Beruflich Dokumente
Kultur Dokumente
*NAt dinmico
Habilita el servicio DHCP en el router. Usualmente no es necesario ya que el servicioest habilitado por defecto. Router(config)#ip dhcp pool central Crea un servicio de direcciones para un conjunto denominado "central". Accede al modo de configuracin dhcp. Router(dhcp-config)#network 172.16.1.0 255.255.255.0 Asigna el conjunto de direccione s que corresponde a la subred declarada para ser asignado. Router(dhcp-config)#dns-server 172.16.1.3 Especifica la direccin IP del servidor DNS disponible para los clientes de este pool. Requiere al menos una direccin IP y permite hasta 8. Router(dhcp-config)#netbios-name-server 172.16.1.3 Especifica la direccin IP del servidor NetBios WINS disponible para los clientes dhcp. Requiere al menos una direccin IP y permite hasta 8. Router(dhcp-config)tdefault-router 172.16.1.1 Especifica la direccin IP d el servidor gateway disponible para los clientes de este pool. Requiere al menos una direccin IP y permite hasta 8. Router(dhcp-config)#domain-name prueba Especifica el nombre de dominio a entregar: "prueba". Router(dhcp-config)#lease 1 8 0 Define la duracin de la asignacin de informacin al host. Se expresa en das (1) horas (8) minutos (0). Valor por defecto: un da (1 0 0). Router(config)#ip dhcp excluded -address 172.16.1.1 172.16.1.3 Permite excluir del conjunto definido las direcciones IP que se desean administrar manualmente.
Comandosvarios:
Router#copytftp running-config Copia un archivo de configuracin guardado en un servidor tftp a la RAM del router. Router#copytftpstartup-config Copia un archivo de configuracin guardado en un servidor tftp directamente a la NVRAM del router.
Servidor Windows XP
Direccin Global Interior - Direccin IP de un nodo de la red interna, tal como aparece en la redexterna. Tpicamente es una direccin provista por un ISP. Direccin Local Exterior - Direccin IP de un nodo de la red externa, tal como es conocida porlos nodos de la red interna. Direccin Global Exterior - Direccin IP asignada a un nodo en la red externa.
NAT esttico Permite un mapeo uno a uno de direcciones locales y globales de modo esttico. Se utiliza paradirecciones que deben estar accesibles desde Internet como el caso de servidores o dispositivos denetworking. NAT dinmico Realiza el mismo mapeo que NAT esttico, pero de modo dinmico, por lo que no siempre la mismadireccin pblica estar relacionada con el mismo nodo de la red interna. PAT Mapea mltiples direcciones de la red interna a una misma direccin pblica, identificando cada direccin interna por un nmero de puerto utilizando un cdigo de 16 bits.
LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224 Define un conjunto de direcciones pblicas a utilizar en el proceso. LAB_A(config)#ip nat inside source list 1 pool publ Asocia la lista de acceso creada para que utilice el conjunto de direcciones IP pblicas que hemos denominado "public" realizando una traduccin dinmica de direcciones. LAB_A(config)#interface fastethernet 0/1 LAB_A(config-if)#ip nat inside LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 LAB_A(config-if)#ip nat outside
Configuracin de PAT
LAB_A(config)#access-list 1 permit 172.16.15.16 0.0.0.15 LAB_A (config) #ip nat insidesource list 1 interface serial 0 /0 overload Asocia la lista de acceso con la direccin IP pblica de la interfase de salida, para que realice el proceso de PAT. LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224 PAT tambin puede realizarse utilizando un conjunto de direcciones pblica. Este comando define un conjunto de direcciones pblicas a utilizar en el proceso LAB_A(config)#interface fastethernet 0/1 LAB_A(config-if)#ip nat inside LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 LAB_A(config-if)#ip nat outside LAB_A(config)#ip nat inside source list 1 pool publ overload Asocia la lista de acceso con el conjunto de direcciones IP pblicas que secre antes, para que realice el proceso de PAT. Router_B#Ctrl+shift+6 luego x Permite suspender una sesin telnet abierta y regresar al dispositivo local. Lasesin telnet permanece abierta, pero no est en uso, se puede regresar aella luego.
Nmeros de puerto: En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se
puede tambin especificar laaplicacin que se desea filtrar a travs del nmero de puerto.
5
FTP Data FTP Telnet SMTP Time TACACS DNS DHCP server DHCP client TFTP Gopher Finger HTTP POP3 RPC NetBIOS name NetBIOS datag NetBIO session SNMP IRC
TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP TCP TCP UDP UDP UDP UDP UDP
Mscara de wildcard
Las mscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para generar filtros de direcciones IP. Se utilizan en combinacin con una direccin IP. En las mscaras de wildcar el dgito en 0 (cero) indica una posicin que debe ser comprobada, mientras que el dgito 1 (uno) indica una posicin que carece de importancia. La mscara se aplica a una direccin IP especfica contenida en la declaracin de la ACL y a la direccin de lospaquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete el criterio de permiso o denegacin enunciado en la lnea correspondiente. 172.16.14.330.0.0.0 Indica que se debe seleccionar nicamente la direccin IP declarada 172.16.14.44 0.0.0.255 Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y 172.16.14.255(no discrimina respecto del cuarto octeto). 172.16.14.14 0.0.255.255 Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del nmero de nodo -los dos ltimos bits-). Casos especiales xxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx 0.0.0.0 255.255.255.255= any Algunas reglas de clculo 1. Cuando se desea filtrar una red completa, la mscara de wildcard es el complemento de la mscara de subred por defecto: Ejemplo: Direccin de red:
200.
.15
.104
.0
6
.255 .0
.255 .0
.0 .255
2. Cuando se desea filtrar una subred completa, la mscara de wildcard es el complemento de la mscara de subred que se est aplicando: Ejemplo: Direccin de subred: 172 Mscara de subred:255 Mscara de wildcard: 0
.16 .255 .0
.1 .255 .0
Muestra los puertos que tienen aplicadas ACL IP. Routerf# show running-config Muestra tanto las listas de acceso configuradas, como la que se encuentran aplicadasa cada interfase.
Tips de aplicacin
y y y y y y y Las listas de acceso estndar deben colocarse lo ms cerca posible del destino del trfico. Las listas de acceso extendidas deben colocarse lo ms cerca posible del origen del trfico que ser denegado. Antes de comenzar a trabajar sobre una lista de acceso existente desvinclela de todas las interfases a las que se encuentre asociada. No se puede remover o cambiar el orden de una consigna de una lista de acceso numerada (no son editables). Ya que las listas numeradas no son editables es una buena prctica -para mantener un proceso deedicin ms simple-, recurrir al uso de un editor de texto. Cada vez que agrega una lnea a la lista de acceso esta se ubicar a continuacin de las lneasexistentes, al final. Organice su lista de acceso de modo que los criterios ms especficos estn al comienzo de la misma, y luego las premisas ms generales. y y y y Coloque primero los permisos y luego las denegaciones. Toda lista debe incluir al menos un comando permit. Las listas no filtran el trfico originado en el router. Una misma lista de acceso puede ser asignada a vanas interfases en el mismo dispositivo,tanto en modo entrante como saliente.
LAB_A(config)#access-list 101 deny icmp any any echo Crea un filtro que deniega toda solicitud de ping cualquiera sea su origen o destino. LAB_A(config)#access-list 101 permit ip any any Crea un filtro que permite todo otro trfico IP que no est especificado en las sentencias precedentes. LAB_A(config)#access-list 102 permit tcp host 205.7.5.10 any established Otra lista de acceso (102) que permite que se responda todo el trfico que sea respuesta a solicitudes recibidas por el servidor ubicado en la direccin 205.7.5.10. 2. Asignacin de las Listas de Acceso a puertos LAB_A(config)#interface fastethernet 0/0 LAB_A(config -if)#ip access-group 101 in Asigna la lista de acceso 101 a la interfase fastethernet 0/0, de modo que verifique todo el trfico entrante al router. LAB_A(config-if)#interface fastethernet 0/1 LAB_A(config-if)#ip access-group 102 in Asigna la lista de acceso 102 a la interfase Ethernet 0/1, de modo que verifique todotrfico entrante al router.
Configuracin de HDLC
Router# configure terminal Router(config)# interface serial 0/0 Router(config)#encapsulation hdlc
Frame Relay
DLCI - Data Link Connection Identifiers Los circuitos virtuales Frame Relay se diferencian utilizando un identificador denominado DLCI. Router(config)#interface serial 0/0 Router(config-if)#frame-relay interface-dlci [16-992]
Cisco IOS incluye vanos tipos diferentes de LMI y todos son incompatibles entre s : Router(config-if)#frame-relay lmi-type [ANSl/cisco/q933a] Configuracin de una interfaz serial con Frame Relay Router(config)linterface serial 0 Router (config-if) lencapsulation frame -relay Router(config-if)tframe-relay lmi-type cisco Router(config-if)fno shutdown Atencin! Si se configurarn subinterfaces, NO se debe asignar una direccin IP a lainterfaz fsica. Subinterfaz punto a punto Router(config-if)#interface serial Router(config-subif)#ip address 172 Router(config-subif)#frame-relay Subinterfaz punto a multipunto Router(config-if)#interface serial 0.20 multip oint Router(config-subif)#ip address 172.16.21.1 255.255.255.255.0 Router(config-subif)#frame-relay interface-dlci 21
10
Comandos Varios
Configuracin del servicio DHCP
Router(config)^service dhcp Router(config)#ip dhcp excluded -address 172.16.0.0 172.16.1.3 Router(config)#ip dhcp pool nombre Router(dhcp-config)#network 172.16.1.0 255.255.255.0 Router(dhcp-config)#dns-server 172.16.1.3 Router(dhcp-config)#netbios-name-server 172.16.1.3 Router(dhcp-config)#default-router 172.16.1.1 Router(dhcp-config)#domain-name ccna Router(dhcp-config)#lease 18 0
Configuracin de interfaz WAN PPP con autenticacin CHAP Router(config)# username Remoto password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp authentication chap
Router# configure terminal Router(config)# username Router password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp
Configuracin de interfaz WAN PPP con autenticacin PAP Router(config)# username Remoto password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp authentication pap
Router(config)# username Router password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp pap sent-username Remoto password cisco
Configuracin de enrutamiento esttico Router(config)# ip route 196.17.15.0 255.255.255.0 201.100.11.2 Router(config)# ip route 207.7.68.0 255.255.255.0 serial 0/0 130
12
Router(config)# ip route 0.0.0.0 0.0.0.0 serial 0/1 Router(config)# ip default-network 200.15.17.0 Configuracin de enrutamiento EIGRP Router(config)# router eigrp 20 Router(config-router)# network 10.0.0.0 Router(config-router)# no auto-summary
Configuracin de enrutamiento OSPF Router(config)# router ospf 2 Router(config-router)# network 172.16.0.0 0.0.255.255 area 0 Router(config-router)#exit Router(config)# interface serial 0/0 Router(config-if)#ip ospf cost 10 Router(config-if)#ip ospf priority 255 Configuracin del servicio DHCP Router(config)# servicedhcp Router(config)# ip dhcp excluded-address 172.16.0.0 172.16.1.3 Router(config)# ip dhcp pool nombre Router(dhcp-config)# network 172.16.1.0 255.255.255.0 Router(dhcp-config)# dns-server 172.16.1.3 Router(dhcp-config)# netbios-name-server 172.16.1.3 Router(dhcp-config)# default-router 172.16.1.1 Router(dhcp-config)# domain-name ccna Router(dhcp-config)# lease 18 0 Configuracin del servicio NAT Router(config)# interface fastethernet 0/0 Router(config-if)# ip nat inside Router(config-if)# interface serial 0/0 Router(config-if)# ip nat outside Router(config-if)# exit
Router(config)# ip nat inside source static 172.16.1.2 200.15.17.12 Router(config)# ip nat pool ccna 200.15.17.13 200.15.17.20 netmask 255.255.255.0 Router(config)# access-list 1 permit 172.16.1.8 0.0.0.7 Router(config)# ip nat inside source list 1 pool ccna Router(config)# ip nat inside source list 1 interface serial 0/0 overload Router(config)# ip nat translation timeout 120 Router(config)# exit Router# clear ip nat translation *
Configuracin de Listas de Acceso Router(config)# access-list 1 permit host 221.17.15.2 Router(config)# interface serial 0/1
13
Router(config-if)# ip access-group 1 in Router(config)#access-list 102 deny tcp any host 172.16.1.3 ftp Router(config)# interface serial 0/1 Router(config-if)# ip access-group 102 in Router(config)# ip access-list standard ccna Router(config-std-nacl)# permit host 221.17.15.2 Router(config-std-nacl)# exit Router(config)# interface serial 0/1 Router(config-if)# ip access-group ccna in
Configuracin de filtros de acceso a terminales virtuales Router(config)# access-list 10 permit host 172.16.10.3 Router(config)# line vty 0 4 Router(config-line)# access-class 10 in Configuracin de servicios Frame Relay Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# frame-relay lmi-type cisco Router(config-if)# no shutdown
Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# no shutdown Router(config-if)# interface serial 0.21 point-to-point Router(config-subif)# ip address 172.16.21.1 255.255.255.252 Router(config-subif)# frame-relay interface-dlci 21 Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# no shutdown Router(config-if)# interface serial 0.20 multipoint Router(config-subif)# ip address 172.16.20.1 255.255.255.0 Router(config-subif)# frame-relay interface-dlci 20 Router(config-subif)# no frame-relay inverse-arp Router(config-subif)# frame-relay map ip 172.16.20.2 20 ietf
Configuracin de parmetros IP en un switch Catalyst 2950 Switch(config)# interface vlan1 Switch(config-if)# ip address 172.16.5.2 255.255.255.0 Switch(config-if)# no shutdown Switch(config-if)# exit Switch(config)# ip default-gateway 172.16.5.1
14
Configuracin de STP en un switch Catalyst 2950 Switch(config)#spanning-tree vlan 1 priority 1 Configuracin de VTP en un switch Catalyst 2950 Switcht# vlan database Switch(vlan)# vtp v2-mode Switch(vlan)# vtp domain ccna Switch(vlan)# vtp server Configuracin de VLANs en un switch Catalyst 2950 Switcht# vlan database Switch(vlan)# vlan 2 name ccna Switch(vlan)# apply Switch(vlan)# exit
Switcht# configure terminal Switch(config)# interface fastEthernet 0/4 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 2 Switch(config-if)# exit Switch(config)# interface fastEthernet 0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# exit
Configuracin de una interfaz de router como troncal Router(config-if)# interface fastethernet 0/0.1 Router(config-subif)# encapsulation dot1q 1 Router(config-subif)# ip address 172.18.1.1 255.255.255.0 Router(config-subif)# interface fastethernet 0/0.2 Router(config-subif)# encapsulation dot1q 2 Router(config-subif)# ip address 172.18.2.1 255.255.255.0 Router(config)# interface fastethernet 0/0 Router(config-if)# no shutdown Monitoreo de interfaces Router# show interfaces Router# show ip interfaces Router# show ip interfaces brief Router# show controllers Monitoreo de PPP Router# debug ppp negotiation Router# debug ppp authentication Router# debug ppp packet
15
Monitoreo de DHCP Router# show dhcp server Router# show dhcp lease Monitoreo de NAT Router# show ip nat translation Router# show ip nat statistics Router# debug ip nat Monitoreo del enrutamiento Router# show ip protocolos Router# show ip route Monitoreo de listas de acceso Router# show access-list Router# show ip access-list Router# show ip interfaces Router# show running-config Monitoreo de Frame Relay Router# show frame-relay pvc [dlci] Router# show frame-relay lmi Router# show frame-relay map Router# debug frame-relay lmi Monitoreo del switch Router# show mac-address-table Router# clear mac-address-table Router# show spanning-tree Monitoreo de VLANs Switcht# show vtp status Switcht# show vlan Switcht# show vlan brief Switcht# show vlan id 2 Switcht# show interface fastethernet 0/1 switchport Switcht# show interface trunk Comandos para crear copias de resguardo Router# copy running-config startup-config Router# copy system:running-config tftp:config.txt Router# copy flash:c2600-is-mz.121-5 tftp: Borrar configuracin de un switch Catalyst Switch# delete flash:config.text Switch# delete flash:vlan.dat
16
17