Configuración de NAT

El procedimiento de configuración de NAT requiere1. Definición de la interfaz interna para NAT2. Definición de la interfaz externa de NAT3. Definición de los parámetros de traducción

Diferentes modalidades:* NAT estático * NAt dinámico * NAT overload o PAT

Definición de las interfaces interna y externaRouter#configure terminalRouter(config)#interface fastethernet 0/0Router(config-if)#ip nat inside

Router(config-if)#interface serial 0/0Router(config-if)#ip nat outside

Definición de NAT estático

Router(config)#ip nat inside source static [ip local] [ip global]

Definición de NAT dinámico

1. Definir las direcciones locales a traducir:

Router(config)#access-list [1-99] permit [ip local]

2. Definir el conjunto de direcciones globales a utilizar:

Router(config)#ip nat pool [name] [ip inicial] [ip final] netmask X.X.X.X

3. Establecer la traducción de direcciones

Router(config)#ip nat inside source list [X] pool [name]

Definición de PAT utilizando una sola dirección IP pública

Router(config)#access-list [1-99] permit [ip local]Router(config)#ip nat inside source list [X] interface [int] overload

PAT utilizando más de una dirección IP pública

Router(config)#access-list [1-99] permit [ip local]Router(config)#ip nat pool [name] [ip] [ip] netmask X.X.X.XRouter(config)#ip nat inside source list [X] pool [name] overload

Comandos adicionales

Routertclear ip nat translation *Router(config)#ip nat translation timeout [segundos]

Comandos de monitoreo de NAT

Router# show ip nat translationRoutert# show ip nat statisticsRoutert# debug ip natRouter#configure terminalRouter(config)#service dhcp

1

Habilita el servicio DHCP en el router. Usualmente no es necesario ya que el servicio está habilitado por defecto.

Router(config)#ip dhcp pool centralCrea un servicio de direcciones para un conjunto denominado "central".Accede al modo de configuración dhcp.

Router(dhcp-config)#network 172.16.1.0 255.255.255.0Asigna el conjunto de direcciones que corresponde a la subred declarada para ser asignado.

Router(dhcp-config)#dns-server 172.16.1.3Especifica la dirección IP del servidor DNS disponible para los clientes de este pool. Requiere al menos una dirección IP y permite hasta 8.

Router(dhcp-config)#netbios-name-server 172.16.1.3Especifica la dirección IP del servidor NetBios WINS disponible para los clientes dhcp. Requiere al menos una dirección IP y permite hasta 8.

Router(dhcp-config)tdefault-router 172.16.1.1Especifica la dirección IP del servidor gateway disponible para los clientes de este pool. Requiere al menos una dirección IP y permite hasta 8.

Router(dhcp-config)#domain-name pruebaEspecifica el nombre de dominio a entregar: "prueba".

Router(dhcp-config)#lease 1 8 0Define la duración de la asignación de información al host. Se expresa en días (1) horas (8) minutos (0). Valor por defecto: un día (1 0 0).

Router(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.3Permite excluir del conjunto definido las direcciones IP que se desean administrar manualmente.

Comandos varios:

Router#copy tftp running-configCopia un archivo de configuración guardado en un servidor tftp a la RAM del router.

Router#copy tftp startup-configCopia un archivo de configuración guardado en un servidor tftp directamente a la NVRAM del router.

Network Address Translation (NAT)Proceso que permite cambiar una dirección por otra nueva en el encabezado de un paquete IP. En la práctica se utiliza para habilitar direcciones IP privadas a circular sobre Internet o para reducir la cantidad de direcciones IP a disponer para conexiones remotas.

Dispositivo NAT: También denominado NAT box. Puede ser:• Router Cisco • Sistema UNIX • Servidor Windows XP• Otro tipo de dispositivo. Este dispositivo opera típicamente en el borde de un área stub.

Terminología NAT:

Dirección Local Interior - Dirección IP asignada a un nodo en la red interna.

2

Dirección Global Interior - Dirección IP de un nodo de la red interna, tal como aparece en la red externa. Típicamente es una dirección provista por un ISP.

Dirección Local Exterior - Dirección IP de un nodo de la red externa, tal como es conocida por los nodos de la red interna.

Dirección Global Exterior - Dirección IP asignada a un nodo en la red externa.

NAT estáticoPermite un mapeo uno a uno de direcciones locales y globales de modo estático. Se utiliza para direcciones que deben estar accesibles desde Internet como el caso de servidores o dispositivos de networking.

NAT dinámicoRealiza el mismo mapeo que NAT estático, pero de modo dinámico, por lo que no siempre la misma dirección pública estará relacionada con el mismo nodo de la red interna.

PATMapea múltiples direcciones de la red interna a una misma dirección pública, identificando cada dirección interna por un número de puerto utilizando un código de 16 bits.

Las ventajas de NAT son:

1- Evita la necesidad de reasignar direcciones IP cuando se cambia de proveedor.2- Conserva direcciones IP.3- Protege la seguridad de la red.

Configuración de NAT estáticoSe debe tener en cuenta que NAT se aplica típicamente en redes stub, sobre la salida de la red a la red pública.

LAB_A(config)#ip route 0.0.0.0 0.0.0.0 201.100.11.2Establece una ruta por defecto hacia la red externa. Reenviará todo el tráfico hacia la red del proveedor de servicio.

LAB_A(config)#ip nat inside source static 172.16.15.15 20.1.1.45Establece un mapeo estático entre la dirección local interior y una dirección global interior.

LAB_A(config)^interface fastethernet 0/1Define la interface que se comporta como gateway de la red interior. Es la interface que corresponde a la red interna.

LAB_A(config-if)#ip nat insideMarca la interface conectada a la red interna.

LAB_A(config-if)#exitLAB_A(config)#interface serial 0/0Especifica la interface conectada a la red externa.

LAB_A(config-if)#ip nat outsideMarca la interfase conectada a la red externa.Configuración de NAT dinámico

LAB_A(config)#access-list 1 permit 172.16.15.16 0.0.0.15En primer lugar se utiliza una lista de acceso para definir el rango de direcciones locales interiores susceptibles de ser traducidas por NAT.

3

LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224Define un conjunto de direcciones públicas a utilizar en el proceso.

LAB_A(config)#ip nat inside source list 1 pool publAsocia la lista de acceso creada para que utilice el conjunto de direcciones IP públicas que hemos denominado "public" realizando una traducción dinámica de direcciones.

LAB_A(config) #interface fastethernet 0/1LAB_A(config-if)#ip nat insideLAB_A(config-if)#exitLAB_A(config) #interface serial 0/0LAB_A(config-if)#ip nat outside

Configuración de PAT

LAB_A(config)#access-list 1 permit 172.16.15.16 0.0.0.15LAB_A (config) #ip nat inside source list 1 interface serial 0/0 overload

Asocia la lista de acceso con la dirección IP pública de la interfase de salida, para que realice el proceso de PAT.

LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224

PAT también puede realizarse utilizando un conjunto de direcciones pública.Este comando define un conjunto de direcciones públicas a utilizar en el proceso

LAB_A(config)#interface fastethernet 0/1LAB_A(config-if)#ip nat insideLAB_A(config-if)#exitLAB_A(config) #interface serial 0/0LAB_A(config-if)#ip nat outside

LAB_A(config)#ip nat inside source list 1 pool publ overload

Asocia la lista de acceso con el conjunto de direcciones IP públicas que se creó antes, para que realice el proceso de PAT.

Router_B#Ctrl+shift+6 luego xPermite suspender una sesión telnet abierta y regresar al dispositivo local. La sesión telnet permanece abierta, pero no está en uso, se puede regresar a ella luego.

4

Reglas de funcionamiento de ACL

Se puede configurar una sola lista en cada interfase por sentido del tráfico (entrante / saliente), por protocolo de enrutamiento (IP, IPX, etc.).

Cada lista de acceso es identificada por un ID único (un numérico o alfanumérico). En el caso de las listas numeradas, este ID identifica el tipo de lista de acceso y las diferencia de otras semejantes.

Cada paquete que ingresa o sale de la interfase es comparado con cada línea de la lista secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la primera ingresada.

La comparación se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que el paquete cumple la condición de una línea, se ejecuta la acción indicada y no se sigue comparando.

Hay un deny all implícito al final de cada lista de acceso, que no es visible. Por lo tanto, si el paquete no coincide con ninguna de las premisas declaradas en la lista será descartado.

Los filtros de tráfico saliente no afectan el tráfico originado en el mismo router.

Las listas de acceso IP al descartar un paquete envían al origen un mensaje ICMP de "host de destino inalcanzable".

Tipos de listas de acceso IP Listas de acceso estándar - permiten filtrar únicamente direcciones IP de origen.

Listas de acceso extendidas - verifican direcciones de origen y destino, protocolo de capa 3, protocolo y puerto de capa 4.

Listas de acceso nombradas - Listas de acceso IP tanto estándar como extendidas que verifican direcciones de origen y destino, protocolos de capa 3 y puertos de capa 4, identificadas con una cadena de caracteres alfanuméricos. A diferencia de las listas de acceso numeradas, se configuran en un submodo propio y son editables.

Lista de acceso entrante - Controlan el tráfico que ingresa al router a través del puerto en el que está aplicada, y antes de que sea conmutado a la interfase de salida.

Lista de acceso saliente - Controlan el tráfico saliente del router a través del puerto en que está aplicada, una vez que ya ha sido conmutado.

Numero de lista de acceso:

El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un número de lista de acceso. El listado completo de números de listas de acceso y su significado se puede consultar en el IOS a partir del modo configuración tipeando:

Router(config)#access-list ?1-99 IP estándar100-199 IP extendida

Números de puerto: En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se puede también especificar la aplicación que se desea filtrar a través del número de puerto.

FTP Data = 20 TCPFTP = 21 TCP

5

Telnet = 23 TCPSMTP = 25 TCPTime = 37 UDPTACACS = 49 UDPDNS = 53 UDPDHCP server = 67 UDPDHCP client = 68 UDPTFTP = 69 UDPGopher = 70 UDPFinger = 79 UDPHTTP = 80 TCPPOP3 =

110TCP

RPC = 111

UDP

NetBIOS name = 137

UDP

NetBIOS datag = 138

UDP

NetBIO session = 139

UDP

SNMP = 161

UDP

IRC = 194

Máscara de wildcardLas máscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para generar filtros de direcciones IP. Se utilizan en combinación con una dirección IP.

En las máscaras de wildcar el dígito en 0 (cero) indica una posición que debe ser comprobada, mientras que el dígito 1 (uno) indica una posición que carece de importancia.

La máscara se aplica a una dirección IP específica contenida en la declaración de la ACL y a la dirección de los paquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete el criterio de permiso o denegación enunciado en la línea correspondiente.

172.16.14.33 0.0.0.0 Indica que se debe seleccionar únicamente la dirección IP declarada

172.16.14.44 0.0.0.255Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y 172.16.14.255 (no discrimina respecto del cuarto octeto).

172.16.14.14 0.0.255.255Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del número de nodo-los dos últimos bits-).

Casos especialesxxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx0.0.0.0 255.255.255.255 = any

Algunas reglas de cálculo

6

1. Cuando se desea filtrar una red completa, la máscara de wildcard es el complemento de la máscara de subred por defecto:

Ejemplo:Dirección de red: 200. .15 .104 .0Máscara de subred: 255 .255 .255 .0 Máscara de wildcard: 0 .0 .0 .255

2. Cuando se desea filtrar una subred completa, la máscara de wildcard es el complemento de la máscara de subred que se esté aplicando:

Ejemplo:Dirección de subred: 172 .16 .1 .32Máscara de subred: 255 .255 .255 .224 Máscara de wildcard: 0 .0 .0 .31

Configuración De Las Listas De Acceso

Listas de acceso IP estándar numeradas

Router(config)#access-list [ID] [permit/demy] [IP origen]Router(config)#no access-list [ID]Router(config)#interface serial 0/1Router(config-if)#ip access-group [ID] [in/out]

Listas De Acceso IP Extendida Numeradas

Router(config)#access-list [ID] [permit/demy] [protocolo] [IP origen] [IP destino] [log] [tipo servicio]Router(config)#no access-list [ID]Router(config)#interface serial 0/1Router(config-if)#ip access-group [ID] [in/out]

Listas De Acceso IP Nombradas

Router(config)#access-list [estándar/extended] [nombre]Router(config)#[permit/deny] [ip origen]Router(config)#[permit/deny] [protocolo] [IP origen] [IP destino] [tipo servicio]Router(config-if)#ip access-group [ID] [in/out]

Filtros aplicados a terminales virtualesSe pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estándar a fin de limitar las direcciones IP a partir de las cuales se podrá conectar al dispositivo vía telnet.

Un ejemplo:Router(config)#access-list 10 permit host 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 10 in

Monitoreo de las listas

Router#show access-list [#]Muestra las listas y el contenido de todas las ACL o una en particular. Nos permite verificar a qué interfase están aplicadas.

7

Router# show ip access-listMuestra solamente la configuración de ACL IP.

Router# show ip interfaceMuestra los puertos que tienen aplicadas ACL IP.

Routerf# show running-configMuestra tanto las listas de acceso configuradas, como la que se encuentran aplicadas a cada interfase.

Tips de aplicación

Las listas de acceso estándar deben colocarse lo más cerca posible del destino del tráfico.

Las listas de acceso extendidas deben colocarse lo más cerca posible del origen del tráfico que será denegado.

Antes de comenzar a trabajar sobre una lista de acceso existente desvincúlela de todas las interfases a las que se encuentre asociada.

No se puede remover o cambiar el orden de una consigna de una lista de acceso numerada (no son editables).

Ya que las listas numeradas no son editables es una buena práctica -para mantener un proceso de edición más simple-, recurrir al uso de un editor de texto.

Cada vez que agrega una línea a la lista de acceso esta se ubicará a continuación de las líneas existentes, al final.

Organice su lista de acceso de modo que los criterios más específicos estén al comienzo de la

misma, y luego las premisas más generales.

Coloque primero los permisos y luego las denegaciones.

Toda lista debe incluir al menos un comando permit.

Las listas no filtran el tráfico originado en el router.

Una misma lista de acceso puede ser asignada a vanas interfases en el mismo dispositivo, tanto

en modo entrante como saliente.

Procedimiento de configuración de Listas de Acceso

1. Creación de Listas de Acceso IP

LAB_A#config tEnter configuration commands, one per line. End with CNTL/Z.

LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 21Crea un filtro que permite el tráfico de solicitudes de servicios ftp de cualquier dispositivo que quiera acceder a la dirección IP 205.7.5.10.

LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 80Crea un filtro que permite el tráfico de solicitudes de servicios http de cualquier dispositivo que quiera acceder al servidor ubicado en la dirección IP 205.7.5.10.

LAB_A(config)#access-list 101 deny ip any 205.7.5.0 0.0.0.255Crea un filtro que deniega todo el tráfico ip que esté dirigido específicamente a la red 205.7.5.0.

8

LAB_A(config)#access-list 101 deny tcp any any eq 23Crea un filtro que deniega todo requerimiento de inicio de sesiones telnet, cualquiera sea su origen o destino.

LAB_A(config)#access-list 101 deny icmp any any echoCrea un filtro que deniega toda solicitud de ping cualquiera sea su origen o destino.LAB_A(config)#access-list 101 permit ip any anyCrea un filtro que permite todo otro tráfico IP que no esté especificado en las sentencias precedentes.

LAB_A(config)#access-list 102 permit tcp host 205.7.5.10 any establishedOtra lista de acceso (102) que permite que se responda todo el tráfico que sea respuesta a solicitudes recibidas por el servidor ubicado en la dirección 205.7.5.10.

2. Asignación de las Listas de Acceso a puertos

LAB_A(config)#interface fastethernet 0/0 LAB_A(config-if)#ip access-group 101 inAsigna la lista de acceso 101 a la interfase fast ethernet 0/0, de modo que verifique todo el tráfico entrante al router.

LAB_A(config-if)#interface fastethernet 0/1 LAB_A(config-if)#ip access-group 102 inAsigna la lista de acceso 102 a la interfase Ethernet 0/1, de modo que verifique todo tráfico entrante al router.

Configuración de HDLCRouter# configure terminalRouter(config)# interface serial 0/0Router(config)# encapsulation hdlc

Configuración de una Interfase Serial con PPP

PPP con autenticación CHAP

LAB_A(config)#username LAB_B password ciscoCrea un usuario y password de autenticación para un dispositivo remoto que solicite conexión con nuestro router. Ambos parámetros son sensibles a mayúsculas y minúsculas. El username corresponde con el hostname del dispositivo que requiere conexión.

LAB_A(config)#interface serial 0LAB_A(config-if)#ip address 172.16.10.0 255.255.255.0LAB_A(config-if)#encapsulation pppSelecciona encapsulación ppp para el tráfico entrante y saliente por esta interfase.

LAB_A(config-if)#ppp authentication chapActiva el protocolo de autenticación chap para todos los dispositivos que intenten conectarse con el nuestro a través de esta interfase

LAB_B (config)# username LAB_A password ciscoLAB_B(config)# interface serial 0LAB_B(config-if)# encapsulation ppp

LAB_B(config-if)#ppp chap hostname LAB_C

9

LAB_B(config-if)#ppp chap password ciscoEsta combinación de comandos permite configurar un conjunto de dispositivos para que se autentiquen contra un único dispositivo remoto utilizando el mismo usuario y password.

PPP con autenticación PAPLAB_A(config)# username LAB_B password ciscoLAB_A(config)# interface serial 0LAB_A(config-if)# encapsulation pppLAB_A(config-if)# ppp authentication pap

Activa el protocolo de autenticación pap para todos los dispositivos que intenten conectarse con el nuestro a través de esta interfase.

LAB_B(config)#interface serial 0 LAB_B(config-if)#encapsulation ppp LAB_B(configif)#ppp pap sent-username LAB_B password ciscoA partir de Cisco IOS 11.1 se debe habilitar PAP en la interfase del router que debe enviar la información de autenticación.

Frame RelayDLCI - Data Link Connection IdentifiersLos circuitos virtuales Frame Relay se diferencian utilizando un identificador denominado DLCI.

Router(config)#interface serial 0/0Router(config-if)#frame-relay interface-dlci [16-992]

El mapeo de direcciones IP a DLCI puede ser:

Dinámico: utilizando el protocolo IARP (ARP inverso)

Router(config-if)#frame-relay inverse arp

Manual: utilizando el comando map

Router(config-if)#frame-relay map [protocolo] [dirección] [dlci] [broadcast] [encapsulación]

Cisco IOS incluye vanos tipos diferentes de LMI y todos son incompatibles entre sí:Router(config-if)#frame-relay lmi-type [ANSl/cisco/q933a]

Configuración de una interfaz serial con Frame Relay

Router(config)linterface serial 0Router (conf ig-if) lencapsulation frame-relayRouter(config-if)tframe-relay lmi-type ciscoRouter(config-if)fno shutdown

¡Atención! Si se configurarán subinterfaces, NO se debe asignar una dirección IP a la interfaz física.

Subinterfaz punto a puntoRouter(config-if)#interface serialRouter(config-subif)#ip address 172Router(config-subif)#frame-relay

Subinterfaz punto a multipunto

10

Router(config-if)#interface serial 0.20 multipointRouter(config-subif)#ip address 172.16.21.1 255.255.255.255.0Router(config-subif)#frame-relay interface-dlci 21Router(config-subif)#no frame-relay inverse-arpRouter(config-subif)#frame-relay map ip 172.16.20.2 20 ietf

Comandos Varios

Configuración del servicio DHCPRouter(config)^service dhcpRouter(config)#ip dhcp excluded-address 172.16.0.0 172.16.1.3Router(config)#ip dhcp pool nombreRouter(dhcp-config)#network 172.16.1.0 255.255.255.0Router(dhcp-config)#dns-server 172.16.1.3Router(dhcp-config)#netbios-name-server 172.16.1.3Router(dhcp-config)#default-router 172.16.1.1Router(dhcp-config)#domain-name ccnaRouter(dhcp-config)#lease 18 0

Configuración del servicio NATRouter(config)#interface fastethernet 0/0Router(config-if)#ip nat insideRouter(config-if)#interface serial 0/0Router(config-if)tip nat outsideRouter(config-if)#exit

Router(config)#ip nat inside source static 172.16.1.2 200.15.17.12Router(config)#ip nat pool ccna 200.15.17.13 200.15.17.20 netmask 255.255.255.0

Router(config)#access-list 1 permit 172.16.1.8 0.0.0.7Router(config)#ip nat inside source list 1 pool ccnaRouter(config)#ip nat inside source list 1 interface serial 0/0 overloadRouter(config)#ip nat translation timeout 120Router(config)#exit

Router#clear ip nat translation *

Configuración de Listas de Acceso

Router(config)# access-list 1 permit host 221.17.15.2Router(config)# interface serial 0/1Router(config-if)# ip access-group 1 inRouter(config-if)# exit

Router(config)#access-list 102 deny tcp any host 172.16.1.3 ftpRouter(config)#interface serial 0/1Router(config-if) #ip access-group 102 in

Router(config)#ip access-list standard ccnaRouter(config-std-nacl) #permit host 221.17.15.2Router(config-std-nacl) #exitRouter(config)#interface serial 0/1Router(config-if)#ip access-group ccna in

Configuración de filtros de acceso a terminales virtuales

11

Router(config)#access-list 10 permit host 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 10 in

Configuración de servicios Frame RelayRouter(config)#interface serial 0Router(config-if) #encapsulation frame-relayRouter(config-if) #frame-relay lmi-type ciscoRouter(config-if) #no shutdown

Router(config)# interface serial 0Router(config-if)# encapsulation frame-relayRouter(config-if)# no shutdown

Router(config-if)# interface serial 0.21 point-to-pointRouter(config-subif)# ip address 172.16.21.1 255.255.255.252Router(config-subif)# frame-relay interface-dlci 21

Router(config) #interface serial 0Router(config-if) #encapsulation frame-relayRouter(config-if) #no shutdown

Router(config-if)# interface serial 0.20 multipointRouter(config-subif) # ip address 172.16.20.1 255.255.255.0Router(config-subif) # frame-relay interface-dlci 20Router(config-subif) #no frame-relay inverse-arpRouter(config-subif)# frame-relay map ip 172.16.20.2 20 ietf

Configuración de interfaz WAN PPP con autenticación CHAP

Router(config)# username Remoto password ciscoRouter(config)# interface serial 0/0Router(config-if)# encapsulation pppRouter(config-if)# ppp authentication chap

Router# configure terminalRouter(config)# username Router password ciscoRouter(config)# interface serial 0/0Router(config-if)# encapsulation ppp

Configuración de interfaz WAN PPP con autenticación PAPRouter(config)# username Remoto password ciscoRouter(config)# interface serial 0/0Router(config-if)# encapsulation pppRouter(config-if)# ppp authentication pap

Router(config)# username Router password ciscoRouter(config)# interface serial 0/0Router(config-if)# encapsulation pppRouter(config-if)# ppp pap sent-username Remoto password cisco

12

Configuración de enrutamiento estáticoRouter(config)# ip route 196.17.15.0 255.255.255.0 201.100.11.2Router(config)# ip route 207.7.68.0 255.255.255.0 serial 0/0 130Router(config)# ip route 0.0.0.0 0.0.0.0 serial 0/1Router(config)# ip default-network 200.15.17.0Configuración de enrutamiento EIGRPRouter(config)# router eigrp 20Router(config-router)# network 10.0.0.0Router(config-router)# no auto-summary

Configuración de enrutamiento OSPFRouter(config)# router ospf 2Router(config-router)# network 172.16.0.0 0.0.255.255 area 0Router(config-router)#exitRouter(config)# interface serial 0/0Router(config-if)#ip ospf cost 10Router(config-if)#ip ospf priority 255

Configuración del servicio DHCP

Router(config)# service dhcpRouter(config)# ip dhcp excluded-address 172.16.0.0 172.16.1.3Router(config)# ip dhcp pool nombreRouter(dhcp-config)# network 172.16.1.0 255.255.255.0Router(dhcp-config)# dns-server 172.16.1.3Router(dhcp-config)# netbios-name-server 172.16.1.3Router(dhcp-config)# default-router 172.16.1.1Router(dhcp-config)# domain-name ccnaRouter(dhcp-config)# lease 18 0

Configuración del servicio NATRouter(config)# interface fastethernet 0/0Router(config-if)# ip nat insideRouter(config-if)# interface serial 0/0Router(config-if)# ip nat outsideRouter(config-if)# exit

Router(config)# ip nat inside source static 172.16.1.2 200.15.17.12Router(config)# ip nat pool ccna 200.15.17.13 200.15.17.20 netmask 255.255.255.0Router(config)# access-list 1 permit 172.16.1.8 0.0.0.7Router(config)# ip nat inside source list 1 pool ccnaRouter(config)# ip nat inside source list 1 interface serial 0/0 overloadRouter(config)# ip nat translation timeout 120Router(config)# exitRouter# clear ip nat translation *

13

Configuración de Listas de Acceso

Router(config)# access-list 1 permit host 221.17.15.2Router(config)# interface serial 0/1Router(config-if)# ip access-group 1 in

Router(config)#access-list 102 deny tcp any host 172.16.1.3 ftpRouter(config)# interface serial 0/1Router(config-if)# ip access-group 102 in

Router(config)# ip access-list standard ccnaRouter(config-std-nacl)# permit host 221.17.15.2Router(config-std-nacl)# exitRouter(config)# interface serial 0/1Router(config-if)# ip access-group ccna in

Configuración de filtros de acceso a terminales virtualesRouter(config)# access-list 10 permit host 172.16.10.3Router(config)# line vty 0 4Router(config-line)# access-class 10 in

Configuración de servicios Frame RelayRouter(config)# interface serial 0Router(config-if)# encapsulation frame-relayRouter(config-if)# frame-relay lmi-type ciscoRouter(config-if)# no shutdown

Router(config)# interface serial 0Router(config-if)# encapsulation frame-relayRouter(config-if)# no shutdownRouter(config-if)# interface serial 0.21 point-to-pointRouter(config-subif)# ip address 172.16.21.1 255.255.255.252Router(config-subif)# frame-relay interface-dlci 21

Router(config)# interface serial 0Router(config-if)# encapsulation frame-relayRouter(config-if)# no shutdownRouter(config-if)# interface serial 0.20 multipointRouter(config-subif)# ip address 172.16.20.1 255.255.255.0Router(config-subif)# frame-relay interface-dlci 20Router(config-subif)# no frame-relay inverse-arpRouter(config-subif)# frame-relay map ip 172.16.20.2 20 ietf

Configuración de parámetros IP en un switch Catalyst 2950Switch(config)# interface vlan1Switch(config-if)# ip address 172.16.5.2 255.255.255.0

14

Switch(config-if)# no shutdownSwitch(config-if)# exitSwitch(config)# ip default-gateway 172.16.5.1

Configuración de STP en un switch Catalyst 2950Switch(config)#spanning-tree vlan 1 priority 1

Configuración de VTP en un switch Catalyst 2950Switcht# vlan databaseSwitch(vlan)# vtp v2-modeSwitch(vlan)# vtp domain ccnaSwitch(vlan)# vtp server

Configuración de VLANs en un switch Catalyst 2950Switcht# vlan databaseSwitch(vlan)# vlan 2 name ccnaSwitch(vlan)# applySwitch(vlan)# exit

Switcht# configure terminalSwitch(config)# interface fastEthernet 0/4Switch(config-if)# switchport mode accessSwitch(config-if)# switchport access vlan 2Switch(config-if)# exit

Switch(config)# interface fastEthernet 0/1Switch(config-if)# switchport mode trunkSwitch(config-if)# switchport trunk encapsulation dot1qSwitch(config-if)# exit

Configuración de una interfaz de router como troncalRouter(config-if)# interface fastethernet 0/0.1Router(config-subif)# encapsulation dot1q 1Router(config-subif)# ip address 172.18.1.1 255.255.255.0Router(config-subif)# interface fastethernet 0/0.2Router(config-subif)# encapsulation dot1q 2Router(config-subif)# ip address 172.18.2.1 255.255.255.0Router(config)# interface fastethernet 0/0Router(config-if)# no shutdown

Monitoreo de interfacesRouter# show interfacesRouter# show ip interfacesRouter# show ip interfaces briefRouter# show controllers

15

Monitoreo de PPPRouter# debug ppp negotiationRouter# debug ppp authenticationRouter# debug ppp packet

Monitoreo de DHCPRouter# show dhcp serverRouter# show dhcp lease

Monitoreo de NATRouter# show ip nat translationRouter# show ip nat statisticsRouter# debug ip nat

Monitoreo del enrutamientoRouter# show ip protocolosRouter# show ip route

Monitoreo de listas de accesoRouter# show access-listRouter# show ip access-listRouter# show ip interfacesRouter# show running-config

Monitoreo de Frame RelayRouter# show frame-relay pvc [dlci]Router# show frame-relay lmiRouter# show frame-relay mapRouter# debug frame-relay lmi

Monitoreo del switchRouter# show mac-address-tableRouter# clear mac-address-tableRouter# show spanning-tree

Monitoreo de VLANsSwitcht# show vtp statusSwitcht# show vlanSwitcht# show vlan briefSwitcht# show vlan id 2Switcht# show interface fastethernet 0/1 switchportSwitcht# show interface trunk

Comandos para crear copias de resguardoRouter# copy running-config startup-config

16

Router# copy system:running-config tftp:config.txtRouter# copy flash:c2600-is-mz.121-5 tftp:

Borrar configuración de un switch CatalystSwitch# delete flash:config.textSwitch# delete flash:vlan.datRoutert# copy flash:c2600-is-mz.121-5 tftp:

17