Configuracin de NAT

El procedimiento de configuracin de NAT requiere

1.Definicin de la interfaz interna para NAT 2.Definicin de la interfaz externa de NAT 3.Definicin de los parmetros de traduccin Diferentes modalidades: * NAT esttico

*NAt dinmico

* NAT overload o PAT

Definicin de las interfaces interna y externa

Router#configure terminal Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside Router(config-if)#interface serial 0/0 Router(config-if)#ip nat outside Definicin de NAT esttico Router(config)#ip nat inside source static [ip local] [ip global] Definicin de NAT dinmico 1.Definir las direcciones locales a traducir: Router(config)#access-list [1-99] permit [ip local] 2.Definir el conjunto de direcciones globales a utilizar: Router(config)#ip nat pool [name] [ip inicial] [ip final] netmask X.X.X.X 3.Establecer la traduccin de direcciones Router(config)#ip nat inside source list [X] pool [name] Definicin de PAT utilizando una sola direcci n IP pblica Router(config)#access-list [1-99] permit [ip local] Router(config)#ip nat inside source list [X] interface [int] overload PAT utilizando ms de una direccin IP pblica Router(config)#access-list [1-99] permit [ip local] Router(config)#ip nat pool [name] [ip] [ip] netmask X.X.X.X Router(config)#ip nat inside source list [X] pool [name] overload Comandosadicionales Routertclear ip nat translation * Router(config)#ip nat translation timeout [segundos] Comandos de monitoreo de NAT Router# show ip nat translation Routert# show ip nat statistics Routert# debug ip nat Router#configure terminal Router(config)#servicedhcp
1

Habilita el servicio DHCP en el router. Usualmente no es necesario ya que el servicioest habilitado por defecto. Router(config)#ip dhcp pool central Crea un servicio de direcciones para un conjunto denominado "central". Accede al modo de configuracin dhcp. Router(dhcp-config)#network 172.16.1.0 255.255.255.0 Asigna el conjunto de direccione s que corresponde a la subred declarada para ser asignado. Router(dhcp-config)#dns-server 172.16.1.3 Especifica la direccin IP del servidor DNS disponible para los clientes de este pool. Requiere al menos una direccin IP y permite hasta 8. Router(dhcp-config)#netbios-name-server 172.16.1.3 Especifica la direccin IP del servidor NetBios WINS disponible para los clientes dhcp. Requiere al menos una direccin IP y permite hasta 8. Router(dhcp-config)tdefault-router 172.16.1.1 Especifica la direccin IP d el servidor gateway disponible para los clientes de este pool. Requiere al menos una direccin IP y permite hasta 8. Router(dhcp-config)#domain-name prueba Especifica el nombre de dominio a entregar: "prueba". Router(dhcp-config)#lease 1 8 0 Define la duracin de la asignacin de informacin al host. Se expresa en das (1) horas (8) minutos (0). Valor por defecto: un da (1 0 0). Router(config)#ip dhcp excluded -address 172.16.1.1 172.16.1.3 Permite excluir del conjunto definido las direcciones IP que se desean administrar manualmente.

Comandosvarios:
Router#copytftp running-config Copia un archivo de configuracin guardado en un servidor tftp a la RAM del router. Router#copytftpstartup-config Copia un archivo de configuracin guardado en un servidor tftp directamente a la NVRAM del router.

Network AddressTranslation (NAT)

Proceso que permite cambiar una direccin por otra nueva en el encabezado de un paquete IP. En la prctica seutiliza para habilitar direcciones IP privadas a circular sobre Internet o para reducir la cantidad de direcciones IP a disponer para conexiones remotas. Dispositivo NAT:Tambin denominado NAT box. Puede ser: Router Cisco Sistema UNIX Otro tipo de dispositivo. Este dispositivo opera tpicamente en el borde de un rea stub. Terminologa NAT:

Servidor Windows XP

 Direccin Local Interior - Direccin IP asignada a un nodo en la red interna.

 Direccin Global Interior - Direccin IP de un nodo de la red interna, tal como aparece en la redexterna. Tpicamente es una direccin provista por un ISP.  Direccin Local Exterior - Direccin IP de un nodo de la red externa, tal como es conocida porlos nodos de la red interna.  Direccin Global Exterior - Direccin IP asignada a un nodo en la red externa.
NAT esttico Permite un mapeo uno a uno de direcciones locales y globales de modo esttico. Se utiliza paradirecciones que deben estar accesibles desde Internet como el caso de servidores o dispositivos denetworking. NAT dinmico Realiza el mismo mapeo que NAT esttico, pero de modo dinmico, por lo que no siempre la mismadireccin pblica estar relacionada con el mismo nodo de la red interna. PAT Mapea mltiples direcciones de la red interna a una misma direccin pblica, identificando cada direccin interna por un nmero de puerto utilizando un cdigo de 16 bits.

Las ventajas de NAT son :

1-Evita la necesidad de reasignar direcciones IP cuando se cambia de proveedor. 2-Conserva direcciones IP. 3- Protege la seguridad de la red.

Configuracin de NAT esttico

Se debe tener en cuenta que NAT se aplica tpicamente en redes stub, sobre la salida de la red a la red pblica. LAB_A(config)#ip route 0.0.0.0 0.0.0.0 201.100.11.2 Establece una ruta por defecto hacia la red externa. Reenviar todo el trfico hacia la red del proveedor de servicio. LAB_A(config)#ip nat inside source static 172.16.15.15 20.1.1.45 Establece un mapeo esttico entre la direccin local interior y una direccin global interior. LAB_A(config)^interface fastethernet 0/1 Define la interface que se comporta como gateway de la red interior. Es la interface que corresponde a la red interna. LAB_A(config-if)#ip nat inside Marca la interface conectada a la red interna. LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 Especifica la interface conectada a la red externa. LAB_A(config-if)#ip nat outside Marca la interfase conectada a la red externa.

Configuracin de NAT dinmico

LAB_A(config)#access-list 1 permit 172.16.15.16 0.0.0.15 En primer lugar se utiliza una lista de acceso para definir el rango de direcciones locales interiores susceptibles de ser traducidas por NAT.
3

LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224 Define un conjunto de direcciones pblicas a utilizar en el proceso. LAB_A(config)#ip nat inside source list 1 pool publ Asocia la lista de acceso creada para que utilice el conjunto de direcciones IP pblicas que hemos denominado "public" realizando una traduccin dinmica de direcciones. LAB_A(config)#interface fastethernet 0/1 LAB_A(config-if)#ip nat inside LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 LAB_A(config-if)#ip nat outside

Configuracin de PAT
LAB_A(config)#access-list 1 permit 172.16.15.16 0.0.0.15 LAB_A (config) #ip nat insidesource list 1 interface serial 0 /0 overload Asocia la lista de acceso con la direccin IP pblica de la interfase de salida, para que realice el proceso de PAT. LAB_A(config)#ip nat pool publ 20.1.1.40 20.1.1.55 netmask 255.255.255.224 PAT tambin puede realizarse utilizando un conjunto de direcciones pblica. Este comando define un conjunto de direcciones pblicas a utilizar en el proceso LAB_A(config)#interface fastethernet 0/1 LAB_A(config-if)#ip nat inside LAB_A(config-if)#exit LAB_A(config)#interface serial 0/0 LAB_A(config-if)#ip nat outside LAB_A(config)#ip nat inside source list 1 pool publ overload Asocia la lista de acceso con el conjunto de direcciones IP pblicas que secre antes, para que realice el proceso de PAT. Router_B#Ctrl+shift+6 luego x Permite suspender una sesin telnet abierta y regresar al dispositivo local. Lasesin telnet permanece abierta, pero no est en uso, se puede regresar aella luego.

Reglas de funcionamiento de ACL

Se puede configurar una sola lista en cada interfase por sentido del trfico (entrante / saliente), por protocolo de enrutamiento (IP, IPX, etc.). Cada lista de acceso es identificada por un ID nico (un numrico o alfanumrico). En el caso de laslistas numeradas, este ID identifica el tipo de lista de acceso y las diferen cia de otras semejantes. Cada paquete que ingresa o sale de la interfase es comparado con cada lnea de la lista secuencialmente, en el mismo orden en que fueron ingresadas, comenzando por la primera ingresada. La comparacin se sigue realizando hasta tanto se encuentre una coincidencia. Una vez que elpaquete cumple la condicin de una lnea, se ejecuta la accin indicada y no se sigue comparando. Hay un deny all implcito al final de cada lista de acceso, que no es visible. Por lo tanto, si el paquete no coincide con ninguna de las premisas declaradas en la lista ser descartado. Los filtros de trfico saliente no afectan el trfico originado en el mismo router. Las listas de acceso IP al descartar un paquete envan al origen un mensaje ICMP de "host de destino inalcanzable".

Tipos de listas de acceso IP

 Listas de acceso estndar - permiten filtrar nicamente direcciones IP de origen.  Listas de acceso extendidas - verifican direcciones de origen y destino, protocolo de capa 3,protocolo y puerto de ca pa 4.  Listas de acceso nombradas - Listas de acceso IP tanto estndar como extendidas que verificandirecciones de origen y destino, pro tocolos de capa 3 y puertos de capa 4, identificadas con una cadenade caracteres alfanumricos. A diferencia de las listas de acceso numeradas, se configuran en unsubmodo propio y son editables.  Lista de acceso entrante - Controlan el trfico que ingresa al router a travs del puerto en el queest aplicada, y antes de que sea conmutado a la interfase de salida.  Lista de acceso saliente - Controlan el trfico saliente del router a travs del puerto en que estaplicada, una vez que ya ha sido conmutado.

Numero de lista de acceso :

El tipo de lista de acceso y protocolo de capa 3 que filtra se especifica a partir de un n mero de lista de acceso. El listado completo de nmeros de listas de acceso y su significado se puede consultar en el IOS a partir del modo configuracin tipeando: Router(config)#access-list ? 1-99 IP estndar 100-199 IP extendida

Nmeros de puerto: En las listas de acceso IP extendidas, al especificar protocolo tcp o udp se
puede tambin especificar laaplicacin que se desea filtrar a travs del nmero de puerto.
5

FTP Data FTP Telnet SMTP Time TACACS DNS DHCP server DHCP client TFTP Gopher Finger HTTP POP3 RPC NetBIOS name NetBIOS datag NetBIO session SNMP IRC

= 20 = 21 = 23 = 25 = 37 = 49 = 53 = 67 = 68 = 69 = 70 = 79 = 80 = 110 = 111 = 137 = 138 = 139 = 161 = 194

TCP TCP TCP TCP UDP UDP UDP UDP UDP UDP UDP UDP TCP TCP UDP UDP UDP UDP UDP

Mscara de wildcard
Las mscaras de wildcard son direcciones de 32 bits divididas en 4 octetos de 8 bits utilizadas para generar filtros de direcciones IP. Se utilizan en combinacin con una direccin IP. En las mscaras de wildcar el dgito en 0 (cero) indica una posicin que debe ser comprobada, mientras que el dgito 1 (uno) indica una posicin que carece de importancia. La mscara se aplica a una direccin IP especfica contenida en la declaracin de la ACL y a la direccin de lospaquetes a evaluar. Si ambos resultados son iguales, entonces se aplica al paquete el criterio de permiso o denegacin enunciado en la lnea correspondiente. 172.16.14.330.0.0.0 Indica que se debe seleccionar nicamente la direccin IP declarada 172.16.14.44 0.0.0.255 Selecciona todas las direcciones IP comprendidas entre 172.16.14.0 y 172.16.14.255(no discrimina respecto del cuarto octeto). 172.16.14.14 0.0.255.255 Selecciona todas las direcciones IP de la red 172.16.0.0 comprendidas entre 172.16.0.0 y 172.16.255.255 (no discrimina respecto del nmero de nodo -los dos ltimos bits-). Casos especiales xxx.xxx.xxx.xxx 0.0.0.0 = host xxx.xxx.xxx.xxx 0.0.0.0 255.255.255.255= any Algunas reglas de clculo 1. Cuando se desea filtrar una red completa, la mscara de wildcard es el complemento de la mscara de subred por defecto: Ejemplo: Direccin de red:

200.

.15

.104

.0
6

Mscara de subred: 255 Mscara de wildcard: 0

.255 .0

.255 .0

.0 .255

2. Cuando se desea filtrar una subred completa, la mscara de wildcard es el complemento de la mscara de subred que se est aplicando: Ejemplo: Direccin de subred: 172 Mscara de subred:255 Mscara de wildcard: 0

.16 .255 .0

.1 .255 .0

.32 .224 .31

Configuracin De Las Listas De Acceso

Listas de acceso IP estndar numeradas Router(config)#access-list [ID] [permit/demy] [IP origen] Router(config)#no access-list [ID] Router(config)#interface serial 0/1 Router(config-if)#ip access-group [ID] [in/out] Listas De Acceso IP Extendida Numeradas Router(config)#access-list [ID] [permit/demy] [protocolo] [IP origen] [IP destino][log] [tiposervicio] Router(config)#no access-list [ID] Router(config)#interface serial 0/1 Router(config-if)#ip access-group [ID] [in/out] Listas De Acceso IP Nombradas Router(config)#access-list [estndar/extended] [nombre] Router(config)#[permit/deny] [ip origen] Router(config)#[permit/deny] [protocolo] [IP origen] [IP destino] [tipo servicio] Router(config-if)#ip access-group [ID] [in/out]

Filtros aplicados a terminales virtuales

Se pueden aplicar a las terminales virtuales (acceso por telnet) listas de acceso estndar a fin de limitar las direcciones IP a partir de las cuales se podr conectar al dispositivo va telnet. Un ejemplo: Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in Monitoreo de las listas Router#showaccess-list [#] Muestra las listas y el contenido de todas las ACL o una en particular. Nos permiteverificar a qu interfase estn aplicadas. Router#show ip access-list Muestra solamente la configuracin de ACL IP. Router#show ip interface

Muestra los puertos que tienen aplicadas ACL IP. Routerf# show running-config Muestra tanto las listas de acceso configuradas, como la que se encuentran aplicadasa cada interfase.

Tips de aplicacin
y y y y y y y Las listas de acceso estndar deben colocarse lo ms cerca posible del destino del trfico. Las listas de acceso extendidas deben colocarse lo ms cerca posible del origen del trfico que ser denegado. Antes de comenzar a trabajar sobre una lista de acceso existente desvinclela de todas las interfases a las que se encuentre asociada. No se puede remover o cambiar el orden de una consigna de una lista de acceso numerada (no son editables). Ya que las listas numeradas no son editables es una buena prctica -para mantener un proceso deedicin ms simple-, recurrir al uso de un editor de texto. Cada vez que agrega una lnea a la lista de acceso esta se ubicar a continuacin de las lneasexistentes, al final. Organice su lista de acceso de modo que los criterios ms especficos estn al comienzo de la misma, y luego las premisas ms generales. y y y y Coloque primero los permisos y luego las denegaciones. Toda lista debe incluir al menos un comando permit. Las listas no filtran el trfico originado en el router. Una misma lista de acceso puede ser asignada a vanas interfases en el mismo dispositivo,tanto en modo entrante como saliente.

Procedimiento de configuracin de Listas de Acceso

1. Creacin de Listas de Acceso IP LAB_A#config t Enter configuration commands, one per line. End with CNTL/Z. LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 21 Crea un filtro que permite el trfico de solicitudes de servicios ftp de cualquierdispositivo qu e quiera acceder a la direccin IP 205.7.5.10. LAB_A(config)#access-list 101 permit tcp any host 205.7.5.10 eq 80 Crea un filtro que permite el trfico de solicitudes de servicios http de cualquierdispositivo que quiera acceder al servidor ubicado en la direccin IP 205.7.5.10. LAB_A(config)#access-list 101 deny ip any 205.7.5.0 0.0.0.255 Crea un filtro que deniega todo el trfico ip que est dirigido especficamente a la red 205.7.5.0. LAB_A(config)#access-list 101 deny tcp any anyeq 23 Crea un filtro que deniega todo requerimiento de inicio de sesiones telnet, cualquierasea su origen o destino.

LAB_A(config)#access-list 101 deny icmp any any echo Crea un filtro que deniega toda solicitud de ping cualquiera sea su origen o destino. LAB_A(config)#access-list 101 permit ip any any Crea un filtro que permite todo otro trfico IP que no est especificado en las sentencias precedentes. LAB_A(config)#access-list 102 permit tcp host 205.7.5.10 any established Otra lista de acceso (102) que permite que se responda todo el trfico que sea respuesta a solicitudes recibidas por el servidor ubicado en la direccin 205.7.5.10. 2. Asignacin de las Listas de Acceso a puertos LAB_A(config)#interface fastethernet 0/0 LAB_A(config -if)#ip access-group 101 in Asigna la lista de acceso 101 a la interfase fastethernet 0/0, de modo que verifique todo el trfico entrante al router. LAB_A(config-if)#interface fastethernet 0/1 LAB_A(config-if)#ip access-group 102 in Asigna la lista de acceso 102 a la interfase Ethernet 0/1, de modo que verifique todotrfico entrante al router.

Configuracin de HDLC
Router# configure terminal Router(config)# interface serial 0/0 Router(config)#encapsulation hdlc

Configuracin de una Interfase Serial con PPP

PPP con autenticacin CHAP
LAB_A(config)#username LAB_B password cisco Crea un usuario y password de autenticacin para un dispositivo remoto que soliciteconexin con nuestro router. Ambos parmetros son sensibles a maysculas y minsculas.El username corresponde con el hostname del dispositivo que requiere conexin. LAB_A(config)#interface serial 0 LAB_A(config-if)#ip address 172.16.10.0 255.255.255.0 LAB_A(config-if)#encapsulation ppp Selecciona encapsulacin ppp para el trfico entrante y saliente por esta interfase. LAB_A(config-if)#ppp authentication chap Activa el protocolo de autenticacin chap para todos los dispositivos que intentenconectarse con el nuestro a travs de esta interfa se LAB_B (config)# username LAB_A password cisco LAB_B(config)#interface serial 0 LAB_B(config-if)#encapsulation ppp LAB_B(config-if)#ppp chap hostname LAB_C LAB_B(config-if)#ppp chap password cisco Esta combinacin de comandos permite configurar un conjunto de dispositivos para quese autentiquen contra un nico dispositivo remoto utilizando el mismo usuario y password.

PPP con autenticacin PAP

LAB_A(config)#username LAB_B password cisco LAB_A(config)#interface serial 0 LAB_A(config-if)#encapsulation ppp LAB_A(config-if)# ppp authentication pap Activa el protocolo de autenticacin pap para todos los dispositivos que intentenconectarse con el nuestro a travs de esta interfase. LAB_B(config)#interface serial 0 LAB_B(config-if)#encapsulation ppp LAB_B(configif)#ppp pap sent -username LAB_B password cisco A partir de Cisco IOS 11.1 se debe habilitar PAP en la interfase del router que debe enviar la informacin de autenticacin.

Frame Relay
DLCI - Data Link Connection Identifiers Los circuitos virtuales Frame Relay se diferencian utilizando un identificador denominado DLCI. Router(config)#interface serial 0/0 Router(config-if)#frame-relay interface-dlci [16-992]

El mapeo de direcciones IP a DLCI puede ser :

Dinmico: utilizando el protocolo IARP (ARP inverso) Router(config-if)#frame-relay inverse arp Manual: utilizando el comando map Router(config-if)#frame-relay [encapsulacin] map [protocolo] [direccin] [dlci][broadcast]

Cisco IOS incluye vanos tipos diferentes de LMI y todos son incompatibles entre s : Router(config-if)#frame-relay lmi-type [ANSl/cisco/q933a] Configuracin de una interfaz serial con Frame Relay Router(config)linterface serial 0 Router (config-if) lencapsulation frame -relay Router(config-if)tframe-relay lmi-type cisco Router(config-if)fno shutdown Atencin! Si se configurarn subinterfaces, NO se debe asignar una direccin IP a lainterfaz fsica. Subinterfaz punto a punto Router(config-if)#interface serial Router(config-subif)#ip address 172 Router(config-subif)#frame-relay Subinterfaz punto a multipunto Router(config-if)#interface serial 0.20 multip oint Router(config-subif)#ip address 172.16.21.1 255.255.255.255.0 Router(config-subif)#frame-relay interface-dlci 21
10

Router(config-subif)#no frame-relay inverse-arp Router(config-subif)#frame-relay map ip 172.16.20.2 20 ietf

Comandos Varios
Configuracin del servicio DHCP
Router(config)^service dhcp Router(config)#ip dhcp excluded -address 172.16.0.0 172.16.1.3 Router(config)#ip dhcp pool nombre Router(dhcp-config)#network 172.16.1.0 255.255.255.0 Router(dhcp-config)#dns-server 172.16.1.3 Router(dhcp-config)#netbios-name-server 172.16.1.3 Router(dhcp-config)#default-router 172.16.1.1 Router(dhcp-config)#domain-name ccna Router(dhcp-config)#lease 18 0

Configuracin del servicio NAT

Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside Router(config-if)#interface serial 0/0 Router(config-if)tip nat outside Router(config-if)#exit Router(config)#ip nat inside source static 172.16.1.2 200.15.17.12 Router(config)#ip nat pool ccna 200.15.17.13 200.15.17.20 netmask 255.255.255.0 Router(config)#access-list 1 permit 172.16.1.8 0.0.0.7 Router(config)#ip nat inside source list 1 pool ccna Router(config)#ip nat inside source list 1 interface serial 0/0 overload Router(config)#ip nat translation timeout 120 Router(config)#exit Router#clear ip nat translation *

Configuracin de Listas de Acceso

Router(config)#access-list 1 permit host 221.17.15.2 Router(config)#interface serial 0/1 Router(config-if)#ip access-group 1 in Router(config-if)# exit Router(config)#access-list 102 deny tcp any host 172.16.1.3 ftp Router(config)#interface serial 0/1 Router(config-if)#ip access-group 102 in Router(config)#ip access -list standard ccna Router(config-std-nacl)#permit host 221.17.15.2 Router(config-std-nacl) #exit Router(config)#interface serial 0/1 Router(config-if)#ip access-group ccna in

Configuracin de filtros de acceso a terminales virtuales

Router(config)#access-list 10 permit host 172.16.10.3 Router(config)#line vty 0 4 Router(config-line)#access-class 10 in
11

Configuracin de servicios Frame Relay

Router(config)#interface serial 0 Router(config-if)#encapsulation frame -relay Router(config-if)#frame-relay lmi-type cisco Router(config-if)#no shutdown Router(config)#interface serial 0 Router(config-if)#encapsulation frame -relay Router(config-if)#no shutdown Router(config-if)#interface serial 0.21 point -to-point Router(config-subif)#ip address 172.16.21.1 255.255.255.252 Router(config-subif)#frame-relay interface-dlci 21 Router(config)#interface serial 0 Router(config-if)#encapsulation frame-relay Router(config-if)#no shutdown Router(config-if)#interface serial 0.20 multipoint Router(config-subif) #ip address 172.16.20.1 255.255.255.0 Router(config-subif) #frame-relay interface-dlci 20 Router(config-subif) #no frame-relay inverse-arp Router(config-subif)#frame-relay map ip 172.16.20.2 20 iet f

Configuracin de interfaz WAN PPP con autenticacin CHAP Router(config)# username Remoto password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp authentication chap
Router# configure terminal Router(config)# username Router password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp

Configuracin de interfaz WAN PPP con autenticacin PAP Router(config)# username Remoto password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp authentication pap
Router(config)# username Router password cisco Router(config)# interface serial 0/0 Router(config-if)# encapsulation ppp Router(config-if)# ppp pap sent-username Remoto password cisco

Configuracin de enrutamiento esttico Router(config)# ip route 196.17.15.0 255.255.255.0 201.100.11.2 Router(config)# ip route 207.7.68.0 255.255.255.0 serial 0/0 130
12

Router(config)# ip route 0.0.0.0 0.0.0.0 serial 0/1 Router(config)# ip default-network 200.15.17.0 Configuracin de enrutamiento EIGRP Router(config)# router eigrp 20 Router(config-router)# network 10.0.0.0 Router(config-router)# no auto-summary

Configuracin de enrutamiento OSPF Router(config)# router ospf 2 Router(config-router)# network 172.16.0.0 0.0.255.255 area 0 Router(config-router)#exit Router(config)# interface serial 0/0 Router(config-if)#ip ospf cost 10 Router(config-if)#ip ospf priority 255 Configuracin del servicio DHCP Router(config)# servicedhcp Router(config)# ip dhcp excluded-address 172.16.0.0 172.16.1.3 Router(config)# ip dhcp pool nombre Router(dhcp-config)# network 172.16.1.0 255.255.255.0 Router(dhcp-config)# dns-server 172.16.1.3 Router(dhcp-config)# netbios-name-server 172.16.1.3 Router(dhcp-config)# default-router 172.16.1.1 Router(dhcp-config)# domain-name ccna Router(dhcp-config)# lease 18 0 Configuracin del servicio NAT Router(config)# interface fastethernet 0/0 Router(config-if)# ip nat inside Router(config-if)# interface serial 0/0 Router(config-if)# ip nat outside Router(config-if)# exit
Router(config)# ip nat inside source static 172.16.1.2 200.15.17.12 Router(config)# ip nat pool ccna 200.15.17.13 200.15.17.20 netmask 255.255.255.0 Router(config)# access-list 1 permit 172.16.1.8 0.0.0.7 Router(config)# ip nat inside source list 1 pool ccna Router(config)# ip nat inside source list 1 interface serial 0/0 overload Router(config)# ip nat translation timeout 120 Router(config)# exit Router# clear ip nat translation *

Configuracin de Listas de Acceso Router(config)# access-list 1 permit host 221.17.15.2 Router(config)# interface serial 0/1
13

Router(config-if)# ip access-group 1 in Router(config)#access-list 102 deny tcp any host 172.16.1.3 ftp Router(config)# interface serial 0/1 Router(config-if)# ip access-group 102 in Router(config)# ip access-list standard ccna Router(config-std-nacl)# permit host 221.17.15.2 Router(config-std-nacl)# exit Router(config)# interface serial 0/1 Router(config-if)# ip access-group ccna in

Configuracin de filtros de acceso a terminales virtuales Router(config)# access-list 10 permit host 172.16.10.3 Router(config)# line vty 0 4 Router(config-line)# access-class 10 in Configuracin de servicios Frame Relay Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# frame-relay lmi-type cisco Router(config-if)# no shutdown
Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# no shutdown Router(config-if)# interface serial 0.21 point-to-point Router(config-subif)# ip address 172.16.21.1 255.255.255.252 Router(config-subif)# frame-relay interface-dlci 21 Router(config)# interface serial 0 Router(config-if)# encapsulation frame-relay Router(config-if)# no shutdown Router(config-if)# interface serial 0.20 multipoint Router(config-subif)# ip address 172.16.20.1 255.255.255.0 Router(config-subif)# frame-relay interface-dlci 20 Router(config-subif)# no frame-relay inverse-arp Router(config-subif)# frame-relay map ip 172.16.20.2 20 ietf

Configuracin de parmetros IP en un switch Catalyst 2950 Switch(config)# interface vlan1 Switch(config-if)# ip address 172.16.5.2 255.255.255.0 Switch(config-if)# no shutdown Switch(config-if)# exit Switch(config)# ip default-gateway 172.16.5.1

14

Configuracin de STP en un switch Catalyst 2950 Switch(config)#spanning-tree vlan 1 priority 1 Configuracin de VTP en un switch Catalyst 2950 Switcht# vlan database Switch(vlan)# vtp v2-mode Switch(vlan)# vtp domain ccna Switch(vlan)# vtp server Configuracin de VLANs en un switch Catalyst 2950 Switcht# vlan database Switch(vlan)# vlan 2 name ccna Switch(vlan)# apply Switch(vlan)# exit
Switcht# configure terminal Switch(config)# interface fastEthernet 0/4 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 2 Switch(config-if)# exit Switch(config)# interface fastEthernet 0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# exit

Configuracin de una interfaz de router como troncal Router(config-if)# interface fastethernet 0/0.1 Router(config-subif)# encapsulation dot1q 1 Router(config-subif)# ip address 172.18.1.1 255.255.255.0 Router(config-subif)# interface fastethernet 0/0.2 Router(config-subif)# encapsulation dot1q 2 Router(config-subif)# ip address 172.18.2.1 255.255.255.0 Router(config)# interface fastethernet 0/0 Router(config-if)# no shutdown Monitoreo de interfaces Router# show interfaces Router# show ip interfaces Router# show ip interfaces brief Router# show controllers Monitoreo de PPP Router# debug ppp negotiation Router# debug ppp authentication Router# debug ppp packet
15

Monitoreo de DHCP Router# show dhcp server Router# show dhcp lease Monitoreo de NAT Router# show ip nat translation Router# show ip nat statistics Router# debug ip nat Monitoreo del enrutamiento Router# show ip protocolos Router# show ip route Monitoreo de listas de acceso Router# show access-list Router# show ip access-list Router# show ip interfaces Router# show running-config Monitoreo de Frame Relay Router# show frame-relay pvc [dlci] Router# show frame-relay lmi Router# show frame-relay map Router# debug frame-relay lmi Monitoreo del switch Router# show mac-address-table Router# clear mac-address-table Router# show spanning-tree Monitoreo de VLANs Switcht# show vtp status Switcht# show vlan Switcht# show vlan brief Switcht# show vlan id 2 Switcht# show interface fastethernet 0/1 switchport Switcht# show interface trunk Comandos para crear copias de resguardo Router# copy running-config startup-config Router# copy system:running-config tftp:config.txt Router# copy flash:c2600-is-mz.121-5 tftp: Borrar configuracin de un switch Catalyst Switch# delete flash:config.text Switch# delete flash:vlan.dat
16

Routert# copy flash:c2600-is-mz.121-5 tftp:

17