiento.
f. Asigne la frecuencia de reloj 128000 a las interfaces seriales DCE.
g. Habilite el acceso de Telnet.
h. Copie la configuración en ejecución en la configuración de inicio.
Paso 5: (Optativo) Configurar los parámetros básicos en los switches
a. Acceda al switch mediante el puerto de consola e ingrese al modo de configuración global.
b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el switch.
no ip domain-lookup
enable secret class
banner motd #
Line con 0
password cisco
login
logging synchronous
line vty 0 15
password cisco
login
exit
c. Configure el nombre del dispositivo como se muestra en la topología.
d. Configure la dirección IP de la interfaz de administración, como se muestra en la topología y en la tabla
de direccionamiento.
e. Configure un gateway predeterminado.
f. Habilite el acceso de Telnet.
g. Copie la configuración en ejecución en la configuración de inicio
Paso 6: Configurar routing RIP en R1, ISP y R3
a. Configure RIP versión 2 y anuncie todas las redes en R1, ISP y R3. La configuración de RIP del R1 y el
ISP se incluye como referencia.
R1(config)# router rip
R1(config-router)# version 2
R1(config-router)# network 192.168.10.0
ISP(config)# router rip
ISP(config-router)# version 2
ISP(config-router)# network 209.165.200.224
R3(config)# router RIP
b. Después de configurar RIP en R1, ISP y R3, verifique que todos los routers tengan tablas de routing
completas con todas las redes. De lo contrario, resuelva el problema.
Paso 7: Verificar la conectividad entre los dispositivos
Nota: Es muy importante probar si la conectividad funciona antes de configurar y aplicar listas de acceso.
Tiene que asegurarse de que la red funcione adecuadamente antes de empezar a filtrar el tráfico.
a. Desde la PC-A, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron
correctamente? Sí
b. Desde el R1, haga ping a la PC-C y a la interfaz loopback en el R3. ¿Los pings se realizaron
correctamente? Sí
c. Desde la PC-C, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron
correctamente? Sí
d. Desde el R3, haga ping a la PC-A y a la interfaz loopback en el R1. ¿Los pings se realizaron
correctamente? Sí
Parte 3: Configurar y verificar ACL estándar numeradas y con nombre
Paso 8: Configurar una ACL estándar numerada
Las ACL estándar filtran el tráfico únicamente sobre la base de la dirección IP de origen. Una práctica
recomendada típica para las ACL estándar es configurarlas y aplicarlas lo más cerca posible del destino.
Para la primera lista de acceso, cree una ACL estándar numerada que permita que el tráfico proveniente de
todos los hosts en la red 192.168.10.0/24 y de todos los hosts en la red 192.168.20.0/24 acceda a todos los
hosts en la red 192.168.30.0/24. La política de seguridad también indica que debe haber una entrada de
control de acceso (ACE) deny any, también conocida como “instrucción de ACL”, al final de todas las ACL.
¿Qué máscara wildcard usaría para permitir que todos los hosts en la red 192.168.10.0/24 accedan a la red
192.168.30.0/24?
0.0.0.255
Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? R3
¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría?
G0/1. La ACL debe aplicarse en sentido de salida. Los estudiantes pueden responder colocando la
ACL en la interfaz S0/0/1 en R3 en la dirección de entrada. Destaque que esto también impediría con
eficacia que las LAN en R1 lleguen a la red 192.168.40.0/24.
a. Configure la ACL en el R3. Use 1 como el número de lista de acceso.
R3(config)# access-list 1 remark Allow R1 LANs Access
R3(config)# access-list 1 deny any
b. Aplique la ACL a la interfaz apropiada en el sentido correcto.
R3(config)# interface g0/1
R3(config-if)# ip access-group 1 out
c. Verifique una ACL numerada.
El uso de diversos comandos show puede ayudarle a verificar la sintaxis y la colocación de las ACL en
el router.
¿Qué comando usaría para ver la lista de acceso 1 en su totalidad, con todas las ACE?
R3# show access-lists 1
o
R3# show access-lists
¿Qué comando usaría para ver dónde se aplicó la lista de acceso y en qué sentido?
R3# show ip interface g0/1
o
R3# show ip interface
1) En el R3, emita el comando show access-lists 1.
R3# show access-list 1
Lista de acceso IP estándar 1
10 permit 192.168.10.0, wildcard bits 0.0.0.255
30 deny any
2) En el R3, emita el comando show ip interface g0/1.

GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is 1
Inbound access list is not set
Resultado omitido
3) Pruebe la ACL para ver si permite que el tráfico de la red 192.168.10.0/24 acceda a la red
192.168.30.0/24. Desde el símbolo del sistema en la PC-A, haga ping a la dirección IP de la PC-C.
¿Fueron correctos los pings? Sí
192.168.30.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R1 como origen.
Haga ping a la dirección IP de la PC-C. ¿Fueron correctos los pings? Sí
R1# ping
Protocol [ip]:
Target IP address: 192.168.30.3
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.20.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.3, timeout is 2 seconds:
Packet sent with a source address of 192.168.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms
d. Desde la petición de entrada del R1, vuelva a hacer ping a la dirección IP de la PC-C.
R1# ping 192.168.30.3
¿El ping se realizó correctamente? ¿Por qué o por qué no?
No, los pings fallaron. Cuando hace ping desde el router, este usa la interfaz más cercana al destino
como la dirección de origen. La dirección de origen de los pings era 10.1.1.1. La lista de acceso en
el R3 solo permite el acceso de las redes 192.168.10.0/24 y 192.168.20.0/24.
Paso 9: Configurar una ACL estándar con nombre
Cree una ACL estándar con nombre que se ajuste a la siguiente política: permitir que el tráfico de todos los
hosts en la red 192.168.40.0/24 tenga acceso a todos los hosts en la red 192.168.10.0/24. Además, solo
debe permitir el acceso del host PC-C a la red 192.168.10.0/24. El nombre de esta lista de acceso debe ser
BRANCH-OFFICE-POLICY.
Según las mejores prácticas recomendadas por Cisco, ¿en qué router colocaría esta ACL? R1
¿En qué interfaz colocaría esta ACL? ¿En qué sentido la aplicaría?
G0/1. La ACL debe aplicarse en sentido de salida. Los estudiantes pueden responder colocando la
ACL en la interfaz S0/0/0 en R1 en la dirección de entrada. Destaque que esto también impediría con
eficacia que todo el tráfico de las LAN en R3 lleguen a la red 192.168.20.0/24.
a. Cree la ACL estándar con nombre BRANCH-OFFICE-POLICY en el R1.
R1(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# end
R1#
*Feb 15 15:56:55.707: %SYS-5-CONFIG_I: Configured from console by console
Observe la primera ACE permit en la lista de acceso. ¿Cuál sería otra forma de escribir esto?
b. Aplique la ACL a la interfaz apropiada en el sentido correcto.
R1# config t
R1(config-if)# ip access-group BRANCH-OFFICE-POLICY out
c. Verifique una ACL con nombre.
1) En el R1, emita el comando show access-lists.
Standard IP access list BRANCH-OFFICE-POLICY
10 permit 192.168.30.3
¿Hay alguna diferencia entre esta ACL en el R1 y la ACL en el R3? Si es así, ¿cuál es?
Aunque no hay una línea 30 con deny any en el R1, la instrucción está implícita. Quizá desee
hacer énfasis en esto. Es aconsejable que configuren realmente la ACE deny any, ya que esto
refuerza el concepto debido a que aparece en la ACL cuando se emite un comando show
access-lists. Es fácil olvidar la instrucción deny any implícita cuando se resuelven problemas
en las ACL. Esto podría provocar que se deniegue el tráfico que se debería haber permitido.
2) En el R1, emita el comando show ip interface g0/1.

Broadcast address is 255.255.255.255
Address determined by non-volatile memory
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.10
Outgoing access list is BRANCH-OFFICE-POLICY
Inbound access list is not set
<Resultado omitido>
3) Probar la ACL. Desde el símbolo del sistema en la PC-C, haga ping a la dirección IP de la PC-A.
¿Fueron correctos los pings? Sí
4) Pruebe la ACL para asegurarse de que solo el host PC-C tenga acceso a la red 192.168.10.0/24.
Debe hacer un ping extendido y usar la dirección G0/1 en el R3 como origen. Haga ping a la
dirección IP de la PC-A. ¿Fueron correctos los pings? _______ No
R3# ping
Protocol [ip]:
Repeat count [5]:
U.U.U
192.168.10.0/24. Debe hacer un ping extendido y usar la dirección loopback 0 en el R3 como origen.
Haga ping a la dirección IP de la PC-A. ¿Fueron correctos los pings? Sí
R3# ping
Protocol [ip]:
Repeat count [5]:
!!!!!
Parte 4: Modificar una ACL estándar

En el ámbito empresarial, es común que las políticas de seguridad cambien. Por este motivo, quizá sea
necesario modificar las ACL. En la parte 4, cambiará una de las ACL que configuró antes para que coincida
con una nueva política de administración que se debe implementar.
La administración decidió que los usuarios de la red 209.165.200.224/27 no deben tener acceso total a la red
192.168.10.0/24. La administración también desea que las ACL en todos sus routers se ajusten a reglas
coherentes. Se debe colocar una ACE deny any al final de todas las ACL. Debe modificar la ACL BRANCH-
OFFICE-POLICY.
Agregará dos líneas adicionales a esta ACL. Hay dos formas de hacer esto:
OPCIÓN 1: Emita un comando no ip access-list standard BRANCH-OFFICE-POLICY en el modo de
configuración global. Esto quitaría la ACL completa del router. Según el IOS del router, ocurriría una de las
siguientes situaciones: se cancelaría todo el filtrado de paquetes y se permitiría el acceso de todos los
paquetes al router o bien, debido a que no quitó el comando ip access-group de la interfaz G0/1, el filtrado
se sigue implementando. Independientemente de lo que suceda, una vez que la ACL ya no esté, puede
volver a escribir toda la ACL o cortarla y pegarla con un editor de texto.
OPCIÓN 2: Puede modificar las ACL implementadas y agregar o eliminar líneas específicas dentro de las
ACL. Esto puede ser práctico, especialmente con las ACL que tienen muchas líneas de código. Al volver a
escribir toda la ACL, o al cortarla y pegarla, se pueden producir errores con facilidad. La modificación de las
líneas específicas dentro de la ACL se logra fácilmente.
Nota: Para esta práctica de laboratorio, utilice la opción 2.
Paso 10: Modificar una ACL estándar con nombre

a. En el modo EXEC con privilegios en R1, emita el comando show access-lists.
10 permit 192.168.30.3 (8 matches)
b. Agregue dos líneas adicionales al final de la ACL. En el modo de configuración global, modifique la ACL
BRANCH-OFFICE-POLICY.
R1#(config)# ip access-list standard BRANCH-OFFICE-POLICY
R1(config-std-nacl)# 30 permit 209.165.200.224 0.0.0.31
R1(config-std-nacl)# 40 deny any
R1(config-std-nacl)# end
c. Verifique la ACL.
1) En el R1, emita el comando show access-lists.
10 permit 192.168.30.3 (8 matches)
40 deny any
¿Debe aplicar la ACL BRANCH-OFFICE-POLICY a la interfaz G0/1 en el R1?
No, el comando ip access-group BRANCH-OFFICE-POLICY out todavía está implementado en
G0/1.
2) Desde la entrada de comandos del ISP, emita un ping extendido. Pruebe la ACL para ver si permite
que el tráfico de la red 209.165.200.224/27 acceda a la red 192.168.10.0/24. Debe hacer un ping
extendido y usar la dirección loopback 0 en el ISP como origen. Haga ping a la dirección IP de la
PC-A. ¿Fueron correctos los pings? _______ Sí
Reflexión
1. Como puede observar, las ACL estándar son muy eficaces y funcionan muy bien. ¿Por qué tendría la
necesidad de usar ACL extendidas?
Las ACL estándar solo realizan filtrado según la dirección de origen. Además, no son granulares.
Permiten o deniegan TODO (protocolos y servicios). Si bien las ACL extendidas son más difíciles de
componer, son adecuadas para las redes complejas en las que quizá necesite permitir solo el acceso
de ciertos puertos a las redes y denegar otros.
2. Generalmente, se requiere escribir más al usar una ACL con nombre que una ACL numerada. ¿Por qué
elegiría ACL con nombre en vez de ACL numeradas?
Los estudiantes podrían mencionar dos razones aquí. La primera razón es que usar ACL con nombre
le proporciona la capacidad de modificar líneas específicas dentro de la ACL, sin necesidad de volver
a escribir todo. NOTA: Las versiones más recientes del IOS permiten la modificación de las ACL
numeradas del mismo modo que las ACL con nombre. En segundo lugar, se recomienda tener una
ACL con nombre, ya que ayuda a registrar el propósito de la ACL con un nombre descriptivo.

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
cuántas interfaces tiene. No existe una forma eficaz de hacer una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla se incluyen los identificadores para las posibles
Router R1
R1#sh run
Building configuration...
Current configuration : 1590 bytes

!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
enable secret 4 tnhtc92DXBhelxjYk8LWJrPV36S2i4ntXrpb4RFmfqY
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
interface Loopback0
ip address 192.168.20.1 255.255.255.0
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.10.1 255.255.255.0
ip access-group BRANCH-OFFICE-POLICY out
duplex auto
speed auto
!
ip address 10.1.1.1 255.255.255.252
clock rate 128000
!
no ip address
shutdown
clock rate 128000
!
!
router rip
versión 2
network 10.1.1.0
network 192.168.10.0
network 192.168.20.0
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
!
ip access-list standard BRANCH-OFFICE-POLICY
permit 192.168.30.3
permit 192.168.40.0 0.0.0.255
permit 209.165.200.224 0.0.0.31
deny any
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
password class
login
transport input all
!
scheduler allocate 20000 1000
!
end
Router R3
R3#sh run

!
version 15.2
!
hostname R3
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
interface Loopback0
ip address 192.168.40.1 255.255.255.0
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.30.1 255.255.255.0
ip access-group 1 out
duplex auto
speed auto
!
no ip address
shutdown
clock rate 2000000
!
ip address 10.2.2.1 255.255.255.252
!
!
router rip
versión 2
network 10.2.2.0
network 192.168.30.0
network 192.168.40.0
!
!
no ip http server
!
!
access-list 1 remark Allow R1 LANs Access
access-list 1 deny any
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password class
login
transport input all
!
!
end
Router ISP
ISP#sh run

!
version 15.2
no service password-encrypt
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
interface Loopback0
ip address 209.165.200.225 255.255.255.224
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
!
ip address 10.2.2.2 255.255.255.252
clock rate 128000
!
router rip
versión 2
network 10.1.1.0
network 10.2.2.0
network 209.165.200.224
!
!
no ip http server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password class
login
transport input all
!
!
end
Switch S1
S1# show run

!
version 15.0
no service pad
!
hostname S1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
system mtu routing 1500
!
!
no ip domain-lookup
!
<resultado omitido>
!
!
!
!
interface Vlan1
ip address 192.168.10.11 255.255.255.0
!
ip http server
!
!
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
end
Switch S3
S3# show start
Using 1696 out of 65536 bytes
!
version 15.0
no service pad
!
hostname S3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
no ip domain-lookup
!
<resultado omitido>
!
!
!
!
interface Vlan1
ip address 192.168.30.11 255.255.255.0
!
ip http server
!
!
line con 0
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!
End
8.1.2.4 Configuracion de DHCPv4 basico en un router.
(ALEXIS PEDROZA).
Práctica de laboratorio: Configuración de DHCPv4 básico en un

router (Versión para el instructor)
copia del instructor solamente.
Topología
Máscara de Gateway
R1 G0/0 192.168.0.1 255.255.255.0 N/D

G0/1 192.168.1.1 255.255.255.0 N/D
S0/0/0 (DCE) 192.168.2.253 255.255.255.252 N/D
R2 S0/0/0 192.168.2.254 255.255.255.252 N/D
S0/0/1 (DCE) 209.165.200.226 255.255.255.224 N/D
ISP S0/0/1 209.165.200.225 255.255.255.224 N/D
PC-A NIC DHCP DHCP DHCP
PC-B NIC DHCP DHCP DHCP
Objetivos
Parte 1: Armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: Configurar un servidor de DHCPv4 y un agente de retransmisión DHCP
El protocolo de configuración dinámica de host (DHCP) es un protocolo de red que permite a los
administradores de red administrar y automatizar la asignación de direcciones IP. Sin DHCP, el administrador
debe asignar y configurar manualmente las direcciones IP, los servidores DNS preferidos y los gateways
predeterminados. A medida que aumenta el tamaño de la red, esto se convierte en un problema
administrativo cuando los dispositivos se trasladan de una red interna a otra.
En esta situación, la empresa creció en tamaño, y los administradores de red ya no pueden asignar direcciones
IP a los dispositivos de forma manual. Su tarea es configurar el router R2 para asignar direcciones IPv4 en dos
subredes diferentes conectadas al router R1.
Nota: En esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que
efectivamente se necesitan para configurar DHCP. Sin embargo, los comandos necesarios se encuentran en
el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el
apéndice.
laboratorio. Consulte la tabla Resumen de interfaces del router al final de esta práctica de laboratorio para
Recursos necesarios
• 2 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9 o similar)
Parte 5. Armar la red y configurar los ajustes básicos de los dispositivos
En la parte 1, establecerá la topología de la red y configurará los routers y switches con los parámetros
básicos, como las contraseñas y las direcciones IP. Además, configurará los parámetros de IP de las
computadoras en la topología.
Paso 3: Configurar los parámetros básicos para cada router

no ip domain-lookup
enable secret class
banner motd #
línea con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
c. Configure el nombre de host como se muestra en la topología.
hostname
d. Configure las direcciones IPv4 en el router como se muestra en la topología.
Ip address
e. Configure las interfaces de serie de DCE con una frecuencia de reloj de 128000.
Clock rate 128000
Paso 4: Configurar routing dinámico, predeterminado y estático en los routers
a. Configure RIPv2 para R1.
R1(config-router)# no auto-summary
b. Configure RIPv2 y una ruta predeterminada al ISP en el R2.
R2(config-router)# default-information originate
R2(config-router)# exit
R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.225
c. Configure una ruta estática resumida en el ISP para llegar a las redes en los routers R1 y R2.
ISP(config)# ip route 192.168.0.0 255.255.252.0 209.165.200.226
d. Copie la configuración en ejecución en la configuración de inicio
Copy running-config startup-config
Paso 5: Verificar la conectividad de red entre los routers

Si algún ping entre los routers falla, corrija los errores antes de continuar con el siguiente paso. Use los
comandos show ip route y show ip interface brief para detectar posibles problemas.
Paso 6: Verificar que los equipos host estén configurados para DHCP
Parte 6. Configurar un servidor de DHCPv4 y un agente de retransmisión
DHCP
Para asignar automáticamente la información de dirección en la red, configure el R2 como servidor de
DHCPv4 y el R1 como agente de retransmisión DHCP.
Paso 1: Configurar los parámetros del servidor de DHCPv4 en el router R2

En el R2, configure un conjunto de direcciones DHCP para cada LAN del R1. Utilice el nombre de conjunto
R1G0 para G0/0 LAN y R1G1 para G0/1 LAN. Asimismo, configure las direcciones que se excluirán de los
conjuntos de direcciones. La práctica recomendada indica que primero se deben configurar las direcciones
excluidas, a fin de garantizar que no se arrienden accidentalmente a otros dispositivos.
Excluya las primeras nueve direcciones en cada LAN del R1; empiece por .1. El resto de las direcciones
deben estar disponibles en el conjunto de direcciones DHCP. Asegúrese de que cada conjunto de
direcciones DHCP incluya un gateway predeterminado, el dominio ccna-lab.com, un servidor DNS
(209.165.200.225) y un tiempo de arrendamiento de dos días.
En las líneas a continuación, escriba los comandos necesarios para configurar los servicios DHCP en el
router R2, incluso las direcciones DHCP excluidas y los conjuntos de direcciones DHCP.
Nota: Los comandos requeridos para la parte 2 se encuentran en el apéndice A. Ponga a prueba su
conocimiento e intente configurar DHCP en el R1 y el R2 sin consultar el apéndice.
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
R2(config)# ip dhcp excluded-address 192.168.0.1 192.168.0.9
R2(config)# ip dhcp pool R1G1
R2(dhcp-config)# network 192.168.1.0 255.255.255.0
R2(dhcp-config)# default-router 192.168.1.1
R2(dhcp-config)# dns-server 209.165.200.225
R2(dhcp-config)# domain-name ccna-lab.com
R2(dhcp-config)# lease 2
R2(dhcp-config)# exit
En la PC-A o la PC-B, abra un símbolo del sistema e introduzca el comando ipconfig /all. ¿Alguno de los
equipos host recibió una dirección IP del servidor de DHCP? ¿Por qué?
____________________________________________________________________________________
Los equipos host no reciben direcciones IP del servidor de DHCP en el R2 hasta que el R1 esté configurado
como agente de retransmisión DHCP.
Paso 2: Configurar el R1 como agente de retransmisión DHCP

Configure las direcciones IP de ayuda en el R1 para que reenvíen todas las solicitudes de DHCP al servidor
de DHCP en el R2.
En las líneas a continuación, escriba los comandos necesarios para configurar el R1 como agente de
retransmisión DHCP para las LAN del R1.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
R1(config-if)# ip helper-address 192.168.2.254
R1(config-if)# exit
Paso 3: Registrar la configuración IP para la PC-A y la PC-B

En la PC-A y la PC-B, emita el comando ipconfig /all para verificar que las computadoras recibieron la
información de la dirección IP del servidor de DHCP en el R2. Registre la dirección IP y la dirección MAC de
cada computadora.
PC-A PC-B
IP 192.168.1.10 192.168.0.10
MAC 00E0.F7CC.C2B1 000C.CF73.87DB
_______________________________________________________________________________________
Las respuestas pueden variar.
Según el pool de DHCP que se configuró en el R2, ¿cuáles son las primeras direcciones IP disponibles que
la PC-A y la PC-B pueden arrendar?
_______________________________________________________________________________________
PC-B: 192.168.0.10 y PC-A: 192.168.1.10
Paso 4: Verificar los servicios DHCP y los arrendamientos de direcciones en el R2
a. En el R2, introduzca el comando show ip dhcp binding para ver los arrendamientos de direcciones
DHCP.
R2# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
Nombre de usuario
192.168.0.10 011c.c1de.91c3.5d Mar 13 2013 02:07 AM Automatic
192.168.1.10 0100.2170.0c05.0c Mar 13 2013 02:09 AM Automatic
Junto con las direcciones IP que se arrendaron, ¿qué otra información útil de identificación de cliente
aparece en el resultado?
__________________________________________________________________________________
Las direcciones de hardware del cliente permiten identificar las computadoras específicas que se unieron
a la red.
b. En el R2, introduzca el comando show ip dhcp server statistics para ver la actividad de mensajes y las
estadísticas del pool de DHCP.
R2# show ip dhcp server statistics
Memory usage 42175
Address pools 2
Database agents 0
Automatic bindings 2
Manual bindings 0
Expired bindings 0
Malformed messages 0
Secure arp entries 0
Message Received
BOOTREQUEST 0
DHCPDISCOVER 2
DHCPREQUEST 2
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 2
Message Sent
BOOTREPLY 0
DHCPOFFER 2
DHCPACK 4
DHCPNAK 0
¿Cuántos tipos de mensajes DHCP se indican en el resultado?

____________________________________________________________________________________
Se indican 10 tipos diferentes de mensajes DHCP.
c. En el R2, introduzca el comando show ip dhcp pool para ver la configuración del pool de DHCP.
R2# show ip dhcp pool
Pool R1G1 :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
192.168.1.11 192.168.1.1 - 192.168.1.254 1
Pool R1G0 :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 254
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
192.168.0.11 192.168.0.1 - 192.168.0.254 1
En el resultado del comando show ip dhcp pool, ¿a qué hace referencia el índice actual (current index)?
____________________________________________________________________________________
La siguiente dirección disponible para arrendamiento.
d. En el R2, introduzca el comando show run | section dhcp para ver la configuración DHCP en la
configuración en ejecución.
R2# show run | section dhcp
ip dhcp excluded-address 192.168.0.1 192.168.0.9
ip dhcp pool R1G1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
domain-name ccna-lab.com
dns-server 209.165.200.225
lease 2
ip dhcp pool R1G0
network 192.168.0.0 255.255.255.0
dns-server 209.165.200.225
lease 2
e. En el R1, introduzca el comando show run interface para las interfaces G0/0 y G0/1 para ver la
configuración de retransmisión DHCP en la configuración en ejecución.
R1# show run interface g0/0

!
ip address 192.168.0.1 255.255.255.0
ip helper-address 192.168.2.254
duplex auto
speed auto
end


!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
end
Reflexión
¿Cuál cree que es el beneficio de usar agentes de retransmisión DHCP en lugar de varios routers que
funcionen como servidores de DHCP?
_______________________________________________________________________________________
Tener un servidor de DHCP del router independiente para cada subred agregaría más complejidad y
disminuiría la administración centralizada de la red. También requeriría que cada router funcione más para
administrar su propio direccionamiento DHCP, además de desempeñar la función principal de enrutar tráfico.
Un servidor de DHCP (router o computadora) que esté dedicado al trabajo es más fácil de administrar y está
más centralizado.
REFERENCIA:
https://www.youtube.com/watch?v=EVizlg_WtWw&t=148s

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Apéndice A: Comandos de configuración de DHCP
Router R1
R1(config-if)# exit
R1(config-if)# interface g0/1
Router R2
R2(dhcp-config)# exit
Router R1
R1# show run

!
versión 15.2
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
no ip address
shutdown
!
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.2.253 255.255.255.252
clock rate 128000
!
no ip address
shutdown!
!
router rip
versión 2
network 192.168.0.0
red 192.168.1.0
network 192.168.2.252
!
!
no ip http server
!
control-plane
!
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
End
R1#show run

!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
!
hostname R1
!
enable secret 5 $1$mERr$9cTjUIEqNGurQiFU.ZeCi1
!
no ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX15244B1H-
!
no ip domain-lookup
!
!
ip address 192.168.0.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.2.253 255.255.255.252
clock rate 128000
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
Router R2
R2# show run

!
versión 15.2
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip dhcp pool R1G1
network 192.168.1.0 255.255.255.0
dns-server 209.165.200.225
lease 2
!
ip dhcp pool R1G0
network 192.168.0.0 255.255.255.0
dns-server 209.165.200.225
lease 2
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.2.254 255.255.255.252
!
ip address 209.165.200.226 255.255.255.224
clock rate 128000
!
!
router rip
versión 2
network 192.168.2.252
default-information originate
!
!
no ip http server
!
ip route 0.0.0.0 0.0.0.0 209.165.200.225
!
control-plan
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
End
R2#show run

!
version 15.1
!
hostname R2
!
!
!
ip dhcp pool R1G1
network 192.168.1.0 255.255.255.0
dns-server 209.165.200.225
ip dhcp pool R1G0
network 192.168.0.0 255.255.255.0
dns-server 209.165.200.225
!
no ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX1524JA50-
!
no ip domain-lookup
!
!
no ip address
duplex auto
speed auto
shutdown
!
no ip address
duplex auto
speed auto
shutdown
!
ip address 192.168.2.254 255.255.255.252
!
ip address 209.165.200.226 255.255.255.224
clock rate 128000
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router rip
version 2
network 192.168.2.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 209.165.200.225
!
ip flow-export version 9
!
banner motd ^CUnauthorized access is strictly prohibited ^C
!
line con 0
logging synchronous
login
!
line aux 0
!
line vty 0 4
login
!
end
Router ISP
ISP# show run

!
versión 15.2
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 10
!
no ip domain lookup
ip cef
no ipv6 cef
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
clock rate 2000000
!
ip address 209.165.200.225 255.255.255.224
!
!
no ip http server
!
ip route 192.168.0.0 255.255.252.0 209.165.200.226
!
control-plane
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
End
isp#show run

!
version 15.1
!
hostname isp
!
!
no ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX15246G3F-
!
no ip domain-lookup
!
!
no ip address
duplex auto
speed auto
shutdown
!
no ip address
duplex auto
speed auto
shutdown
!
no ip address
clock rate 2000000
shutdown
!
ip address 209.165.200.225 255.255.255.224
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 192.168.0.0 255.255.252.0 209.165.200.226
!
!
banner motd ^C Unauthorized access is strictly prohibited ^C
!
line con 0
logging synchronous
login
!
line aux 0
!
line vty 0 4
login
!
end
8.2.4.5 CONFIGURACION DE OSPFVv2 BASICO DE AREA UNICA
(JOSE ANGEL BOSSA)
Práctica de laboratorio: configuración de OSPFv2 básico de área
única.
Topología
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
R1 G0/0 192.168.1.1 255.255.255.0 N/A

S0/0/0 (DCE) 192.168.12.1 255.255.255.252 N/A
S0/0/1 192.168.13.1 255.255.255.252 N/A
R2 G0/0 192.168.2.1 255.255.255.0 N/A
S0/0/0 192.168.12.2 255.255.255.252 N/A
S0/0/1 (DCE) 192.168.23.1 255.255.255.252 N/A
R3 G0/0 192.168.3.1 255.255.255.0 N/A
S0/0/0 (DCE) 192.168.13.2 255.255.255.252 N/A
S0/0/1 192.168.23.2 255.255.255.252 N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.2.3 255.255.255.0 192.168.2.1
PC-C NIC 192.168.3.3 255.255.255.0 192.168.3.1
Objetivos
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: configurar y verificar el routing OSPF
Parte 3: cambiar las asignaciones de ID del router
Parte 4: configurar interfaces OSPF pasivas
Parte 5: cambiar las métricas de OSPF
Información básica/situación
El protocolo OSPF (Open Shortest Path First) es un protocolo de routing de estado de enlace para las redes
IP. Se definió OSPFv2 para redes IPv4, y OSPFv3 para redes IPv6. OSPF detecta cambios en la topología,
como fallas de enlace, y converge en una nueva estructura de routing sin bucles muy rápidamente. Computa
cada ruta con el algoritmo de Dijkstra, un algoritmo SPF (Shortest Path First).
En esta práctica de laboratorio, configurará la topología de la red con routing OSPFv2, cambiará las
asignaciones de ID de router, configurará interfaces pasivas, ajustará las métricas de OSPF y utilizará varios
comandos de CLI para ver y verificar la información de routing OSPF.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers
y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles
y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio.
Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio
para obtener los identificadores de interfaz correctos.
Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está
seguro, consulte con el instructor.
Recursos necesarios
• 3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
• 3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
Parte 1. armar la red y configurar los parámetros básicos de los

dispositivos
En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host
y los routers.
Paso 1: realizar el cableado de red tal como se muestra en la topología.
Paso 2: inicializar y volver a cargar los routers según sea necesario.
Paso 3: configurar los parámetros básicos para cada router.

a. Desactive la búsqueda del DNS.
b. Configure el nombre del dispositivo como se muestra en la topología.
Router(config)#hostname R1
R1#
R2#
R3#
c. Asigne class como la contraseña del modo EXEC privilegiado.
R1(config)#enable password class
d. Asigne cisco como la contraseña de consola y la contraseña de vty.
R1(config)#line console 0
R1(config-line)#password cisco
R1(config-line)#login
e. Configure un aviso de mensaje del día (MOTD) para advertir a los usuarios que el acceso no autorizado
está prohibido.
R1(config)#banner motd "acceso no autorizado"
f. Configure logging synchronous para la línea de consola.
g. Configure la dirección IP que se indica en la tabla de direccionamiento para todas las interfaces.
R1(config)#int g0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#int s0/0/0
R2(config)#int g0/0
R3(config)#int g0/0
R3(config)#int s0/0/1
h. Establezca la frecuencia de reloj para todas las interfaces seriales DCE en 128000.
R1(config-if)#clock rate 128000
i. Copie la configuración en ejecución en la configuración de inicio
Paso 4: configurar los equipos host.

Paso 5: Probar la conectividad.
Los routers deben poder hacerse ping entre sí, y cada computadora debe poder hacer ping a su gateway
predeterminado. Las computadoras no pueden hacer ping a otras computadoras hasta que no se haya
configurado el routing OSPF. Verifique y resuelva los problemas, si es necesario.
R1#ping 192.168.12.2

!!!!!
R1#ping 192.168.13.2

!!!!!
R1#ping 192.168.1.3

.!!!!
Parte 2. Configurar y verificar el enrutamiento OSPF
En la parte 2, configurará el routing OSPFv2 en todos los routers de la red y, luego, verificará que las tablas
de routing se hayan actualizado correctamente. Después de verificar OSPF, configurará la autenticación de
OSPF en los enlaces para mayor seguridad.
Paso 1: Configure el protocolo OSPF en R1.

a. Use el comando router ospf en el modo de configuración global para habilitar OSPF en el R1.
R1(config)# router ospf 1
Nota: la ID del proceso OSPF se mantiene localmente y no tiene sentido para los otros routers de la red.
b. Configure las instrucciones network para las redes en el R1. Utilice la ID de área 0.
R1(config-router)# network 192.168.1.0 0.0.0.255 area 0
Paso 2: Configure OSPF en el R2 y el R3.

Use el comando router ospf y agregue las instrucciones network para las redes en el R2 y el R3. Cuando el
routing OSPF está configurado en el R2 y el R3, se muestran mensajes de adyacencia de vecino en el R1.
R1#
00:22:29: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.23.1 on Serial0/0/0 from LOADING to
FULL, Loading Done
R1#
FULL, Loading Done
R2#
FULL, Loading Done
R3#
FULL, Loading Done
R3#
FULL, Loading Done
Paso 3: verificar los vecinos OSPF y la información de routing.

a. Emita el comando show ip ospf neighbor para verificar que cada router indique a los demás routers en
la red como vecinos.
R1# show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface

192.168.23.2 0 FULL/ - 00:00:33 192.168.13.2 Serial0/0/1
192.168.23.1 0 FULL/ - 00:00:30 192.168.12.2 Serial0/0/0
b. Emita el comando show ip route para verificar que todas las redes aparezcan en la tabla de routing de
todos los routers.
R1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks

C 192.168.1.0/24 is directly connected, GigabitEthernet0/0
L 192.168.1.1/32 is directly connected, GigabitEthernet0/0
O 192.168.2.0/24 [110/65] via 192.168.12.2, 00:32:33, Serial0/0/0
O 192.168.3.0/24 [110/65] via 192.168.13.2, 00:31:48, Serial0/0/1
C 192.168.12.0/30 is directly connected, Serial0/0/0
L 192.168.12.1/32 is directly connected, Serial0/0/0
192.168.23.0/30 is subnetted, 1 subnets
O 192.168.23.0/30 [110/128] via 192.168.12.2, 00:31:38, Serial0/0/0
[110/128] via 192.168.13.2, 00:31:38, Serial0/0/1
¿Qué comando utilizaría para ver solamente las rutas OSPF en la tabla de routing?
R1#show ip route ospf
O 192.168.2.0 [110/65] via 192.168.12.2, 00:31:56, Serial0/0/0
O 192.168.3.0 [110/65] via 192.168.13.2, 00:26:27, Serial0/0/1
O 192.168.23.0 [110/128] via 192.168.12.2, 00:26:00, Serial0/0/0
Paso 4: [110/128] via 192.168.13.2, 00:26:00, Serial0/0/1 verificar la configuración del protocolo
OSPF.
El comando show ip protocols es una manera rápida de verificar información fundamental de configuración
de OSPF. Esta información incluye la ID del proceso OSPF, la ID del router, las redes que anuncia el router,
los vecinos de los que el router recibe actualizaciones y la distancia administrativa predeterminada, que para
OSPF es 110.
R1# show ip protocols
*** IP Routing is NSF aware ***
Routing Protocol is "ospf 1"

Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Router ID 192.168.13.1
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Maximum path: 4
Routing for Networks:
192.168.1.0 0.0.0.255 area 0
192.168.12.0 0.0.0.3 area 0
192.168.13.0 0.0.0.3 area 0
Routing Information Sources:
Gateway Distance Last Update
192.168.23.2 110 00:19:16
192.168.23.1 110 00:20:03
Distance: (default is 110)
Paso 5: verificar la información del proceso OSPF.

Use el comando show ip ospf para examinar la ID del proceso OSPF y la ID del router. Este comando
muestra información de área OSPF y la última vez que se calculó el algoritmo SPF.
R1# show ip ospf
Routing Process "ospf 1" with ID 192.168.13.1
Start time: 00:20:23.260, Time elapsed: 00:25:08.296
Supports only single TOS(TOS0) routes
Supports opaque LSA
Supports Link-local Signaling (LLS)
Supports area transit capability
Supports NSSA (compatible with RFC 3101)
Event-log enabled, Maximum number of events: 1000, Mode: cyclic
Router is not originating router-LSAs with maximum metric
Initial SPF schedule delay 5000 msecs
Minimum hold time between two consecutive SPFs 10000 msecs
Maximum wait time between two consecutive SPFs 10000 msecs
Incremental-SPF disabled
Minimum LSA interval 5 secs
Minimum LSA arrival 1000 msecs
LSA group pacing timer 240 secs
Interface flood pacing timer 33 msecs
Retransmission pacing timer 66 msecs
Number of external LSA 0. Checksum Sum 0x000000
Number of opaque AS LSA 0. Checksum Sum 0x000000
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas transit capable is 0
External flood list length 0
IETF NSF helper support enabled
Cisco NSF helper support enabled
Reference bandwidth unit is 100 mbps
Area BACKBONE(0)
Number of interfaces in this area is 3
Area has no authentication
SPF algorithm last executed 00:22:53.756 ago
SPF algorithm executed 7 times
Area ranges are
Number of LSA 3. Checksum Sum 0x019A61
Number of opaque link LSA 0. Checksum Sum 0x000000
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
Paso 6: verificar la configuración de la interfaz OSPF.

a. Emita el comando show ip ospf interface brief para ver un resumen de las interfaces con OSPF
habilitado.
R1# show ip ospf interface brief
Interface PID Area IP Address/Mask Cost State Nbrs F/C
Se0/0/1 1 0 192.168.13.1/30 64 P2P 1/1
Se0/0/0 1 0 192.168.12.1/30 64 P2P 1/1
Gi0/0 1 0 192.168.1.1/24 1 DR 0/0
b. Para obtener una lista detallada de todas las interfaces con OSPF habilitado, emita el comando show ip
ospf interface.
R1# show ip ospf interface
Serial0/0/1 is up, line protocol is up
Internet Address 192.168.13.1/30, Area 0, Attached via Network Statement
Process ID 1, Router ID 192.168.13.1, Network Type POINT_TO_POINT, Cost: 64
Topology-MTID Cost Disabled Shutdown Topology Name
0 64 no no Base
Transmit Delay is 1 sec, State POINT_TO_POINT
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 00:00:01
Index 3/3, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 1
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.23.2
Suppress hello for 0 neighbor(s)
0 64 no no Base
Next 0x0(0)/0x0(0)
Process ID 1, Router ID 192.168.13.1, Network Type BROADCAST, Cost: 1
0 1 no no Base
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 192.168.13.1, Interface address 192.168.1.1
No backup designated router on this network
Next 0x0(0)/0x0(0)
Paso 7: Verificar la conectividad de extremo a extremo.

Se debería poder hacer ping entre todas las computadoras de la topología. Verifique y resuelva los
problemas, si es necesario.
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Parte 3. cambiar las asignaciones de ID del router
El ID del router OSPF se utiliza para identificar de forma única el router en el dominio de enrutamiento OSPF.
Los routers Cisco derivan la ID del router en una de estas tres formas y con la siguiente prioridad:
1) Dirección IP configurada con el comando de OSPF router-id, si la hubiera
2) Dirección IP más alta de cualquiera de las direcciones de loopback del router, si la hubiera
3) Dirección IP activa más alta de cualquiera de las interfaces físicas del router
Dado que no se ha configurado ningún ID o interfaz de loopback en los tres routers, el ID de router para cada
ruta se determina según la dirección IP más alta de cualquier interfaz activa.
En la parte 3, cambiará la asignación de ID del router OSPF con direcciones de loopback. También usará el
comando router-id para cambiar la ID del router.
Paso 1: Cambie las ID de router con direcciones de loopback.

a. Asigne una dirección IP al loopback 0 en el R1.
R1(config)# interface lo0
R1(config-if)# ip address 1.1.1.1 255.255.255.255
R1(config-if)# end
b. Asigne direcciones IP al loopback 0 en el R2 y el R3. Utilice la dirección IP 2.2.2.2/32 para el R2
y 3.3.3.3/32 para el R3.
R2(config)#interface lo0
R2(config-if)#end
R3(config)#interface lo0
R3(config-if)#end
c. Guarde la configuración en ejecución en la configuración de inicio de todos los routers.

R1#copy running-config startup-config
Destination filename [startup-config]?
[OK]
R2#copy Running-config startup-config
[OK]
R3#copy running-config startup-config
[OK]
d. Debe volver a cargar los routers para restablecer la ID del router a la dirección de loopback. Emita el
comando reload en los tres routers. Presione Enter para confirmar la recarga.
e. Una vez que se haya completado el proceso de recarga del router, emita el comando show ip protocols
para ver la nueva ID del router.

Router ID 1.1.1.1
Maximum path: 4
192.168.1.0 0.0.0.255 area 0
192.168.12.0 0.0.0.3 area 0
192.168.13.0 0.0.0.3 area 0
3.3.3.3 110 00:01:00
2.2.2.2 110 00:01:14
f. Emita el comando show ip ospf neighbor para mostrar los cambios de ID de router de los routers
vecinos.

3.3.3.3 0 FULL/ - 00:00:35 192.168.13.2 Serial0/0/1
2.2.2.2 0 FULL/ - 00:00:32 192.168.12.2 Serial0/0/0
R1#
Paso 2: cambiar la ID del router R1 con el comando router-id.

El método de preferencia para establecer la ID del router es mediante el comando router-id.
a. Emita el comando router-id 11.11.11.11 en el R1 para reasignar la ID del router. Observe el mensaje
informativo que aparece al emitir el comando router-id.
R1(config-router)# router-id 11.11.11.11
Reload or use "clear ip ospf process" command, for this to take effect
R1(config)# end
b. Recibirá un mensaje informativo en el que se le indique que debe volver a cargar el router o usar el
comando clear ip ospf process para que se aplique el cambio. Emita el comando clear ip ospf
process en los tres routers. Escriba yes (sí) como respuesta al mensaje de verificación de
restablecimiento y presione Enter.
c. Establezca la ID del router R2 22.22.22.22 y la ID del router R3 33.33.33.33. Luego, use el comando
clear ip ospf process para restablecer el proceso de routing de OSPF.
d. Emita el comando show ip protocols para verificar que la ID del router R1 haya cambiado.

Router ID 11.11.11.11
Maximum path: 4
192.168.1.0 0.0.0.255 area 0
192.168.12.0 0.0.0.3 area 0
192.168.13.0 0.0.0.3 area 0
Passive Interface(s):
GigabitEthernet0/1
33.33.33.33 110 00:00:19
22.22.22.22 110 00:00:31
3.3.3.3 110 00:00:41
2.2.2.2 110 00:00:41
e. Emita el comando show ip ospf neighbor en el R1 para verificar que se muestren las nuevas ID de los
routers R2 y R3.

33.33.33.33 0 FULL/ - 00:00:36 192.168.13.2 Serial0/0/1
22.22.22.22 0 FULL/ - 00:00:32 192.168.12.2 Serial0/0/0
Parte 4. configurar las interfaces pasivas de OSPF

El comando passive-interface evita que se envíen actualizaciones de routing a través de la interfaz de
router especificada. Esto se hace comúnmente para reducir el tráfico en las redes LAN, ya que no necesitan
recibir comunicaciones de protocolo de routing dinámico. En la parte 4, utilizará el comando passive-
interface para configurar una única interfaz como pasiva. También configurará OSPF para que todas las
interfaces del router sean pasivas de manera predeterminada y, luego, habilitará anuncios de routing OSPF
en interfaces seleccionadas.
Paso 1: configurar una interfaz pasiva.

a. Emita el comando show ip ospf interface g0/0 en el R1. Observe el temporizador que indica cuándo se
espera el siguiente paquete de saludo. Los paquetes de saludo se envían cada 10 segundos y se utilizan
entre los routers OSPF para verificar que sus vecinos estén activos.
R1# show ip ospf interface g0/0
0 1 no no Base
Next 0x0(0)/0x0(0)
b. Emita el comando passive-interface para cambiar la interfaz G0/0 en el R1 a pasiva.

R1(config-router)# passive-interface g0/0
c. Vuelva a emitir el comando show ip ospf interface g0/0 para verificar que la interfaz G0/0 ahora sea
pasiva.
0 1 no no Base
No Hellos (Passive interface)
Next 0x0(0)/0x0(0)
d. Emita el comando show ip route en el R2 y el R3 para verificar que todavía haya disponible una ruta a
la red 192.168.1.0/24.
R2# show ip route
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override

C 2.2.2.2 is directly connected, Loopback0
O 192.168.1.0/24 [110/65] via 192.168.12.1, 00:58:32, Serial0/0/0
O 192.168.3.0/24 [110/65] via 192.168.23.2, 00:58:19, Serial0/0/1
O 192.168.13.0 [110/128] via 192.168.23.2, 00:58:19, Serial0/0/1
[110/128] via 192.168.12.1, 00:58:32, Serial0/0/0
Paso 2: establecer la interfaz pasiva como la interfaz predeterminada en un router.

a. Emita el comando show ip ospf neighbor en el R1 para verificar que el R2 aparezca como un vecino
OSPF.

33.33.33.33 0 FULL/ - 00:00:31 192.168.13.2 Serial0/0/1
22.22.22.22 0 FULL/ - 00:00:32 192.168.12.2 Serial0/0/0
b. Emita el comando passive-interface default en el R2 para establecer todas las interfaces OSPF como
pasivas de manera predeterminada.
R2(config-router)# passive-interface default
R2(config-router)#
*Apr 3 00:03:00.979: %OSPF-5-ADJCHG: Process 1, Nbr 11.11.11.11 on Serial0/0/0 from
FULL to DOWN, Neighbor Down: Interface down or detached
FULL to DOWN, Neighbor Down: Interface down or detached
c. Vuelva a emitir el comando show ip ospf neighbor en el R1. Una vez que el temporizador de tiempo
muerto haya caducado, el R2 ya no se mostrará como un vecino OSPF.

33.33.33.33 0 FULL/ - 00:00:34 192.168.13.2 Serial0/0/1
d. Emita el comando show ip ospf interface S0/0/0 en el R2 para ver el estado de OSPF de la interfaz
S0/0/0.
R2# show ip ospf interface s0/0/0
0 64 no no Base
Next 0x0(0)/0x0(0)
e. Si todas las interfaces en el R2 son pasivas, no se anuncia ninguna información de routing. En este caso,
el R1 y el R3 ya no deberían tener una ruta a la red 192.168.2.0/24. Esto se puede verificar mediante el
comando show ip route.
f. En el R2, emita el comando no passive-interface para que el router envíe y reciba actualizaciones de
routing OSPF. Después de introducir este comando, verá un mensaje informativo que explica que se
estableció una adyacencia de vecino con el R1.
R2(config)#
R2(config-router)# no passive-interface s0/0/0
R2(config-router)#
LOADING to FULL, Loading Done
g. Vuelva a emitir los comandos show ip route y show ipv6 ospf neighbor en el R1 y el R3, y busque una
ruta a la red 192.168.2.0/24.
¿Qué interfaz usa el R3 para enrutarse a la red 192.168.2.0/24? Serial 0/0/0
¿Cuál es la métrica de costo acumulado para la red 192.168.2.0/24 en el R3? 129
¿El R2 aparece como vecino OSPF en el R1?
R2#show ip ospf neighbor
11.11.11.11 0 FULL/ - 00:00:34 192.168.12.1 Serial0/0/0
¿El R2 aparece como vecino OSPF en el R3?

No lo muestra por que no envía paquetes hello por esa ruta
¿Qué indica esta información? El router 2 tiene la interface serial 0/0/1 pasiva
h. Cambie la interfaz S0/0/1 en el R2 para permitir que anuncie las rutas OSPF. Registre los comandos
utilizados a continuación.
R2(config)#router ospf 1
R2(config-router)#no passive-interface s0/0/1
FULL, Loading Done
i. Vuelva a emitir el comando show ip route en el R3.

¿Qué interfaz usa el R3 para enrutarse a la red 192.168.2.0/24? Serial 0/0/1
¿Cuál es la métrica de costo acumulado para la red 192.168.2.0/24 en el R3 y cómo se calcula? 65
____________________________________________________________________________________
¿El R2 aparece como vecino OSPF del R3?
11.11.11.11 0 FULL/ - 00:00:33 192.168.12.1 Serial0/0/0
33.33.33.33 0 FULL/ - 00:00:33 192.168.23.2 Serial0/0/1
Parte 5. cambiar las métricas de OSPF

En la parte 3, cambiará las métricas de OSPF con los comandos auto-cost reference-bandwidth,
bandwidth e ip ospf cost.
Nota: en la parte 1, se deberían haber configurado todas las interfaces DCE con una frecuencia de reloj de
128000.
Paso 1: cambiar el ancho de banda de referencia en los routers.
El ancho de banda de referencia predeterminado para OSPF es 100 Mb/s (velocidad Fast Ethernet). Sin
embargo, la mayoría de los dispositivos de infraestructura moderna tienen enlaces con una velocidad
superior a 100 Mb/s. Debido a que la métrica de costo de OSPF debe ser un número entero, todos los
enlaces con velocidades de transmisión de 100 Mb/s o más tienen un costo de 1. Esto da como resultado
interfaces Fast Ethernet, Gigabit Ethernet y 10G Ethernet con el mismo costo. Por eso, se debe cambiar el
ancho de banda de referencia a un valor más alto para admitir redes con enlaces más rápidos que 100 Mb/s.
a. Emita el comando show interface en el R1 para ver la configuración del ancho de banda
predeterminado para la interfaz G0/0.
R1# show interface g0/0
Hardware is CN Gigabit Ethernet, address is c471.fe45.7520 (bia c471.fe45.7520)
MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full Duplex, 100Mbps, media type is RJ45
output flow-control is unsupported, input flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:17:31, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast, 0 pause input
279 packets output, 89865 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
1 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out
Nota: si la interfaz del equipo host solo admite velocidad Fast Ethernet, la configuración de ancho de
banda de G0/0 puede diferir de la que se muestra arriba. Si la interfaz del equipo host no admite
velocidad de gigabit, es probable que el ancho de banda se muestre como 100 000 Kbit/s.
b. Emita el comando show ip route ospf en el R1 para determinar la ruta a la red 192.168.3.0/24.
R1# show ip route ospf

O 192.168.3.0/24 [110/65] via 192.168.13.2, 00:00:57, Serial0/0/1
O 192.168.23.0 [110/128] via 192.168.13.2, 00:00:57, Serial0/0/1
[110/128] via 192.168.12.2, 00:01:08, Serial0/0/0
Nota: el costo acumulado del R1 a la red 192.168.3.0/24 es 65.

c. Emita el comando show ip ospf interface en el R3 para determinar el costo de routing para G0/0.
0 1 no no Base
Next 0x0(0)/0x0(0)
d. Emita el comando show ip ospf interface s0/0/1 en el R1 para ver el costo de routing para S0/0/1.
0 64 no no Base
Next 0x0(0)/0x0(0)
La suma de los costos de estas dos interfaces es el costo acumulado de la ruta a la red 192.168.3.0/24
en el R3 (1 + 64 = 65), como puede observarse en el resultado del comando show ip route.
e. Emita el comando auto-cost reference-bandwidth 10000 en el R1 para cambiar la configuración de
ancho de banda de referencia predeterminado. Con esta configuración, las interfaces de 10 Gb/s tendrán
un costo de 1, las interfaces de 1 Gb/s tendrán un costo de 10, y las interfaces de 100 Mb/s tendrán un
costo de 100.
R1(config-router)# auto-cost reference-bandwidth 10000
% OSPF: Reference bandwidth is changed.
Please ensure reference bandwidth is consistent across all routers.
f. Emita el comando auto-cost reference-bandwidth 10000 en los routers R2 y R3.

R2(config-router)#auto-cost reference-bandwidth 10000
R3(config-router)#auto-cost reference-bandwidth 10000
g. Vuelva a emitir el comando show ip ospf interface para ver el nuevo costo de G0/0 en el R3 y de S0/0/1
en el R1.
0 10 no no Base
Next 0x0(0)/0x0(0)
Nota: si el dispositivo conectado a la interfaz G0/0 no admite velocidad de Gigabit Ethernet, el costo será
diferente del que se muestra en el resultado. Por ejemplo, el costo será de 100 para la velocidad Fast
Ethernet (100 Mb/s).
0 6476 no no Base
Next 0x0(0)/0x0(0)
h. Vuelva a emitir el comando show ip route ospf para ver el nuevo costo acumulado de la ruta
192.168.3.0/24 (10 + 6476 = 6486).
Nota: si el dispositivo conectado a la interfaz G0/0 no admite velocidad de Gigabit Ethernet, el costo total
será diferente del que se muestra en el resultado. Por ejemplo, el costo acumulado será 6576 si G0/0
está funcionando con velocidad Fast Ethernet (100 Mb/s).
O 192.168.2.0/24 [110/6576] via 192.168.12.2, 00:05:40, Serial0/0/0

O 192.168.3.0/24 [110/6576] via 192.168.13.2, 00:01:08, Serial0/0/1
O 192.168.23.0 [110/12952] via 192.168.13.2, 00:05:17, Serial0/0/1
[110/12952] via 192.168.12.2, 00:05:17, Serial0/0/
Nota: cambiar el ancho de banda de referencia en los routers de 100 a 10 000 cambió los costos
acumulados de todas las rutas en un factor de 100, pero el costo de cada enlace y ruta de interfaz ahora
se refleja con mayor precisión.
i. Para restablecer el ancho de banda de referencia al valor predeterminado, emita el comando auto-cost
reference-bandwidth 100 en los tres routers.
R1(config-router)# auto-cost reference-bandwidth 100
¿Por qué querría cambiar el ancho de banda de referencia OSPF predeterminado? Para regresar a los
costos normales , como el de 64 para un link serial y u1 para g
Paso 2: cambiar el ancho de banda de una interfaz.

En la mayoría de los enlaces seriales, la métrica del ancho de banda será 1544 Kbits de manera
predeterminada (la de un T1). Si esta no es la velocidad real del enlace serial, se deberá cambiar la
configuración del ancho de banda para que coincida con la velocidad real, a fin de permitir que el costo de la
ruta se calcule correctamente en OSPF. Use el comando bandwidth para ajusta la configuración del ancho
de banda de una interfaz.
Nota: un concepto erróneo habitual es suponer que con el comando bandwidth se cambia el ancho de
banda físico, o la velocidad, del enlace. El comando modifica la métrica de ancho de banda que utiliza OSPF
para calcular los costos de routing, pero no modifica el ancho de banda real (la velocidad) del enlace.
a. Emita el comando show interface s0/0/0 en el R1 para ver la configuración actual del ancho de banda
de S0/0/0. Aunque la velocidad de enlace/frecuencia de reloj en esta interfaz estaba configurada en
128 Kb/s, el ancho de banda todavía aparece como 1544 Kb/s.
R1# show interface s0/0/0
Hardware is WIC MBRD Serial
MTU 1500 bytes, BW 1544 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set
Keepalive set (10 sec)
<Output Omitted>
b. Emita el comando show ip route ospf en el R1 para ver el costo acumulado de la ruta a la red
192.168.23.0/24 con S0/0/0. Observe que hay dos rutas con el mismo costo (128) a la red
192.168.23.0/24, una a través de S0/0/0 y otra a través de S0/0/1.
O 192.168.3.0/24 [110/65] via 192.168.13.2, 00:00:26, Serial0/0/1

O 192.168.23.0 [110/128] via 192.168.13.2, 00:00:26, Serial0/0/1
[110/128] via 192.168.12.2, 00:00:42, Serial0/0/0
c. Emita el comando bandwidth 128 para establecer el ancho de banda en S0/0/0 en 128 Kb/s.
R1(config-if)# bandwidth 128
d. Vuelva a emitir el comando show ip route ospf. En la tabla de routing, ya no se muestra la ruta a la red
192.168.23.0/24 a través de la interfaz S0/0/0. Esto es porque la mejor ruta, la que tiene el costo más
bajo, ahora es a través de S0/0/1.

O 192.168.3.0/24 [110/65] via 192.168.13.2, 00:04:51, Serial0/0/1
O 192.168.23.0 [110/128] via 192.168.13.2, 00:04:51, Serial0/0/1
e. Emita el comando show ip ospf interface brief. El costo de S0/0/0 cambió de 64 a 781, que es una
representación precisa del costo de la velocidad del enlace.
R1# show ip ospf interface brief
Interface PID Area IP Address/Mask Cost State Nbrs F/C
Se0/0/1 1 0 192.168.13.1/30 64 P2P 1/1
Se0/0/0 1 0 192.168.12.1/30 781 P2P 1/1
Gi0/0 1 0 192.168.1.1/24 1 DR 0/0
f. Cambie el ancho de banda de la interfaz S0/0/1 a la misma configuración que S0/0/0 en el R1.
R1(config)#interface s0/0/1
R1(config-if)#bandwidth 128
g. Vuelva a emitir el comando show ip route ospf para ver el costo acumulado de ambas rutas a la red
192.168.23.0/24. Observe que otra vez hay dos rutas con el mismo costo (845) a la red 192.168.23.0/24:
una a través de S0/0/0 y otra a través de S0/0/1.
O 192.168.3.0/24 [110/782] via 192.168.13.2, 00:00:09, Serial0/0/1

O 192.168.23.0 [110/845] via 192.168.13.2, 00:00:09, Serial0/0/1
[110/845] via 192.168.12.2, 00:00:09, Serial0/0/0
Explique la forma en que se calcularon los costos del R1 a las redes 192.168.3.0/24 y 192.168.23.0/30.
El valor de 781 + 64 =845 y en las dos se muestra el mismo valor por que son iguales
h. Emita el comando show ip route ospf en el R3. El costo acumulado de 192.168.1.0/24 todavía se
muestra como 65. A diferencia del comando clock rate, el comando bandwidth se tiene que aplicar en
ambos extremos de un enlace serial.
O 192.168.1.0/24 [110/65] via 192.168.13.1, 00:30:58, Serial0/0/0

O 192.168.12.0 [110/128] via 192.168.23.1, 00:30:58, Serial0/0/1
[110/128] via 192.168.13.1, 00:30:58, Serial0/0/0
i. Emita el comando bandwidth 128 en todas las interfaces seriales restantes de la topología.
R2(config)#interface s0/0/0
R2(config-if)#interface s0/0/1
¿Cuál es el nuevo costo acumulado a la red 192.168.23.0/24 en el R1? ¿Por qué?

El router 3 tiene 64 +1 =65 por que en el router 3 no hemos cambiado ancho de banda
Paso 3: cambiar el costo de la ruta.

De manera predeterminada, OSPF utiliza la configuración de ancho de banda para calcular el costo de un
enlace. Sin embargo, puede reemplazar este cálculo si configura manualmente el costo de un enlace
mediante el comando ip ospf cost. Al igual que el comando bandwidth, el comando ip ospf cost solo
afecta el lado del enlace en el que se aplicó.
a. Emita el comando show ip route ospf en el R1.
O 192.168.2.0/24 [110/782] via 192.168.12.2, 00:00:26, Serial0/0/0

O 192.168.3.0/24 [110/782] via 192.168.13.2, 00:02:50, Serial0/0/1
O 192.168.23.0 [110/1562] via 192.168.13.2, 00:02:40, Serial0/0/1
[110/1562] via 192.168.12.2, 00:02:40, Serial0/0/0
b. Aplique el comando ip ospf cost 1565 a la interfaz S0/0/1 en el R1. Un costo de 1565 es mayor que el
costo acumulado de la ruta a través del R2, que es 1562.
R1(config)# int s0/0/1
R1(config-if)# ip ospf cost 1565
c. Vuelva a emitir el comando show ip route ospf en el R1 para mostrar el efecto que produjo este cambio
en la tabla de routing. Todas las rutas OSPF para el R1 ahora se enrutan a través del R2.
R1#show ip route ospf
O 192.168.2.0 [110/881] via 192.168.12.2, 00:41:27, Serial0/0/0
O 192.168.3.0 [110/1665] via 192.168.13.2, 00:01:08, Serial0/0/1
O 192.168.23.0 [110/7257] via 192.168.12.2, 00:01:08, Serial0/0/0
Nota: la manipulación de costos de enlace mediante el comando ip ospf cost es el método de preferencia
y el más fácil para cambiar los costos de las rutas OSPF. Además de cambiar el costo basado en el ancho
de banda, un administrador de red puede tener otros motivos para cambiar el costo de una ruta, como la
preferencia por un proveedor de servicios específico o el costo monetario real de un enlace o de una ruta.
Explique la razón por la que la ruta a la red 192.168.3.0/24 en el R1 ahora atraviesa el R2. Por que ahora se
envían los paquetes por la serial 0/0/0
Reflexión
1. ¿Por qué es importante controlar la asignación de ID de router al utilizar el protocolo OSPF?
2. ¿Por qué el proceso de elección de DR/BDR no es una preocupación en esta práctica de laboratorio?
No esta contenidad en el laboratorio
3. ¿Por qué querría configurar una interfaz OSPF como pasiva?

Simplemente una interface pasiva me permite hacer que si no hay un router en esa no es necesario
enviar paquetes hello y permite ahorrar recursos de red.
8.1.2.5 Configuracion de DHCPv4 basico en un switch.
(JOSE ANGEL BOSSA)
Práctica de laboratorio: Configuración de DHCPv4 básico en un
switch
Topología
Máscara de
Dispositivo Interfaces Dirección IP subred
R1 G0/1 192.168.1.10 255.255.255.0

Lo0 209.165.200.225 255.255.255.224
S1 VLAN 1 192.168.1.1 255.255.255.0
VLAN 2 192.168.2.1 255.255.255.0
Objetivos
Parte 2: Cambiar la preferencia de SDM
• Establecer la preferencia de SDM en lan base-routing en el S1.
Parte 3: Configurar DHCPv4
• Configurar DHCPv4 para la VLAN 1.
• Verificar la conectividad y DHCPv4.
Parte 4: Configurar DHCP para varias VLAN
• Asignar puertos a la VLAN 2.
• Configurar DHCPv4 para la VLAN 2.
• Verificar la conectividad y DHCPv4.
Parte 5: Habilitar el routing IP
• Habilitar el routing IP en el switch.
• Crear rutas estáticas.
Un switch Cisco 2960 puede funcionar como un servidor de DHCPv4. El servidor de DHCPv4 de Cisco
asigna y administra direcciones IPv4 de conjuntos de direcciones identificados que están asociados a VLAN
específicas e interfaces virtuales de switch (SVI). El switch Cisco 2960 también puede funcionar como un
dispositivo de capa 3 y hacer routing entre VLAN y una cantidad limitada de rutas estáticas. En esta práctica
de laboratorio, configurará DHCPv4 para VLAN únicas y múltiples en un switch Cisco 2960, habilitará el
routing en el switch para permitir la comunicación entre las VLAN y agregará rutas estáticas para permitir la
comunicación entre todos los hosts.
Nota: En esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que
efectivamente se necesitan para configurar DHCP. Sin embargo, los comandos necesarios se encuentran en
el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin consultar el
apéndice.
Nota: Asegúrese de que el router y los switches se hayan borrado y no tengan configuraciones de inicio. Si
Recursos necesarios
Parte 6. Armar la red y configurar los ajustes básicos de los dispositivos

Paso 2: Inicializar y volver a cargar los routers y switches
Paso 3: Configurar los parámetros básicos en los dispositivos

2. Copie la siguiente configuración básica y péguela en la configuración en ejecución en el router.
noip domain-lookup
enable secret class
bannermotd #
línea con 0
password cisco
login
logging synchronous
linevty 0 4
password cisco
login
c. Acceda a los switches mediante la consola e ingrese al modo de configuración global.

d. Copie la siguiente configuración básica y péguela en la configuración en ejecución en los switches.
noip domain-lookup
enable secret class
bannermotd #
línea con 0
password cisco
login
logging synchronous
linevty 0 15
password cisco
login
exit
e. Asigne los nombres de dispositivos como se muestra en la topología.DONE
f. Configure las direcciones IP en las interfaces G0/1 y Lo0 del R1, según la tabla de direccionamiento.
g. Configure las direcciones IP en las interfaces VLAN 1 y VLAN 2 del S1, según la tabla de
direccionamiento.
h. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Parte 7. Cambiar la preferencia de SDM

Switch Database Manager (SDM) de Cisco proporciona varias plantillas para el switch Cisco 2960. Las
plantillas pueden habilitarse para admitir funciones específicas según el modo en que se utilice el switch en
la red. En esta práctica de laboratorio, la plantilla lan base-routing está habilitada para permitir que el switch
realice el routing entre VLAN y admita el routing estático.
Paso 1: Mostrar la preferencia de SDM en el S1

En el S1, emita el comando show sdmprefer en modo EXEC privilegiado. Si no se cambió la plantilla
predeterminada de fábrica, debería seguir siendo default. La plantilla default no admite routing estático. Si
se habilitó el direccionamiento IPv6, la plantilla será dual-ipv4-and-ipv6 default.
S1# show sdm prefer
The current template is "default" template.
The selected template optimizes the resources in
the switch to support this level of features for
0 routed interfaces and 255 VLANs.
number of unicast mac addresses: 8K
number of IPv4 IGMP groups: 0.25K
number of IPv4/MAC qos aces: 0.125k
number of IPv4/MAC security aces: 0.375k
S1# show sdm prefer

The current template is "dual-ipv4-and-ipv6 default" template.

number of IPv4 IGMP groups + multicast routes: 0.25K
number of IPv4 unicast routes: 0
number of IPv6 multicast groups: 0.375k
number of directly-connected IPv6 addresses: 0
number of indirect IPv6 unicast routes: 0
number of IPv4 policy based routing aces: 0
number of IPv6 qos aces: 0.625k
number of IPv6 security aces: 125
S1# show sdm prefer

The current template is "lanbase-routing" template.

number of IPv4 unicast routes: 0.75K
number of directly-connected IPv4 hosts: 0.75K
number of indirect IPv4 routes: 16
number of directly-connected IPv6 addresses: 0.75K
¿Cuál es la plantilla actual?
Puede variar a “Default” o Default dial-ipv4 and ipv6 o también a Lan base-routing
Cambiar la preferencia de SDM en el S1

a. Establezca la preferencia de SDM en lan base-routing. (Si lanbase-routing es la plantilla actual,
continúe con la parte 3). Desde el modo de configuración global, emita el comando sdm prefer lan
base-routing.
S1(config)# sdm prefer lanbase-routing
Changes to the running SDM preferences have been stored, but cannot take effect
until the next reload.
Use 'show sdm prefer' to see what SDM preference is currently active.
S1# show sdm prefer
The current template is "default" template.

number of IPv4 IGMP groups: 0.25K
On next reload, template will be "lanbase-routing" template.
¿Qué plantilla estará disponible después de la recarga?

Default blass o QOS
b. Se debe volver a cargar el switch para que la plantilla esté habilitada.
S1# reload
System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]
Nota: La nueva plantilla se utilizará después del reinicio, incluso si no se guardó la configuración en
ejecución. Para guardar la configuración en ejecución, responda yes (sí) para guardar la configuración
modificada del sistema.
Paso 2: Verificar que la plantilla lan base-routing esté cargada

Emita el comando show sdmprefer para verificar si la plantilla lanbase-routing se cargó en el S1.
S1# show sdm prefer
The current template is "lanbase-routing" template.

number of IPv4 unicast routes: 0.75K
number of directly-connected IPv4 hosts: 0.75K
number of indirect IPv4 routes: 16
number of directly-connected IPv6 addresses: 0.75K
Por condiciones del Switch, caraga plantilla por Default

Parte 8. Configurar DHCPv4
En la parte 3, configurará DHCPv4 para la VLAN 1, revisará las configuraciones IP en los equipos host para
validar la funcionalidad de DHCP y verificará la conectividad de todos los dispositivos en la VLAN 1.
Paso 1: Configurar DHCP para la VLAN 1

a. Excluya las primeras 10 direcciones host válidas de la red 192.168.1.0/24. En el espacio proporcionado,
escriba el comando que utilizó.
S1(config)#ipdhcp excluded-address 192.168.1.1 192.168.1.10
Cree un pool de DHCP con el nombre DHCP1. En el espacio proporcionado, escriba el comando que utilizó.
S1(config)#ipdhcp pool DHCP1
b. Asigne la red 192.168.1.0/24 para las direcciones disponibles. En el espacio proporcionado, escriba el
comando que utilizó.
S1(dhcp-config)#NETWORK 192.168.1.0 255.255.255.0
Asigne el gateway predeterminado como 192.168.1.1. En el espacio proporcionado, escriba el comando
que utilizó.
S1(dhcp-config)#default-router 192.168.1.1
c. Asigne el servidor DNS como 192.168.1.9. En el espacio proporcionado, escriba el comando que utilizó.
S1(dhcp-config)#dns-server 192.168.1.9
Asigne un tiempo de arrendamiento de tres días. En el espacio proporcionado, escriba el comando que
utilizó.
d. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Paso 2: Verificar la conectividad y DHCP

a. En la PC-A y la PC-B, abra el símbolo del sistema y emita el comando ipconfig. Si la información de IP
no está presente, o si está incompleta, emita el comando ipconfig /release, seguido del comando
ipconfig /renew.
Para la PC-A, incluya lo siguiente:
Dirección IP: 192.168.1.11
Máscara de subred: 255.255.255.0
Gateway predeterminado: 192.168.1.1
Para la PC-B, incluya lo siguiente:

b. Pruebe la conectividad haciendo ping de la PC-A al gateway predeterminado, la PC-B y el R1.

¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 1? SI
¿Es posible hacer ping de la PC-A a la PC-B? SI
¿Es posible hacer ping de la PC-A a la interfaz G0/1 del R1? SI
Si la respuesta es no a alguna de estas preguntas, revise las configuraciones y corrija el error.
Parte 9. Configurar DHCPv4 para varias VLAN

En la parte 4, asignará la PC-A un puerto que accede a la VLAN 2, configurará DHCPv4 para la VLAN 2,
renovará la configuración IP de la PC-A para validar DHCPv4 y verificará la conectividad dentro de la VLAN.
Paso 1: Asignar un puerto a la VLAN 2

Coloque el puerto F0/6 en la VLAN 2. En el espacio proporcionado, escriba el comando que utilizó.
S1(config)#inter fastEthernet 0/6
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 2
% Access VLAN does not exist. Creating vlan 2
a. Excluya las primeras 10 direcciones host válidas de la red 192.168.2.0. En el espacio proporcionado,
escriba el comando que utilizó.
S1(config)#ipdhcp excluded-address 192.168.2.1 192.168.2.10
b. Cree un pool de DHCP con el nombre DHCP2. En el espacio proporcionado, escriba el comando que
utilizó.
S1(config)#ipdhcp pool DHCP2
c. Asigne la red 192.168.2.0/24 para las direcciones disponibles. En el espacio proporcionado, escriba el
comando que utilizó.
S1(dhcp-config)#network 192.168.2.0 255.255.255.0
d. Asigne el gateway predeterminado como 192.168.2.1. En el espacio proporcionado, escriba el comando
que utilizó.
S1(dhcp-config)#default-router 192.168.2.1
e. Asigne el servidor DNS como 192.168.2.9. En el espacio proporcionado, escriba el comando que utilizó.
S1(dhcp-config)#dns-server 192.168.2.9
f. Asigne un tiempo de arrendamiento de tres días. En el espacio proporcionado, escriba el comando que utilizó.
g. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Paso 2: Verificar la conectividad y DHCPv4

a. En la PC-A, abra el símbolo del sistema y emita el comando ipconfig /release, seguido del comando
ipconfig /renew.
Para la PC-A, incluya lo siguiente:
Pruebe la conectividad haciendo ping de la PC-A al gateway predeterminado de la VLAN 2 y a la PC-B.
¿Es posible hacer ping de la PC-A al gateway predeterminado?
SI
¿Es posible hacer ping de la PC-A a la PC-B?
NO
¿Los pings eran correctos? ¿Por qué?
El Gateway determinado está en la misma red del PC-A pueden hacerse ping pero el PC-B tiene
otra red diferente, por no tanto no permite el ping a PC-B DESDE PC-A
b. Emita el comando show iproute en el S1.
S1# show ip route
Default gateway is not set
Host Gateway Last Use Total Uses Interface
ICMP redirect cache isempty
¿Qué resultado arrojó este comando?
No muestra ninguna ruta
Parte 10. Habilitar el routing IP

En la parte 5, habilitará el routing IP en el switch, que permitirá la comunicación entre VLAN. Para que todas
las redes se comuniquen, se deben implementar rutas estáticas en el S1 y el R1.
Paso 1: Habilitar el routing IP en el S1

a. En el modo de configuración global, utilice el comando iprouting para habilitar el routing en el S1.
S1(config)# iprouting
b. Verificar la conectividad entre las VLAN.
¿Es posible hacer ping de la PC-A a la PC-B?
SI
¿Qué función realiza el switch?
El switch hace routing entre Vlan
Vea la información de la tabla de routing para el S1.
S1# show iproute

C 192.168.1.0/24 is directly connected, Vlan1
L 192.168.1.1/32 is directly connected, Vlan1
¿Qué información de la ruta está incluida en el resultado de este comando?
El switchexibe en la tabla las redes conectadas 192.168.1.0/24 y 192.168.2.0/24
Vea la información de la tabla de routing para el R1.
R1# show ip route

C 209.165.200.0/27 is directly connected, Loopback0
L 209.165.200.225/32 isdirectlyconnected, Loopback0
¿Qué información de la ruta está incluida en el resultado de este comando?
Como resultado en el router se ve redes conectadas directamente entre 192.168.1.0 y
209.165.200.244, aunque ninguna tiene la red 192.168.2.0
c. ¿Es posible hacer ping de la PC-A al R1?
NO
¿Es posible hacer ping de la PC-A a la interfaz Lo0?
NO
Considere la tabla de routing de los dos dispositivos, ¿qué se debe agregar para que haya comunicación
entre todas las redes?
Para la comunicación entre todas las redes, se debe agregar rutas de la tabla routing
Paso 2: Asignar rutas estáticas

Habilitar el routing IP permite que el switchenrute entre VLAN asignadas en el switch. Para que todas las
VLAN se comuniquen con el router, es necesario agregar rutas estáticas a la tabla de routing del switch y
del router.
a. En el S1, cree una ruta estática predeterminada al R1. En el espacio proporcionado, escriba el comando
que utilizó.
S1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.10
b. En el R1, cree una ruta estática a la VLAN 2. En el espacio proporcionado, escriba el comando que utilizó.
R1(config)#ip route 192.168.2.0 255.255.255.0 g0/1
c. Vea la información de la tabla de routing para el S1.
S1# show ip route
Gateway of last resort is 192.168.1.10 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 192.168.1.10
L 192.168.2.1/32 isdirectlyconnected, Vlan2
¿Cómo está representada la ruta estática predeterminada?
___Gateway of last resort is 192.168.1.10. to network 0.0.0.0_____________
d. Vea la información de la tabla de routing para el R1.
R1# show ip route

S 192.168.2.0/24 is directly connected, GigabitEthernet0/1
C 209.165.200.0/27 is directly connected, Loopback0
L 209.165.200.225/32 isdirectlyconnected, Loopback0
¿Cómo está representada la ruta estática?

S192.168.2.0/24 is directly connected, GigabitEthernet0/1
e. ¿Es posible hacer ping de la PC-A al R1?
SI
¿Es posible hacer ping de la PC-A a la interfaz Lo0?
SI
Reflexión
1. Al configurar DHCPv4, ¿por qué excluiría las direcciones estáticas antes de configurar el pool de DHCPv4?
Si las direcciones estáticas se excluyeran después de las creación del Pool DHCPV4, existiría un
lapso durante las direcciones excluidas podrían pasarse dinámicamente al host.
2. Si hay varios pools de DHCPv4 presentes, ¿cómo asigna el switch la información de IP a los hosts?
El swith asigna las IP según la asignación que haga la VLAN al puerto al que el host este conectado.
3. Además del switching, ¿qué funciones puede llevar a cabo el switch Cisco 2960?
Puede funcionar como un servidor DHCP y puede además hacer routing estatico y entre vlan


router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Apéndice A: Comandos de configuración
Configurar DHCPv4
S1(config)# ipdhcp excluded-address 192.168.1.1 192.168.1.10
S1(config)# ip dhcp pool DHCP1
S1(dhcp-config)# network 192.168.1.0 255.255.255.0
S1(dhcp-config)# default-router 192.168.1.1
S1(dhcp-config)# dns-server 192.168.1.9
S1(dhcp-config)# lease 3
Configurar DHCPv4 para varias VLAN

S1(config)# interface f0/6
S1(config-if)# switchport access vlan 2
S1(config)# ipdhcp excluded-address 192.168.2.1 192.168.2.10
S1(config)# ip dhcp pool DHCP2
S1(dhcp-config)# network 192.168.2.0 255.255.255.0
S1(dhcp-config)# default-router 192.168.2.1
S1(dhcp-config)# dns-server 192.168.2.9
S1(dhcp-config)# lease 3
Habilitar el routing IPS1(config)# ip routing

S1(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.10
R1(config)# ip route 192.168.2.0 255.255.255.0 g0/1
Router R1
R1#show run

!
versión 15.2
servicetimestampsdebugdatetimemsec
servicetimestamps log datetimemsec
noservicepassword-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
!
noaaa new-model
memory-sizeiomem 15
!
!
!
!
!
!
!
noip domain lookup
ipcef
no ipv6 cef
!
!
interface Loopback0
ip address 209.165.200.225 255.255.255.0
!
noip address
shutdown
!
noip address
shutdown
duplex auto
speed auto
!
ip address 192.168.1.10 255.255.255.0
duplex auto
speed auto
!
noip address
shutdown
clock rate 2000000
!
noip address
shutdown
!
!
noip http server
noip http secure-server
!
ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1
!
!
!
!
control-plane
!
!
!
línea con 0
password cisco
login
line aux 0
line 2
no exec
transport input all
stopbits 1
linevty 0 4
password cisco
login
transport input all
!
!
end
Switch S1
S1#show run

!
versión 15.0
noservicepad
service timestamps debug datetimemsec
service timestamps log datetimemsec
!
hostname S1
!
boot-start-marker
boot-end-marker
!
!
noaaa new-model
systemmtu routing 1500
ip routing
ipdhcp excluded-address 192.168.1.1 192.168.1.10
ipdhcpexcluded-address 192.168.2.1 192.168.2.10
!
ipdhcp pool DHCP1
network 192.168.1.0 255.255.255.0
dns-server 192.168.1.9
lease 3
!
ipdhcp pool DHCP2
network 192.168.2.0 255.255.255.0
dns-server 192.168.2.9
lease 3
!
!
noipdomain-lookup
!
!
cryptopkitrustpoint TP-self-signed-2531409152
enrollmentselfsigned
subject-namecn=IOS-Self-Signed-Certificate-2531409152
revocation-check none
rsakeypair TP-self-signed-2531409152
!
!
cryptopki certificate chain TP-self-signed-2531409152
certificate self-signed 01
3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32353331 34303931 3532301E 170D3933 30333031 30303030
35365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 35333134
30393135 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100CA1B 27DE634E CF9FE284 C86127EF 41E7A52F 0A82FA2B 7C5448B7 184EA1AB
C22510E1 38A742BC D9F416FD 93A52DC6 BA77A928 B317DA75 1B3E2C66 C2D9061B
806132D9 E3189012 467C7A2C DCAC3EF4 4C419338 790AA98B C7A81D73 8621536C
4A90659E 267BA2E3 36F801A4 F06BEC65 386A40DA 255D9790 F9412706 9E73A660
45230203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
551D2304 18301680 14A7356A D364AE65 E1E9D42F 9B059B27 B69BB9C6 FD301D06
03551D0E 04160414 A7356AD3 64AE65E1 E9D42F9B 059B27B6 9BB9C6FD 300D0609
2A864886 F70D0101 05050003 8181002A D78919E7 0D75567C EF60036C 6C4B051A
2ABC5B9C DA1C1E48 AF33C405 5C64E074 B954C5B5 D825BE61 7340C695 03049797
D869E516 3936D0EC C871F140 66A1DEB2 BA57AB0D D2AB2706 17674B3A 7423C276
B96CFB88 DE98A86E 7B539B68 7DEE53BB ED16BFA0 A89A5CA4 79F15F49 59DDF6E5
E716514A 5CFC7522 8E76778E 029E8F
quit
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
switchport access vlan 2
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
!
ip http server
ip route 0.0.0.0 0.0.0.0 192.168.1.10
!
!
!
línea con 0
password cisco
login
linevty 0 4
password cisco
login
linevty 5 15
password cisco
login
!
End
Conclusiones del ejercicio
“Conectar dispositivos a una red TCP/IP ya no es tan difícil como antes, porque en lugar de tener que asignar las
direcciones IP manualmente e introducirlas en los diferentes sistemas, hoy la gestión de direcciones tiene lugar
automáticamente. Si los routers, hubs o conmutadores pueden asignar de forma automática una dirección
individual a los dispositivos que solicitan conectarse a una red, es gracias al protocolo de configuración dinámica
de host, en inglés, Dynamic Host Configuration Protocol o más comúnmente DHCP”. IONOS, (julio; 2017). El
DHCP y la configuración de redes.
En esta práctica se realizo el armado de la red y configuración básica de los diferentes dispositivos. Así mismo se
configuro el DHCP de la red y comprobación de la misma.
8.1.4.4 SOLUCION DE PROBLEMAS DE DHCPv4.
Práctica de laboratorio: Solución de problemas de DHCPv4
(Versión para el instructor – Práctica de laboratorio opcional)
Nota para el instructor: El color rojo y el resaltado en gris indican que ese texto aparece solo en la copia del instructor. Las
actividades opcionales están elaboradas para mejorar la compresión o proporcionar práctica adicional.
Topología
Máscara de Gateway
R1 G0/0 192.168.0.1 255.255.255.128 N/D

G0/1 192.168.1.1 255.255.255.0 N/D
S0/0/0 (DCE) 192.168.0.253 255.255.255.252 N/D
R2 S0/0/0 192.168.0.254 255.255.255.252 N/D
S0/0/1 (DCE) 209.165.200.226 255.255.255.252 N/D
ISP S0/0/1 209.165.200.225 255.255.255.252 N/D
S1 VLAN 1 192.168.1.2 255.255.255.0 192.168.1.1
S2 VLAN 1 192.168.0.2 255.255.255.128 192.168.0.1
PC-A NIC DHCP DHCP DHCP
PC-B NIC DHCP DHCP DHCP
Objetivos
Parte 2: Resolver problemas de DHCPv4
El protocolo de configuración dinámica de host (DHCP) es un protocolo de red que permite que los
administradores de red administren y automaticen la asignación de direcciones IP. Sin DHCP, el
administrador debe asignar y configurar manualmente las direcciones IP, los servidores DNS preferidos y el
gateway predeterminado. A medida que aumenta el tamaño de la red, esto se convierte en un problema
administrativo cuando los dispositivos se trasladan de una red interna a otra.
En esta situación, la empresa creció en tamaño, y los administradores de red ya no pueden asignar
direcciones IP a los dispositivos de forma manual. El router R2 se configuró como servidor de DHCP para
asignar direcciones IP a los dispositivos host en las LAN del R1. Varios errores en la configuración han
resultado en problemas de conectividad. Se le solicita solucionar los problemas, corregir los errores de
configuración y documentar su trabajo.
Asegúrese de que la red admita lo siguiente:
1) El router R2 debe funcionar como servidor de DHCP para las redes 192.168.0.0/25 y 192.168.1.0/24
conectadas al R1.
2) Todas las computadoras conectadas al S1 y al S2 deben recibir una dirección IP en la red correcta
mediante DHCP.
Nota para el instructor: Las instrucciones para borrar los switches y los routers se encuentran en el manual
de prácticas de laboratorio.
Recursos necesarios
Parte 1: Armar la red y configurar los ajustes básicos de los dispositivos

En la parte 1, establecerá la topología de la red y configurará los routers y switches con los parámetros
básicos, como las contraseñas y las direcciones IP. Además, configurará los parámetros de IP de las
computadoras en la topología.
Paso 3: Realizar el cableado de red tal como se muestra en la topología.

1. Desactive la búsqueda de DNS.
2. Configure el nombre del dispositivo como se muestra en la topología.
3. Asigne class como la contraseña del modo EXEC privilegiado.
4. Asigne cisco como la contraseña de consola y la contraseña de vty.
5. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de
comandos.
6. Configure las direcciones IP para todas las interfaces del router.
7. Establezca la frecuencia de reloj en 128000 para todas las interfaces DCE del router.
En R1:
En R2:
En ISP:
8. Configure RIP para R1.
9. Configure RIP y una ruta estática predeterminada en R2.
R2(config-router)# default-information originate
R2(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.225
10. Configure una ruta estática resumida en el ISP a las redes de los routers R1 y R2.
Paso 6: Verificar la conectividad de red entre los routers

Si algún ping entre los routers falla, corrija los errores antes de continuar con el siguiente paso. Use los
comandos show ip route y show ip interface brief para detectar posibles problemas.
Paso 7: Configurar los parámetros básicos para cada switch
1. Desactive la búsqueda de DNS.
2. Configure el nombre del dispositivo como se muestra en la topología.
3. Configure la dirección IP de la interfaz VLAN 1 y el gateway predeterminado para cada switch.
4. Asigne class como la contraseña del modo EXEC privilegiado.
5. Asigne cisco como la contraseña de consola y la contraseña de vty.
6. Configure logging synchronous para la línea de consola.
En S1:
En S2:
Paso 8: Verificar que los hosts estén configurados para DHCP
Paso 9: Cargar la configuración de DHCP inicial para el R1 y el R2

Router R1
!interface GigabitEthernet0/0
! ip helper-address 192.168.0.254
! ip helper-address 192.168.0.254
Router R2
!ip dhcp excluded-address 192.168.1.1 192.168.1.9
ip dhcp pool R1G1
network 192.168.1.0 255.255.255.0
ip dhcp pool R1G0
network 192.168.0.0 255.255.255.128
!default-router 192.168.0.1
Parte 2: Resolución de problemas de DHCPv4
Una vez que se configuraron los routers R1 y R2 con los parámetros de DHCPv4, se presentaron varios
errores en las configuraciones DHCP, lo que produjo problemas de conectividad. El R2 se configuró como
servidor de DHCP. Para ambos pools de direcciones de DHCP, las primeras nueve direcciones se reservan
para los routers y los switches. El R1 transmite la información de DHCP a todas las LAN del R1.
Actualmente, la PC-A y la PC-B no tienen acceso a la red. Use los comandos show y debug para determinar
y corregir los problemas de conectividad de red.
Paso 10: Registrar la configuración IP para la PC-A y la PC-B

1. En el símbolo del sistema, introduzca el comando ipconfig /all para mostrar las direcciones IP y MAC de
la PC-A y la PC-B.
2. Registre las direcciones IP y MAC en la siguiente tabla. La dirección MAC se puede usar para determinar
qué computadora interviene en el mensaje de depuración.
Dirección IP/máscara de subred Dirección MAC
DHCP no asignó ninguna dirección IP. (Los

estudiantes pueden registrar una dirección
APIPA que comienza con 169.254.x.x. Esta es
una dirección local privada que asigna el OS de
Microsoft cuando el host no puede alcanzar un
PC-A servidor de DHCP para obtener una dirección IP). 0060.2F0C.4AB6
DHCP no asignó ninguna dirección IP. (Los
estudiantes pueden registrar una dirección
APIPA que comienza con 169.254.x.x. Esta es
una dirección local privada que asigna el OS de
Microsoft cuando el host no puede alcanzar un
PC-B servidor de DHCP para obtener una dirección IP). 0001.C75D.E219
Paso 11: Resolver los problemas de DHCP para la red 192.168.1.0/24 en el router R1
El router R1 es un agente de retransmisión DHCP para todas las LAN del R1. En este paso, solo se
examinará el proceso de DHCP para la red 192.168.1.0/24. Las primeras nueve direcciones se reservan para
otros dispositivos de red, como routers, switches y servidores.
1. Use un comando debug de DHCP para observar el proceso de DHCP en el router R2.
R2# debug ip dhcp server events
2. En el R1, muestre la configuración en ejecución para la interfaz G0/1.

ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
Si hay problemas de retransmisión DHCP, registre todos los comandos que se necesiten para corregir
los errores de configuración.
La retransmisión DHCP estaba mal configurada para la interfaz G0/1. Se debe agregar el comando ip
helper-address 192.168.0.254 al router R1. Se debe eliminar la dirección de ayuda incorrecta de la
configuración. El problema se puede resolver con los siguientes comandos:
R1(config-if)# no ip helper-address 192.168.0.253
3. En el símbolo del sistema de la PC-A, escriba ipconfig /renew para recibir una dirección del servidor de
DHCP. Registre la dirección IP, la máscara de subred y el gateway predeterminado configurados para la
PC-A.
Dirección IP: 192.168.1.3, máscara de subred: 255.255.255.0, gateway predeterminado: 192.168.1.1

4. Observe los mensajes de depuración en el router R2 para el proceso de renovación de DHCP para la
PC-A. El servidor de DHCP intentó asignar 192.168.1.1/24 a la PC-A. Esta dirección ya está en uso en la
interfaz G0/1 en el R1. El mismo problema se produce con la dirección IP 192.168.1.2/24, debido a que
esta dirección se asignó al S1 en la configuración inicial. Por lo tanto, se ha asignado la dirección IP
192.168.1.3/24 a la PC-A. El conflicto de asignación de DHCP indica que puede haber un problema con
el estado de la dirección excluida en la configuración del servidor de DHCP en el R2.
*Mar 5 06:32:16.939: DHCPD: Sending notification of DISCOVER:
*Mar 5 06:32:16.939: DHCPD: htype 1 chaddr 0050.56be.768c
*Mar 5 06:32:16.939: DHCPD: circuit id 00000000
*Mar 5 06:32:16.939: DHCPD: Seeing if there is an internally specified pool class:
*Mar 5 06:32:16.943: DHCPD: Allocated binding 2944C764
*Mar 5 06:32:16.943: DHCPD: Adding binding to radix tree (192.168.1.1)
*Mar 5 06:32:16.943: DHCPD: Adding binding to hash tree
*Mar 5 06:32:16.943: DHCPD: assigned IP address 192.168.1.1 to client
0100.5056.be76.8c.
*Mar 5 06:32:16.951: %DHCPD-4-PING_CONFLICT: DHCP address conflict: server pinged
192.168.1.1.
*Mar 5 6:32:16.951: DHCPD: returned 192.168.1.1 to address pool R1G1.
*Mar 5 06:32:1
R2#6.951: DHCPD: Seeing if there is an internally specified pool class:
*Mar 5 06:32:16.951: DHCPD: Allocated binding 31DC93C8
0100.5056.be76.8c.
*Mar 5 6:32:18.383: %DHCPD-4-PING_CONFLICT: DHCP address conflict: server pinged
192.168.1.2.
*Mar 5 06:32:18.383: DHCPD: htype 1 chaddr 0050.56be.6c89
*Mar 5 06:32:18.383: DHCPD: htype 1 chaddr 0050.56be.6c89
*Mar 5 06:32:18.383: DHCPD: Allocated binding 2A40E074
0100.5056.be76.8c.
<se omitió el resultado>
5. Muestre la configuración del servidor de DHCP en el R2. Las primeras nueve direcciones para la red
192.168.1.0/24 no se excluyeron del pool de DHCP.
R2# show run | section dhcp
ip dhcp pool R1G1
network 192.168.1.0 255.255.255.0
ip dhcp pool R1G0
network 192.168.0.0 255.255.255.128
Registre los comandos usados para corregir el error en el R2.
R2(config)# no ip dhcp excluded-address 192.168.11.1 192.168.11.9

6. En el símbolo del sistema de la PC-A, escriba ipconfig /release para devolver la dirección 192.168.1.3 al
pool de DHCP. El proceso se puede observar en el mensaje de depuración en el R2.
*Mar 5 06:49:59.563: DHCPD: Sending notification of TERMINATION:
*Mar 5 06:49:59.563: DHCPD: address 192.168.1.3 mask 255.255.255.0
*Mar 5 06:49:59.563: DHCPD: reason flags: RELEASE
*Mar 5 06:49:59.563: DHCPD: lease time remaining (secs) = 85340
7. En el símbolo del sistema de la PC-A, escriba ipconfig /renew para que se asigne una nueva dirección
IP del servidor de DHCP. Registre la dirección IP asignada y la información del gateway predeterminado.
Dirección IP/máscara de subred: 192.168.1.10/24. Gateway predeterminado: 192.168.1.1.

El proceso se puede observar en el mensaje de depuración en el R2.
*Mar 5 06:50:11.863: DHCPD: requested address 192.168.1.3 has already been assigned.
*Mar 5 06:50:11.863: DHCPD: Allocated binding 3003018C
0100.5056.be76.8c.
<se omitió el resultado>
8. Verificar la conectividad de la red
¿Se puede hacer ping de la PC-A al gateway predeterminado asignado? Sí
3
¿Se puede hacer ping de la PC-A al router R2? Sí
¿Se puede hacer ping de la PC-A al router ISP? Sí

Paso 12: Resolver los problemas de DHCP de la red 192.168.0.0/25 en el R1
El router R1 es un agente de retransmisión DHCP para todas las LAN del R1. En este paso, solo se examina
el proceso de DHCP para la red 192.168.0.0/25. Las primeras nueve direcciones se reservan para otros
dispositivos de red.
1. Use un comando debug de DHCP para observar el proceso de DHCP en el R2.
R2# debug ip dhcp server events
2. Muestre la configuración en ejecución para la interfaz G0/0 en el R1 a fin de identificar posibles
problemas de DHCP.
ip address 192.168.0.1 255.255.255.128
duplex auto
speed auto
Registre los problemas y todos los comandos que se necesiten para corregir los errores de
configuración.
No se configuró la retransmisión DHCP en la interfaz G0/0 del R1. El problema se puede resolver con los
siguientes comandos:
3. En el símbolo del sistema de la PC-B, escriba ipconfig /renew para recibir una dirección del servidor de
DHCP. Registre la dirección IP, la máscara de subred y el gateway predeterminado configurados para la
PC-B.
Dirección IP: 192.168.0.10, máscara de subred: 255.255.255.128, gateway predeterminado: 192.168.11.1
4. Observe los mensajes de depuración en el router R2 para conocer el proceso de renovación de PC-A. El
servidor DHCP asignó la dirección 192.168.0.10/25 a la PC-B.
*Mar 5 07:15:09.663: DHCPD: htype 1 chaddr 0050.56be.f6db
*Mar 5 07:15:09.707: DHCPD: Sending notification of ASSIGNMENT:
*Mar 5 07:15:09.707: DHCPD: address 192.168.0.10 mask 255.255.255.128
*Mar 5 7:15:09.707: DHCPD: lease time remaining (secs) = 86400
5. Verifique la conectividad de la red

¿Se puede hacer ping de la PC-B al gateway predeterminado asignado por DHCP? No
¿Se puede hacer ping de la PC-B a su gateway predeterminado (192.168.0.1)? ___________ Sí
¿Se puede hacer ping de la PC-B al router R2? ___________ Sí

¿Se puede hacer ping de la PC-B al router ISP? ___________ Sí
6. Si falló algún problema en el paso e, registre los problemas y todos los comandos necesarios para
resolverlos.
No se puede hacer ping de la PC-B al gateway predeterminado asignado por DHCP. El problema se
puede resolver con los siguientes comandos:
7. Libere y renueve las configuraciones IP en la PC-B. Repita el paso e para verificar la conectividad de red.
8. Interrumpa el proceso de depuración con el comando undebug all.
R2# undebug all
All possible debugging has been turned off
Reflexión
¿Cuáles son los beneficios de utilizar DHCP?
Las respuestas varían. DHCP puede evitar conflictos de direcciones producto de una dirección IP asignada
anteriormente que todavía está en uso, suministrar valores de configuración adicionales, como un servidor
DNS, y se puede utilizar con computadoras portátiles o dispositivos móviles.

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Router R1 (corregido)
R1# show run

!
versión 15.2
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
no ip address
shutdown
!
ip address 192.168.0.1 255.255.255.128
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
ip address 192.168.0.253 255.255.255.252
clock rate 128000
!
no ip address
shutdown
!
!
router rip
versión 2
network 192.168.0.0
network 192.168.1.0
no auto-summary
!
!
no ip http server
!
!
!
!
!
control-plane
!
!
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
Router R2 (corregido)
R2# show run

!
versión 15.2
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!
ip dhcp pool R1G1
network 192.168.1.0 255.255.255.0
!
ip dhcp pool R1G0
network 192.168.0.0 255.255.255.128
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
!
!
license udi pid CISCO1941/K9 sn FTX163283R9
license accept end user agreement
!
!
!
!
!
!
!
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.0.254 255.255.255.252
!
ip address 209.165.200.226 255.255.255.252
clock rate 128000
!
!
router rip
versión 2
network 192.168.0.0
no auto-summary
!
!
no ip http server
!
ip route 0.0.0.0 0.0.0.0 209.165.200.225
!
!
!
!
control-plane
!
!
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
Router ISP
ISP#show run

!
versión 15.2
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
!
!
!
!
!
!
no ip domain lookup
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
clock rate 2000000
!
ip address 209.165.200.225 255.255.255.252
!
!
no ip http server
!
ip route 192.168.0.0 255.255.254.0 209.165.200.226
!
!
!
!
control-plane
!
!
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
8.2.4.4 RESOLUCION DE PROBLEMAS DE DHCPv6
(JOSE ANGEL BOSSA)
Práctica de laboratorio: Resolución de problemas de DHCPv6

(versión para el instructor)
Topología
Longitud de
Dispositivo Interfaz Dirección IPv6 prefijo Gateway predeterminado
R1 G0/1 2001:DB8:ACAD:A::1 64 N/D

S1 VLAN 1 Asignada mediante SLAAC 64 Asignada mediante SLAAC
Asignada mediante SLAAC
PC-A NIC y DHCPv6 64 Asignada mediante SLAAC
Objetivos
Parte 2: Solucionar problemas de conectividad de IPv6
Parte 3: Solucionar problemas de DHCPv6 sin estado
La capacidad de resolver problemas de red es una aptitud muy útil para los administradores de red. Cuando
se realiza la resolución de problemas en una red, es importante comprender los grupos de direcciones IPv6 y
cómo se usan. Es necesario saber qué comandos usar para extraer información de red IPv6 a fin de resolver
los problemas con eficacia.
En esta práctica de laboratorio, cargará las configuraciones en el R1 y el S1. Estas configuraciones incluyen
problemas que impiden que funcione DHCPv6 sin estado en la red. Deberá llevar a cabo la resolución de
estos problemas en el R1 y el S1.
Nota: Asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
está seguro, consulte al instructor.
Nota para el instructor: Consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los
Nota: La plantilla default bias (utilizada por Switch Database Manager, SDM) no ofrece capacidades de
direccionamiento de IPv6. Verifique que el SDM utilice las plantillas dual-ipv4-and-ipv6 o lanbase-routing.
La nueva plantilla se utilizará después de reiniciar, aunque no se guarde la configuración.
S1# show sdm prefer
Siga esta configuración para asignar la plantilla dual-ipv4-and-ipv6 como la plantilla de SDM
predeterminada:
S1# config t
S1(config)# sdm prefer dual-ipv4-and-ipv6 default
S1(config)# end
S1# reload
Recursos necesarios
• 1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario.
Configurará los parámetros básicos en el router y el switch. A continuación, antes de comenzar con la
resolución de problemas, cargará las configuraciones de IPv6 proporcionadas.
Paso 2: Inicializar y vuelva a cargar el router y el switch
Paso 3: Configurar los parámetros básicos en el router y el switch

a. Desactive la búsqueda de DNS.
b. Configure los nombres de los dispositivos como se muestra en la topología.
c. Cifre las contraseñas de texto no cifrado.
d. Cree un mensaje MOTD que advierta a los usuarios que se prohíbe el acceso no autorizado.
e. Asigne class como la contraseña cifrada del modo EXEC privilegiado.
f. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión.
g. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de
comandos.
Paso 4: Cargar la configuración de IPv6 en R1
ip domain name ccna-lab.com
! ipv6 unicast-routing
ipv6 dhcp pool IPV6POOL-A
dns-server 2001:DB8:ACAD:CAFE::A
interface g0/0
no ip address
shutdown
duplex auto
speed auto
interface g0/1
no ip address
duplex auto
speed auto
ipv6 address FE80::1 link-local
ipv6 address 2001:DB8:ACAD:A::11/64
! no ipv6 address 2001:db8:acad:a::11/64
! ipv6 address 2001:db8:acad:a::1/64
! ipv6 nd other-config-flag
! ipv6 dhcp server IPV6POOL-A
! no shutdown
End
Paso 5: Cargar la configuración de IPv6 en S1

interface range f0/1-24
shutdown
!interface range f0/5-6
! no shutdown
interface range g0/1-2
shutdown
interface Vlan1
shutdown
! ipv6 address autoconfig
! no shutdown
End
Paso 6: Guardar las configuraciones en ejecución en R1 y S1
Paso 7: Verificar que se haya habilitado IPv6 en PC-A

Verifique que se haya habilitado IPv6 en la ventana Propiedades de conexión de área local en la PC-A.
Parte 12: Solucionar problemas de conectividad de IPv6

En la parte 2, probará y verificará la conectividad de IPv6 de capa 3 en la red. Continúe con la resolución de
problemas de la red hasta que se haya establecido la conectividad de capa 3 en todos los dispositivos. No
continúe con la parte 3 hasta que no haya completado correctamente la parte 2.
Paso 1: Solucionar los problemas de las interfaces IPv6 en R1

a. Según la topología, ¿qué interfaz debe estar activa en el R1 para poder establecer la conectividad de
red? Registre los comandos utilizados para identificar las interfaces que están activas.
____________________________________________________________________________________
G0/1
R1# show ip interface brief
b. Si es necesario, siga los pasos requeridos para activar la interfaz. Registre los comandos utilizados para
corregir los errores de configuración y verifique que la interfaz esté activa.
____________________________________________________________________________________
____________________________________________________________________________________
R1(config-if)# no shutdown
c. Identifique las direcciones IPv6 configuradas en el R1. Registre las direcciones encontradas y los
comandos utilizados para ver las direcciones IPv6.
____________________________________________________________________________________
____________________________________________________________________________________
2001:DB8:ACAD:A::11/64
show ipv6 interface o show ipv6 interface g0/1. También se puede usar el comando show run
interface g0/1.
d. Determine si se cometió un error de configuración. Si se identificó algún error, registre todos los
comandos utilizados para corregir la configuración.
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
R1(config-if)# no ipv6 address 2001:db8:acad:a::11/64
R1(config-if)# ipv6 address 2001:db8:acad:a::1/64
e. En el R1, ¿qué grupo de multidifusión se necesita para que funcione SLAAC?
____________________________________________________________________________________
Grupo de multidifusión de todos los routers (FF02::2)
f. ¿Qué comando se usa para verificar que el R1 forme parte de ese grupo?
____________________________________________________________________________________
show ipv6 interface o show ipv6 interface g0/1
g. Si el R1 no forma parte del grupo de multidifusión que se necesita para que SLAAC funcione
correctamente, realice los cambios necesarios a la configuración para incorporarlo al grupo. Registre los
comandos necesarios para corregir los errores de configuración.
____________________________________________________________________________________
R1(config)# ipv6 unicast-routing
h. Vuelva a emitir el comando para verificar que se haya incorporado la interfaz G0/1 al grupo de
multidifusión de todos los routers (FF02::2).
Nota: Si no puede incorporar la interfaz al grupo de multidifusión de todos los routers, es posible que
deba guardar la configuración actual y volver a cargar el router.
Paso 2: Solucionar los problemas de S1
a. ¿Las interfaces necesarias para la conectividad de red están activas en el S1? _______ No
Registre los comandos que se usan para activar las interfaces necesarias en el S1.
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
S1(config)# interface range f0/5-6
S1(config-if)# no shutdown
S1(config-if)# interface vlan 1
b. ¿Qué comando podría utilizar para determinar si se asignó una dirección IPv6 de unidifusión al S1?
____________________________________________________________________________________
Emita el comando show ipv6 interface o show ipv6 interface vlan1.
c. ¿El S1 tiene configurada una dirección IPv6 de unidifusión? Si es así, ¿cuál es?
No se asignó ninguna dirección IPv6.
d. Si el S1 no recibe una dirección SLAAC, realice los cambios de configuración necesarios para permitir
que reciba una. Registre los comandos utilizados.
____________________________________________________________________________________
____________________________________________________________________________________
S1(config)# interface vlan 1
S1(config-if)# ipv6 address autoconfig
e. Vuelva a emitir el comando que verifica que la interfaz ahora recibe una dirección SLAAC.
f. ¿Se puede hacer ping del S1 a la dirección IPv6 de unidifusión asignada a la interfaz G0/1 que se asignó
al R1?
____________________________________________________________________________________
Sí, se debería poder hacer ping del S1 a la dirección IPv6 2001:db8:acad:a::1.
Paso 3: Solucionar los problemas de PC-A

a. Emita el comando usado en la PC-A para verificar la dirección IPv6 asignada. Registre el comando.
____________________________________________________________________________________
ipconfig /all
b. ¿Cuál es la dirección IPv6 de unidifusión que SLAAC proporciona a la PC-A?
____________________________________________________________________________________
Si se realizaron todos los cambios al R1 y el S1, la PC-A debe recibir una dirección IPv6 con el prefijo
2001:db8:acad:a::/64.
c. ¿Se puede hacer ping de la PC-A a la dirección de gateway predeterminado que asignó SLAAC?
____________________________________________________________________________________
Sí, se debe poder hacer ping de la PC-A a la dirección FE80::1.
d. ¿Se puede hacer ping de la PC-A a la interfaz de administración en el S1?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
Sí, se debería poder hacer ping de la PC-A a la dirección IPv6 asignada a la VLAN 1. Esta dirección se
puede encontrar emitiendo el comando show ipv6 interface vlan1 en el S1 y buscando a continuación
la dirección IPv6 con el prefijo 2001:db8:acad:a::/64.
Nota: Continúe con la solución de problemas hasta que pueda enviar un ping a R1 y a S1 desde PC-A.
Parte 13: Solucionar problemas de DHCPv6 sin estado

En la parte 3, probará y verificará que DHCPv6 sin estado funcione correctamente en la red. Deberá usar los
comandos de CLI IPv6 correctos en el router para determinar si DHCPv6 sin estado funciona. Quizá desee
usar el comando debug para determinar si se solicita el servidor de DHCP.
Paso 1: Determinar si DHCPv6 sin estado funciona correctamente

a. ¿Cuál es el nombre del pool de DHCP IPv6? ¿Cómo llegó a esta conclusión?
____________________________________________________________________________________
____________________________________________________________________________________
IPV6POOL-A. Emita el comando show ipv6 dhcp pool para determinar nombre del pool del servidor de
DHCPv6. También puede emitir el comando show run | section ipv6 dhcp para ver esta información.
R1# show ipv6 dhcp pool
DHCPv6 pool: IPV6POOL-A
DNS server: 2001:DB8:ACAD:CAFE::A
Domain name: ccna-lab.com
Active clients: 0
b. ¿Qué información de red se indica en el pool de DHCPv6?

____________________________________________________________________________________
____________________________________________________________________________________
Se indica un servidor DNS con la dirección 2001:DB8:ACAD:CAFE::A y un nombre de dominio que
aparece como ccna-lab.com.
c. ¿Se asignó la información de DHCPv6 a la PC-A? ¿Cómo llegó a esta conclusión?
____________________________________________________________________________________
____________________________________________________________________________________
No, esto se puede determinar mediante la emisión del comando ipconfig /all en el símbolo del sistema
de la PC-A.
Paso 2: Resolver problemas del R1

a. ¿Qué comandos se pueden usar para determinar si se configuró R1 para DHCPv6 sin estado?
____________________________________________________________________________________
____________________________________________________________________________________
Se puede usar el comando show ipv6 interface para determinar si una interfaz tiene establecido el
indicador de DHCPv6 sin estado. También se puede usar el comando show run para ver la
configuración de la interfaz.
R1# show ipv6 interface
IPv6 is enabled, link-local address is FE80::1
No Virtual link-local address(es):
Global unicast address(es):
2001:DB8:ACAD:A::1, subnet is 2001:DB8:ACAD:A::/64
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF00:1
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ICMP unreachables are sent
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds (using 30000)
ND advertised reachable time is 0 (unspecified)
ND advertised retransmit interval is 0 (unspecified)
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
ND advertised default router preference is Medium
Hosts use stateless autoconfig for addresses.
b. ¿La interfaz G0/1 en R1 se encuentra en el modo de DHCPv6 sin estado?
____________________________________________________________________________________
____________________________________________________________________________________
No. La interfaz no forma parte del grupo de servidores de DHCPv6 porque no se indica la dirección de
grupo FF02::1:2. Tampoco se menciona el estado del servidor de DHCP en la parte inferior del resultado.
c. ¿Qué comando se puede usar para incorporar el R1 al grupo de servidores de DHCPv6?
____________________________________________________________________________________
____________________________________________________________________________________
Emita el comando ipv6 dhcp server IPV6POOL-A en la interfaz G0/1.
R1(config-if)# ipv6 dhcp server IPV6POOL-A
d. Verifique que el grupo de servidores de DHCPv6 esté configurado para la interfaz G0/1.
FF02::1
FF02::2
FF02::1:2
FF02::1:FF00:1
FF05::1:3
MTU is 1500 bytes
e. ¿La PC-A recibe la información de DHCP ahora? Explique.
____________________________________________________________________________________
____________________________________________________________________________________
No, el comando show ipv6 interface sigue sin mostrar que los hosts utilizarán DHCP para obtener otra
información de configuración. Esto se puede verificar mediante la emisión del comando ipconfig /all en
la PC-A.
f. ¿Qué falta en la configuración de G0/1 que genera que los hosts usen el servidor de DHCP para
recuperar otra información de red?
____________________________________________________________________________________
Se necesita el comando ipv6 nd other-config-flag para indicar a los hosts que usen el servidor de
DHCP para recuperar otra información de red.
R1(config-if)# ipv6 nd other-config-flag
FF02::1
FF02::2
FF02::1:2
FF02::1:FF00:1
FF05::1:3
MTU is 1500 bytes
Los hosts usan el DHCP para obtener otra configuración.
g. Restablezca la configuración de IPv6 en la PC-A.
1) Abra la ventana Propiedades de conexión de área local, desactive la casilla de verificación Protocolo
de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para que acepte el cambio.
2) Vuelva a abrir la ventana Propiedades de conexión de área local, haga clic en la casilla de
verificación Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para
que acepte el cambio.
h. Emita el comando para verificar que se hayan realizado los cambios en la PC-A.
Nota: Continúe con la solución de problemas hasta que PC-A reciba la información adicional de DHCP de
R1.
Reflexión
1. ¿Cuál es el comando que se necesita en el pool de DHCPv6 para DHCPv6 con estado y que no se necesita
para DHCPv6 sin estado? ¿Por qué?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Se necesita el comando address prefix <dirección con prefijo ipv6> para DHCPv6 con estado. Los hosts
reciben las direcciones IPv6 de unidifusión del servidor de DHCP, de modo que este comando se necesita
para proporcionar el prefijo IPv6 que se debe usar para la red.
2. ¿Qué comando se necesita en la interfaz para cambiar la red para que use DHCPv6 con estado en lugar de
DHCPv6 sin estado?
_______________________________________________________________________________________
_______________________________________________________________________________________
Para establecer el indicador de DHCPv6 con estado, se usa el comando ipv6 nd managed-config-flag. Esto
se transmite a todos los hosts en la red a través de los mensajes de anuncio de router que envía el R1.

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Router R1 (final)
R1#sh run

!
versión 15.2
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ipv6 unicast-routing
ipv6 dhcp pool IPV6POOL-A
dns-server 2001:DB8:ACAD:CAFE::A
!
ipv6 cef
!
no ip domain lookup
ip domain name ccna-lab.com
ip cef
!
!
crypto pki token default removal timeout 0
!
redundancy
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
duplex auto
speed auto
ipv6 address FE80::1 link-local
ipv6 address 2001:DB8:ACAD:A::1/64
ipv6 nd other-config-flag
ipv6 dhcp server IPV6POOL-A
!
no ip address
shutdown
clock rate 2000000
!
no ip address
shutdown
!
!
no ip http server
!
control-plane
!
banner motd ^CC
Se prohíbe el acceso no autorizado.
^C
!
línea con 0
exec-timeout 0 0
password 7 0205085A1815
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password 7 104D05181604
login
transport input all
!
!
end
Switch S1 (final)
S1#sh run

!
versión 12.2
no service pad
!
hostname S1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
no ip domain-lookup
!
!
!
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
!
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
shutdown
!
interface Vlan1
no ip address
ipv6 address autoconfig
!
ip http server
!
control-plane
!
banner motd ^C
Se prohíbe el acceso no autorizado.
^C
!
línea con 0
logging synchronous
login
line vty 0 4
login
line vty 5 15
login
!
end
8.2.3.5 CONFIGURING STATELES AND STATEFUL DHCPv6:
(JOSE ANGEL BOSSA)

Topología
Longitud de Gateway
Dispositivo Interfaz Dirección IPv6 prefijo predeterminado
R1 G0/1 2001:DB8:ACAD:A::1 64 N/D

Asignada mediante
S1 VLAN 1 Asignada mediante SLAAC 64 SLAAC
PC-A NIC Asignada mediante SLAAC y DHCPv6 64 Asignado por el R1
Objetivos
Parte 2: Configurar la red para SLAAC
Parte 3: Configurar la red para DHCPv6 sin estado
Parte 4: Configurar la red para DHCPv6 con estado
La asignación dinámica de direcciones IPv6 de unidifusión global se puede configurar de tres maneras:
• Solo mediante configuración automática de dirección sin estado (SLAAC)
• Mediante el protocolo de configuración dinámica de host sin estado para IPv6 (DHCPv6)
• Mediante DHCPv6 con estado
Con SLAAC (se pronuncia “slac”), no se necesita un servidor de DHCPv6 para que los hosts adquieran
direcciones IPv6. Se puede usar para recibir información adicional que necesita el host, como el nombre de
dominio y la dirección del servidor de nombres de dominio (DNS). El uso de SLAAC para asignar direcciones
host IPv6 y de DHCPv6 para asignar otros parámetros de red se denomina “DHCPv6 sin estado”.
Con DHCPv6 con estado, el servidor de DHCP asigna toda la información, incluida la dirección host IPv6.
La determinación de cómo los hosts obtienen la información de direccionamiento dinámico IPv6 depende de
la configuración de indicadores incluida en los mensajes de anuncio de router (RA).
En esta práctica de laboratorio, primero configurará la red para que utilice SLAAC. Una vez que verificó la
conectividad, configurará los parámetros de DHCPv6 y modificará la red para que utilice DHCPv6 sin estado.
Una vez que verificó que DHCPv6 sin estado funcione correctamente, modificará la configuración del R1
para que utilice DHCPv6 con estado. Se usará Wireshark en la PC-A para verificar las tres configuraciones
dinámicas de red.
Nota: Asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
Nota: La plantilla default bias que utiliza el Switch Database Manager (SDM) no proporciona capacidades
de dirección IPv6. Verifique que el SDM utilice las plantillas dual-ipv4-and-ipv6 o lanbase-routing. La
nueva plantilla se utilizará después de reiniciar, aunque no se guarde la configuración.
S1# show sdm prefer
Siga estos pasos para asignar la plantilla dual-ipv4-and-ipv6 como la plantilla de SDM predeterminada:
S1# config t
S1(config)# sdm prefer dual-ipv4-and-ipv6 default
S1(config)# end
S1# reload
}
Recursos necesarios
• 1 computadora (Windows 7 o Vista con Wireshark y un programa de emulación de terminal, como
Tera Term)
Nota: Los servicios de cliente DHCPv6 están deshabilitados en Windows XP. Se recomienda usar un host
con Windows 7 para esta práctica de laboratorio.
En la Parte 1, establecerá la topología de la red y configurará los parámetros básicos de configuración, como
los nombres de dispositivos, las contraseñas y las direcciones IP de interfaz.
Paso 1: Realizar el cableado de la red como se muestra en la topología

NOTA: Se implementa un switch del modelo C3560 debido a que el switch 2960 no soporta comandos ipv6.
Paso 2: Inicializar y vuelva a cargar el router y el switch según sea necesario

Para el router:
Para el switch:
Paso 3: Configurar R1
a. Abra la consola de R1 y entre en el modo de configuración global.
2. Copie la siguiente configuración básica y péguela en la configuración en ejecución en R1.
no ip domain-lookup
hostname R1
enable secret class
banner motd #
line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
3. Guarde la configuración en ejecución en la configuración de arranque.
Paso 4: Configurar S1
a. Abra la consola de S1 y entre en el modo de configuración global.
b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en S1.

no ip domain-lookup
hostname S1
enable secret class
banner motd #
line con 0
password cisco
login
logging synchronous
line vty 0 15
password cisco
login
exit
3. Desactive administrativamente todas las interfaces inactivas.
4.
5.
6.
7. Guarde la configuración en ejecución en la configuración de inicio.
Parte 15: Configurar la red para SLAAC

Paso 1: Preparar la PC-A
a. Verifique que se haya habilitado el protocolo IPv6 en la ventana Propiedades de conexión de área local.
Si la casilla de verificación Protocolo de Internet versión 6 (TCP/IPv6) no está marcada, haga clic para
activarla.
b. Inicie una captura del tráfico en la NIC con Wireshark.
c. Filtre la captura de datos para ver solo los mensajes RA. Esto se puede realizar mediante el filtrado de
paquetes IPv6 con una dirección de destino FF02::1, que es la dirección de solo unidifusión del grupo de
clientes. La entrada de filtro que se usa con Wireshark es ipv6.dst==ff02::1, como se muestra aquí.
Paso 2: Configurar R1
a. Habilite el routing IPv6 unidifusión.
b. Asigne la dirección IPv6 de unidifusión a la interfaz G0/1 según la tabla de direccionamiento.
c. Asigne FE80::1 como la dirección IPv6 link-local para la interfaz G0/1.

d. Active la interfaz G0/1.
Paso 3: Verificar que el R1 forme parte del grupo de multidifusión de todos los routers
Use el comando show ipv6 interface g0/1 para verificar que G0/1 forme parte del grupo de multidifusión de
todos los routers (FF02::2). Los mensajes RA no se envían por G0/1 sin esa asignación de grupo.
R1# show ipv6 interface g0/1
FF02::1
FF02::2
FF02::1:FF00:1
MTU is 1500 bytes
Paso 4: Configurar S1
Use el comando ipv6 address autoconfig en la VLAN 1 para obtener una dirección IPv6 a través de
SLAAC.
S1(config-if)# ipv6 address autoconfig
S1(config-if)# end
Paso 5: Verificar que SLAAC haya proporcionado una dirección de unidifusión al S1

Use el comando show ipv6 interface para verificar que SLAAC haya proporcionado una dirección de
unidifusión a la VLAN1 en el S1.
S1# show ipv6 interface
Vlan1 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::ED9:96FF:FEE8:8A40
Stateless address autoconfig enabled
2001:DB8:ACAD:A:ED9:96FF:FEE8:8A40, subnet is 2001:DB8:ACAD:A::/64 [EUI/CAL/PRE]
valid lifetime 2591988 preferred lifetime 604788
FF02::1
FF02::1:FFE8:8A40
MTU is 1500 bytes
Output features: Check hwidb
ND NS retransmit interval is 1000 milliseconds
Default router is FE80::1 on Vlan1
Paso 6: Verificar que SLAAC haya proporcionado información de dirección IPv6 en la PC-A
a. En el símbolo del sistema de la PC-A, emita el comando ipconfig /all. Verifique que la PC-A muestre una
dirección IPv6 con el prefijo 2001:db8:acad:a::/64. El gateway predeterminado debe tener la dirección
FE80::1.
b. En Wireshark, observe uno de los mensajes RA que se capturaron. Expanda la capa Inter net Control
Message Protocol v6 (Protocolo de mensajes de control de Internet v6) para ver la información de
Flags (Indicadores) y Prefix (Prefijo). Los primeros dos indicadores controlan el uso de DHCPv6 y no
se establecen si no se configura DHCPv6. La información del prefijo también está incluida en este
mensaje RA.
Parte 16: Configurar la red para DHCPv6 sin estado

Paso 1: Configurar un servidor de DHCP IPv6 en R1
a. Cree un pool de DHCP IPv6.
R1(config)# ipv6 dhcp pool IPV6POOL-A
b. Asigne un nombre de dominio al pool.

R1(config-dhcpv6)# domain-name ccna-statelessDHCPv6.com
c. Asigne una dirección de servidor DNS.

R1(config-dhcpv6)# dns-server 2001:db8:acad:a::abcd
R1(config-dhcpv6)# exit
d. Asigne el pool de DHCPv6 a la interfaz.

R1(config-if)# ipv6 dhcp server IPV6POOL-A
e. Establezca la detección de redes (ND) DHCPv6 other-config-flag.

R1(config-if)# ipv6 nd other-config-flag
R1(config-if)# end
Paso 2: Verificar las configuraciones de DHCPv6 en la interfaz G0/1 del R1

Use el comando show ipv6 interface g0/1 para verificar que la interfaz ahora forme parte del grupo IPv6 de
multidifusión de todos los servidores de DHCPv6 (FF02::1:2). La última línea del resultado de este comando
show verifica que se haya establecido other-config-flag.
FF02::1
FF02::2
FF02::1:2
FF02::1:FF00:1
FF05::1:3
MTU is 1500 bytes
Paso 3: Ver los cambios de la red para PC-A
Use el comando ipconfig/all para revisar los cambios de la red. Observe que se recuperó información
adicional, incluida información del nombre de dominio y servidor DNS, del servidor del DHCPv6. Sin
embargo, las direcciones IPv6 de unidifusión global y link-local se obtuvieron previamente mediante SLAAC.
Paso 4: Ver los mensajes de RA en Wireshark
Desplácese hasta el último mensaje RA que se muestra en Wireshark y expándalo para ver la configuración
de indicadores ICMPv6. Observe que el indicador Other configuration (Otra configuración) está establecido
en 1.
Paso 5: Verificar que PC-A no haya obtenido su dirección IPv6 de un servidor del DHCPv6
Use los comandos show ipv6 dhcp binding y show ipv6 dhcp pool para verificar que la PC-A no haya
obtenido una dirección IPv6 del pool de DHCPv6.
R1# show ipv6 dhcp binding

DNS server: 2001:DB8:ACAD:A::ABCD
Domain name: ccna-statelessDHCPv6.com
Active clients: 0
Paso 6: Restablecer la configuración de red IPv6 de PC-A

a. Desactive la interfaz F0/6 del S1.
Nota: La desactivación de la interfaz F0/6 evita que la PC-A reciba una nueva dirección IPv6 antes de
que usted vuelva a configurar el R1 para DHCPv6 con estado en la parte 4.
S1(config-if)# shutdown
b. Detenga la captura de tráfico con Wireshark en la NIC de la PC-A.
c. Restablezca la configuración de IPv6 en la PC-A para eliminar la configuración de DHCPv6 sin estado.
1) Abra la ventana Propiedades de conexión de área local, desactive la casilla de verificación
Protocolo de Internet versión 6 (TCP/IPv6) y haga clic en Aceptar para aceptar el cambio.
2) Abra la ventana Propiedades de Conexión de área local en PC-A. Haga clic para activar la casilla de
Protocolo de Internet versión 6 (TCP/IPv6) y, a continuación, haga clic en Aceptar para aceptar el
cambio.
Parte 17: Configurar la red para el DHCPv6 con estado

Paso 1: Preparar la PC-A
a. Inicie una captura del tráfico en la NIC con Wireshark.
b. Filtre la captura de datos para ver solo los mensajes RA. Esto se puede realizar mediante el filtrado de
paquetes IPv6 con una dirección de destino FF02::1, que es la dirección de solo unidifusión del grupo de
clientes.
Paso 2: Cambiar el conjunto de DHCPv6 en R1

a. Agregue el prefijo de red al pool.
R1(config)# ipv6 dhcp pool IPV6POOL-A
R1(config-dhcpv6)# address prefix 2001:db8:acad:a::/64
b. Cambie el nombre de dominio a ccna-statefulDHCPv6.com.

Nota: Debe eliminar el antiguo nombre de dominio. El comando domain-name no lo reemplaza.
R1(config-dhcpv6)# no domain-name ccna-statelessDHCPv6.com
R1(config-dhcpv6)# domain-name ccna-StatefulDHCPv6.com
R1(config-dhcpv6)# end
c. Verifique la configuración del pool de DHCPv6.

Address allocation prefix: 2001:DB8:ACAD:A::/64 valid 172800 preferred 86400 (0 in
use, 0 conflicts)
Domain name: ccna-StatefulDHCPv6.com
Active clients: 0
d. Ingrese al modo de depuración para verificar la asignación de direcciones de DHCPv6 con estado.
R1# debug ipv6 dhcp detail
IPv6 DHCP debugging is on (detailed)
Paso 3: Establecer el indicador en G0/1 para el DHCPv6 con estado

Nota: La desactivación de la interfaz G0/1 antes de realizar cambios asegura que se envíe un mensaje RA
cuando se activa la interfaz.
R1(config-if)# shutdown
R1(config-if)# ipv6 nd managed-config-flag
R1(config-if)# no shutdown
R1(config-if)# end
Paso 4: Habilitar la interfaz F0/6 en S1
Ahora que configuró el R1 para DHCPv6 con estado, puede volver a conectar la PC-A a la red activando la
interfaz F0/6 en el S1.
S1(config-if)# end
Paso 5: Verificar la configuración del DHCPv6 con estado en R1

a. Emita el comando show ipv6 interface g0/1 para verificar que la interfaz esté en el modo DHCPv6 con
estado.
FF02::1
FF02::2
FF02::1:2
FF02::1:FF00:1
FF05::1:3
MTU is 1500 bytes
Los hosts usan el DHCP para obtener una dirección enrutable.
b. En el símbolo del sistema de la PC-A, escriba ipconfig /release6 para liberar la dirección IPv6 asignada
actualmente. Luego, escriba ipconfig /renew6 para solicitar una dirección IPv6 del servidor de DHCPv6.
c. Emita el comando show ipv6 dhcp pool para verificar el número de clientes activos.
Address allocation prefix: 2001:DB8:ACAD:A::/64 valid 172800 preferred 86400 (1 in
use, 0 conflicts)
Domain name: ccna-StatefulDHCPv6.com
Active clients: 1
d. Emita el comando show ipv6 dhcp binding para verificar que la PC-A haya recibido su dirección IPv6
de unidifusión del pool de DHCP. Compare la dirección de cliente con la dirección IPv6 link-local en la
PC-A mediante el comando ipconfig /all. Compare la dirección proporcionada por el comando show con
la dirección IPv6 que se indica con el comando ipconfig /all en la PC-A.
R1# show ipv6 dhcp binding
Client: FE80::D428:7DE2:997C:B05A
DUID: 0001000117F6723D000C298D5444
Username : unassigned
IA NA: IA ID 0x0E000C29, T1 43200, T2 69120
Address: 2001:DB8:ACAD:A:B55C:8519:8915:57CE
preferred lifetime 86400, valid lifetime 172800
expires at Mar 07 2013 04:09 PM (171595 seconds)
e. Emita el comando undebug all en el R1 para detener la depuración de DHCPv6.

Nota: Escribir u all es la forma más abreviada de este comando y sirve para saber si quiere evitar que
los mensajes de depuración se desplacen hacia abajo constantemente en la pantalla de la sesión de
terminal. Si hay varias depuraciones en proceso, el comando undebug all las detiene todas.
R1# u all
All possible debugging has been turned off
f. Revise los mensajes de depuración que aparecieron en la pantalla de terminal del R1.
1) Examine el mensaje de solicitud de la PC-A que solicita información de red.
*Mar 5 16:42:39.775: IPv6 DHCP: Received SOLICIT from FE80::D428:7DE2:997C:B05A on
GigabitEthernet0/1
*Mar 5 16:42:39.775: IPv6 DHCP: detailed packet contents
*Mar 5 16:42:39.775: src FE80::D428:7DE2:997C:B05A (GigabitEthernet0/1)
*Mar 5 16:42:39.775: dst FF02::1:2
*Mar 5 16:42:39.775: type SOLICIT(1), xid 1039238
*Mar 5 16:42:39.775: option ELAPSED-TIME(8), len 2
*Mar 5 16:42:39.775: elapsed-time 6300
*Mar 5 16:42:39.775: option CLIENTID(1), len 14
2) Examine el mensaje de respuesta enviado a la PC-A con la información de red DHCP.

*Mar 5 16:42:39.779: IPv6 DHCP: Sending REPLY to FE80::D428:7DE2:997C:B05A on
GigabitEthernet0/1
*Mar 5 16:42:39.779: IPv6 DHCP: detailed packet contents
*Mar 5 16:42:39.779: src FE80::1
*Mar 5 16:42:39.779: dst FE80::D428:7DE2:997C:B05A (GigabitEthernet0/1)
*Mar 5 16:42:39.779: type REPLY(7), xid 1039238
*Mar 5 16:42:39.779: option SERVERID(2), len 10
*Mar 5 16:42:39.779: 00030001FC994775C3E0
*Mar 5 16:42:39.779: option CLIENTID(1), len 14
*Mar 5 16:42:39.779: 00010001
R1#17F6723D000C298D5444
*Mar 5 16:42:39.779: option IA-NA(3), len 40
*Mar 5 16:42:39.779: IAID 0x0E000C29, T1 43200, T2 69120
*Mar 5 16:42:39.779: option IAADDR(5), len 24
*Mar 5 16:42:39.779: IPv6 address 2001:DB8:ACAD:A:B55C:8519:8915:57CE
*Mar 5 16:42:39.779: preferred 86400, valid 172800
*Mar 5 16:42:39.779: option DNS-SERVERS(23), len 16
*Mar 5 16:42:39.779: 2001:DB8:ACAD:A::ABCD
*Mar 5 16:42:39.779: option DOMAIN-LIST(24), len 26
*Mar 5 16:42:39.779: ccna-StatefulDHCPv6.com
Paso 6: Verificar el DHCPv6 con estado en PC-A
a. Detenga la captura de Wireshark en la PC-A.
b. Expanda el mensaje RA más reciente que se indica en Wireshark. Verifique que se haya establecido el
indicador Managed address configuration (Configuración de dirección administrada).
c. Cambie el filtro en Wireshark para ver solo los paquetes DHCPv6 escribiendo dhcpv6 y, a continuación,
haga clic en Apply (Aplicar). Resalte la última respuesta DHCPv6 de la lista y expanda la información de
DHCPv6. Examine la información de red DHCPv6 incluida en este paquete.
Reflexión
1. ¿Qué método de direccionamiento IPv6 utiliza más recursos de memoria en el router configurado como
servidor de DHCPv6: DHCPv6 sin estado o DHCPv6 con estado? ¿Por qué?
Respuesta: El método de direccionamiento que usa mas recursos de memoria es DHCPv6 con estado ya
que requiere que el router almacene la información de estado dinámico de los clientes DHCPv6.
2. ¿Qué tipo de asignación dinámica de direcciones IPv6 recomienda Cisco: DHCPv6 sin estado o DHCPv6 con
estado?
Respuesta: DHCPv6 sin estado.

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
8.3.3.6 CONFIGURACIÓN DE OSPFV3 BÁSICO DE ÁREA ÚNICA.
(JOSE ANGEL BOSSA)

Práctica de laboratorio: configuración de OSPFv3 básico de área
única
Topología
Gateway
Dispositivo Interfaz Dirección IPv6 predeterminado
2001:DB8:ACAD:A::1/64
R1 G0/0
FE80::1 link-local No aplicable
2001:DB8:ACAD:12::1/64
S0/0/0 (DCE)
2001:DB8:ACAD:13::1/64
S0/0/1
2001:DB8:ACAD:B::2/64
R2 G0/0
2001:DB8:ACAD:12::2/64
S0/0/0
2001:DB8:ACAD:23::2/64
S0/0/1 (DCE)
2001:DB8:ACAD:C::3/64
R3 G0/0
2001:DB8:ACAD:13::3/64
S0/0/0 (DCE)
2001:DB8:ACAD:23::3/64
S0/0/1
PC-A NIC 2001:DB8:ACAD:A::A/64 FE80::1
PC-B NIC 2001:DB8:ACAD:B::B/64 FE80::2
PC-C NIC 2001:DB8:ACAD:C::C/64 FE80::3
Objetivos
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: configurar y verificar el routing OSPFv3
Parte 3: configurar interfaces pasivas OSPFv3
El protocolo OSPF (Open Shortest Path First) es un protocolo de routing de estado de enlace para las redes
IP. Se definió OSPFv2 para redes IPv4, y OSPFv3 para redes IPv6.
En esta práctica de laboratorio, configurará la topología de la red con routing OSPFv3, asignará ID de router,
configurará interfaces pasivas y utilizará varios comandos de CLI para ver y verificar la información de routing
OSPFv3.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers
y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos disponibles
y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de laboratorio.
Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de laboratorio
Nota: asegúrese de que los routers se hayan borrado y no tengan configuraciones de inicio. Si no está
seguro, consulte con el instructor.
Recursos necesarios
• 3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
• 3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
Parte 18. armar la red y configurar los parámetros básicos de los

dispositivos
En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host
y los routers.
Paso 2: inicializar y volver a cargar los routers según sea necesario.

b. Configure el nombre del dispositivo como se muestra en la topología.
c. Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de vty.
e. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.
f. Configure logging synchronous para la línea de consola.
g. Cifre las contraseñas de texto no cifrado.
h. Configure las direcciones link-local y de unidifusión IPv6 que se indican en la tabla de direccionamiento
para todas las interfaces.
i. Habilite el routing de unidifusión IPv6 en cada router.
j. Copie la configuración en ejecución en la configuración de inicio
Paso 5: Probar la conectividad.

Los routers deben poder hacerse ping entre sí, y cada computadora debe poder hacer ping a su gateway
predeterminado. Las computadoras no pueden hacer ping a otras computadoras hasta que no se haya
configurado el routing OSPFv3. Verifique y resuelva los problemas, si es necesario.
Parte 19. configurar el routing OSPFv3

En la parte 2, configurará el routing OSPFv3 en todos los routers de la red y, luego, verificará que las tablas
de routing se hayan actualizado correctamente.
Paso 1: asignar ID a los routers.

OSPFv3 sigue utilizando una dirección de 32 bits para la ID del router. Debido a que no hay direcciones IPv4
configuradas en los routers, asigne manualmente la ID del router mediante el comando router-id.
a. Emita el comando ipv6 router ospf para iniciar un proceso OSPFv3 en el router.
R1(config)# ipv6 router ospf 1
Nota: la ID del proceso OSPF se mantiene localmente y no tiene sentido para los otros routers de la red.
b. Asigne la ID de router OSPFv3 1.1.1.1 al R1.
R1(config-rtr)# router-id 1.1.1.1
c. Inicie el proceso de routing de OSPFv3 y asigne la ID de router 2.2.2.2 al R2 y la ID de router 3.3.3.3
al R3.
d. Emita el comando show ipv6 ospf para verificar las ID de router de todos los routers.
R2# show ipv6 ospf
Routing Process "ospfv3 1" with ID 2.2.2.2
Event-log enabled, Maximum number of events: 1000, Mode: cyclic
Router is not originating router-LSAs with maximum metric
<Output Omitted>
Paso 2: configurar OSPFv6 en el R1.

Con IPv6, es común tener varias direcciones IPv6 configuradas en una interfaz. La instrucción network se
eliminó en OSPFv3. En cambio, el routing OSPFv3 se habilita en el nivel de la interfaz.
a. Emita el comando ipv6 ospf 1 area 0 para cada interfaz en el R1 que participará en el routing OSPFv3.
R1(config-if)# ipv6 ospf 1 area 0
R1(config-if)# interface s0/0/0
R1(config-if)# interface s0/0/1
Nota: la ID del proceso debe coincidir con la ID del proceso que usó en el paso 1a.
b. Asigne las interfaces en el R2 y el R3 al área 0 de OSPFv3. Al agregar las interfaces al área 0, debería
ver mensajes de adyacencia de vecino.
R1#
*Mar 19 22:14:43.251: %OSPFv3-5-ADJCHG: Process 1, Nbr 2.2.2.2 on Serial0/0/0 from
R1#
*Mar 19 22:14:46.763: %OSPFv3-5-ADJCHG: Process 1, Nbr 3.3.3.3 on Serial0/0/1 from
Paso 3: verificar vecinos de OSPFv3.

Emita el comando show ipv6 ospf neighbor para verificar que el router haya formado una adyacencia con
los routers vecinos. Si no se muestra la ID del router vecino o este no se muestra en el estado FULL, los dos
routers no formaron una adyacencia OSPF.
R1# show ipv6 ospf neighbor
OSPFv3 Router with ID (1.1.1.1) (Process ID 1)
Neighbor ID Pri State Dead Time Interface ID Interface

3.3.3.3 0 FULL/ - 00:00:39 6 Serial0/0/1
2.2.2.2 0 FULL/ - 00:00:36 6 Serial0/0/0
Paso 4: verificar la configuración del protocolo OSPFv3.

El comando show ipv6 protocols es una manera rápida de verificar información fundamental de
configuración de OSPFv3, incluidas la ID del proceso OSPF, la ID del router y las interfaces habilitadas para
OSPFv3.
R1# show ipv6 protocols
IPv6 Routing Protocol is "connected"
IPv6 Routing Protocol is "ND"
IPv6 Routing Protocol is "ospf 1"
Router ID 1.1.1.1
Number of areas: 1 normal, 0 stub, 0 nssa
Interfaces (Area 0):
Serial0/0/1
Serial0/0/0
GigabitEthernet0/0
Redistribution:
None
Paso 5: verificar las interfaces OSPFv3.

a. Emita el comando show ipv6 ospf interface para mostrar una lista detallada de cada interfaz habilitada
para OSPF.
R1# show ipv6 ospf interface
Link Local Address FE80::1, Interface ID 7
Area 0, Process ID 1, Instance ID 0, Router ID 1.1.1.1
Network Type POINT_TO_POINT, Cost: 64
Graceful restart helper support enabled
Index 1/3/3, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Next 0x0(0)/0x0(0)/0x0(0)
Network Type BROADCAST, Cost: 1
Designated Router (ID) 1.1.1.1, local address FE80::1
Next 0x0(0)/0x0(0)/0x0(0)
b. Para mostrar un resumen de las interfaces con OSPFv3 habilitado, emita el comando show ipv6 ospf
interface brief.
R1# show ipv6 ospf interface brief
Interface PID Area Intf ID Cost State Nbrs F/C
Se0/0/1 1 0 7 64 P2P 1/1
Se0/0/0 1 0 6 64 P2P 1/1
Gi0/0 1 0 3 1 DR 0/0
Paso 6: verificar la tabla de routing IPv6.

Emita el comando show ipv6 route para verificar que todas las redes aparezcan en la tabla de routing.
R2# show ipv6 route
IPv6 Routing Table - default - 10 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2
IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external
ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
O 2001:DB8:ACAD:A::/64 [110/65]
via FE80::1, Serial0/0/0
C 2001:DB8:ACAD:B::/64 [0/0]
via GigabitEthernet0/0, directly connected
L 2001:DB8:ACAD:B::2/128 [0/0]
via GigabitEthernet0/0, receive
O 2001:DB8:ACAD:C::/64 [110/65]
C 2001:DB8:ACAD:12::/64 [0/0]
via Serial0/0/0, directly connected
L 2001:DB8:ACAD:12::2/128 [0/0]
via Serial0/0/0, receive
O 2001:DB8:ACAD:13::/64 [110/128]
C 2001:DB8:ACAD:23::/64 [0/0]
via Serial0/0/1, directly connected
L 2001:DB8:ACAD:23::2/128 [0/0]
via Serial0/0/1, receive
L FF00::/8 [0/0]
via Null0, receive
¿Qué comando utilizaría para ver solamente las rutas OSPF en la tabla de routing?
_______________________________________________________________________________________
Paso 7: Verificar la conectividad de extremo a extremo.

Se debería poder hacer ping entre todas las computadoras de la topología. Verifique y resuelva los
problemas, si es necesario.
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
Parte 20. configurar las interfaces pasivas de OSPFv3

El comando passive-interface evita que se envíen actualizaciones de routing a través de la interfaz de
router especificada. Esto se hace comúnmente para reducir el tráfico en las redes LAN, ya que no necesitan
recibir comunicaciones de protocolo de routing dinámico. En la parte 3, utilizará el comando passive-
interface para configurar una única interfaz como pasiva. También configurará OSPFv3 para que todas las
interfaces del router sean pasivas de manera predeterminada y, luego, habilitará anuncios de routing OSPF
en interfaces seleccionadas.
Paso 1: configurar una interfaz pasiva.

a. Emita el comando show ipv6 ospf interface g0/0 en el R1. Observe el temporizador que indica cuándo
se espera el siguiente paquete de saludo. Los paquetes de saludo se envían cada 10 segundos y se
utilizan entre los routers OSPF para verificar que sus vecinos estén activos.
R1# show ipv6 ospf interface g0/0
Designated Router (ID) 1.1.1.1, local address FE80::1
Next 0x0(0)/0x0(0)/0x0(0)
b. Emita el comando passive-interface para cambiar la interfaz G0/0 en el R1 a pasiva.

R1(config-rtr)# passive-interface g0/0
c. Vuelva a emitir el comando show ipv6 ospf interface g0/0 para verificar que la interfaz G0/0 ahora sea
pasiva.
R1# show ipv6 ospf interface g0/0
Transmit Delay is 1 sec, State WAITING, Priority 1
No designated router on this network
Wait time before Designated router selection 00:00:34
Next 0x0(0)/0x0(0)/0x0(0)
d. Emita el comando show ipv6 route ospf en el R2 y el R3 para verificar que todavía haya disponible una
ruta a la red 2001:DB8:ACAD:A::/64.
R2# show ipv6 route ospf
IPv6 Routing Table - default - 10 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, I1 - ISIS L1, I2 - ISIS L2
IA - ISIS interarea, IS - ISIS summary, D - EIGRP, EX - EIGRP external
ND - ND Default, NDp - ND Prefix, DCE - Destination, NDr - Redirect
O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
O 2001:DB8:ACAD:A::/64 [110/65]
O 2001:DB8:ACAD:C::/64 [110/65]
O 2001:DB8:ACAD:13::/64 [110/128]
Paso 2: establecer la interfaz pasiva como la interfaz predeterminada en el router.

a. Emita el comando passive-interface default en el R2 para establecer todas las interfaces OSPFv3
como pasivas de manera predeterminada.
R2(config-rtr)# passive-interface default
b. Emita el comando show ipv6 ospf neighbor en el R1. Una vez que el temporizador de tiempo muerto
caduca, el R2 ya no se muestra como un vecino OSPF.
R1# show ipv6 ospf neighbor
OSPFv3 Router with ID (1.1.1.1) (Process ID 1)
Neighbor ID Pri State Dead Time Interface ID Interface

3.3.3.3 0 FULL/ - 00:00:37 6 Serial0/0/1
c. En el R2, emita el comando show ipv6 ospf interface s0/0/0 para ver el estado OSPF de la interfaz
S0/0/0.
R2# show ipv6 ospf interface s0/0/0
Next 0x0(0)/0x0(0)/0x0(0)
d. Si todas las interfaces OSPFv3 en el R2 son pasivas, no se anuncia ninguna información de routing. Si
este es el caso, el R1 y el R3 ya no deberían tener una ruta a la red 2001:DB8:ACAD:B::/64. Esto se
puede verificar mediante el comando show ipv6 route.
e. Ejecute el comando no passive-interface para cambiar S0/0/1 en el R2 a fin de que envíe y reciba
actualizaciones de routing OSPFv3. Después de introducir este comando, aparece un mensaje
informativo que explica que se estableció una adyacencia de vecino con el R3.
R2(config-rtr)# no passive-interface s0/0/1
*Apr 8 19:21:57.939: %OSPFv3-5-ADJCHG: Process 1, Nbr 3.3.3.3 on Serial0/0/1
from LOADING to FULL, Loading Done
f. Vuelva a emitir los comandos show ipv6 route y show ipv6 ospf neighbor en el R1 y el R3, y busque
una ruta a la red 2001:DB8:ACAD:B::/64.
¿Qué interfaz usa el R1 para enrutarse a la red 2001:DB8:ACAD:B::/64? _S0/0/1________
¿Cuál es la métrica de costo acumulado para la red 2001:DB8:ACAD:B::/64 en el R1? ___129____
¿El R2 aparece como vecino OSPFv3 en el R1? ___No_____
¿El R2 aparece como vecino OSPFv3 en el R3? ___Si_____
¿Qué indica esta información?
Que todo el tráfico hacia a la red 2001:DB8:ACAD:B::/64 Desde el R1 se enruta a través de R3. La
interfazS0/0/0 en el R2 sigue configurada como interface pasiva por lo que la información de routing
OSPFv3 no se anuncia en esta interface. El costo acumulado de 129 debe a que el tráfico de R3 a la red
192.168.2.0/24 debe pasar de los dos enlaces
g. En el R2, emita el comando no passive-interface S0/0/0 para permitir que se anuncien las
actualizaciones de routing OSPFv3 en esa interfaz.
h. Verifique que el R1 y el R2 ahora sean vecinos OSPFv3.
Reflexión
1. Si la configuración OSPFv6 del R1 tiene la ID de proceso 1 y la configuración OSPFv3 del R2 tiene la ID de
proceso 2, ¿se puede intercambiar información de routing entre ambos routers? ¿Por qué?
Sí. Porque el ID del procesoOSPFv3 se usa solo localmente en el router, no es necesario que coincida con a
id del proceso que se usa en los otros router
_______________________________________________________________________________________
2. ¿Cuál podría haber sido la razón para eliminar el comando network en OSPFv3?
Al eliminar la instrucción network ayuda a evitar errores en direcciones IPv6. Adicional una interface IPv6 pueden
tener varias direcciones ip asignadas a ella. Al asignar una interface a un área OSPFv3 todas las redes se multidifusionan
en esa interface.
Tabla de resumen de interfaces del router
Resumen de interfaces del router
Modelo de Interfaz Ethernet #1 Interfaz Ethernet Interfaz serial #1 Interfaz serial n.º 2
router n.º 2
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router
y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de
Cisco para representar la interfaz.
9.2.2.6 CONFIGURACION DE NAT DINAMICA Y ESTATICA.

Práctica de laboratorio: Configuración de NAT dinámica y estática
(Versión para el instructor – Práctica de laboratorio opcional)
copia del instructor solamente. Las actividades opcionales están elaboradas para mejorar la compresión o
proporcionar práctica adicional.
Topología
Máscara de Gateway
Gateway G0/1 192.168.1.1 255.255.255.0 N/D

S0/0/1 209.165.201.18 255.255.255.252 N/D
ISP S0/0/0 (DCE) 209.165.201.17 255.255.255.252 N/D
Lo0 192.31.7.1 255.255.255.255 N/D
PC-A (servidor
simulado) NIC 192.168.1.20 255.255.255.0 192.168.1.1
PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1
Objetivos
Parte 1: Armar la red y verificar la conectividad
Parte 2: Configurar y verificar la NAT estática
Parte 3: Configurar y verificar la NAT dinámica
La traducción de direcciones de red (NAT) es el proceso en el que un dispositivo de red, como un router
Cisco, asigna una dirección pública a los dispositivos host dentro de una red privada. El motivo principal para
usar NAT es reducir el número de direcciones IP públicas que usa una organización, ya que la cantidad de
direcciones IPv4 públicas disponibles es limitada.
En esta práctica de laboratorio, un ISP asignó a una empresa el espacio de direcciones IP públicas
209.165.200.224/27. Esto proporciona 30 direcciones IP públicas a la empresa. Las direcciones
209.165.200.225 a 209.165.200.241 son para la asignación estática, y las direcciones 209.165.200.242 a
209.165.200.254 son para la asignación dinámica. Del ISP al router de gateway se usa una ruta estática, y
del gateway al router ISP se usa una ruta predeterminada. La conexión del ISP a Internet se simula mediante
una dirección de loopback en el router ISP.
Nota: Asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
Recursos necesarios
Parte 21. Armar la red y verificar la conectividad

En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como las direcciones
IP de interfaz, el routing estático, el acceso a los dispositivos y las contraseñas.
Paso 1: Realizar el cableado de red como se muestra en la topología

Conecte los dispositivos como se muestra en la topología y realice el cableado necesario.
Paso 2: Configurar los hosts de las PC
Paso 3: Inicializar y vuelva a cargar los routers y los switches según sea necesario
Paso 4: Configurar los ajustes básicos de cada router

no ip domain-lookup
enable secret class
banner motd #
línea con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
Paso 5: Crear un servidor web simulado en el ISP
a. Cree un usuario local denominado webuser con la contraseña cifrada webpass.
ISP(config)# username webuser privilege 15 secret webpass
b. Habilite el servicio del servidor HTTP en el ISP.
ISP(config)# ip http server
c. Configure el servicio HTTP para utilizar la base de datos local.
ISP(config)# ip http authentication local
Paso 6: Configurar el routing estático
a. Cree una ruta estática del router ISP al router Gateway usando el rango asignado de direcciones de red
públicas 209.165.200.224/27.
b. Cree una ruta predeterminada del router Gateway al router ISP.
Gateway(config)# ip route 0.0.0.0 0.0.0.0 209.165.201.17
Paso 7: Guardar la configuración en ejecución en la configuración de arranque
Paso 8: Verificar la conectividad de red

a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway. Resuelva los problemas si los
pings fallan.
b. Muestre las tablas de routing en ambos routers para verificar que las rutas estáticas se encuentren en la
tabla de routing y estén configuradas correctamente en ambos routers.
Parte 22. Configuración y verificación de la NAT estática
La NAT estática consiste en una asignación uno a uno entre direcciones locales y globales, y estas
asignaciones se mantienen constantes. La NAT estática resulta útil, en especial para los servidores web o los
dispositivos que deben tener direcciones estáticas que sean accesibles desde Internet.
Paso 1: Configurar una asignación estática

El mapa estático se configura para indicarle al router que traduzca entre la dirección privada del servidor
interno 192.168.1.20 y la dirección pública 209.165.200.225. Esto permite que los usuarios de Internet
accedan a la PC-A. La PC-A simula un servidor o un dispositivo con una dirección constante a la que se
puede acceder desde Internet.
Gateway(config)# ip nat inside source static 192.168.1.20 209.165.200.225
Paso 2: Especificar las interfaces
Emita los comandos ip nat inside e ip nat outside en las interfaces.
Gateway(config)# interface g0/1
Gateway(config-if)# ip nat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ip nat outside
Paso 3: Probar la configuración
a. Muestre la tabla de NAT estática mediante la emisión del comando show ip nat translations.
Gateway# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 209.165.200.225 192.168.1.20 --- ---
¿Cuál es la traducción de la dirección host local interna?
192.168.1.20 = 209.165.200.225
¿Quién asigna la dirección global interna?
El router del pool de la NAT.
¿Quién asigna la dirección local interna?
El administrador de la estación de trabajo.
b. En la PC-A, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping falló, resuelva y corrija los
problemas. En el router Gateway, muestre la tabla de NAT.
icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1
--- 209.165.200.225 192.168.1.20 --- ---
Cuando la PC-A envió una solicitud de ICMP (ping) a la dirección 192.31.7.1 en el ISP, se agregó a la
tabla una entrada de NAT en la que se indicó ICMP como protocolo.
¿Qué número de puerto se usó en este intercambio ICMP? 1, las respuestas varían.
Nota: Puede ser necesario desactivar el firewall de la PC-A para que el ping se realice correctamente.
c. En la PC-A, acceda a la interfaz Lo0 del ISP mediante telnet y muestre la tabla de NAT.
icmp 209.165.200.225:1 192.168.1.20:1 192.31.7.1:1 192.31.7.1:1
tcp 209.165.200.225:1034 192.168.1.20:1034 192.31.7.1:23 192.31.7.1:23
--- 209.165.200.225 192.168.1.20 --- ---
Nota: Es posible que se haya agotado el tiempo para la NAT de la solicitud de ICMP y se haya eliminado
de la tabla de NAT.
¿Qué protocolo se usó para esta traducción? tcp
¿Cuáles son los números de puerto que se usaron?
Global/local interno: 1034, las respuestas varían.
Global/local externo: 23
d. Debido a que se configuró NAT estática para la PC-A, verifique que el ping del ISP a la dirección pública
de NAT estática de la PC-A (209.165.200.225) se realice correctamente.
e. En el router Gateway, muestre la tabla de NAT para verificar la traducción.
icmp 209.165.200.225:12 192.168.1.20:12 209.165.201.17:12 209.165.201.17:12
--- 209.165.200.225 192.168.1.20 --- ---
Observe que la dirección local externa y la dirección global externa son iguales. Esta dirección es la
dirección de origen de red remota del ISP. Para que el ping del ISP se realice correctamente, la dirección
global interna de NAT estática 209.165.200.225 se tradujo a la dirección local interna de la PC-A
(192.168.1.20).
f. Verifique las estadísticas de NAT mediante el comando show ip nat statistics en el router Gateway.
Gateway# show ip nat statistics
Total active translations: 2 (1 static, 1 dynamic; 1 extended)
Peak translations: 2, occurred 0:02:12 ago
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 39 Misses: 0
CEF Translated packets: 39, CEF Punted packets: 0
Expired translations: 3
Dynamic mappings:
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Nota: Este es solo un resultado de muestra. Es posible que su resultado no coincida exactamente.
Parte 23. Configuración y verificación de la NAT dinámica

La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna según el orden de llegada. Cuando
un dispositivo interno solicita acceso a una red externa, la NAT dinámica asigna una dirección IPv4 pública
disponible del conjunto. La NAT dinámica produce una asignación de varias direcciones a varias direcciones
entre direcciones locales y globales.
Paso 1: Borrar las NAT

Antes de seguir agregando NAT dinámicas, borre las NAT y las estadísticas de la parte 2.
Gateway# clear ip nat translation*
Gateway# clear ip nat statistics
Paso 2: Definir una lista de control de acceso (ACL) que coincida con el rango de direcciones
IP privadas de LAN
La ACL 1 se utiliza para permitir que se traduzca la red 192.168.1.0/24.
Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Paso 3: Verificar que la configuración de interfaces de NAT siga siendo válida
Emita el comando show ip nat statistics en el router Gateway para verificar la configuración NAT.
Peak translations: 0
Outside interfaces:
Serial0/0/1
Inside interfaces:
FastEthernet0/1
Hits: 0 Misses: 0
Dynamic mappings:
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Paso 4: Definir el conjunto de direcciones IP públicas utilizables
Gateway(config)# ip nat pool public_access 209.165.200.242 209.165.200.254
netmask 255.255.255.224
Paso 5: Definir la NAT desde la lista de origen interna hasta el conjunto externo
Nota: Recuerde que los nombres de conjuntos de NAT distinguen mayúsculas de minúsculas y el
nombre del conjunto que se introduzca aquí debe coincidir con el que se usó en el paso anterior.
Gateway(config)# ip nat inside source list 1 pool public_access
Paso 6: Probar la configuración
a. En la PC-B, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping falló, resuelva y corrija los
problemas. En el router Gateway, muestre la tabla de NAT.
--- 209.165.200.225 192.168.1.20 --- ---
icmp 209.165.200.242:1 192.168.1.21:1 192.31.7.1:1 192.31.7.1:1
--- 209.165.200.242 192.168.1.21 --- ---
¿Cuál es la traducción de la dirección host local interna de la PC-B?
192.168.1.21 = 209.165.200.242
Cuando la PC-B envió un mensaje ICMP a la dirección 192.31.7.1 en el ISP, se agregó a la tabla una
entrada de NAT dinámica en la que se indicó ICMP como el protocolo.
¿Qué número de puerto se usó en este intercambio ICMP? 1, las respuestas varían.
b. En la PC-B, abra un explorador e introduzca la dirección IP del servidor web simulado ISP (interfaz Lo0).
Cuando se le solicite, inicie sesión como webuser con la contraseña webpass.
c. Muestre la tabla de NAT.
--- 209.165.200.225 192.168.1.20 --- ---
tcp 209.165.200.242:1038 192.168.1.21:1038 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1039 192.168.1.21:1039 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1040 192.168.1.21:1040 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1041 192.168.1.21:1041 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1042 192.168.1.21:1042 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1043 192.168.1.21:1043 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1044 192.168.1.21:1044 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1045 192.168.1.21:1045 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1046 192.168.1.21:1046 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1047 192.168.1.21:1047 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1048 192.168.1.21:1048 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1049 192.168.1.21:1049 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1050 192.168.1.21:1050 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1051 192.168.1.21:1051 192.31.7.1:80 192.31.7.1:80
tcp 209.165.200.242:1052 192.168.1.21:1052 192.31.7.1:80 192.31.7.1:80
--- 209.165.200.242 192.168.1.22 --- ---
¿Qué protocolo se usó en esta traducción? ____________ tcp

¿Qué números de puerto se usaron?
Interno: ________________ 1038 a 1052. Las respuestas varían.
Externo: ______________ 80
¿Qué número de puerto bien conocido y qué servicio se usaron? ________________ puerto 80, www o http
d. Verifique las estadísticas de NAT mediante el comando show ip nat statistics en el router Gateway.
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 345 Misses: 0
Dynamic mappings:
-- Inside Source
[Id: 1] lista-acceso 1 conjunto acceso_público conteo de ref. 2
pool public_access: netmask 255.255.255.224
start 209.165.200.242 end 209.165.200.254
type generic, total addresses 13, allocated 1 (7%), misses 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Paso 7: Eliminar la entrada de NAT estática
En el paso 7, se elimina la entrada de NAT estática y se puede observar la entrada de NAT.
a. Elimine la NAT estática de la parte 2. Introduzca yes (sí) cuando se le solicite eliminar entradas
secundarias.
Gateway(config)# no ip nat inside source static 192.168.1.20 209.165.200.225
Entrada estática en uso, ¿desea eliminar las entradas secundarias? [no]: yes
b. Borre las NAT y las estadísticas.
c. Haga ping al ISP (192.31.7.1) desde ambos hosts.
d. Muestre la tabla y las estadísticas de NAT.
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 16 Misses: 0
Dynamic mappings:
-- Inside Source
start 209.165.200.242 end 209.165.200.254
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Gateway# show ip nat translation

icmp 209.165.200.243:512 192.168.1.20:512 192.31.7.1:512 192.31.7.1:512
--- 209.165.200.243 192.168.1.20 --- ---
icmp 209.165.200.242:512 192.168.1.21:512 192.31.7.1:512 192.31.7.1:512
--- 209.165.200.242 192.168.1.21 --- ---
Reflexión
1. ¿Por qué debe utilizarse la NAT en una red?
Las respuestas varían, pero deberían incluir: siempre que no haya suficientes direcciones IP públicas
y para evitar el costo de adquisición de direcciones públicas de un ISP. NAT también puede
proporcionar una medida de seguridad al ocultar las direcciones internas de las redes externas.
2. ¿Cuáles son las limitaciones de NAT?
NAT necesita la información de IP o de números de puerto en el encabezado IP y el encabezado TCP
de los paquetes para la traducción. Esta es una lista parcial de los protocolos que no se pueden utilizar
con NAT: SNMP, LDAP, Kerberos versión. 5.

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Gateway (después de la parte 2)

Gateway# show run

!
versión 15.2
!
hostname Gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
no ip address
shutdown
clock rate 2000000
!
ip address 209.165.201.18 255.255.255.252
ip nat outside
!
!
no ip http server
!
ip nat inside source static 192.168.1.20 209.165.200.225
ip route 0.0.0.0 0.0.0.0 209.165.201.17
!
control-plane
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
Gateway (final)
Gateway# show run

!
versión 15.2
!
hostname Gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
no ip address
shutdown
clock rate 2000000
!
ip address 209.165.201.18 255.255.255.252
ip nat outside
!
!
no ip http server
!
ip nat pool public_access 209.165.200.242 209.165.200.254 netmask 255.255.255.224
ip nat inside source list 1 pool public_access
ip route 0.0.0.0 0.0.0.0 209.165.201.17
!
!
control-plane
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
ISP (final)
ISP# show run

!
! Last configuration change at 09:16:34 UTC Sun Mar 24 2013
versión 15.2
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
ip cef
no ipv6 cef
!
username webuser privilege 15 secret 4 ZMYyKvmzVsyor8jHyP9ox.cMoz9loLfZN75illtozY2
!
interface Loopback0
ip address 192.31.7.1 255.255.255.255
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 209.165.201.17 255.255.255.252
clock rate 128000
!
no ip address
shutdown
!
!
ip http server
ip http authentication local
!
ip route 209.165.200.224 255.255.255.224 209.165.201.18
!
control-plane
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
9.2.3.7 CONFIGURACION DE LA TRADUCCION DE LA DIRECCION DEL PUERTO
(PAT)
Práctica de laboratorio: configuración de la traducción de la

dirección del puerto (PAT) (versión para el instructor)
Topología
El Máscara de Gateway
administrador Interfaces Dirección IP subred predeterminado
Gateway G0/1 192.168.1.1 255.255.255.0 N/D

S0/0/1 209.165.201.18 255.255.255.252 N/D
ISP S0/0/0 (DCE) 209.165.201.17 255.255.255.252 N/D
Lo0 192.31.7.1 255.255.255.255 N/D
PC-A NIC 192.168.1.20 255.255.255.0 192.168.1.1
PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1
PC-C NIC 192.168.1.22 255.255.255.0 192.168.1.1
Objetivos
Parte 1: armar la red y verificar la conectividad
Parte 2: configurar y verificar un conjunto de NAT con sobrecarga
Parte 3: configurar y verificar PAT
En la primera parte de la práctica de laboratorio, el ISP asigna a su empresa el rango de direcciones IP
públicas 209.165.200.224/29. Esto proporciona seis direcciones IP públicas a la empresa. Un conjunto de
NAT dinámica con sobrecarga consta de un conjunto de direcciones IP en una relación de varias direcciones
a varias direcciones. El router usa la primera dirección IP del conjunto y asigna las conexiones mediante el
uso de la dirección IP más un número de puerto único. Una vez que se alcanzó la cantidad máxima de
traducciones para una única dirección IP en el router (específico de la plataforma y el hardware), utiliza la
siguiente dirección IP del conjunto. La sobrecarga del conjunto de NAT es una traducción de la dirección del
puerto (PAT) que sobrecarga un grupo de direcciones IPv4 públicas.
En la parte 2, el ISP asignó una única dirección IP, 209.165.201.18, a su empresa para usarla en la conexión
a Internet del router Gateway de la empresa al ISP. Usará PAT para convertir varias direcciones internas en
la única dirección pública utilizable. Se probará, se verá y se verificará que se produzcan las traducciones y
se interpretarán las estadísticas de NAT/PAT para controlar el proceso.
Nota: Asegúrese de que los routers y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
Nota para el instructor: Consulte el Manual de prácticas de laboratorio para el instructor a fin de conocer los
Recursos necesarios
Parte 24. Armar la red y verificar la conectividad
En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como las direcciones
IP de interfaz, el routing estático, el acceso a los dispositivos y las contraseñas.
Paso 2: Configure los hosts de las PC.

Paso 3: Inicialice y vuelva a cargar los routers y switches.
Paso 4: Configure los ajustes básicos de cada router.

no ip domain-lookup
enable secret class
banner motd #
Line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
Paso 5: Configure el routing estático.
a. Cree una ruta estática desde el router ISP hasta el router Gateway.

Paso 6: Verifique la conectividad de red.

a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway. Resuelva los problemas si los
pings fallan.
b. Verifique que las rutas estáticas estén bien configuradas en ambos routers.
Parte 25. Configuración y verificación del conjunto de NAT con sobrecarga

En la parte 2, configurará el router Gateway para que traduzca las direcciones IP de la red 192.168.1.0/24 a
una de las seis direcciones utilizables del rango 209.165.200.224/29.
Paso 1: Defina una lista de control de acceso que coincida con las direcciones IP privadas
de LAN.
Paso 2: Defina el conjunto de direcciones IP públicas utilizables.

Gateway(config)# ip nat pool public_access 209.165.200.225 209.165.200.230
netmask 255.255.255.248
Paso 3: Defina la NAT desde la lista de origen interna hasta el conjunto externo.
Gateway(config)# ip nat inside source list 1 pool public_access overload
Paso 4: Especifique las interfaces.

Gateway(config)# interface g0/1
Gateway(config-if)# ip nat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ip nat outside
Paso 5: Verifique la configuración del conjunto de NAT con sobrecarga.
a. Desde cada equipo host, haga ping a la dirección 192.31.7.1 del router ISP.
b. Muestre las estadísticas de NAT en el router Gateway.
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 24 Misses: 0
Dynamic mappings:
-- Inside Source
start 209.165.200.225 end 209.165.200.230
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
c. Muestre las NAT en el router Gateway.

icmp 209.165.200.225:0 192.168.1.20:1 192.31.7.1:1 192.31.7.1:0
icmp 209.165.200.225:1 192.168.1.21:1 192.31.7.1:1 192.31.7.1:1
icmp 209.165.200.225:2 192.168.1.22:1 192.31.7.1:1 192.31.7.1:2
Nota: Es posible que no vea las tres traducciones, según el tiempo que haya transcurrido desde que
emitió los pings en cada computadora. Las traducciones de ICMP tienen un valor de tiempo de espera
corto.
¿Cuántas direcciones IP locales internas se indican en el resultado de muestra anterior? 3
¿Cuántas direcciones IP globales internas se indican? 1
¿Cuántos números de puerto se usan en conjunto con las direcciones globales internas? 3
¿Cuál sería el resultado de hacer ping del router ISP a la dirección local interna de la PC-A? ¿Por qué?
El ping fallaría debido a que el router conoce la ubicación de la dirección global interna en la tabla
de routing, pero la dirección local interna no se anuncia.
Parte 26. Configuración y verificación de PAT

En la parte 3, configurará PAT mediante el uso de una interfaz, en lugar de un conjunto de direcciones, a fin
de definir la dirección externa. No todos los comandos de la parte 2 se volverán a usar en la parte 3.
Paso 1: Borre las NAT y las estadísticas en el router Gateway.
Paso 2: Verifique la configuración para las NAT.

a. Verifique que se hayan borrado las estadísticas.
b. Verifique que las interfaces externa e interna estén configuradas para NAT.
c. Verifique que la ACL aún esté configurada para NAT.
¿Qué comando usó para confirmar los resultados de los pasos a al c?
Paso 3: Elimine el conjunto de direcciones IP públicas utilizables.
Gateway(config)# no ip nat pool public_access 209.165.200.225 209.165.200.230
netmask 255.255.255.248
Paso 4: Elimine la NAT de la lista de origen interna al conjunto externo.
Gateway(config)# no ip nat inside source list 1 pool public_access overload
Paso 5: Asocie la lista de origen a la interfaz externa.

Gateway(config)# ip nat inside source list 1 interface serial 0/0/1 overload
Paso 6: Pruebe la configuración de la PAT.
a. Desde cada computadora, haga ping a la dirección 192.31.7.1 del router ISP.
Outside interfaces:
Serial0/0/1
Inside interfaces:
GigabitEthernet0/1
Hits: 24 Misses: 0
Dynamic mappings:
-- Inside Source
[Id: 2] lista-acceso 1 interfaz Serial0/0/1 conteo de ref. 3
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
c. Muestre las traducciones NAT en el Gateway.
icmp 209.165.201.18:3 192.168.1.20:1 192.31.7.1:1 192.31.7.1:3
icmp 209.165.201.18:1 192.168.1.21:1 192.31.7.1:1 192.31.7.1:1
icmp 209.165.201.18:4 192.168.1.22:1 192.31.7.1:1 192.31.7.1:4
Reflexión
¿Qué ventajas tiene la PAT?
Las respuestas varían, pero deben incluir que PAT minimiza la cantidad de direcciones públicas
necesarias para proporcionar acceso a Internet y que los servicios de PAT, como los de NAT, sirven
para “ocultar” las direcciones privadas de las redes externas.

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Router Gateway (después de la parte 2)

Gateway# show run

!
versión 15.2
!
hostname Gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
no ip address
shutdown
!
ip address 209.165.201.18 255.255.255.252
ip nat outside
!
!
no ip http server
!
ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248
ip nat inside source list 1 pool public_access overload
ip route 0.0.0.0 0.0.0.0 209.165.201.17
!
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
Router Gateway (después de la parte 3)

Gateway# show run

!
versión 15.2
!
hostname Gateway
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
no ip address
shutdown
!
ip address 209.165.201.18 255.255.255.252
ip nat outside
!
!
no ip http server
!
ip nat inside source list 1 interface Serial0/0/1 overload
ip route 0.0.0.0 0.0.0.0 209.165.201.17
!
!
Control-plane
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
Router ISP
ISP# show run

!
versión 15.2
!
hostname ISP
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
no ip domain lookup
ip cef
no ipv6 cef
!
interface Loopback0
ip address 192.31.7.1 255.255.255.255
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 209.165.201.17 255.255.255.252
clock rate 128000
!
no ip address
shutdown
!
!
no ip http server
!
ip route 209.165.200.224 255.255.255.224 209.165.201.18
!
control-plane
!
línea con 0
password cisco
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password cisco
login
transport input all
!
!
end
9.2.1.10 CONFIGURING STANDARD ACLs.

(ALEXIS PEDROZA)
Packet Tracer - Configuring Standard ACLs (Instructor Version)
Topology
Packet Tracer - Configuring Standard ACLs
Addressing Table
Default
Device Interface IP Address Subnet Mask Gateway
F0/0 192.168.10.1 255.255.255.0 N/A
F0/1 192.168.11.1 255.255.255.0 N/A
R1
255.255.255.25
S0/0/0 10.1.1.1 2 N/A
255.255.255.25
S0/0/1 10.3.3.1 2 N/A
F0/0 192.168.20.1 255.255.255.0 N/A
255.255.255.25
R2 S0/0/0 10.1.1.2 2 N/A
255.255.255.25
S0/0/1 10.2.2.1 2 N/A
F0/0 192.168.30.1 255.255.255.0 N/A
255.255.255.25
R3 S0/0/0 10.3.3.2 2 N/A
255.255.255.25
S0/0/1 10.2.2.2 2 N/A
PC1 NIC 192.168.10.10 255.255.255.0 192.168.10.1
PC2 NIC 192.168.11.10 255.255.255.0 192.168.11.1
PC3 NIC 192.168.30.10 255.255.255.0 192.168.30.1
WebServer NIC 192.168.20.254 255.255.255.0 192.168.20.1

Objectives
Part 1: Plan an ACL Implementation
Part 2: Configure, Apply, and Verify a Standard ACL
Standard access control lists (ACLs) are router configuration scripts that control whether a router
permits or denies packets based on the source address. This activity focuses on defining filtering
criteria, configuring standard ACLs, applying ACLs to router interfaces, and verifying and testing the
ACL implementation. The routers are already configured, including IP addresses and Enhanced Interior
Gateway Routing Protocol (EIGRP) routing.
Part 1: Plan an ACL Implementation
Step 1: Investigate the current network configuration.
Before applying any ACLs to a network, it is important to confirm that you have full connectivity. Verify
that the network has full connectivity by choosing a PC and pinging other devices on the network.
You should be able to successfully ping every device.
Step 2: Evaluate two network policies and plan ACL implementations.
The following network policies are implemented on R2:
The 192.168.11.0/24 network is not allowed access to the WebServer on the

192.168.20.0/24 network.
All other access is permitted.
To restrict access from the 192.168.11.0/24 network to the WebServer at 192.168.20.254 without
interfering with other traffic, an ACL must be created on R2. The access list must be placed on the
outbound interface to the WebServer. A second rule must be created on R2 to permit all other traffic.
p The following network policies are implemented on R3:
The 192.168.10.0/24 network is not allowed to communicate to the 192.168.30.0/24

network.
All other access is permitted.
To restrict access from the 192.168.10.0/24 network to the 192.168.30/24 network without
interfering with other traffic, an access list will need to be created on R3. The ACL must placed
on the outbound interface to PC3. A second rule must be created on R3 to permit all other traffic.
Part 2: Configure, Apply, and Verify a Standard ACL
Step 1: Configure and apply a numbered standard ACL on R2.
p Create an ACL using the number 1 on R2 with a statement that denies access to the
192.168.20.0/24 network from the 192.168.11.0/24 network.
R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255
q By default, an access list denies all traffic that does not match a rule. To permit all other traffic,
configure the following statement:
R2(config)# access-list 1 permit any
r For the ACL to actually filter traffic, it must be applied to some router operation. Apply the ACL
by placing it for outbound traffic on the Gigabit Ethernet 0/0 interface.
R2(config)# interface GigabitEthernet0/0

Step 2: Configure and apply a numbered standard ACL on R3.
c. Create an ACL using the number 1 on R3 with a statement that denies access to the
192.168.30.0/24 network from the PC1 (192.168.10.0/24) network.
R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255
d. By default, an ACL denies all traffic that does not match a rule. To permit all other traffic, create
a second rule for ACL 1.
R3(config)# access-list 1 permit any
e. Apply the ACL by placing it for outbound traffic on the Gigabit Ethernet 0/0 interface.
R3(config)# interface GigabitEthernet0/0

Step 3: Verify ACL configuration and functionality.
d. On R2 and R3, enter the show access-list command to verify the ACL configurations. Enter
the show run or show ip interface gigabitethernet 0/0 command to verify the ACL
placements.
e. With the two ACLs in place, network traffic is restricted according to the policies detailed in
Part 1. Use the following tests to verify the ACL implementations:
A ping from 192.168.10.10 to 192.168.11.10 succeeds.
A ping from 192.168.10.10 to 192.168.20.254 succeeds.
A ping from 192.168.11.10 to 192.168.20.254 fails.
 A ping from 192.168.10.10 to 192.168.30.10 fails.
 A ping from 192.168.11.10 to 192.168.30.10 succeeds.
 A ping from 192.168.30.10 to 192.168.20.254 succeeds.

Referencia:
https://www.youtube.com/watch?v=73CvXDn72OY
9.2.1.11 CONFIGURING NAMED STANDARD ACLs.

(ALEXIS PEDROZA)
Packet Tracer - Configuring Named Standard ACLs (Instructor
Version)
Topology
Addressing Table
Device Interface IP Address Subnet Mask Default Gateway
F0/0 192.168.10.1 255.255.255.0 N/A
F0/1 192.168.20.1 255.255.255.0 N/A
R1
E0/0/0 192.168.100.1 255.255.255.0 N/A
E0/1/0 192.168.200.1 255.255.255.0 N/A
File Server NIC 192.168.200.100 255.255.255.0 192.168.200.1
Web Server NIC 192.168.100.100 255.255.255.0 192.168.100.1
PC0 NIC 192.168.20.3 255.255.255.0 192.168.20.1
PC1 NIC 192.168.20.4 255.255.255.0 192.168.20.1
PC2 NIC 192.168.10.3 255.255.255.0 192.168.10.1
Objectives
Part 1: Configure and Apply a Named Standard ACL
Part 2: Verify the ACL Implementation
The senior network administrator has tasked you to create a standard named ACL to prevent
access to a file server. All clients from one network and one specific workstation from a different
network should be denied access.
Packet Tracer - Configuring Named Standard ACLs
Part 1: Configure and Apply a Named Standard ACL
Step 1: Verify connectivity before the ACL is configured and applied.
All three workstations should be able to ping both the Web Server and File Server.
Step 2: Configure a named standard
ACL.
Configure the following named ACL on R1.
R1(config)# ip access-list standard File_Server_Restrictions

R1(config-std-nacl)# deny any
Note: For scoring purposes, the ACL name is case-sensitive.
Step 3: Apply the named ACL.
Apply the ACL outbound on the interface Fast Ethernet 0/1.
R1(config-if)# ip access-group File_Server_Restrictions out

Save the configuration.
Step 1: Verify the ACL configuration and application to the interface.
Use the show access-lists command to verify the ACL configuration. show run or show
Use the interface fastethernet 0/1 command to verify that the ACL is ip to the interface.
applied correctly
Step 2: Verify that the ACL is working properly.
All three workstations should be able to ping the Web Server, but only PC1 should be able to
ping the File Server.
© 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
REFERENCIA
https://www.youtube.com/watch?v=z3VAXzR7v64
Page 2 of 2
9.2.3.3 CONFIGURING AN ACL ON VTY LINES
(EYDER ALEXANDER CORTES)

Packet Tracer - Configuring an ACL on VTY Lines (Instructor Version)
Instructor Note: Red font color or Gray highlights indicate text that
appears in the instructor copy only.
Topology
Addressing Table
Device Interface IP Address Subnet Mask Default Gateway

Router F0/0 10.0.0.254 255.0.0.0 N/A
PC NIC 10.0.0.1 255.0.0.0 10.0.0.254
Laptop NIC 10.0.0.2 255.0.0.0 10.0.0.254
Objectives
Part 1: Configure and Apply an
ACL to VTY Lines Part 2: Verify
the ACL Implementation
Background
As network administrator, you must have remote access to your router. This
access should not be available to other users of the network. Therefore, you will
configure and apply an access control list (ACL) that allows PC access to the
Telnet lines, but denies all other source IP addresses.
Part 1: Configure and Apply an ACL to VTY Lines

Step 1: Verify Telnet access before the ACL is configured.
Both computers should be able to Telnet to the Router. The password is cisco.
Packet Tracer - Configuring an ACL on VTY Lines
Step 2: Configure a
numbered standard ACL.
Configure the following
numbered ACL on Router.
Router(config)# access-list 99 permit host 10.0.0.1
Because we do not want to permit access from any other computers, the
implicit deny property of the access list satisfies our requirements.
Step 3: Place a named standard ACL on the router.

Access to the Router interfaces must be allowed, while Telnet access must
be restricted. Therefore, we must place the ACL on Telnet lines 0 through 4.
From the configuration prompt of Router, enter line configuration mode for
lines 0 – 4 and use the access-class command to apply the ACL to all the
VTY lines:
Router(config)# line vty 0 15
Router(config-line)# access-class 99 in

Step 1: Verify the ACL configuration and application to the VTY lines.
Use the show access-lists to verify the ACL configuration. Use the show run
command to verify the ACL is applied to the VTY lines.
Step 2: Verify that the ACL is working properly.

Both computers should be able to ping the Router, but only PC should be able to
Telnet to it.
9.5.2.6
10.1.2.5 CONFIGURE CDP AND LLDP – ILM.
DESARROLLO DE LA ACTIVIDAD
Topología
Tabla de asignación de direcciones
Dispositiv Máscara de
o Interfaz Dirección IP subred
G0/1 192.168.1.254 255.255.255.0

Gateway 209.165.200.22
S0/0/1 6 255.255.255.252
S0/0/1 209.165.200.22
ISP (DCE) 5 255.255.255.252
Objetivos
Parte 2: Detectar la red con el protocolo CDP
Parte 3: Detectar la red con el protocolo LLDP
Cisco Discovery Protocol (CDP) es un protocolo exclusivo de Cisco para la
detección de redes en la capa de enlace de datos. Puede compartir
información como nombres de dispositivos y versiones de IOS con otros
dispositivos físicamente conectados de Cisco. El Protocolo de detección de
capa de enlace (LLDP) es un protocolo neutral que utiliza la capa de enlace
de datos para la detección de red. Se utiliza principalmente con los
dispositivos de red en la red de área local (LAN). Los dispositivos de red
anuncian información, como las identidades y funcionalidades a sus vecinos.
En esta práctica de laboratorio, debe documentar los puertos conectados a
otros switches mediante los protocolos CDP y LLDP. Usted documentará sus
conclusiones en un diagrama de topología de la red. También activará o
desactivará estos protocolos de detección según sea necesario.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son
routers de servicios integrados (ISR) Cisco de la serie 1941 con Cisco IOS
versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960s con Cisco IOS versión 15.0(2) (imagen lanbasek9). Se
pueden utilizar otros routers, switches y otras versiones de Cisco IOS. Según
el modelo y la versión de Cisco IOS, los comandos disponibles y los
resultados que se obtienen pueden diferir de los que se muestran en las
prácticas de laboratorio. Consulte la tabla Resumen de interfaces de router al
final de esta práctica de laboratorio para obtener los identificadores de
interfaz correctos.
Nota: Asegúrese de que los routers y los switches se hayan borrado y no
tengan configuraciones de inicio. Si no está seguro, consulte al instructor.
Recursos necesarios
• 2 routers (Cisco 1941 con Cisco IOS versión 15.2(4)M3, imagen universal
o similar)
• 3 switches (Cisco 2960 con Cisco IOS versión 15.0(2), imagen lanbasek9
o comparable)
• Cables de consola para configurar los dispositivos con Cisco IOS
mediante los puertos de consola
Parte 1: Armar la red y configurar los ajustes básicos de los

dispositivos
En la parte 1, establecerá la topología de la red y configurará los parámetros
básicos del router y el switch.

Los puertos Ethernet utilizados en los switches no están especificados en la
topología. Puede decidir usar cualquier puerto Ethernet para tender el
cableado de los switches como se muestra en el diagrama de topología.
Paso 2: Iniciar y volver a cargar los dispositivos de red según sea
necesario
No es necesario por que los dispositivos no tienen configuración previa.
Paso 3: Configurar los parámetros básicos de los dispositivos para los

switches
a. Acceda al dispositivo mediante el puerto de la consola e ingrese al modo
EXEC privilegiado
b. Entre al modo de configuración.

c. Deshabilite la búsqueda DNS para evitar que el router intente traducir los
comandos incorrectamente introducidos como si fueran nombres de host.
d. Configure el nombre de host de acuerdo con la topología.

e. Compruebe que los puertos de switch con cables Ethernet conectados
estén activados.
S1
S2
S3
f. Guarde la configuración en ejecución en el archivo de configuración de
inicio.
Configurando los demás dispositivos:

Gateway
S1
S2
S3
Paso 4: Configurar los parámetros básicos de los dispositivos para los

routers
a. Acceda al dispositivo mediante el puerto de la consola e ingrese al modo
EXEC privilegiado.
b. Entre al modo de configuración.
c. Copie y pegue la siguiente configuración en los routers.
ISP:
hostname ISP
no ip domain lookup
ip address 209.165.200.225 255.255.255.252
no shutdown
Gateway:
hostname Gateway
no ip domain lookup
ip address 192.168.1.254 255.255.255.0
ip nat inside
no shutdown
ip address 209.165.200.226 255.255.255.252
ip nat outside
no shutdown
ip nat inside source list 1 interface Serial0/0/1 overload
d. Guarde la configuración en ejecución en el archivo de configuración de
inicio.
Parte 2: Detectar la red con el protocolo CDP

Para los dispositivos Cisco, el CDP está habilitado de manera
predeterminada. Utilizará CDP para detectar los puertos conectados
actualmente.
a. En el gateway de router, introduzca el comando show cdp en el modo
EXEC privilegiado para comprobar que CDP esté activado actualmente
en el gateway de router.
Gateway# show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
¿Con qué frecuencia se envían los paquetes de CDP?
Cada 60 segundos
Si CDP está desactivado en el gateway, active el CDP con la emisión del
comando cdp run en el modo de configuración global.
Gateway(config)# cdp run
Gateway(config)# end
b. Emita el comando show cdp interface para enumerar las interfaces que
participan en los anuncios de CDP.
Gateway# show cdp interface
Embedded-Service-Engine0/0 is administratively down, line protocol is
down
Encapsulation ARPA
Holdtime is 180 seconds
GigabitEthernet0/0 is administratively down, line protocol is down
Encapsulation ARPA
Encapsulation ARPA
Serial0/0/0 is administratively down, line protocol is down
Encapsulation HDLC
Encapsulation HDLC
cdp enabled interfaces : 5

interfaces up :2
interfaces down :3
¿Cuántas interfaces participan en el anuncio de CDP? ¿Qué interfaces

están activas?
5, y las interfaces activas son g0/1 y s0/0/1.
c. Emita el comando show cdp neighbors para determinar los vecinos de
CDP.
Gateway# show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID

ISP Ser 0/0/1 158 R B S I CISCO1941 Ser 0/0/1
S3 Gig 0/1 170 S I WS-C2960- Fas 0/5
d. Para obtener más detalles sobre los vecinos de CDP, emita el comando
show cdp neighbors detail.
Gateway# show cdp neighbors detail
-------------------------
Device ID: ISP
Entry address(es):
IP address: 209.165.200.225
Platform: Cisco CISCO1941/K9, Capabilities: Router Source-Route-
Bridge Switch IGMP
Interface: Serial0/0/1, Port ID (outgoing port): Serial0/0/1
Holdtime : 143 sec
Version :
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version
15.4(3)M2, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Fri 06-Jan-15 17:01 by prod_rel_team
advertisement version: 2
Management address(es):
IP address: 209.165.200.225
-------------------------
Device ID: S3
Entry address(es):
Platform: cisco WS-C2960-24TT-L, Capabilities: Switch IGMP
Interface: GigabitEthernet0/1, Port ID (outgoing port): FastEthernet0/5
Holdtime : 158 sec
Version :
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version
15.0(2)SE7, RELEASE SOFTWARE (fc1)
Compiled Thu 23-Oct-14 14:49 by prod_rel_team
Protocol Hello: OUI=0x00000C, Protocol ID=0x0112; payload len=27,
value=00000000FFFFFFFF010221FF0000000000000CD996E87400FF
0000
VTP Management Domain: ''
Native VLAN: 1
Duplex: full
e. ¿Qué se puede concluir de ISP y S3 a partir de los resultados del comando
show cdp neighbors detail?
El resultado muestra la versión del IOS, el modelo del dispositivo y la
dirección IP en la interfaz S0/0/1 para ISP. En S3, el resultado muestra la
información, como la versión del IOS, el dominio de administración VTP y
la VLAN nativa, dúplex.
f. Configure la SVI en S3. Utilice una dirección IP disponible en la red

192.168.1.0/24. Configure 192.168.1.254 como gateway predeterminado.
S3(config-if)# ip address 192.168.1.3 255.255.255.0
S3(config-if)# exit
S3(config)# ip default-gateway 192.168.1.254
g. Emita el comando show cdp neighbors detail en el gateway. ¿Qué
información adicional disponible existe?
El resultado incluye la dirección IP para la SVI en S3 recientemente
configurada.
Gateway# show cdp neighbors detail | begin S3
Device ID: S3
Entry address(es):
IP address: 192.168.1.3
Platform: cisco WS-C2960-24TT-L, Capabilities: Switch IGMP
Interface: GigabitEthernet0/1, Port ID (outgoing port): FastEthernet0/5
Holdtime : 163 sec
Version :
Protocol Hello: OUI=0x00000C, Protocol ID=0x0112; payload len=27,
value=00000000FFFFFFFF010221FF0000000000000CD996E87400FF
0000
VTP Management Domain: ''
Native VLAN: 1
Duplex: full
Management address(es):
IP address: 192.168.1.3
Total cdp entries displayed : 2

h. Por motivos de seguridad, se recomienda desactivar el CDP en una
interfaz orientada hacia una red externa. Emita no cdp enable en el modo
de configuración de interfaz de la interfaz S0/0/1 en el gateway.
Gateway(config)# interface s0/0/1
Gateway(config-if)# no cdp enable
Gateway(config-if)# end
Para comprobar que el CDP se haya desactivado en la interfaz S0/0/1,

emita el comando show cdp neighbors o show cdp interface. Es
posible que deba esperar que el tiempo de espera caduque. El tiempo de
espera es la cantidad de tiempo que los dispositivos de red mantendrán
los paquetes del CDP hasta que los dispositivos los descarten.
Gateway# show cdp neighbors

S3 Gig 0/1 161 S I WS-C2960- Fas 0/5
La interfaz S0/0/1 en el gateway ya no tiene una adyacencia del CDP con

el router ISP. Pero aún tiene adyacencias del CDP con otras interfaces.
Gateway# show cdp interface
Embedded-Service-Engine0/0 is administratively down, line protocol is
down
Encapsulation ARPA
GigabitEthernet0/0 is administratively down, line protocol is down
Encapsulation ARPA
Encapsulation ARPA
Serial0/0/0 is administratively down, line protocol is down
Encapsulation HDLC
cdp enabled interfaces : 4

interfaces up :1
interfaces down :3
i. Para desactivar el CDP globalmente, emita el comando no cdp run en el
modo de configuración global.
Gateway# conf t
Gateway(config)# no cdp run
Gateway(config)# end
¿Qué comandos usaría para comprobar que se haya desactivado el

CDP?
show cdp, show cdp neighbors, show cdp neighbors detail o show cdp
interface
j. Active el CDP globalmente en el gateway. ¿Cuántas interfaces están
activadas para CDP? ¿Qué interfaces están desactivadas para CDP?
Cuatro activas para CDP y la interfaz s0/0/1 esta inactiva para CDP.
k. Acceda al los switches mediante el puerto de la consola y utilice los

comandos del CDP para determinar los puertos Ethernet conectados a
otros dispositivos. A continuación se muestra un ejemplo de los comandos
de CDP para S3.
S3# show cdp neighbors

Gateway Fas 0/5 143 R B S I CISCO1941 Gig 0/1
S2 Fas 0/2 173 S I WS-C2960- Fas 0/4
S1 Fas 0/4 171 S I WS-C2960- Fas 0/4
Parte 3: Detectar la red con el protocolo LLDP
En dispositivos de Cisco, LLDP puede estar activado de manera
predeterminada. Utilizará LLDP para detectar los puertos conectados
actualmente.
a. En el gateway, introduzca el comando show lldp en el modo EXEC
privilegiado.
Gateway# show lldp
% LLDP is not enabled
Si se desactiva LLDP, introduzca el comando lldp run en el modo de

configuración global.
Gateway(config)# lldp run
b. Utilice el comando show lldp para comprobar que el LLDP esté activado
en el gateway.
Gateway# show lldp
Global LLDP Information:

Status: ACTIVE
LLDP advertisements are sent every 30 seconds
LLDP hold time advertised is 120 seconds
LLDP interface reinitialisation delay is 2 seconds
Emita el comando show lldp neighbors. ¿Qué dispositivos son vecinos

al gateway?
No hay vecinos.
c. Si no hay vecinos de LLDP para el gateway, active el LLDP en los
switches. Emita lldp run en el modo de configuración global en los
dispositivos.
S1(config)# lldp run
d. Emita el comando show lldp neighbors en los switches y el router para

enumerar los puertos activados para el LLDP. El resultado para el
gateway se muestra a continuación.
Gateway# show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID

S3 Gi0/1 120 B Fa0/5
Total entries displayed: 1

e. Emita el comando show lldp neighbors detail en el gateway.
Gateway# show lldp neighbors detail
------------------------------------------------
Local Intf: Gi0/1
Chassis id: 0cd9.96e8.7400
Port id: Fa0/5
Port Description: FastEthernet0/5
System Name: S3
System Description:
Time remaining: 103 seconds

System Capabilities: B
Enabled Capabilities: B
Management Addresses:
IP: 192.168.1.3
Auto Negotiation - supported, enabled
Physical media capabilities:
100base-TX(FD)
100base-TX(HD)
10base-T(FD)
10base-T(HD)
Media Attachment Unit type: 16
Vlan ID: 1
Total entries displayed: 1
¿Qué puerto se utiliza en S3 para conectarse al router de gateway?

G0/1
f. Utilice los resultados del comando show del CDP y del LLDP para
documentar los puertos conectados en la topología de la red.
Reflexión
Dentro de una red, ¿en qué las interfaces no debe utilizar los protocolos de
detección? Explique.
Los protocolos de detección no deben utilizarse en las interfaces orientadas
a redes externas porque dichos protocolos proporcionan perspectivas sobre
la red interna. Esta información permite que los atacantes obtengan
información valiosa sobre la red interna y saquen provecho de la red.
Modelo de Interfaz Ethernet Interfaz Ethernet Interfaz serial 1 Interfaz serial 2

router 1 2
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
(F0/0) (F0/1) (S0/0/0) (S0/0/1)
1900 Gigabit Ethernet Gigabit Ethernet Serial 0/0/0 Serial 0/0/1
0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
(F0/0) (F0/1) (S0/1/0) (S0/1/1)
(F0/0) (F0/1) (S0/0/0) (S0/0/1)
0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
Nota: Para conocer la configuración del router, observe las interfaces a fin de identificar el tipo
de router y cuántas interfaces tiene. No existe una forma eficaz de hacer una lista de todas las
combinaciones de configuraciones para cada clase de router. En esta tabla se incluyen los
identificadores para las posibles combinaciones de interfaces Ethernet y seriales en el
dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber
interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena
entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de Cisco IOS
10.2.3.6 CONFIGURACION DE SYSLOG Y NTP.
(ALEXIS PEDROZA) (PACKET TRACER)
Práctica de laboratorio: configuración de syslog y NTP

Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que
aparece en la copia del instructor solamente.
Topología
Máscara de Gateway
R1 S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/D

R2 S0/0/0 10.1.1.2 255.255.255.252 N/D
G0/0 172.16.2.1 255.255.255.0 N/D
PC-B NIC 172.16.2.3 255.255.255.0 172.16.2.1
Objetivos
Parte 2: configurar NTP
Parte 3: Configurar Syslog
Los mensajes de syslog que generan los dispositivos de red se pueden recopilar y archivar
en un servidor de syslog. La información se puede utilizar para fines de control, depuración
y resolución de problemas. El administrador puede controlar dónde se almacenan y se
muestran los mensajes. Los mensajes de syslog se pueden marcar con la hora para
analizar la secuencia de eventos de red; por lo tanto, es importante sincronizar el reloj a
través de los dispositivos de red con un servidor de protocolo NTP.
En esta práctica de laboratorio, configurará el R1 como servidor NTP y el R2 como cliente
syslog y NTP. La aplicación de servidor syslog, como Tftp32d u otro programa similar, se
ejecutará en la PC-B. Además, usted controlará el nivel de gravedad de los mensajes de
registro que se recopilan y se archivan en el servidor de syslog.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de
servicios integrados (ISR) Cisco de la serie 1941 con Cisco IOS versión 15.2(4)M3 (imagen
universalk9). Se pueden utilizar otros routers y otras versiones de Cisco IOS. Según el
modelo y la versión de Cisco IOS, los comandos disponibles y los resultados que se
obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la
tabla de resumen de interfaces del router que figura al final de esta práctica de laboratorio
Nota: Asegúrese de que los routers se hayan borrado y no tengan configuraciones de
inicio. Si no está seguro, consulte al instructor.
Nota para el instructor: Consulte el Manual de prácticas de laboratorio para el instructor a
fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios
• 1 computadora (Windows 7, Vista o XP, con un programa de emulación de terminal,
como Tera Term, y software de Syslog, como tftpd32)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos
de consola

En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como
las direcciones IP de las interfaces, el routing, el acceso a los dispositivos y las
contraseñas.
Paso 2: Inicializar y volver a cargar los routers según sea necesario

b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en
el router.
no ip domain-lookup
enable secret class
banner motd #
línea con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
hostname
d. Aplique las direcciones IP a las interfaces Serial y Gigabit Ethernet según la tabla de
direccionamiento y active las interfaces físicas.
Int s0/0/0
Ip address
No shutdown
Int g0/0
Ip address
No shutdown
e. Establezca la frecuencia de reloj en 128000 para la interfaz serial DCE.
Clock rate 128000
Paso 4:
Paso 5: Configurar el enrutamiento

Habilitar el RIPv2 en los routers. Agregue todas las redes al proceso de RIPv2.
En R1
Router rip
Versión 2
No auto-summary
Do show ip route connected
Network 10.1.1.0
En R2
Router rip
Version 2
No auto-summary
Network 10.1.1.0
Network 172.16.2.0
Passive -interface g0/0
Paso 6: Configurar la PC-B

Configure la dirección IP y el gateway predeterminado para la PC-B según la tabla de
direccionamiento.
Paso 7: Verificar la conectividad de extremo a extremo
Verifique que cada dispositivo pueda hacer ping a todos los demás dispositivos en la red
correctamente. De lo contrario, lleve a cabo la resolución de problemas hasta que haya
conectividad de extremo a extremo.
Paso 8: Guardar la configuración en ejecución en la configuración de inicio
Parte 28. Configurar NTP

En la parte 2, configurará el R1 como servidor NTP y el R2 como cliente NTP del R1. La
sincronización del tiempo es importante para las funciones de syslog y de depuración. Si no
se sincroniza el tiempo, es difícil determinar qué evento de red causó el mensaje.
Paso 1: Mostrar la hora actual
Emita el comando show clock para mostrar la hora actual en el R1.
R1# show clock
*12:30:06.147 UTC Tue May 14 2013
En la siguiente tabla, registre la información relacionada con la hora actual que se muestra.
Fecha Lunes 1 de marzo 1993

Tiempo 2:15:6.615
Zona horaria UTC
Paso 2: Establecer la hora

Utilice el comando clock set para configurar la hora en el R1. El siguiente es un ejemplo de
configuración de la fecha y la hora.
R1# clock set 9:39:00 05 july 2013
R1#
*Jul 5 09:39:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated
from 12:30:54 UTC Tue May 14 2013 to 09:39:00 UTC Fri Jul 5 2013,
configured from console by console.
Nota: La hora también se puede configurar mediante el comando clock timezone del
modo de configuración global. Para obtener más información sobre este comando,
investigue el comando clock timezone en www.cisco.com a fin de determinar la zona de
su región.
Paso 3: Configurar el maestro NTP

Configure el R1 como maestro NTP mediante el comando ntp master número-capa del
modo de configuración global. El número de capa indica a cuántos saltos NTP se
encuentra un origen de hora autoritativo. En esta práctica de laboratorio, el nivel de capa
de este servidor NTP es el número 5.
R1(config)# ntp master 5
Paso 4: Configurar el cliente NTP

a. Emita el comando show clock en el R2. En la siguiente tabla, registre la hora actual
que se muestra en el R2.
Fecha Mon Mar 1 1993

Tiempo 2:24:0.864
Zona horaria UTC
b. Configure el R2 como cliente NTP. Utilice el comando ntp server para señalar a la
dirección IP o al nombre de host del servidor NTP. El comando ntp update-calendar
actualiza el calendario periódicamente con la hora de NTP.
R2(config)# ntp server 10.1.1.1
R2(config)# ntp update-calendar
Paso 5: Verificar la configuración NTP

a. Utilice el comando show ntp associations para verificar que el R2 tenga una
asociación NTP con el R1.
R2# show ntp associations
address ref clock st when poll reach delay offset

disp
*~10.1.1.1 127.127.1.1 5 11 64 177 11.312 -0.018
4.298
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~
configured
b. Emita el comando show clock en el R1 y el R2 para comparar la marca de hora.

Nota: es posible que la sincronización de la marca de hora del R2 con la del R1
demore unos minutos.
R1# show clock
09:43:32.799 UTC Fri Jul 5 2013
R2# show clock
09:43:37.122 UTC Fri Jul 5 2013
Parte 29. Configurar syslog

Los mensajes de syslog de los dispositivos de red se pueden recopilar y archivar en un
servidor de syslog. En esta práctica de laboratorio, se utilizará Tftpd32 como software de
servidor de syslog. El administrador de red puede controlar los tipos de mensajes que se
pueden enviar al servidor de syslog.
Paso 1: (Optativo) Instalar el servidor de syslog.
Si todavía no se instaló un servidor de syslog en la computadora, descargue e instale la
versión más reciente de un servidor de syslog, como Tftpd32, en la computadora. La
versión más reciente de Tftpd32 se puede encontrar en el siguiente enlace:
http://tftpd32.jounin.net/
Paso 2: Iniciar el servidor de syslog en la PC-B.

Después de iniciar la aplicación Tftpd32, haga clic en la ficha Syslog server (Servidor de
syslog).
Paso 3: Verificar que el servicio de marca horaria esté habilitado en el R2

Utilice el comando show run para verificar que el servicio de marca horaria esté habilitado
para el registro en el R2.
R2# show run | include timestamp
Si el servicio de marca horaria no está habilitado, utilice el siguiente comando para

habilitarlo.
R2(config)# service timestamps log datetime msec
Paso 4: Configurar el R2 para registrar mensajes en el servidor de Syslog.

Configure R2 para enviar mensajes Syslog al servidor syslog, la PC-B. La dirección IP del
servidor de syslog PC-B es 172.16.2.3.
R2 (config) # logging host 172.16.2.3
Paso 5: Mostrar la configuración de registro predeterminada

Utilice el comando show logging para mostrar la configuración de registro predeterminada.
R2# show logging
Syslog logging: enabled (0 messages dropped, 2 messages rate-limited, 0
flushes, 0 overruns, xml disabled, filtering disabled)
No Active Message Discriminator.
No Inactive Message Discriminator.
Console logging: level debugging, 47 messages logged, xml disabled,

filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: level debugging, 47 messages logged, xml disabled,
filtering disabled
Exception Logging: size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
No active filter modules.
Trap logging: level informational, 49 message lines logged

Logging to 172.16.2.3 (udp port 514, audit disabled,
link up),
6 message lines logged,
0 message lines rate-limited,
0 message lines dropped-by-MD,
xml disabled, sequence number disabled
filtering disabled
Logging Source-Interface: VRF Name:
¿Cuál es la dirección IP del servidor de syslog? __________172.16.2.3

__________________ 172.16.2.3
¿Qué protocolo y qué puerto usa syslog? _________udp port
514_____________________ Puerto UDP 514
¿En qué nivel se encuentra habilitado el registro de traps? _______level
informational______ Informativo
Paso 6: Configurar y observar el efecto de registrar los niveles de gravedad en

el R2.
a. Utilice el comando logging trap ? para determinar la disponibilidad de los distintos
niveles de trap. Al configurar un nivel, los mensajes que se envían al servidor de syslog
son del nivel de trap configurado y de cualquier nivel más bajo.
R2(config)# logging trap ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencias No se puede utilizar el sistema
(severidad=0)
errores Situaciones de error (severidad=3)
informativo Mensajes informativos (severidad=6)
notificaciones Situaciones significativas pero normales (severidad=5)
advertencias Situaciones de advertencia (severidad=4)
<cr>
Si se emitió el comando logging trap warnings, ¿cuáles son los niveles de seguridad
de mensajes que se registran?
_____________________________________________________________________
_______________
Advertencias (nivel 4) errores (nivel 3), crítico (nivel 2), alertas (nivel 1), y emergencia
(nivel 0)
b. Cambie el nivel de gravedad de registro a 4.

R2(config)# logging trap warnings
o
R2(config)# logging trap 4
c. Cree la interfaz Loopback0 en el R2 y observe los mensajes de registro en la ventana
de la terminal y en la ventana del servidor de syslog en la PC-B.
R2(config)# interface lo 0
R2(config-if)#
Jul 5 09:57:47.162: %LINK-3-UPDOWN: Interface Loopback0, changed state
to up
Jul 5 09:57:48.162: %LINEPROTO-5-UPDOWN: Line protocol on Interface
Loopback0, changed state to up
d. Elimine la interfaz Loopback0 del R2 y observe los mensajes de registro.
R2(config-if)# no interface lo 0
R2(config)#
Jul 5 10:02:58.910: %LINK-5-CHANGED: Interface Loopback0, changed state
to administratively down
Loopback0, changed state to down
En el nivel de gravedad 4, ¿hay algún mensaje de registro en el servidor de syslog? Si
apareció algún mensaje de registro, explique qué apareció y por qué.
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
Hubo un mensaje de registro de advertencia resumido que indicaba un cambio en el
estado de la interfaz. La incorporación de la interfaz no fue suficiente para activar y
enviar mensajes informativos más detallados al servidor de syslog en el nivel 4.
e. Cambie el nivel de gravedad de registro a 6.
R2(config)# logging trap informational
o
f. Borre las entradas de syslog en la PC-B. Haga clic en Clear en el cuadro de diálogo
Tftpd32.
g. Cree la interfaz Loopback 1 en el R2.

to up
h. Elimine la interfaz Loopback 1 del R2.
R2(config-if)#
i. Observe el resultado del servidor de syslog. Compare este resultado con los resultados
del nivel de trap 4. ¿Cuál es su observación?
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
Se atraparon más mensajes de registro cuando se estableció la gravedad en 6
(informativa) que cuando se estableció en 4 (advertencias).
Reflexión
¿Cuál es el problema de configurar un nivel de gravedad demasiado alto (el número más
bajo) o demasiado bajo (el número de nivel más alto) para syslog?
_________________________________________________________________________
______________
_________________________________________________________________________
______________
_________________________________________________________________________
______________
Cuando se establece un nivel de gravedad demasiado alto (el número más bajo), pueden
faltar mensajes importantes pero no fundamentales en el registro generado. Sin embargo,
una configuración demasiado baja (el número de nivel más alto), puede generar
demasiadas entradas y llenar los registros con información innecesaria.
Referencia:
https://www.youtube.com/watch?v=AzwQ_SZthIo
https://www.youtube.com/watch?v=doaemyAc2v4
https://www.youtube.com/watch?v=8mtYmrff-7c

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Router R1
R1#show run

!
versión 15.2
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
no ipv6 cef
!
!
redundancy
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.1 255.255.255.252
clock rate 128000
!
no ip address
shutdown
!
router rip
versión 2
network 10.1.1.0
!
!
no ip http server
!
control-plane
!
banner motd ^CUnauthorized access is prohibited.^C
!
línea con 0
password 7 110A1016141D
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password 7 01100F175804
login
transport input all
!
ntp master 5
!
End
R1#show run

!
version 15.1
!
hostname R1
!
!
no ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX1524K09G-
!
no ip domain-lookup
!
!
no ip address
duplex auto
speed auto
shutdown
!
no ip address
duplex auto
speed auto
shutdown
!
ip address 10.1.1.1 255.255.255.252
clock rate 128000
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
network 10.1.1.0 0.0.0.3 area 0
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
ip classless
!
!
line con 0
logging synchronous
login
!
line aux 0
!
line vty 0 4
login
!
!
ntp master 5
!
end
Router R2
!
versión 15.2
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
no ipv6 cef
!
!
redundancy
!
no ip address
shutdown
!
ip address 172.16.2.1 255.255.255.0
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
!
no ip address
shutdown
clock rate 2000000
!
router rip
versión 2
network 10.1.1.0
network 172.16.2.0
!
!
no ip http server
!
logging host 172.16.2.3
!
control-plane
!
!
línea con 0
password 7 121A0C041104
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password 7 01100F175804
login
transport input all
!
ntp update-calendar
ntp server 10.1.1.1
!
End
R2#show run

!
version 15.1
!
hostname R2
!
!
no ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX1524UF93-
!
no ip domain-lookup
!
!
ip address 172.16.2.1 255.255.255.0
duplex auto
speed auto
!
no ip address
duplex auto
speed auto
shutdown
!
ip address 10.1.1.2 255.255.255.252
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 172.16.2.0 0.0.0.255 area 0
!
router rip
version 2
passive-interface GigabitEthernet0/0
network 10.0.0.0
network 172.16.0.0
no auto-summary
!
ip classless
!
!
banner motd ^CUnauthorized access is strictly prohibited^C
!
logging 172.16.2.3
line con 0
password cisco
logging synchronous
login
!
line aux 0
!
line vty 0 4
password cisco
login
!
ntp server 10.1.1.1
ntp update-calendar
!
End
10.2.3.6.1 CONFIGURACION DE SYSLOG Y NTP. (GNS3).
(ALEXIS PEDROZA)
Práctica de laboratorio: configuración de syslog y NTP

Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que
aparece en la copia del instructor solamente.
Topología
Máscara de Gateway
R1 S0/0/0 (DCE) 10.1.1.1 255.255.255.252 N/D

R2 S0/0/0 10.1.1.2 255.255.255.252 N/D
G0/0 172.16.2.1 255.255.255.0 N/D
PC-B NIC 172.16.2.3 255.255.255.0 172.16.2.1
Objetivos
Parte 2: configurar NTP
Parte 3: Configurar Syslog
Los mensajes de syslog que generan los dispositivos de red se pueden recopilar y archivar
en un servidor de syslog. La información se puede utilizar para fines de control, depuración
y resolución de problemas. El administrador puede controlar dónde se almacenan y se
muestran los mensajes. Los mensajes de syslog se pueden marcar con la hora para
analizar la secuencia de eventos de red; por lo tanto, es importante sincronizar el reloj a
través de los dispositivos de red con un servidor de protocolo NTP.
En esta práctica de laboratorio, configurará el R1 como servidor NTP y el R2 como cliente
syslog y NTP. La aplicación de servidor syslog, como Tftp32d u otro programa similar, se
ejecutará en la PC-B. Además, usted controlará el nivel de gravedad de los mensajes de
registro que se recopilan y se archivan en el servidor de syslog.
Nota: Los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de
servicios integrados (ISR) Cisco de la serie 1941 con Cisco IOS versión 15.2(4)M3 (imagen
universalk9). Se pueden utilizar otros routers y otras versiones de Cisco IOS. Según el
modelo y la versión de Cisco IOS, los comandos disponibles y los resultados que se
obtienen pueden diferir de los que se muestran en las prácticas de laboratorio. Consulte la
tabla de resumen de interfaces del router que figura al final de esta práctica de laboratorio
Nota: Asegúrese de que los routers se hayan borrado y no tengan configuraciones de
inicio. Si no está seguro, consulte al instructor.
Nota para el instructor: Consulte el Manual de prácticas de laboratorio para el instructor a
fin de conocer los procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios
• 1 computadora (Windows 7, Vista o XP, con un programa de emulación de terminal,
como Tera Term, y software de Syslog, como tftpd32)
• Cables de consola para configurar los dispositivos con Cisco IOS mediante los puertos
de consola

En la parte 1, establecerá la topología de la red y configurará los parámetros básicos, como
las direcciones IP de las interfaces, el routing, el acceso a los dispositivos y las
contraseñas.
Paso 2: Inicializar y volver a cargar los routers según sea necesario

b. Copie la siguiente configuración básica y péguela en la configuración en ejecución en
el router.
no ip domain-lookup
enable secret class
banner motd #
line con 0
password cisco
login
logging synchronous
line vty 0 4
password cisco
login
hostname
d. Aplique las direcciones IP a las interfaces Serial y Gigabit Ethernet según la tabla de
direccionamiento y active las interfaces físicas.
Int s0/0/0
Ip address
No shutdown
Int g0/0
Ip address
No shutdown
e. Establezca la frecuencia de reloj en 128000 para la interfaz serial DCE.
Clock rate 128000
Paso 4:
Paso 5: Configurar el enrutamiento

Habilitar el RIPv2 en los routers. Agregue todas las redes al proceso de RIPv2.
En R1
Router rip
Versión 2
No auto-summary
Network 10.1.1.0
En R2
Router rip
Version 2
No auto-summary
Network 10.1.1.0
Network 172.16.2.0
Passive -interface g0/0
EN R1
EN R2
Paso 6: Configurar la PC-B
Configure la dirección IP y el gateway predeterminado para la PC-B según la tabla de
direccionamiento.
Gns3
Ip 172.16.2.3/24 172.16.2.1
Paso 7: Verificar la conectividad de extremo a extremo

Verifique que cada dispositivo pueda hacer ping a todos los demás dispositivos en la red
correctamente. De lo contrario, lleve a cabo la resolución de problemas hasta que haya
conectividad de extremo a extremo.
EN PC-B
EN R1
EN R2
Paso 8: Guardar la configuración en ejecución en la configuración de inicio

EN R1
EN R2
Parte 31. Configurar NTP

En la parte 2, configurará el R1 como servidor NTP y el R2 como cliente NTP del R1. La
sincronización del tiempo es importante para las funciones de syslog y de depuración. Si no
se sincroniza el tiempo, es difícil determinar qué evento de red causó el mensaje.
Paso 1: Mostrar la hora actual

Emita el comando show clock para mostrar la hora actual en el R1.
R1# show clock
*12:30:06.147 UTC Tue May 14 2013
En la siguiente tabla, registre la información relacionada con la hora actual que se muestra.
Fecha Tue Nov 12 2019

Tiempo 13:44:34.963
Zona horaria UTC
Paso 2: Establecer la hora

Utilice el comando clock set para configurar la hora en el R1. El siguiente es un ejemplo de
configuración de la fecha y la hora.
R1# clock set 9:39:00 05 july 2013
R1#
*Jul 5 09:39:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated
from 12:30:54 UTC Tue May 14 2013 to 09:39:00 UTC Fri Jul 5 2013,
configured from console by console.
Nota: La hora también se puede configurar mediante el comando clock timezone del
modo de configuración global. Para obtener más información sobre este comando,
investigue el comando clock timezone en www.cisco.com a fin de determinar la zona de
su región.
Paso 3: Configurar el maestro NTP

Configure el R1 como maestro NTP mediante el comando ntp master número-capa del
modo de configuración global. El número de capa indica a cuántos saltos NTP se
encuentra un origen de hora autoritativo. En esta práctica de laboratorio, el nivel de capa
de este servidor NTP es el número 5.
R1(config)# ntp master 5
Paso 4: Configurar el cliente NTP

a. Emita el comando show clock en el R2. En la siguiente tabla, registre la hora actual
que se muestra en el R2.
Fecha Tue Nov 12 2019

Tiempo *13:49:52.295
Zona horaria UTC
b. Configure el R2 como cliente NTP. Utilice el comando ntp server para señalar a la
dirección IP o al nombre de host del servidor NTP. El comando ntp update-calendar
actualiza el calendario periódicamente con la hora de NTP.
R2(config)# ntp server 10.1.1.1
R2(config)# ntp update-calendar
Paso 5: Verificar la configuración NTP
a. Utilice el comando show ntp associations para verificar que el R2 tenga una
asociación NTP con el R1.
R2# show ntp associations
address ref clock st when poll reach delay offset

disp
*~10.1.1.1 127.127.1.1 5 11 64 177 11.312 -0.018
4.298
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~
configured
b. Emita el comando show clock en el R1 y el R2 para comparar la marca de hora.

Nota: es posible que la sincronización de la marca de hora del R2 con la del R1
demore unos minutos.
R1# show clock
09:43:32.799 UTC Fri Jul 5 2013
R2# show clock
09:43:37.122 UTC Fri Jul 5 2013
Parte 32. Configurar syslog

Los mensajes de syslog de los dispositivos de red se pueden recopilar y archivar en un
servidor de syslog. En esta práctica de laboratorio, se utilizará Tftpd32 como software de
servidor de syslog. El administrador de red puede controlar los tipos de mensajes que se
pueden enviar al servidor de syslog.
Paso 1: (Optativo) Instalar el servidor de syslog.

Si todavía no se instaló un servidor de syslog en la computadora, descargue e instale la
versión más reciente de un servidor de syslog, como Tftpd32, en la computadora. La
versión más reciente de Tftpd32 se puede encontrar en el siguiente enlace:
http://tftpd32.jounin.net/
Paso 2: Iniciar el servidor de syslog en la PC-B.

Después de iniciar la aplicación Tftpd32, haga clic en la ficha Syslog server (Servidor de
syslog).
Paso 3: Verificar que el servicio de marca horaria esté habilitado en el R2
Utilice el comando show run para verificar que el servicio de marca horaria esté habilitado
para el registro en el R2.
R2# show run | include timestamp
Si el servicio de marca horaria no está habilitado, utilice el siguiente comando para

habilitarlo.
R2(config)# service timestamps log datetime msec
Paso 4: Configurar el R2 para registrar mensajes en el servidor de Syslog.

Configure R2 para enviar mensajes Syslog al servidor syslog, la PC-B. La dirección IP del
servidor de syslog PC-B es 172.16.2.3.
R2 (config) # logging host 172.16.2.3
Paso 5: Mostrar la configuración de registro predeterminada

Utilice el comando show logging para mostrar la configuración de registro predeterminada.
R2# show logging
Syslog logging: enabled (0 messages dropped, 2 messages rate-limited, 0
flushes, 0 overruns, xml disabled, filtering disabled)
No Active Message Discriminator.
No Inactive Message Discriminator.
Console logging: level debugging, 47 messages logged, xml disabled,

filtering disabled
Monitor logging: level debugging, 0 messages logged, xml disabled,
filtering disabled
Buffer logging: level debugging, 47 messages logged, xml disabled,
filtering disabled
Exception Logging: size (4096 bytes)
Count and timestamp logging messages: disabled
Persistent logging: disabled
No active filter modules.
Trap logging: level informational, 49 message lines logged

Logging to 172.16.2.3 (udp port 514, audit disabled,
link up),
6 message lines logged,
0 message lines rate-limited,
0 message lines dropped-by-MD,
xml disabled, sequence number disabled
filtering disabled
Logging Source-Interface: VRF Name:
¿Cuál es la dirección IP del servidor de syslog? __________172.16.2.3

__________________ 172.16.2.3
¿Qué protocolo y qué puerto usa syslog? _________udp port
514_____________________ Puerto UDP 514
¿En qué nivel se encuentra habilitado el registro de traps? _______level
informational______ Informativo
Paso 6: Configurar y observar el efecto de registrar los niveles de gravedad en
el R2.
a. Utilice el comando logging trap ? para determinar la disponibilidad de los distintos
niveles de trap. Al configurar un nivel, los mensajes que se envían al servidor de syslog
son del nivel de trap configurado y de cualquier nivel más bajo.
R2(config)# logging trap ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencias No se puede utilizar el sistema
(severidad=0)
errores Situaciones de error (severidad=3)
informativo Mensajes informativos (severidad=6)
notificaciones Situaciones significativas pero normales (severidad=5)
advertencias Situaciones de advertencia (severidad=4)
<cr>
Si se emitió el comando logging trap warnings, ¿cuáles son los niveles de seguridad
de mensajes que se registran?
_____________________________________________________________________
_______________
Advertencias (nivel 4) errores (nivel 3), crítico (nivel 2), alertas (nivel 1), y emergencia
(nivel 0)
b. Cambie el nivel de gravedad de registro a 4.

R2(config)# logging trap warnings
c. Cree la interfaz Loopback0 en el R2 y observe los mensajes de registro en la ventana

de la terminal y en la ventana del servidor de syslog en la PC-B.
R2(config-if)#
to up
d. Elimine la interfaz Loopback0 del R2 y observe los mensajes de registro.
R2(config)#
En el nivel de gravedad 4, ¿hay algún mensaje de registro en el servidor de syslog? Si
apareció algún mensaje de registro, explique qué apareció y por qué.
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
_____________________________________________________________________
_______________
Hubo un mensaje de registro de advertencia resumido que indicaba un cambio en el
estado de la interfaz. La incorporación de la interfaz no fue suficiente para activar y
enviar mensajes informativos más detallados al servidor de syslog en el nivel 4.
e. Cambie el nivel de gravedad de registro a 6.
R2(config)# logging trap informational
f. Borre las entradas de syslog en la PC-B. Haga clic en Clear en el cuadro de diálogo
Tftpd32.
g. Cree la interfaz Loopback 1 en el R2.
to up
h. Elimine la interfaz Loopback 1 del R2.
R2(config-if)#
i. Observe el resultado del servidor de syslog. Compare este resultado con los resultados
del nivel de trap 4. ¿Cuál es su observación?
_____________________________________________________________________
_______________
Se atraparon más mensajes de registro cuando se estableció la gravedad en 6
(informativa) que cuando se estableció en 4 (advertencias).
Reflexión
¿Cuál es el problema de configurar un nivel de gravedad demasiado alto (el número más
bajo) o demasiado bajo (el número de nivel más alto) para syslog?
Cuando se establece un nivel de gravedad demasiado alto (el número más bajo), pueden
faltar mensajes importantes pero no fundamentales en el registro generado. Sin embargo,
una configuración demasiado baja (el número de nivel más alto), puede generar
demasiadas entradas y llenar los registros con información innecesaria.
Referencia:
https://www.youtube.com/watch?v=AzwQ_SZthIo
https://www.youtube.com/watch?v=doaemyAc2v4
https://www.youtube.com/watch?v=8mtYmrff-7c

router
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Router R1
R1#show run

!
versión 15.2
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
no ipv6 cef
!
!
redundancy
!
no ip address
shutdown
!
no ip address
shutdown
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.1 255.255.255.252
clock rate 128000
!
no ip address
shutdown
!
router rip
versión 2
network 10.1.1.0
!
!
no ip http server
!
control-plane
!
!
línea con 0
password 7 110A1016141D
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password 7 01100F175804
login
transport input all
!
ntp master 5
!
End
R1#show run

!
version 15.1
!
hostname R1
!
!
no ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX1524K09G-
!
no ip domain-lookup
!
!
no ip address
duplex auto
speed auto
shutdown
!
no ip address
duplex auto
speed auto
shutdown
!
ip address 10.1.1.1 255.255.255.252
clock rate 128000
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
!
router rip
version 2
network 10.0.0.0
no auto-summary
!
ip classless
!
!
line con 0
logging synchronous
login
!
line aux 0
!
line vty 0 4
login
!
!
ntp master 5
!
end
Router R2
!
versión 15.2
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
ip cef
!
no ip domain lookup
no ipv6 cef
!
!
redundancy
!
no ip address
shutdown
!
ip address 172.16.2.1 255.255.255.0
duplex auto
speed auto
!
no ip address
shutdown
duplex auto
speed auto
!
ip address 10.1.1.2 255.255.255.252
!
no ip address
shutdown
clock rate 2000000
!
router rip
versión 2
network 10.1.1.0
network 172.16.2.0
!
!
no ip http server
!
logging host 172.16.2.3
!
control-plane
!
!
línea con 0
password 7 121A0C041104
logging synchronous
login
line aux 0
line 2
no exec
transport input all
stopbits 1
line vty 0 4
password 7 01100F175804
login
transport input all
!
ntp update-calendar
ntp server 10.1.1.1
!
End
R2#show run

!
version 15.1
!
hostname R2
!
!
no ip cef
no ipv6 cef
!
license udi pid CISCO1941/K9 sn FTX1524UF93-
!
no ip domain-lookup
!
!
ip address 172.16.2.1 255.255.255.0
duplex auto
speed auto
!
no ip address
duplex auto
speed auto
shutdown
!
ip address 10.1.1.2 255.255.255.252
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
network 10.1.1.0 0.0.0.3 area 0
network 172.16.2.0 0.0.0.255 area 0
!
router rip
version 2
passive-interface GigabitEthernet0/0
network 10.0.0.0
network 172.16.0.0
no auto-summary
!
ip classless
!
!
banner motd ^CUnauthorized access is strictly prohibited^C
!
logging 172.16.2.3
line con 0
password cisco
logging synchronous
login
!
line aux 0
!
line vty 0 4
password cisco
login
!
ntp server 10.1.1.1
ntp update-calendar
!
End
11.2.2.6 CONFIGURING DYNAMIC AND STATIC NAT

(EYDER ALEXANDER CORTE).
Práctica de laboratorio: configuración de NAT dinámica y estática

Topología
Gateway
Máscara de predetermina
Dispositivo Interfaz Dirección IP subred do
Gateway G0/1 192.168.1.1 255.255.255.0 N/A

209.165.201. 255.255.255.2
S0/0/1 18 52 N/A
S0/0/0 209.165.201. 255.255.255.2
ISP (DCE) 17 52 N/A
255.255.255.2
Lo0 192.31.7.1 55 N/A
PC-A (servidor
simulado) NIC 192.168.1.20 255.255.255.0 192.168.1.1
PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1
Objetivos
Parte 2: configurar y verificar la NAT estática
Parte 3: configurar y verificar la NAT dinámica
La traducción de direcciones de red (NAT) es el proceso en el que un
dispositivo de red, como un router Cisco, asigna una dirección pública a los
dispositivos host dentro de una red privada. El motivo principal para usar NAT
es reducir el número de direcciones IP públicas que usa una organización, ya
que la cantidad de direcciones IPv4 públicas disponibles es limitada.
En esta práctica de laboratorio, un ISP asignó a una empresa el espacio de
direcciones IP públicas 209.165.200.224/27. Esto proporciona 30 direcciones
IP públicas a la empresa. Las direcciones 209.165.200.225 a
209.165.200.241 son para la asignación estática, y las direcciones
209.165.200.242 a 209.165.200.254 son para la asignación dinámica. Del
ISP al router de gateway se usa una ruta estática, y del gateway al router ISP
se usa una ruta predeterminada. La conexión del ISP a Internet se simula
mediante una dirección de loopback en el router ISP.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son
routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión
15.2(4)M3 (imagen universalk9). Los switches que se utilizan son Cisco
Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se
pueden utilizar otros routers, switches y otras versiones del IOS de Cisco.
Según el modelo y la versión de IOS de Cisco, los comandos disponibles y
los resultados que se obtienen pueden diferir de los que se muestran en las
prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router
que se encuentra al final de esta práctica de laboratorio para obtener los
identificadores de interfaz correctos.
Nota: asegúrese de que los routers y el switch se hayan borrado y no tengan
configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios
• 2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen
universal o similar)
• 1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9
o comparable)
• 2 computadoras (Windows 7, Vista o XP con un programa de emulación
de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con IOS de Cisco
mediante los puertos de consola
Parte 33. armar la red y verificar la conectividad

En la parte 1, establecerá la topología de la red y configurará los parámetros
básicos, como las direcciones IP de interfaz, el routing estático, el acceso a
los dispositivos y las contraseñas.

Conecte los dispositivos tal como se muestra en el diagrama de la topología
y realice el cableado según sea necesario. Se realiza el respecto montaje de
la topología en el Software de Packet tracert como se muestra en la figura:
- PC-A
- PC-B
Paso 3: inicializar y volver a cargar los routers y los switches según sea
necesario.
- Switch 1 (S1)
- Router Gateway
- Router ISP
- Router Gateway
- Router ISP
b. Configure las direcciones IP para los routers como se indica en la tabla de

direccionamiento.
- Router Gateway
- Router ISP
c. Establezca la frecuencia de reloj en 1280000 para las interfaces seriales

DCE.
- Router ISP
d. Configure el nombre del dispositivo como se muestra en la topología.

- Router Gateway
- Router ISP
e. Asigne cisco como la contraseña de consola y la contraseña de vty.
- Router Gateway
- Router ISP
f. Asigne class como la contraseña cifrada del modo EXEC privilegiado.

- Router Gateway
- Router ISP
g. Configure logging synchronous para evitar que los mensajes de consola
interrumpan la entrada del comando.
- Router Gateway
- Router ISP
Paso 5: crear un servidor web simulado en el ISP.

a. Cree un usuario local denominado webuser con la contraseña cifrada
webpass.
b. Habilite el servicio del servidor HTTP en el ISP.

ISP(config)# ip http server
c. Configure el servicio HTTP para utilizar la base de datos local.
ISP(config)# ip http authentication local
La configuración para este servicio no esta disponible en packet tracer,
por lo cual para los punto b y c se agrega un servidor para simular el
servicio HTTP creando una nueva red sobre la interfaz g0/0 del Router
ISP y adicionalmente configurando los parámetros de IP del Servidor,
como se observa en las siguientes imágenes:
- Server IP
- Servicio activado sobre el Server
Paso 6: configurar el routing estático.

a. Cree una ruta estática del router ISP al router Gateway usando el rango
asignado de direcciones de red públicas 209.165.200.224/27.

Paso 7: Guardar la configuración en ejecución en la configuración de

inicio.
- Router Gateway
- Router ISP
Paso 8: Verificar la conectividad de la red

a. Desde los equipos host, haga ping a la interfaz G0/1 en el router Gateway.
Resuelva los problemas si los pings fallan.
-PC-A
-PC-B
b. Muestre las tablas de routing en ambos routers para verificar que las rutas
estáticas se encuentren en la tabla de routing y estén configuradas
correctamente en ambos routers.
- Router Gateway
- Router ISP
Parte 34. configurar y verificar la NAT estática.
La NAT estática consiste en una asignación uno a uno entre direcciones
locales y globales, y estas asignaciones se mantienen constantes. La NAT
estática resulta útil, en especial para los servidores web o los dispositivos que
deben tener direcciones estáticas que sean accesibles desde Internet.
Paso 1: configurar una asignación estática.

El mapa estático se configura para indicarle al router que traduzca entre la
dirección privada del servidor interno 192.168.1.20 y la dirección pública
209.165.200.225. Esto permite que los usuarios tengan acceso a la PC-A
desde Internet. La PC-A simula un servidor o un dispositivo con una dirección
constante a la que se puede acceder desde Internet.

Emita los comandos ip nat inside e ip nat outside en las interfaces. Se
realiza la configuracion en las interfaces del Router Gateway g0/1 y S0/0/1
respectivamente como se muestra en la siguiente imagen
Paso 3: probar la configuración.
a. Muestre la tabla de NAT estática mediante la emisión del comando show
ip nat translations.
¿Cuál es la traducción de la dirección host local interna?

192.168.1.20 = 209.165.200.225
¿Quién asigna la dirección global interna? De manera estatica se asignó
la dirección global interna por medio del Router Gateway
¿Quién asigna la dirección local interna? De manera estatica se asignó la
dirección local interna por medio del Router Gateway
b. En la PC-A, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping

falló, resuelva y corrija los problemas. En el router Gateway, muestre la
tabla de NAT.
- PC-A, Se realiza el ping a la loopback del router ISP

Cuando la PC-A envió una solicitud de ICMP (ping) a la dirección
192.31.7.1 en el ISP, se agregó a la tabla una entrada de NAT en la que
se indicó ICMP como protocolo.
¿Qué número de puerto se usó en este intercambio ICMP? El puerto que
se utilizo como se observa en la imagen fue el numero 12
Nota: puede ser necesario desactivar el firewall de la PC-A para que el
ping se realice correctamente.
c. En la PC-A, acceda a la interfaz Lo0 del ISP mediante telnet y muestre la
tabla de NAT. Se ingresa como se observa en la imagen
Se muestra la tabla nat nuevamente con el comando “Show ip nat

translation”
Nota: es posible que se haya agotado el tiempo para la NAT de la solicitud

de ICMP y se haya eliminado de la tabla de NAT.
¿Qué protocolo se usó para esta traducción? El protocolo utilizado es
como se observa en la figura es TCP
Global/local interno: 1025/1025
Global/local externo: 23/23
d. Debido a que se configuró NAT estática para la PC-A, verifique que el ping
del ISP a la dirección pública de NAT estática de la PC-A
(209.165.200.225) se realice correctamente.
e. En el router Gateway, muestre la tabla de NAT para verificar la traducción.

Observe que la dirección local externa y la dirección global externa son

iguales. Esta dirección es la dirección de origen de red remota del ISP.
Para que el ping del ISP se realice correctamente, la dirección global
interna de NAT estática 209.165.200.225 se tradujo a la dirección local
interna de la PC-A (192.168.1.20).
f. Verifique las estadísticas de NAT mediante el comando show ip nat
statistics en el router Gateway.
Gateway# show ip nat statics
Parte 35. configurar y verificar la NAT dinámica
La NAT dinámica utiliza un conjunto de direcciones públicas y las asigna
según el orden de llegada. Cuando un dispositivo interno solicita acceso a
una red externa, la NAT dinámica asigna una dirección IPv4 pública
disponible del conjunto. La NAT dinámica produce una asignación de varias
direcciones a varias direcciones entre direcciones locales y globales.
Paso 1: borrar las NAT.

Antes de seguir agregando NAT dinámicas, borre las NAT y las estadísticas
de la parte 2.
Gateway# clear ip nat translation *
Paso 2: definir una lista de control de acceso (ACL) que coincida con el
rango de direcciones IP privadas de LAN.
Paso 3: verificar que la configuración de interfaces NAT siga siendo válida.

Emita el comando show ip nat statistics en el router Gateway para verificar
la configuración NAT.
Paso 4: definir el conjunto de direcciones IP públicas utilizables.
Paso 5: definir la NAT desde la lista de origen interna hasta el conjunto

externo.
Nota: recuerde que los nombres de conjuntos de NAT distinguen
mayúsculas de minúsculas, y el nombre del conjunto que se introduzca
aquí debe coincidir con el que se usó en el paso anterior.
Paso 6: probar la configuración.

a. En la PC-B, haga ping a la interfaz Lo0 (192.31.7.1) en el ISP. Si el ping
falló, resuelva y corrija los problemas. En el router Gateway, muestre la
tabla de NAT.
¿Cuál es la traducción de la dirección host local interna de la PC-B?

192.168.1.21 = 209.165.200.242
Cuando la PC-B envió un mensaje ICMP a la dirección 192.31.7.1 en el
ISP, se agregó a la tabla una entrada de NAT dinámica en la que se indicó
ICMP como el protocolo.
¿Qué número de puerto se usó en este intercambio ICMP? Utilizo el
numero de puerto para el primer paquete es 7
b. En la PC-B, abra un explorador e introduzca la dirección IP del servidor
web simulado ISP (interfaz Lo0). Cuando se le solicite, inicie sesión como
webuser con la contraseña webpass., como se menciono anteriormente
debido a que el servicio de Http no se pudo habilitar sobre el router por
packet tracer, se simula la pagina web con un Server, el cual tiene
configurada la dirección IP 192.168.10.2 y el servicio HTTP habilitado, por
lo tanto el ingreso se realizara a dicha IP, como se observa en la siguiente
imagen:
- PC-A a Sever
c. Muestre la tabla de NAT.
¿Qué protocolo se usó para esta traducción? El protocolo utilizado es

como se observa en la figura es TCP
Global/local interno: 1025/1025
Global/local externo: 80/80
¿Qué número de puerto bien conocido y qué servicio se usaron? Como
puerto bien conocido esta el puerto 80 ya que estos puerto van desde el
0 a 1023, y el servicio que se uso fue el de HTTP
d. Verifique las estadísticas de NAT mediante el comando show ip nat
statistics en el router Gateway.
Paso 7: eliminar la entrada de NAT estática.
En el paso 7, se elimina la entrada de NAT estática y se puede observar la
entrada de NAT.
a. Elimine la NAT estática de la parte 2. Introduzca yes (sí) cuando se le
solicite eliminar entradas secundarias.
b. Borre las NAT y las estadísticas.
c. Haga ping al ISP (192.31.7.1) desde ambos hosts.

- PC-A
- PC-B
d. Muestre la tabla y las estadísticas de NAT.
Gateway# show ip nat translation
Reflexión
1. ¿Por qué debe utilizarse la NAT en una red?
Una de las razones mas grandes para utilizar dicha característica es permitir
el acceso de una red a internet debido a que todo direccionamiento privado
no es enrutable en la gran red que es internet por lo cual es esta solo se utiliza
direccionamiento público, adicionalmente también para publicar servicios
internos como una pagina Web, o el ingreso remoto hacia servidores internos
2. ¿Cuáles son las limitaciones de NAT?
Se puede ver afectado el rendimiento en la red, también como la limitación
de no poder tener un seguimiento de extremo a extremo de la conexión
Modelo de Interfaz Ethernet Interfaz Ethernet Interfaz serial Interfaz serial

router #1 n.º 2 #1 n.º 2
(F0/0) (F0/1) (S0/0/0) (S0/0/1)
0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
(F0/0) (F0/1) (S0/1/0) (S0/1/1)
(F0/0) (F0/1) (S0/0/0) (S0/0/1)
0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo
de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de
todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se
incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales
en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber
interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La cadena
entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de Cisco
11.2.3.7 CONFIGURING NAT POOL OVERLOAD AND PAT.
(EYDER ALEXANDER CORTES.)
Práctica de laboratorio: configuración de un conjunto de NAT con
sobrecarga y PAT
Topología
Gate
Dis Másc way
pos Int Direc ara de prede
itiv erf ción subre termi
o az IP d nado
Gat 192.1 255.2

ewa G0 68.1. 55.25
y /1 1 5.0 N/A
S0 209.1 255.2
/0/ 65.20 55.25
1 1.18 5.252 N/A
S0
/0/
0
(D 209.1 255.2
CE 65.20 55.25
ISP ) 1.17 5.252 N/A
255.2
Lo 192.3 55.25
0 1.7.1 5.255 N/A
192.1 255.2
PC- NI 68.1. 55.25 192.1
A C 20 5.0 68.1.1
192.1 255.2
PC- NI 68.1. 55.25 192.1
B C 21 5.0 68.1.1
192.1 255.2
PC- NI 68.1. 55.25 192.1
C C 22 5.0 68.1.1
Objetivos
Parte 2: configurar y verificar un conjunto de NAT con sobrecarga
Parte 3: configurar y verificar PAT
En la primera parte de la práctica de laboratorio, el ISP asigna a su
empresa el rango de direcciones IP públicas 209.165.200.224/29. Esto
proporciona seis direcciones IP públicas a la empresa. Un conjunto de
NAT dinámica con sobrecarga consta de un conjunto de direcciones IP
en una relación de varias direcciones
a varias direcciones. El router usa la primera dirección IP del conjunto y
asigna las conexiones mediante el uso de la dirección IP más un número
de puerto único. Una vez que se alcanzó la cantidad máxima de
traducciones para una única dirección IP en el router (específico de la
plataforma y el hardware), utiliza la siguiente dirección IP del conjunto.
En la parte 2, el ISP asignó una única dirección IP, 209.165.201.18, a su
empresa para usarla en la conexión a Internet del router Gateway de la
empresa al ISP. Usará la traducción de la dirección del puerto (PAT) para
convertir varias direcciones internas en la única dirección pública
utilizable. Se probará, se verá y se verificará que se produzcan las
traducciones y se interpretarán las estadísticas de NAT/PAT para
controlar el proceso.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA
son routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco
versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de
lanbasek9). Se pueden utilizar otros routers, switches y otras versiones
del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los
comandos disponibles y los resultados que se obtienen pueden diferir de
los que se muestran en las prácticas de laboratorio. Consulte la tabla
Resumen de interfaces del router que se encuentra al final de esta
práctica de laboratorio para obtener los identificadores de interfaz
correctos.
Nota: asegúrese de que los routers y el switch se hayan borrado y no
tengan configuraciones de inicio. Si no está seguro, consulte con el
instructor.
Recursos necesarios
• 2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen
universal o similar)
• 1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen
lanbasek9 o comparable)
• 3 computadoras (Windows 7, Vista o XP con un programa de
emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con IOS de
Cisco mediante los puertos de consola
Parte 36. armar la red y verificar la conectividad

En la parte 1, establecerá la topología de la red y configurará los
parámetros básicos, como las direcciones IP de interfaz, el routing
estático, el acceso a los dispositivos y las contraseñas.
Paso 1: realizar el cableado de red tal como se muestra en la
topología. Se realiza el respecto montaje de la topología en el Software
de Packet tracert como se muestra en la figura:

- PC-A
- PC-B
- PC-C
Paso 3: inicializar y volver a cargar los routers y los switches.
- Switch 1 (S1)
- Router Gateway
- Router ISP

- Router Gateway
- Router ISP
b. Configure las direcciones IP para los routers como se indica en la
tabla de direccionamiento.
- Router Gateway
- Router ISP
c. Establezca la frecuencia de reloj en 128000 para la interfaz serial

DCE.
- Router ISP
d. Configure el nombre del dispositivo como se muestra en la

topología.
- Router Gateway
- Router ISP
e. Asigne cisco como la contraseña de consola y la contraseña de

vty.
- Router Gateway
- Router ISP
f. Asigne class como la contraseña cifrada del modo EXEC

privilegiado.
- Router Gateway
- Router ISP
g. Configure logging synchronous para evitar que los mensajes de

consola interrumpan la entrada del comando.
- Router Gateway
- Router ISP
Paso 5: configurar el routing estático.

a. Cree una ruta estática desde el router ISP hasta el router Gateway.
ISP(config)# ip route 209.165.200.224 255.255.255.248
209.165.201.18
Paso 6: Verificar la conectividad de la red

a. Desde los equipos host, haga ping a la interfaz G0/1 en el router
Gateway. Resuelva los problemas si los pings fallan.
-PC-A
-PC-B
-PC-C
b. Verifique que las rutas estáticas estén bien configuradas en ambos

routers.
- Router Gateway
- Router ISP
Parte 37. configurar y verificar el conjunto de NAT con sobrecarga
En la parte 2, configurará el router Gateway para que traduzca las
direcciones IP de la red 192.168.1.0/24 a una de las seis direcciones
utilizables del rango 209.165.200.224/29.
Paso 1: definir una lista de control de acceso que coincida con

las direcciones IP privadas de LAN.
Paso 2: definir el conjunto de direcciones IP públicas utilizables.

- Router Gateway
Paso 3: definir la NAT desde la lista de origen interna hasta el

conjunto externo.
- Router Gateway
- Router Gateway
Paso 5: verificar la configuración del conjunto de NAT con

sobrecarga.
a. Desde cada equipo host, haga ping a la dirección 192.31.7.1 del
router ISP.
- PC-A
- PC-B
- PC-C

- Router Gateway
c. Muestre las NAT en el router Gateway.
- Router Gateway
Nota: es posible que no vea las tres traducciones, según el tiempo que
haya transcurrido desde que hizo los pings en cada computadora. Las
traducciones de ICMP tienen un valor de tiempo de espera corto.
¿Cuántas direcciones IP locales internas se indican en el resultado de
muestra anterior? Son tres diferentes direcciones IP:
192.168.1.20,192.168.1.21, 192.168.1.22 con diferente puerto
¿Cuántas direcciones IP globales internas se indican? Una misma
dirección IP pero con diferentes puertos
¿Cuántos números de puerto se usan en conjunto con las direcciones
globales internas? Como se puede observan en la figura don 4 diferentes
numero de puerto: 9,13,11 y 1024
¿Cuál sería el resultado de hacer ping del router ISP a la dirección local
interna de la PC-A? ¿Por qué? El ping no es posible realizarlo
directamente a la PC-A debido a que Router ISP no tiene un ruta a dicho
segmento de red, por lo que descartara el paquete como se observa en
la siguiente imagen
- Router ISP
Esto es similar como si algún usuario direntamente del internte quisiera

realizar un ping a una dirección privada de una red empresarial no es
posible ya que dichas direcciones no son enrutable en internet, para esto
se requiere un NAT Estático Uno a Uno que publique dicho servicio
Parte 38. configurar y verificar PAT
En la parte 3, configurará PAT mediante el uso de una interfaz, en lugar
de un conjunto de direcciones, a fin de definir la dirección externa. No
todos los comandos de la parte 2 se volverán a usar en la parte 3.
Paso 1: borrar las NAT y las estadísticas en el router Gateway.
Paso 2: verificar la configuración para NAT.

a. Verifique que se hayan borrado las estadísticas.
b. Verifique que las interfaces externa e interna estén configuradas

para NAT.
c. Verifique que la ACL aún esté configurada para NAT.
¿Qué comando usó para confirmar los resultados de los pasos a al c?

los comandos usados para la verificación fueron los siguientes:
- Show ip nat statistics
- show running-config | begin interface
- show access-lists
- show running-config | include access-list
Paso 3: eliminar el conjunto de direcciones IP públicas

utilizables.
Paso 4: eliminar la traducción NAT de la lista de origen interna
al conjunto externo.
Paso 5: asociar la lista de origen a la interfaz externa.
Paso 6: probar la configuración PAT.

a. Desde cada computadora, haga ping a la dirección 192.31.7.1 del
router ISP.
- PC-A
- PC-B
- PC-C
c. Muestre las traducciones NAT en el Gateway.

Reflexión
¿Qué ventajas tiene la PAT?
La traducción de la dirección del puerto tiene las ventajas de que no
requiere la misma cantidad de direcciones IP publicas como las privadas,
ya que con una sola dirección se puede hacer la traducción de varias
direcciones ya que se rastrea por puerto lo que permite que sea una
sesión única y se pueda distinguir
Modelo Interfaz Interfaz Interfaz Interfaz

de Ethernet Ethernet serial serial
router #1 n.º 2 #1 n.º 2
1800 Fast Fast Serial Serial

Ethernet Ethernet 0/0/0 0/0/1
0/0 (F0/0) 0/1 (F0/1) (S0/0/0) (S0/0/1)
1900 Gigabit Gigabit Serial Serial
0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
0/0 (F0/0) 0/1 (F0/1) (S0/1/0) (S0/1/1)
0/0 (F0/0) 0/1 (F0/1) (S0/0/0) (S0/0/1)
2900 Gigabit Gigabit Serial Serial
0/0 (G0/0) 0/1 (G0/1) (S0/0/0) (S0/0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar
el tipo de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar
una lista de todas las combinaciones de configuraciones para cada clase de router. En
esta tabla, se incluyen los identificadores para las posibles combinaciones de interfaces
Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La
interfaz BRI ISDN es un ejemplo. La cadena entre paréntesis es la abreviatura legal
que se puede utilizar en los comandos de IOS de Cisco para representar la interfaz.
12. LINKS DE ARCHIVOS: (Simulación Informe):
https://unadvirtualedu-
my.sharepoint.com/:u:/g/personal/apedroza_unadvirtual_edu_co/EUp2IMf4YfJNn29nCBUgCg
QBH11i6RHlm0udGvAviF_XBw?e=5UWurk
CONCLUSIONES
Retomando como punto de partida cada una de las unidades del presente
diplomado se da por sentado la importancia de la corporación Cisco en el mundo
de las comunicaciones, en materia de aporte tecnológico, configuraciones
topológicas, grados de seguridad, convergencias, niveles de escalamiento,
soporte técnico, desarrollo de software en cada uno de sus avances
tecnológicos, aportes lógicos que permiten cada vez la confiabilidad en el mundo
de las comunicaciones, hoy por hoy la información y la privacidad cumple un
papel preponderante en cada uno de los usuarios que confían de manera plena
en los equipos que hacen parte de las estructuras en materia de red física y
lógica.
En la presente unidad cada uno de los integrantes del pequeño grupo
colaborativo nos dimos a la tarea de entender los puntos como planteamiento de
desarrollo de todo en componente, aprendimos las distinciones de los protocolos
IPv4 y IPv6, las restricciones y configuraciones de los switch y router tanto en la
capa dos como en la tres, se redefine en la unidad la importancia de la
optimización de los costos en la puesta en marcha de la construcción de una red,
Establecimos las razones correspondientes a la configuración del
direccionamiento IP estático mediante protocolo IPv4, su aplicabilidad y
alcances.
Desarrollamos la configuración de OSPFv2 básico de áreas sueltas,
específicamente diseñada para el protocolo IPv4, cuya finalidad es detectar las
posibles fallas del enlace, cambios en la topología, este punto creemos que es
fundamental en materia de gestión de la red en IPv4
Los participantes del grupo establecieron en un análisis de campo la NAT con
sus respectivas sobrecargas tanto dinámica como nativa, configuraciones de la
red y PAT, Configuración de OSPFv2 y OSPFv3 con sus áreas resueltas, y de
igual manera la configuración de una ACL en VTY
Se ejecutarán las sentencias (comandos) ACL, que consiste en la decisión que
emite el router en el momento de enviar o recibir paquetes, mediante el IOS
realiza una verificación si cumple o no el paquete de manera satisfactoria el
requerimiento, cada uno de los integrantes está en la capacidad de resolver
novedades en dicha configuración
Se aclararon inquietudes mediante la ejecución y programación de la ACL
estándar su importancia en el servicio para el bloqueo específico de una red o
un Host, en el análisis se entenderá la autenticación de todo el tráfico
El grupo enfatizó en el desarrollo y programación de configuración en una ACL
en VTY Líneas, con el fin de establecer la necesidad de manera remota el acceso
a una Telnet específica, con el fin de denegar peticiones a usuarios o intrusos
que no tengan el acceso o perfil.
BIBLIOGRAFIA:
•Cisco NetAcademy – Capitulos 7 al 10 [www.netacad.com] – Consultado el 21

de mayo de 2017
•Protocolo DHCP – [http://es.ccm.net/contents/261-el-protocolo-dhcp] –
Consultado el 17 de mayo de 2017
•Network
•ACLs –
[http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html] –
Consultado el 20 de mayo de 2017
•Dynamic Routing Protocols
[http://www.ciscopress.com/articles/article.asp?p=24090] – Consultado el 15 de
mayo de 2017

Ccna 2 Nap - Lista de Chequeo - DHCP

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ccna 2 Nap - Lista de Chequeo - DHCP

Загружено:

Авторское право:

Доступные форматы

TAREA 5

APLICAR LISTAS DE CONTROL DE ACCESO

UNIVERSIDADNACIONALABIERTAYADISTANCIA ESCUELA DE CIENCIAS BÁSICAS,

Dada la importancia de la presente unidad para el desarrollo y puesta en marcha de los

Packet Tracer - Configure IP ACLs to Mitigate Attacks

Lo0 192.168.2.1 255.255.255.0 N/A N/A

• Verify connectivity among devices before firewall configuration.

• Configure ACLs on R1 and R3 to mitigate attacks.

• Verify ACL functionality.

The routers have been pre-configured with the following:

o Enable password: ciscoenpa55

o Password for console: ciscoconpa55

o Password for VTY lines:

Part 1: Verify Basic Network Connectivity

Verify network connectivity prior to configuring the IP ACLs.

Step 1: From PC-A, verify connectivity to PC-C and R2.

a. From the command prompt, ping PC-C (192.168.3.3).

PC> ssh -l SSHadmin 192.168.2.1

Step 2: From PC-C, verify connectivity to PC-A and R2.

a. From the command prompt, ping PC-A (192.168.1.3).

PC> ssh -l SSHadmin 192.168.2.1

Part 2: Secure Access to Routers

R1(config)# access-list 10 permit 192.168.3.3 0.0.0.0

R2(config)# access-list 10 permit 192.168.3.3 0.0.0.0

Step 2: Apply ACL 10 to ingress traffic on the VTY lines.

Step 3: Verify exclusive access from management station PC-C.

a. Establish a SSH session to 192.168.2.1 from PC-C (should be successful).

PC> ssh –l SSHadmin 192.168.2.1

b. Establish a SSH session to 192.168.2.1 from PC-A (should fail).

Part 3: Create a Numbered IP ACL 120 on R1

Be sure to disable HTTP and enable HTTPS on server PC-A

Use the access-list command to create a numbered IP ACL.

R1(config)# access-list 120 permit udp any host 192.168.1.3 eq domain

R1(config)# access-list 120 permit tcp any host 192.168.1.3 eq smtp

R1(config)# access-list 120 permit tcp any host 192.168.1.3 eq ftp

R1(config)# access-list 120 deny tcp any host 192.168.1.3 eq 443

R1(config)# access-list 120 permit tcp host 192.168.3.3 host 10.1.1.1

R1(config)# interface s0/0/0

R1(config-if)# ip access-group 120 in

Part 4: Modify An Existing ACL on R1

R1(config)# access-list 120 permit icmp any any echo-reply

R1(config)# access-list 120 permit icmp any any unreachable

R1(config)# access-list 120 deny icmp any any

R1(config)# access-list 120 permit ip any any

Part 5: Create a Numbered IP ACL 110 on R3

Use the access-list command to create a numbered IP ACL.

R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 any

Step 2: Apply the ACL to interface F0/1.

R3(config)# interface fa0/1

R3(config-if)# ip access-group 110 in

Part 6: Create a Numbered IP ACL 100 on R3

Use the access-list command to create a numbered IP ACL.

R3(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any

R3(config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any

R3(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any

R3(config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any

R3(config)# access-list 100 permit ip any any

Step 2: Apply the ACL to interface Serial 0/0/1.

R3(config)# interface s0/0/1

R3(config-if)# ip access-group 100 in

Step 4: Check results.

access-list 10 permit 192.168.3.3 0.0.0.0

access-list 120 permit tcp any host 192.168.1.3 eq smtp