1-Configurar NAT Dinámico

1-Configurar NAT Dinámico
Comandos:
Router(config)#ip nat pool [NOMBRE DE LISTA DE IPS] [PRIMERA IP] [ULTIMA
IP]
netmask [MASCARA DE RED](1)
Router(config)#access-list [NUMERO DE LISTA DE ACCESO] permit [IP DE RED]
[WILDCARD](2)
Router(config)#ip nat inside source list [NUMERO DE LISTA DE ACCESO] pool
[NOMBRE DE LISTA DE IPS](3)
Router(config)#int [INTERFAZ]
Router(config-if)#ip nat inside(4)
Router(config)#int [INTERFAZ]
Router(config-if)#ip nat outside(5)
Aclaración:
(1): Acá definimos la lista de direcciones ip que va a tener el router para asignarle
a los paquetes.
(2): Configuramos la lista de acceso para que sepa que a que direcciones les tiene
que aplicar NAT.
(3): Con este comando lo que hacemos es decirle a NAT con que lista de acceso
va a controlar las ips que tiene que convertir.
(4): Ingresamos en la interfaz donde van a entrar los paquetes al router.
(5): Ingresamos en la interfaz donde van a salir los paquetes al router.
Topología:

2-Configurar Frame-Relay con RIP
Vamos a ver como configurar Frame-Relay. ¿Qué es Frame-Relay? Es un
protocolo de enlace de datos a nivel WAN. Utiliza circuitos virtuales llamados DLCI
por los cuales vamos a poder comunicarnos con otro destino mediante nuestro
proveedor de servicios contratado. Además verifica todo lo que fluye a través de
LMI (seria lo que controla el enlace). Al detectar algún fallo envía mensajes a las
interfaces que intervienen. Pertenece a la categoría de servicios privados.
Comandos:
Router(config-if)#encapsulation frame-relay[1]
Router(config-if)#frame-relay map ip [DIRECCION IP] [DLCI] broadcast[2]
Aclaración:
(1): Con este comando le decimos que encapsule mediante el protocolo Frame –
Relay.
(2): Este comando nos permite hacer un mapa de las conexiones Frame – Relay.
Se denomina Frame – Relay estático porque nosotros le decimos que tal DLCI
pertenece a tal IP. El comando broadcast sirve para el enrutamiento dinámico.
Nota 1: Tanto para RIP, EIGRP, OSPF se ingresa el comando broadcast. Si se
elige EIGRP o OSPF hay que agregar el comando bandwith [VALOR] para que
dichos protocolos puedan calcular su métrica.
Nota 2: El LMI por defecto en los router Cisco es cisco. Exiten 2 mas: ANSi y
Q933a.
Topología:

3-Configurar PPP con CHAP
Vamos a ver como configurar PPP con CHAP en Packet Tracer. Primero que nada
una breve introducción. ¿Qué es PPP? Es un protocolo que trabaja en capa 2, o
sea, capa de enlace de datos. Se encarga de encapsular las tramas que salen por
la interfaz. Una de las cosas importantes es que admite autenticación: PAP y
CHAP. Nosotros en este post vamos a ver CHAP. La diferencia entre ambas es
que por CHAP la información viaja cifrada.
Comandos:
Router(config)#username [USUARIO] password [CONTRASEÑA](1)
Router(config)#intface [INTERFAZ]
Router(config-if)#encapsulation ppp
Router(config-if)#ppp authentication chap
Aclaración:
(1): En este comando es indispensable que el USUARIO coincida con el nombre
del router vecino. Respecto del password debe ser igual tanto en el router vecino
como en el que estemos configurando.
Topología:
4-Configuración de Access-List estándar
Vamos a ver un tema un poco complicado, access-list o listas de acceso(ACL).
¿Qué es una lista de acceso? La ACL es una configuración de router que controla
si un router permite o deniega paquetes según el criterio encontrado en el
encabezado del paquete. Existen varios tipos que paso a detallar: estándar o
extendidas (pueden ser nombradas o numeradas) y las complejas (dinámicas,
reflexivas y basadas en tiempo). Nosotros en este post vamos a ver las extendidas
numeradas. Estas van del 100 al 199 y del 2000 al 2699. Pueden filtrar paquetes
según el protocolo (ip,tcp,udp,icmp,etc) que le indiquemos, puertos (80,23,etc) y lo
más importante comprueban la dirección de origen como destino. Las ACL

estándar solamente comprueban la dirección de origen. nada de protocolos y
puertos.
Comandos:
R1(config)#access-list [100-199] [permit|deny] [protocolo] [ip de origen] [wilcard] [ip
de destino] [wildcard] (1)
R1(config)#access-list 101 permit ip any any (2)
R1(config)#int [interfaz]
R1(config-if)#ip access-group 101 [in|out] (3)
Aclaracion:
(1): Con este comando definimos las reglas.
(2): Este comando nos da la posibilidad de permitir todo el tráfico. Es necesario
para que no nos frene trafico que no queremos filtrar.
(3): Con este comando aplicamos la ACL a la interfaz. In para el tráfico que entra,
es decir, los paquetes que ingresan al router por una determinada interfaz. Este
concepto, desde el punto de vista más técnico, se llama inbound-interno. Lo
mismo sucede con out que es para el tráfico que sale por una determinada
interfaz. Desde el punto de vista más técnico se conoce como outbound-externo.
IMPORTANTE: las ACL se procesan en forma secuencial, es decir, regla por
regla. Si al analizar una regla coincide ya no sigue comparando las reglas con el
paquete a analizar. Por eso el comando (2).
NO HAY UNA UNICA FORMA DE HACERLO, MI SOLUCION PROPUESTA ES
UNA DE LAS OPCIONES.

Topología:
5-Configurar servidor AAA
Vamos a ver como configurar un servidor AAA. Antes de comenzar, ¿qué es o
qué significa AAA? AAA corresponde a autenticación, autorización y
contabilización (en inglés accounting). Dichas referencias de la sigla son las
funciones que cumple el protocolo AAA.
Lo bueno de contar con un servidor AAA es que podemos centralizar el manejo de
cuentas de usuario para acceder a los dispositivos de red. En esta ocasión vamos
a ver 2 protocolos dentro del ya mencionado AAA, son TACACS y RADIUS.
La gran diferencia entre estos 2 protocoles es que TACACS cifra todo el trafico
desde que se solicita la comprobación del usuario hasta que termina. En cambio
RADIUS solo cifra la contraseña.
Comandos:
Router(config)#hostname [NOMRE DE ROUTER](1)
R1(config)#enable secret [CONTRASEÑA](2)
R1(config)#username [USUARIO] secret [CONTRASEÑA](3)
R1(config)#aaa new-model(4)
R1(config)#radius-server host [IP DEL SERVIDOR](5)
R1(config)#radius-server key [CLAVE](6)
R1(config)#aaa authentication login [default o NOMBRE DE LISTA]
[Metodo1][Metodo2]..[Metodo4](7)
R0(config-line)#login authentication default(8)

R2(config)#tacacs-server host [IP DEL SERVIDOR](5)
R2(config)#tacacs-server key [CLAVE](6)
Aclaración:
(1): Ingresamos el nombre del router.
(2): Configuramos una contraseña cifrada para el acceso al modo EXEC.
(3): Creamos un usuario y contraseña cifrada.
(4): Creamos un nuevo modelo de autenticación AAA.
(5): Ingresamos la ip del servidor.
(6): Ingresamos la clave para que el router se pueda conectar al servidor.
(7): Se ingresa los métodos por los cuales se va a autenticar el usuario, ya sea
group radius, group tacacs o local. Se pueden ingresar un maximo de 4. Si
ingresamos más de uno por ej: group radius local ;significa que primero
autenticara con Radius y ,en caso de fallar, se autenticara con la base de datos
del router. Para eso creamos el username.
(8): Ingresamos en un modo consola, vty o aux y le indicamos que se autentique
con el método aaa previamente definido.
Topología:

6-Configurar servidores NTP y Syslog
Lo que vamos a ver en este post es como configurar un servidor NTP y un
SysLog. ¿Qué es o qué hace un servidor NTP? Básicamente la función de
dicho servidor es la de proveer la fecha y hora al router. Otra opción es configurar
el reloj y la fecha de forma manual pero corremos el riesgo de si se reinicia el
router perdemos la fecha y hora exacta. Para prevenir eso utilizamos NTP.
Por otro lado tenemos el servidor Syslog. La función que cumple dicho servidor es
la de registrar todos los accesos al router, es decir, cada vez que accedemos ya
sea remotamente o por consola queda registrado en el servidor.
Comandos:
NTP
R1(config)#ntp server [IP DEL SERVIDOR]
R1(config)#ntp update-calendar(1)
Syslog
R1(config)#logging host [IP DEL SERVIDOR]
R1(config)#service timestamps log datetime msec(2)
Crear un usuario local
R1(config)#username [USUARIO] secret [CONTRASEÑA](3)
Aclaración:
(1): Esta comando sirve para que se actualice el calendario.
(2): Este comando se utiliza para, que los mensajes que almacena el servidor
Syslog, tengan la fecha, hora (con minutos y segundos).
(3): Este comando sirve para crear un usuario que se almacena en la base de
datos del router. Más adelante habrá un post sobre esto.

Topología:
7-Enrutamiento entre Vlans
En este post vamos a ver lo que se llama enrutamiento entre vlans. ¿Qué es? Es
asignarle un rango de ip a una vlan para que las pc que estan dentro de dicha vlan
puedan comunicarse con las respectivas pc y con pcs que están en otras vlans.
Comandos:
SWITCH
Cambiar el modo de la interfaz(trunk)
S1(config-if)#interface [INTERNFAZ]
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan [NUMERO DE VLAN]
Cambiar el modo de la interfaz(access)
S2(config)#interface [INTERFAZ]
S2(config-if)#switchport mode access
S2(config-if)#switchport access vlan [NUMERO DE VLAN]
S2(config-if)#
Configurar la ip de default gateway en un Switch
S1(config)#ip default-gateway [IP DE ROUTER]
Asignar una IP a una Vlan
S1(config)#interface vlan [NUMERO DE VLAN]

S1(config-if)#ip address [IP] [MASCARA DE RED]
ROUTER
Configurar una subinterfaz
Router(config)#interface [INTERFAZ.UnNumero] (1)
Router(config-subif)#encapsulation dot1Q [NUMERO DE VLAN] (2)
Router(config-subif)#ip address [IP] [MASCARA DE RED]
Configurar interfaz para Vlan Nativa
Router(config-subif)#interface [INTERFAZ.UnNumero]
Router(config-subif)#encapsulation dot1Q [NUMERO DE VLAN] native
Router(config-subif)#ip address [IP] [MASCARA DE RED]
Aclaracion:
(1): Cuando ingresen dicho comando, después del punto recomiendo que pongan
el numero de la vlan que van a configurar.
(2): El comando encapsulation dot1q es el protocolo que permite que el router
tenga enlace troncal.
Topología:

8-Configurar NAT Estático
En esta ocasión voy a explicar que es NAT. ¿Qué es NAT? Es un mecanismo
utilizado por los routers para intercambiar paquetes entre dos redes que tienen
distintas direcciones. Un ejemplo, estoy en mi casa y me quiero conectar a
internet, necesito si o si una dirección publica para poder navegar, ahí en donde
interviene NAT. En otras palabras transforma una dirección privada en una pública
(usamos la que nos asigna nuestro proveedor de internet).
Comandos:
Router(config)#ip nat inside source static [IP LOCAL] [IP EXTERNA] (1)
Router(config)#interface [INTERFAZ]
Router(config-if)#ip nat outside(2)
Router(config-if)#ip nat inside(3)
Router(config)#ip route 0.0.0.0 0.0.0.0 [INTERFAZ DE SALIDA](4)
Aclaración:
(1): Este comando asocio la ip privada de nuestro equipo con la pública.
(2): Este comando se ingresa dentro de la interfaz. Indica que interfaz es la que
está conectada a la red externa.
(3): Este comando se ingresa dentro de la interfaz. Indica que interfaz es la que
está conectada a la red interna.
(4): Se ingresa una ruta estática para los paquetes se puedan enviar.
Topología:

9-Conexión por Consola
Dicha conexión se realiza cuando, por primera vez, configuramos un nuevo router.
Lo que nos permite es acceder a él para darle la primera configuración y así poder
ingresar luego vía telnet o ssh.
Aclaración:
Como vimos, el cable que hace referencia a este tipo de conexión es el “cable
celeste” en Packet Tracer.
Comandos:
Router>
Router#configure Terminal
Router(config)#line con 0
Router(config-line)#password [contraseña]
Router(config-line)#login
Router(config-line)#exit
10-Configurar VTP
¿Qué es VTP? Es un protocolo de Cisco que nos permite tener un switch donde
creamos las Vlans y éste se encarga de propagarlas a los demás switch que están
bajo su dominio. Es importante remarcar que solamente éste protocolo puede ser
configurado en equipos de Cisco.
Para que un switch pertenezca a un dominio debe cumplir con los siguientes
items:
i) Se debe configurar con el mismo dominio
ii) Debe tener la misma versión de VTP
ii) Debe tener la misma contraseña VTP.
Además cuenta con 3 modos posibles de configuración:
1) Switch Servidor: En él tendremos que configurar las Vlans para que se
propaguen en el resto del dominio.
2) Switch Cliente: Este tipo de switch serán los que reciban las Vlans y las podrán
utilizar.

3) Switch Transparente: Este tipo de switch no adopta las Vlans que le manda el
servidor. En él podremos crear Vlans y usarlas localmente (solamente en este
switch).
Aclaración:
En el video usamos la siguiente info:
Dominio: todopacketracer
Contraseña: 1234
S1: Modo Server
S2: Modo Client
S3: Modo Client
Comandos:
#Para configurar VTP
Switch(config)#vtp mode [MODO]
Switch(config)#vtp domain [DOMINIO]
Switch(config)#vtp password [CONTRASEÑA]
Topologia:
11-Configuración de VLANs
Veamos en este post como configurar VLANS. Primero, ¿qué es una VLAN? Una
VLAN es una Lan Virtual donde se puede configurar, en un switch administrable,
una cantidad de redes. El principal beneficio es que con un switch podemos tener
varias redes sin necesidad de comprar varios equipos.

Comandos:
Creación de VLAN
Switch#vlan database
Switch(vlan)#vlan [número de vlan] name [nombre de vlan]
Switch(vlan)#exit
Asignamos una Vlan a un Puerto (Modo access)
Switch(config)#interface [Interfaz]
Switch(config-if)#switchport access vlan [número de vlan]
Asignamos el modo trunk a un puerto
Switch(config)#interface [Interfaz]
Switch(config-if)#switchport mode trunk
Configuracion del Router para Vlan
Router>en
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shut
Router(config-if)#interface fastEthernet 0/0.1 ---> (*)
Router(config-subif)#encapsulation dot1Q [Número de la VLAN]
Router(config-subif)#ip address [IP] [Mascara]
Aclaración:
Vlan database: Entrás a la base de datos para crear una nueva
Switchport: Lo que hace es cambiar para que se usa el puerto del swtich. Para
que puedas acceder normalmente con una vlan lo pones en access, para que
cuando lo conectes, a través de ese puerto, con otro Switch y se pasen las vlan
que tienen en su base de datos (vlan database), ingresas trunk.
(*)Este .1 hace referencia a una subinterfaz del router(es virtual). Lo recomendable
es que el .1 lo reemplaces por el numero de vlan, es decir, si tenes la Vlan 38 le
pones 0/0.38.
Topología:

12-Configuración SSH
Lo que vamos a ver es la forma que existe en Packet Tracer de configurar SSH.
Lo que nos permite hacer SSH es lo mismo que Telnet, conectarnos a un equipo
de forma remota. La gran diferencia entre Telnet y SSH es que en SSH el trafico
viaja encriptado ademas necesitamos tener un usuario para conectarnos.
Comandos:
SSH(config)# ip domain-name [Nombre] (1)
SSH(config)# crypto key generate rsa(2)
SSH(config)# line vty 0 4
SSH(config-line)# transport input ssh(3)
SSH(config-line)# login local
SSH(config)# username [usuario] privilege 15 password [password] (4)
SSH(config)# enable secret [password] (5)
Aclaración:
(1): Establecemos bajo que nombre de dominio esta el router.
(2): Este comando sirve para darle el tamaño de encriptación.
(3): En esta parte le decimos que deje pasar el protocolo SSH.
(4): El password que se ingresa sirve para entrar por SSH. La parte de la sintaxis
privilege 15 son los permisos de usuario.
(5): El password (encriptado) ingresado aca sirve para entrar al modo EXEC.
En la PC se ingresa:

SSH -l (el símbolo menos y la letra “L” en minúscula) [usuario] [dirección ip]
Topología:
13-Configurar servidores DNS y HTTP
El DNS sirve para traducir las direcciones que conocemos, como por ejemplo
http://www.google.com, a direcciones ip. Sencillamente nosotros ingresamos
ladirección en nuestro navegador web y el DNS se encarga de darnos la ip del
servidor HTTP que contiene a la página.
Aclaración:
Direcciones asignadas a continuación:
Router
Interfaz fa0/0 : 192.168.0.1 255.255.255.0
Interfaz fa0/1: 8.8.8.1 255.255.255.252
Interfaz e1/0: 11.11.0.1 255.255.255.252
Servidores
Servidor DNS: 8.8.8.2 255.255.255.252
Servidor HTTP: 11.11.0.2 255.255.255.252
PC

PC: 192.168.0.2 255.255.255.0
Conexiones telnet y configuración de contraseñas
Comandos:
Router>enable
Router#configure terminal
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#exit
Router(config)#enable secret cisco
acceder al router;cisco es la contraseña
//Configuracion TELNET
//cisco es la contraseña
//Configuracion de password para
Topología:
Aclaración:
i) El comando line vty 0 4, el numero 0 4 indica que se permiten 5 conexiones en
simultaneo.
ii) Si no ingresan el comando login no podrán acceder via telnet, ya que éste nos
permite logearnos.
iii) El comando enable secret permite agregar una contraseña encriptada que nos
va a pedir ingresarla cada vez que ingresemos al router. Es IMPORTANTE
aclarar que si no configuramos una contraseña no vamos a poder ingresar
via telnet.

14-Distribución de rutas entre protocolos RIP, EIGRP, OSPF
Lo que vamos a ver aquí es como distribuir rutas entre los protocolos de
enrutamiento dinámico. A veces pasa que tenemos implementado en una misma
topología por ejemplo RIP y EIGRP y no sabemos cómo podemos hacer para que
las rutas que tiene EIGRP se las pase a RIP. El video correspondiente a esta parte
está basado en una topología donde están configurado los 3 protocolos: RIP,
EIGRP y OSPF.
Comandos:
Dentro de la configuración de EIGRP
Router(config-router)#redistribute ospf [ID] metric 10000 100 255 1 1500 (1)
Dentro de la configuración de OSPF
Router(config-router)#redistribute eigrp [AS] metric 500 subnets (2)
Dentro de la configuración de RIP
Router(config-router)#redistribute ospf [ID] metric 2 (3)
Dentro de la configuración de OSPF
Router(config-router)#redistribute rip subnets (4)
=== AGREGO LOS COMANDOS PARA DISTRIBUIR RIP CON EIGRP y EIGRP
CON RIP ===
Dentro de la configuracion de RIP
Router(config-router)#redistribute eigrp [AS] metric 2
Dentro de la configuracion de EIGRP
Router(config-router)#redistribute rip metric 10000 10 255 1 1500
Aclaración:
(1): Este comando distribuye las rutas configuradas en OSPF dentro de EIGRP.
Todos los números que aparecen en metric son para que EIGRP pueda calcular
la métrica.
(2): Este comando distribuye las rutas configuradas en EIGRP dentro de OSPF. El
número seguido de la palabra metric sirve para que OSPF calcule la métrica.
(3): Este comando distribuye las rutas configuradas en OSPF dentro de RIP. El
comando metric sirve para que RIP calcule la métrica.
(4): Este comando distribuye las rutas configuradas en RIP dentro de OSPF.

Topología: