Comandos Final Ccna

MODO USUARIO
MODO PRIVILEGIADO O
MODO EXEC-LEVEL
MODO DE CONFIGURACION GLOBAL MODO DE CONFIGURACION ESPECIFICA EJECUCION DESDE CUALQUIER MODO
Router> Router# Router(config)# Router(config-x)# DO <COMANDO>
Router(config-if)# modo interface
Router(config-subif)# modo subinterf
Router(config-line)# modo linea
Router(config-router)# modo conf rout
etc
|
REGRESAR DESDE CUALQUIER MODO, A LA JERARQUIA ANTERIOR EXIT
REGRESAN DESDE CUALQUIER MODO AL ULTIMO MODO DE LA JERARQUIA END
do Usar comandos exec en modo conf global u sub mod de conf
show, clear,debug
no se puede uasr do para el comando configure terminal
ROUTER MODES
etc
USUARIO A PRIVILEGIADO
Enable
PRIVILEGIADO A CONFIGURACION GLOBAL
Configure Terminal
CONFIGURACION GLOBAL A CONFIGURACION ESPECIFICA
Interface Fastethernet 0/0
ID PARA QUE SIRVE
1 NOMBRE ROUTER
2 PASSWORDS ENABLE
3 PASSWORDS SECRET
con figurar puerto auxiliar
6 ENCRIPTACION DE PASSWORD
7 DESENCRIPTACION DE PASSWORD
8 MOVIMIENTO INTERFACE SERIAL
9 MOVIMIENTO INTERFACE FASTETHERNET
10 RETORNO A MODO DE CONF GLOBAL
13 CREAR EL MENSAJE DEL DIA BANNER
14 QUITAR EL MENSAJE DEL DIA BANNDE
15 APAGAR OPERACIN DE BUSQUEDA DE DOMINIO
18 salvando configuraciones hacia a la nvram
19 salvando configuraciones hacia servidor tftp
20 BORRANDO CONFIGURACIONES de NVRAM
21 Lista todos los comandos de show que existan
22 Estadistica de todas las interfaces
PASSWORD CONSOLA
PASSWORD DE VTY
4
5
CONFIGURANDO UNA INTERFACE SERIAL 11
17 TIEMPO DE ESPERA DE COMANDOS EXEC
12 CONFIGURANDO UNA FASTETHERNET
COMANDO SINCRONO DE REGISTRO 16
23 Muestra una estadistica de una interface serial
24 Sumario de todas las interfaces y estado
25 Estadistica del Clock rate}
26 Display del seteo de tiempo sobre dispositivo
27 muestra los host locales
28 muestra usuarios conectados al dispositivos
29 historia de los comandos usados para editar
30 informacion memoria flash
31 informacion acerca de la version cargada
32 muestra la tabla arp
33 muestra el estatus de nivel 3 de protocolos
34 muestra la configuracion de arranque
35 muestra la configuracion en ejecucion
36 EJECUTA COMANDOS DE EXEC EN MODO CONF
37 establece hora local en router
38 entra al modo privilegiado
39 Entra al modo de configuracion global
40 CONFIGURAR UN RUTA ESTATICA EN ROUTER
41 CONFIGURAR UN RUTA ESTATICA EN ROUTER
42 CONF RUTA ESTATICA PERMANENTE
43 CONF RUTA ESTATICA DISTANCIA OPCIONAL
44 RUTA POR DEFECTO EN UN ROUTER
45 RUTA POR DEFECTO EN UN ROUTER
46 VERIFICAR RUTAS ESTATICAS
REDISTRIBUIR RUTA ESTATICA
47 COMPORTAMIENTO SIN CLASE
48 COMPORTAMIENTO CON CLASE
49 HABILITA RIP
50 REDES QUE SE DESAN PUBLICAR
51 DESACTIVAR RIP
52 ELIMINAR PUBLICACION DE REDES
53 HABILITAR RIP V2
54 HABILITAR RIP V1
55 ELIMNA LA AUTO SUMARIZACION
56 INTERFAZ PASIVA EN RIP
57 DEFINE UN VECINO PARA INTERCAMBIAR INFO
58 GENERA RUTA POR DEFECTO EN RIP
59 MUESTRA LA ACTIVIDAD DE RIP EN TIEMPO REAL
60 MUJESTRA BASE DE DATOS
61 HABILITAR EIGRP
62 PUBLICAR RED EN EIGRP
63 ESTABLECER ANCHO DE BANDA
64 ELIMA LA RED DEL PROCESO EIGRP
65 desactiva el proceso de enrutammiento eigrp 100
66 PUBLICAR RED EN EIGRP CON WILDCARD
67 CAMBIAR METRICA
68 PERMITIR AUTO RESUMEN
69 QUITAR AUTO SUMARY
72 Verificar Eigrp
73 Verificar Eigrp detalladamente
74 Verificar interfaz
75 verifica interfaz en especial
76 muestra las interfaces
77 Toplogia eigrp
78 tabla eigrp
muestra toda la topolgoia
79 Solucion de problemas eigrp
80 eventos y acciones realacioandos con eigrp vecinos
81 eventos y acciones realacioandos con eigrp vecinos
82 COMIENZA PROCESO DE OSPF
cambiar porcentaje
CONFIGURAR EL TIEMPOR DE RETENCION
83 PUBLICIDAD DE INTERFACES
GENERA RUTA POR DEFECTO EN OSPF 58
CONFIGURAR SALUDO EN EIGRP
configurar ancho de banda
HABILITAR MANUALMENTE AUTOSUMARY 70
USO DE BANDWIDTH 71
interface loopback
router id
84
85
protocolo de descubrimiento cisco
Deshabklitar cdp en la interfaz
Deshablta cdp en el router
ojo ojo ojo.
ojo ojo ojo.
router id
ELECCION DR/BDR
85
86
MODIFICANDO METRICAS DE COSTO 87
timers 88
show 89
COMANDO CONF GLOBAL
Router(config)#hostname <cisco> x
Router(config)#enable password <cisco> x
Boston(config-line)#line aux 0 x
Router(config)#line console 0 x
Router(config-line)#password <console>
Router(config-line)#login
Router(config)#line vty 0 4 x
Router(config-line)#password <telnet>
Boston(config-line)#line aux 0
Router(config)#service password-encryption x
Router(config)#no service password-encryption
Router(config)#interface serial 0/0/0 x
Router(config-if)#interface fastethernet 0/0 x
Router(config-if)#exit
Router(config)#interface serial 0/0/0 x
Router(config-if)#description <Link to ISP>
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#clock rate 56000
Router(config-if)#no shutdown
Router(config)#interface fastethernet 0/0
Router(config-if)#description <Accounting LAN>
Router(config)#banner motd # Building Power # chap
Router(config)# no banner motd # Building Power #
x
Router(config)#no ip domain-lookup x
Router(config)#line console 0
Router(config-line)#logging synchronous
Router(config)#line console 0 x
Router(config-line)#exec-timeout 0 0
Router#copy running-config startup-config=write
Router#copy running-config tftp
Router#erase startup-config
Router#show ?
Router#show interfaces
Router#show interface serial 0/0/0
Router#show ip interface brief
Router#show controllers serial 0/0/0
Router#show clock
Router#show hosts
Router#show users
Router#show history
Router#show flash
Router#show version
Router#show arp
Router#show protocols
Router#show startup-config
Router#show running-config
Router(config)#do show running-config X
Router#clock set 18:30:00 15 May 2007
Router>enable
Router#configure terminal
Router(config)#ip route 172.16.20.0 255.255.255.0 172.16.10.2 x
Router(config)#ip route 172.16.20.0 255.255.255.0 serial 0/0/0 x
Router(config)#ip route 172.16.20.0 255.255.255.0 172.16.10.2 permanent X
Router(config)#ip route 172.16.20.0 255.255.255.0 172.16.10.2 200 X
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.10.2 X
Router(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0/0 X
Router#show ip route
Router(config-router)#redistribute static
Router(config)#ip classless X
Router(config)#no ip classless X
Router(config)#router rip x
Router(config-router)#network w.x.y.z X
Router(config)#no router rip X
Router(config-router)#no network w.x.y.z
Router(config-router)#version 2
Router(config-router)#version 1
Router(config-router)#no auto-summary
Router(config-router)#passive-interface s0/0/0
Router(config-router)#neighbor a.b.c.d
Router(config-router)#default-information originate
Router#debug ip rip
Router#show ip rip database
Router(config)#router eigrp 100 X
Router(config-router)#network 10.0.0.0
Router(config-if)#bandwidth x
Router(config-router)#no network 10.0.0.0
Router(config)#no router eigrp 100 x
Router(config-router)#network 10.0.0.0 0.255.255.255
Router(config-router)#metric weights tos k1 k2 k3 k4 k5
Router(config-router)#auto-summary
Router(config-router)#no autosummary
Router(config)#interface fastethernet 0/0 X
Router(config-if)#ip summary-address eigrp 100 10.10.0.0 255.255.0.0 75
Router(config)#interface serial 0/0 X
Router(config-if)#bandwidth 256
Router(config-if)#ip bandwidth-percent eigrp 50 100
Router#show ip eigrp neighbors
Router#show ip eigrp neighbors detail
Router#show ip eigrp interfaces
Router#show ip eigrp interfaces serial 0/0
Router#show ip eigrp interfaces 100
Router#show ip eigrp topology
Router#show ip route eigrp
Router#show ip eigrp topology all-links
Router#debug eigrp fsm
Router#debug eigrp neighbor
Router#debug ip eigrp neighbor
Router(config)#router ospf 123
Router(config-router)#default-information originate
ip default network
redistribute static
Router(config)# Int s 0/0/0
Router (config-if) bandwidth <kilobits>
# ip bandwidth-percent eigrp <as> porcentaje
Int s 0/0/0
Ip hello-interval eigrp <as> segundos seconds
Ip hold-time eigrp <as> seconds
Router(config-router)#network 172.16.10.0 0.0.0.255 area 0
Router(config)#interface loopback 0 x
Router(config)#router ospf 1 X
Router(config-router)#router-id 10.1.1.1
Router(config-router)#no router-id 10.1.1.1
Router(config)#interface serial 0/0 X
Router(config-if)#ip ospf priority 50
Router(config)#interface serial 0/0
Router(config-if)#bandwidth 128
Or
Router(config-if)#ip ospf cost 1564
Router(config-if)#ip ospf hello -interval timer 20
Router(config-if)#ip ospf dead-interval 80
Router#show ip protocol
Router#show ip route
Router#show ip ospf
Router#show ip ospf interface
Router#show ip ospf interface fastethernet 0/0
Router#show ip ospf border-routers
Router#show ip ospf neighbor
Router#show ip ospf neighbor detail
Router#show ip ospf database
show cdp neigbors
show cdp neighbor detail
no cdp enable
no cdp run x
cdp run
redistribute-static eigrp
default-information originate rip,ospf
redistribute static funciono en ospf y eigrpen ccna 4
default-information originate ospf en ccna 4 y rip
CONF ESPECIFICA CONF PRIVILEGIADO usuario FAMILIA TIPO EQUIPO
NOMBRE GENERAL R/S
PASSWORD GENERAL R/S
x PASSWORD GENERAL R/S
x PASSWORD GENERAL
PASSWORD GENERAL
PASSWORD GENERAL
INTERFACES GENERAL
x INTERFACES GENERAL
x INTERFACES GENERAL
INTERFACES GENERAL
X INTERFACES GENERAL
INTERFACES GENERAL
INTERFACES GENERAL
INTERFACES GENERAL
INTERFACES GENERAL
varios GENERAL
INTERFACES GENERAL
X BACKUP GENERAL
X BACKUP
GENERAL
X BACKUP
GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW
GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
x SHOW GENERAL
SHOW GENERAL
x HORA GENERAL
x USUARIO GENERAL
x PRIVILEGIADO GENERAL
ESTATICA
ESTATICA
ESTATICA
ESTATICA
ESTATICA
ESTATICA
X ESTATICA
x
RIP
RIP
RIP v1
RIP v1&v2
RIP V1
X RIP v1
X RIP V2
X RIP V1
X RIP V2
x RIP,ospf,eigrp
X RIP
X
RIP,EIGRP,OSPF
X RIP
X RIP
EIGRP
X EIGRP
X EIGRP
X EIGRP
EIGRP
x EIGRP
X EIGRP
x EIGRP
X EIGRP
GENERAL
x EIGRP
GENERAL
X EIGRP
X EIGRP
x EIGRP
x EIGRP
x EIGRP
x EIGRP
x EIGRP
x EIGRP
x EIGRP
x EIGRP
x EIGRP
X EIGRP
X OSPF
X
RIP,EIGRP,OSPF
EIGRP
EIGRP
EIGRP
EIGRP
EIGRP
EIGRP
x OSPF
GENERAL
x GENERAL
OSPF
X OSPF
x OSPF
OSPF
X OSPF
x OSPF
x OSPF
OSPF
x OSPF
X TIMERS
x TIMERS
x
rip ospf
funciono en ospf y eigrpen ccna 4
ospf en ccna 4 y rip
x
OBSERVACION
Entrar al modo de linea de consola
Fijar el passsword de consola
habilitar chequeo de pasword
Entrar al modo de linea vty 5 lineas
Fija el password vty
habilitar chequeo de pasword
Aplicacin de Encriptado Debil
Desencriptacion de Encriptado Deb
Moviendose entre interfaces
Moviendose directamente a Inte Fa
Retorno a modo de configuracion Glob
descripcion local (Que hace)
Asignando direccion y mascara de subred a la interface
Asignando rango de reloj para la interface
encendido de interface
descripcion local (Que hace)
Asignando rango de reloj para la interface
encendido de interface
inhabilitar el mensaje del dia
quitar mensaje del dia banner
Desactiva la resolucion de nombres en comandos no reconocidos (fo)
Moverse a la linea de consola
comandos no son interrumpidos por mensajes.
Entrar al modo de linea de consola
Establece el limite de tiempo cuando la consola se
conecta automaticamente apagado.(0 0) (min-seg).
Consola nunca cierra cesion 0 0
tiempo de espera exec-10 0 (predeterminado)
Guarda la configuracion en ejecucion en la memora NVRAM LOCAL.
Guarda la configuracion en ejecucion de forma remota
a un servidor TFTP.
La configuracion actual se encuentra todavia en la memoria dinamica,
Actualizar (Reload) borra la configuracion actual.
Porque se carga lo de mla nvrman en la actual.
Lista todos los comandos disponibles de show
muestra una estadisticas de todas las interfaces.
Display un interface en especial
Protocoliza un sumario de todas las interfaces, incluyendo estado y
direccion ip asignada
muestra la estadidsticfa del reloj y el cable dce o dte.
Muestra el seteo de tiempo sobre el dispositivo
Nombres y direcciones de host sobre la red
Muestra todos los usaurios conectados al dispositivo
historia de los comandos utilizados para editar este nivel
muestra informacin acerc de la memoria flash
Muestra la configuracion de arranque salvda en la NVRAM
Muestra la configuracion actual que corre en la RAM
Ejecuta comandos de exec en modo conf con do
Direccion de Red, Ms,Direccion proximo salto
Direccion de Red, Ms, interfaz de salida
Permanece aunque la intefaz se cae
Distancia opcional de 200 yq que por defecto =1
Enviar todos los paquetes destinados a la redes no estaen mi ruta x
envia paquetes a subredes desconocidas supernet
desactiva el anterior comando por defecto
Activa Rip como ruta de protocolo, es mandatorio
Las redes que se desan publica es mandatorio -red con clase
Apaga el proceso de enrutamiento rip
Elimina las redes del proceso de enrutamiento
Activa Rip V2, envia y recibe paquetes Rip v2 y recibe paquet Rip v2
Enviar y recibir paquetes Rip v1 solamente
En la v1 no se debe quitar sumarizacion, creo que no se puede
Actualizaciones de Rip no se enviaran en esta interfaz
Define un vecino especifico con el que intercambia info
Genera una ruta por defecto en Rip
Muestra toda la actividad en Rip en tiempo real
muestra el contenido de la base de Rip
Activa el proceso Eigrp, 100 es el sistema autonomo entre 1 65535
todos los router deben teenr el mismo sistema autonomo
Especifica la red que desa publicidad.
Establece ancho de banda para permitir x kilobits, no rendimiento.
No publica mas la red en eigrp
Desactiva el proceso de enrutamiento eigrp 100
debe incluir la DR y Mascara Wildcard
Entre routers los vlores de k deben hacer martch, recomendado no cam
Permita el autoresumen para el proceso eigrp, elimina ruta resum Null0
Apaga el auto resumen
moviendosm e a interface por defecto eigrp tiene autosumaricazion
Ultimo valor es la distancia administrativa por defecto es de 5 aqu 75
Entra al mod de configuracion de interface
Establece el ancho de banda de esta inerfaz
Configura el ,porcentaje de ancho de banda que puede ser utilizada , PD 50 %
EIGRP, 50 ES EL SISTEMA AUTONOMO Y 100 ES EL PORCENTAJE
Muestra los vecinos de la tabla
Muestra los vecinos de la tabla dertalladamente
muestra informacion para cada interfaz
Muestra informacion especifica de cada interfacae.
Muestra la informacion de la interfaces en ejecucion proceso 100
Muestra la topologia
Muestra una table de enrutamietno solo entradas eigrp
Muestra los eventos y acciones relacionadas con EIGRP metricas (FSM)
id entre 1 65535
Genera una ruta por defecto en OSPF
por defecto tiene intervalos de 5 segundos, 60 segundos en los lentos nbma
por defecto tiene intervalos de 15 segundos, 180 segundos
Osp anuncia interfaces no redes , usa la mascara comodin
para detrminar que interfaces, se usaran para publicidad
El proceso de identifiacion de numero no tiene porque coincidir
Crea una interfaz virtual denominada loopback 0
asigna una idreccion ip , se uasa para identificacion de router
Inicia proceso OSPF
Establece el Id del router 10.1.1.1, si este comando se
EN ospf , se utiliza en la proxima recarga o manual .
Si cambia el ancho de banda, OSPf, calcula nuevmente el
costo de enlace, es en kbps
Cambia el costo a 1564
Cambia el intrevalo de aludo a 20 segundos
Cambia el intervalo amuerto a 80 segundos; Hola y Temporizadores
de tiempo muerto deben coincidir para que los routers puedan
convertirse en vecinos
muestra los parametros para todos los protocolos
muestra una tabla ip completa
muestra inforamcion basica sobre ospf
muestra informacion ospf que se refiere a todas als interfaces
Muestra informacin de OSPF que se refiere a todos los
interfaces display frontera y el router frontera
interfacesDisplays frontera y el router frontera
Protoclo de capa 2
cambiando en la interfaz OSPF la prioridad a 50
gana el router con la mayor prioridad
# Paso
rangos de interfaces
switch raiz
borrar archivo de configuracion
configurar sub interface para vlan nativa en
router
10
Configurar direccion ip de la interfaz vlan 7
8 configurar gateway predeterminada
configurar sub interface fas en router 9
Enlace troncal (asignar vlan Nativa) 4
Enlace troncal (Permitir vlan) 5
Reasigne la VLAN a otro puerto 6
1 Crear vlan
Asignar puerto a vlan 2
Eliminar vlan de un puerto 3
recargar un router al estado por defecto
Configuracion de la subinterfaz:de router
Configure terminal
Interface fa 0/0.10
Encapsulation dot1q 10
Ip address 172.17.10.1 255.255.255.0
Configuracin del router Router-on-a- stick
Configure terminal
Interface f0/0.10
Ip address 172.17.10.1 255.255.255.0
Interface fa 0/30
Ip address 172.17.30.1 255.255.255.0
Interface fa 0/0
No shutdown
Para encapsular native en una intrfaz de router
Interface f0/0.10
Encapsulation dot1q 99 native
Ip address 172.17.10.1 255.255.255.0
S1#configure terminal
S1(config)#vlan (vlan id)
S1(config-vlan)#name Nombre de VLAN
S1(config-vlan)#end
S1(config)#interface interface id
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan vlan id
S1(config-if)#end
S1(config-if)#no switchport access vlan
S1(config-if)#end
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan vlan id
S1(config-if)#end
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk allowed vlan vlan id
S1(config-if)#end
Interface fa 0/11
Switchport mode acces
Switchport Access vlan 20
S1(config)#interface vlan 99
S1(config-if)#ip address <ip> <ms>
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#interface vlan 99
S1(config)#ip default-gateway <ip>
S1(config)#interface fastethernet 0/0.1
S1(config-if)#encapsulation dot1q 1
S1(config-if)#ip address <ip> <ms>
R1(config)#interface fa 0/0.99
R1(config)#encapsulation dot1q 99 native
R1(config-if)#ip address <ip> <ms>
interface range fa 0/1 - 5 vlan 99
spanning-tree vlan 99 priority 4096
erase startup-config
reload
Configuracion de la subinterfaz:de router
Configure terminal
Interface fa 0/0.10
Ip address 172.17.10.1 255.255.255.0
Configuracin del router Router-on-a- stick
Configure terminal
Interface f0/0.10
Ip address 172.17.10.1 255.255.255.0
Interface fa 0/30
Ip address 172.17.30.1 255.255.255.0
Interface fa 0/0
No shutdown
Para encapsular native en una intrfaz de router
Interface f0/0.10
Encapsulation dot1q 99 native
Ip address 172.17.10.1 255.255.255.0
interface range fa 0/1 - 5 vlan 99
se configura en el Switch que esta proximo al router
DESCRIPCIN:
Es una tecnologa que permite reducir los dominios de broadcast. Los dominios de broadcast ms
pequeos limitan el nmero de dispositivos
que participan en los broadcasts y permiten que los dispositivos se separen en agrupaciones funcionales,
como servicios de base de datos para
TERMINOS:
Enlace troncal: Un enlace troncal es un enlace punto a punto, entre dos dispositivos de red, que transporta ms de una
VLAN.
Un enlace troncal de VLAN no pertenece a una VLAN especfica, sino que es un conducto para las
TIPOS:
Vlan de Datos:

Una VLAN de datos es una VLAN configurada para enviar slo trfico de datos generado por el usuario.
Vlan predeterminada:
Todos los puertos de switch se convierten en un miembro de la VLAN predeterminada luego del
arranque inicial del switch. Hacer participar a todos los puertos
de switch en la VLAN predeterminada los hace a todos parte del mismo dominio de broadcast. Esto
admite cualquier dispositivo conectado a cualquier puerto
Vlan Nativa :
Vlan de administracin

Una VLAN de administracin es cualquier VLAN que usted configura para acceder a las capacidades de administracin de un switch.
La vlan nativa puede ser modificada, para otra vlan que no sea la vlan 1, con el siguiente comando:
Switch(config-if)#switchport trunk native vlan vlan-id
Es recomendado que la vlan nativa nunca sea ocupada para usos administrativos
Show vlan brief
Una VLAN de datos es una VLAN configurada para enviar slo trfico de datos generado por el usuario.
Una VLAN de administracin es cualquier VLAN que usted configura para acceder a las capacidades de administracin de un switch.
La vlan nativa puede ser modificada, para otra vlan que no sea la vlan 1, con el siguiente comando:
modo administrativo dinamico automatico dinamico conveniente
dinamico automatico acceso enlace troncal
dinamico conveniente enlace troncal enlace troncal
enlace troncal enlace troncal enlace troncal
acceso acceso acceso
enlace troncal= modo encendido
Nota: dtp habilitado
Enlace troncal switchport mode trunk
dinamico automatico switchport mode dynamic auto
Dinamico convveniente switchport mode dynamic desirable
acceso switchport mode access
catalyst 2950= conveniente y dinamico predetermnado
catalys 2960= auto y dinamico
interacciones en modo switch port dtp
enlace troncal
enlace troncal
enlace troncal
enlace troncal
no se recomienda
interacciones en modo switch port dtp
Encapsulamiento PPP
Router(config)# interface Serial 0
Router(config-if)# encapsulation ppp
Router# show interface s 0
PPP con autenticacin PAP
Router(config-if)# ppp authentication pap
Router(config-if)# ppp pap sent-username LabB password class
PPP con autenticacin CHAP
Router(config-if)# ppp authentication chap
Router# username LabB password class
Router-1(config-if)# ip add 10.17.0.1 255.255.255.0
Router-1(config-if)# bandwhidth 64
Router-1(config-if)# frame-relay map ip 10.17.0.2 broadcast ietf
Router-1(config)# router rip
Router-1(config-if)# network 10.0.0.0
Ejemplo de configuracin de subinterfaces punto a punto
Router-1(config)# interface s2
Router-1(config-if)# no ip address
Router-1(config-if)# encapsulation frame-relay
Router-1(config-if)# exit
Router-1(config)# interface s2.2 point-to-point
Router-1(config-if)# frame-relay interface-dlci 200 broadcast cisco
Monitoreo de Frame-Relay
Router# show frame-relay pvc
Router# show frame-relay map
Router# show frame-relay lmi
Router# debug frame-relay events
Router# debug frame-relay lmi
Router# debug frame-relay packet
Router# debug frame-relay nli
Comandos de configuracin de VLAN
Los comandos son similares a los de Cisco IOS
Switch 1900 - Borrar Archivo de Configuracin
1900-A#delete NVRAM
1900-A#delete vtp (hay que marcar los dos)
1900-A#show ip (muestra la IP de administracin. Es una sola. OJO! la IP y la VLAN en
la misma red)
Switch Catalyst 1900 - Crear VLAN
1900-A#config t
1900-A(config)# vlan [vlan-number (1-999)] name [vlan-name]
Para trunk 100000 (SAID) + Nmero de VLAN
1900-A(config)# interface fastethernet 0/4 a 27 (trunk on)
1900-A(config-if)# vlan-membership [static] [vlan-number]
1900-A(config)# show vlan
vlan [vlan-number]
vlan membership
Switch Catalyst 2950 - Borrar Archivo de Configuracin
2950-A# erase startup-config
2950-A# vlan database
2950-A# no vlan [vlan-number] se debe borrar una por una
2950-A(config)# interface [vlan-number]
2950-A(config-if)# ip address [IP-address] [IP-mask] Una IP por cada VLAN Management
2950-A(config-if)# ip default-gateway [IP-address]
2950-A(vlan)# vlan [vlan-number] name [vlan-name]
2950-A(vlan)# exit
Switch Catalyst 2950 - Asignar puertos
2950-A# interface fastethernet 0/4
2950-A(config-if)# switchport mode [access | trunk]
2950-A(config-if)# switchport access vlan [vlan-number]
2950-A(config-if)# switchport alloed-vlan [desde-hasta]
2950-A(vlan)# CTRL + Z
Switch Catalyst 2950 - Para ver VLAN
2950-A# show vlan [all | vlan-number]
configuracion dinamica, no lleva comandos.
Comandos Para Frame Relay
Router-1
Router-1(config)# interface s 1
Router-1(config-if)# bandwidth 56
Router-1(config-if)# frame-relay map ip 10.16.0.2 110 broadcast ietf
Router-1(config-if)# frame-relay lmi-type ansi (Se necesita para versiones anteriores a 11.0
IOS 11.0 soporta sensor LMI automtico)
Router-1(config-router)# network 10.0.0.0
Router-2(config)# interface s 1
Router-2(config-if)# bandwidth 56
Router-1(config-if)# frame-relay map ip 10.16.0.1 110 broadcast ietf
Router-1(config-if)# frame-relay lmi-type ansi (Se necesita para versiones anteriores a 11.0
IOS 11.0 soporta sensor LMI automtico)
Router-1(config-router)# network 10.0.0.0
Ejemplo de configuracin de subinterfaces multipunto
Router-1(config)# interface s2.2 multipoint
Ejemplo de configuracin de subinterfaces punto a punto
Monitoreo de Frame-Relay
Router# show frame-relay pvc
Router# show frame-relay map
Router# show frame-relay lmi
Router# debug frame-relay events
Router# debug frame-relay lmi
Router# debug frame-relay packet
Router# debug frame-relay nli
Comandos de configuracin de VLAN
Los comandos son similares a los de Cisco IOS
Switch 1900 - Borrar Archivo de Configuracin
1900-A#delete NVRAM
1900-A#delete vtp (hay que marcar los dos)
la misma red)
1900-A#config t
1900-A(config)# vlan [vlan-number (1-999)] name [vlan-name]
Para trunk 100000 (SAID) + Nmero de VLAN
1900-A(config)# interface fastethernet 0/4 a 27 (trunk on)
1900-A(config-if)# vlan-membership [static] [vlan-number]
1900-A(config)# show vlan
vlan [vlan-number]
vlan membership
Switch Catalyst 2950 - Borrar Archivo de Configuracin
2950-A# erase startup-config
2950-A# no vlan [vlan-number] se debe borrar una por una
2950-A(config)# interface [vlan-number]
2950-A(config-if)# ip default-gateway [IP-address]
2950-A(vlan)# vlan [vlan-number] name [vlan-name]
2950-A(vlan)# exit
Switch Catalyst 2950 - Asignar puertos
2950-A# interface fastethernet 0/4
2950-A(config-if)# switchport mode [access | trunk]
2950-A(config-if)# switchport access vlan [vlan-number]
2950-A(config-if)# switchport alloed-vlan [desde-hasta]
2950-A(vlan)# CTRL + Z
Switch Catalyst 2950 - Para ver VLAN
2950-A# show vlan [all | vlan-number]
configuracion dinamica, no lleva comandos.
Muestra estadsticas acerca de los PVC
para las interfaces Frame Relay
Muestra la entrada de asignacin Frame
Relay actuales e informacin acerca de
estas conexiones
Muestra estadsticas acerca de la
interface de administracin local (LMI)
Muestra los sucesos de paquetes Frame
Relay
Muestra los intercambios LMI de
Frame Relay con el proveedor de
Muestra los paquetes Frame Relay
Muestra la interface de capa de red
Frame Relay
ACTIVIDAD
show frame-relay pvc
Configuracion de ppp con pap
Verificar configurcion
configurar Frame relay
basico
Configuracion de
asignacion estatica en redes
and spock
Configuracion de Frame-relay
con subinterfaces, para eliminar
el horizonte dividido
show frame-relay map
debug frame-relay lmi
CMD
Router (config)#username <nombre del R. remoto> password <contrasea del R remoto>
interface serial 0/0/0
encapsulation ppp
Router(config-if)#ppp authentication pap
ip address <ip> <ms>
no shutdown
Router(config-if)#ppp pap sent-username routerb password cisco
pap sent-username router2 password cisco
Router#show interfaces serial x
Router#show controllers serial x
Router(config)#interface serial 0/0/0
Ip address 10.1.1.2 255.255.255.0
Router(config-if)#encapsulation frame-relay
Bandwidth 64
Router(config-if)#encapsulation frame-relay ietf
Router(config-if)#frame-relay lmi-type {ansi | cisco | q933a}
Show interface serial 0/0/0
frame-relay map protocol protocol-address dlci [broadcast] [ietf] [cisco]
R1(config-if)#no frame- relay inverse-arp
frame-relay map ip 10.1.1.2 102 broadcast cisco
Router(config)#interface serial 0/0/0
Router(config-if)#encapsulation frame-relay (ietf)
Router(config-if)#frame-relay lmi-type (ansi)
Router(config-if)#no ip address
Router(config-if)#interface serial 0/0/0.102 point-to-point
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#frame-relay interface-dlci 102
Router(config-if)#interface serial 0/0/0.102 multipoint
Show interface serial 0/0/0
show frame-relay lmi
show frame-relay pvc
show frame-relay map
debug frame-relay lmi
EXPLICACION
Definir el nombre de usuario y la contrasea
que espera recibir del router remoto
este comando se ejecuta en el router local.
Se desplaza al modo de configuracion de interfaz
Encapsula
Activa la autenticacion de contrasea protocolo (PAP)
Asignar direccion a ip a la intrface
Activar interface
muestra informacion de la interfaz
Le dice que tipo de cable (dce/dte) esta conectado a la
interfaz, y si una velocidad ha sido establecida.
Se desplaza al modo de configuracion de interfaz
Activa Frame Relay
definir el ancho de banda en kbps
Activa Frame Relay cuando se conecta a un router n cisco
Establece el tipo de lmi, si es cisco es por defecto a partir
de cisco 11.2 , el tipo de lmi es autopercibido, haciendolo
opcional
verificar configuracion
protocol addres=direccion de destino, dlci=local
broadcast=para que funcionen los protoclos de enrutamiento,
cisco no hay necesidad de ponerlo
solo cuando es otro tipo de enrutamiento.
asigna entre una direcion protocolo de proximo salto
y una direccion destino dlci (mapa estatico)
establece el tipo de encapsulacion para todas las interfa
ces.
Establece el tipo de lmio cuando no es cisco
Asegura que no hay una ip en esta interfaz.
Habilita la interfaz
crea una sub interfaz punto a punto.
asigna una direccion ip y mas a la interfaz
asigan una dlci a la subinterfaz
verificar configuraciones
este comando se debe establecer si se utiliza PAP
CON RELEASE 11.1 o posterior.
FRAME RELAY
Los routers Cisco admiten todos los protocolos de capa de red a travs de Frame Relay, como IP, IPX y AppleTalk.
Esta asignacin de direccin a DLCI puede lograrse a travs de la asignacin esttica o dinmica .
ARP inverso efecta el proceso opuesto. (traduce las direcciones de Capa 2 a direcciones de Capa 3).
La asignacin de direcciones dinmica depende de ARP inverso para resolver una direccin de protocolo de red de prximo salto a un valor de DLCI local.
NO NECESITA COMANDOS.
El router usa las respuestas para completar una tabla de asignacin de direcciones a DLCI en el router Frame Relay o servidor de acceso.
El router crea y mantiene esta tabla de asignacin, que incluye todas las solicitudes ARP inverso resueltas, incluidas las entradas de asignacin dinmica y esttica.
El DLCI identifica la conexin lgica (local o de partida) que se usa para alcanzar esta interfaz
Un mapa esttico funciona de igual forma que un ARP inverso dinmico mediante la asociacin de una direccin de protocolo de prximo salto a un DLCI Frame Relay local.
No puede usar el ARP inverso y una sentencia de asignacin para el mismo DLCI y protocolo.
un ejemplo del uso de la asignacin de direcciones esttica es una situacin en la que un router situado en el otro extremo de la red Frame Relay no admite el ARP inverso dinmico para un protocolo de red especfico.
Para proporcionar accesibilidad, se requiere una asignacin esttica para completar la direccin de capa de red remota a la resolucin de DCLI local.
Otro ejemplo es en una red Frame Relay hub-and-spoke
Use la asignacin de direcciones esttica en los routers spoke para permitir la conexin spoke a spoke.
v Dado que los routers spoke no tienen conectividad directa entre s, el ARP inverso dinmico no funciona entre ellos.
El ARP inverso dinmico depende de la presencia de una conexin punto a punto directa entre los dos extremos.
v En este caso, el ARP inverso dinmico slo funciona entre hub and spoke, y los spoke requieren la asignacin esttica para permitir la conexin entre s.
LMI=DLCI, SOLO QUE EN LA WAN, Y LA DLCI ESTE ENTRE EL DTE Y EL DCE
Bsicamente, la LMI es un mecanismo activo que proporciona informacin de estado sobre las conexiones Frame Relay entre el router (DTE) y el switch Frame Relay (DCE).
El switch no se ocupa de la encapsulacin . Los routers de punto final (DTE) se ocupan de la encapsulacin
Existen varios tipos de LMI, todos incompatibles entre s. El tipo de LMI configurado en el router debe coincidir con el utilizado por el proveedor de servicios. Los routers Cisco admiten tres tipos de LMI:
Cisco: extensin LMI original
Ansi: las correspondientes al estndar ANSI T1.617 Anexo D
q933a: las correspondientes al estndar UIT Q933 Anexo A
v Los routers Cisco admiten todos los protocolos de capa de red a travs de Frame Relay, como IP, IPX y
AppleTalk;
La asignacin dinmica se efecta a travs de la funcin ARP inverso. Dado que ARP inverso est habilitado de forma
predeterminada,
v La asignacin esttica se configura manualmente en un router . Establecer la asignacin esttica depende de sus necesidades de red.
La palabra clave broadcast permite enviar broadcast y multicast a travs del PVC y, de hecho, convierte al broadcast en un unicast de modo que el otro nodo obtenga las actualizaciones de enrutamiento
Las subinterfaces Frame Relay pueden configurarse en modo punto a punto y en modo multipunto
Punto a punto: una nica subinterfaz punto a punto establece una conexin de PVC a otra interfaz fsica o subinterfaz en
un router remoto. En este caso, cada
pareja de routers punto a punto est en su propia subred y cada subinterfaz punto a punto tiene un solo DLCI. En un
Multipunto: una nica subinterfaz multipunto establece varias conexiones de PVC a varias interfaces fsicas o
subinterfaces de routers remotos. Todas las interfaces
involucradas se encuentran en la misma subred. La subinterfaz acta como interfaz NBMA Frame Relay de modo que el
La configuracin de subinterfaces se explica y se practica en la siguiente seccin.
Paso 1. Quitar cualquier direccin de capa de red asignada a la interfaz fsica. Si la interfaz fsica tiene una direccin, las subinterfaces locales no reciben las tramas.
Paso 2. Configurar la encapsulacin Frame Relay en la interfaz fsica mediante el comando encapsulation frame-relay.
Paso 3. Para cada uno de los PVC definidos, crear una subinterfaz lgica. Especifique el nmero de puerto, seguido de un
punto (.), y luego del nmero de la subinterfaz.
Paso 4. Configurar una direccin IP para la interfaz y el ancho de banda.
En este punto, configuraremos el DLCI. Recuerde que el proveedor de servicios de Frame Relay asigna los nmeros de DLCI.
Paso 5. Configurar el DLCI local en la subinterfaz mediante el comando frame-relay interface-dlci.
La asignacin de direcciones dinmica depende de ARP inverso para resolver una direccin de protocolo de red de prximo salto a un valor de DLCI local.
El router usa las respuestas para completar una tabla de asignacin de direcciones a DLCI en el router Frame Relay o servidor de acceso.
El router crea y mantiene esta tabla de asignacin, que incluye todas las solicitudes ARP inverso resueltas, incluidas las entradas de asignacin dinmica y esttica.
Un mapa esttico funciona de igual forma que un ARP inverso dinmico mediante la asociacin de una direccin de protocolo de prximo salto a un DLCI Frame Relay local.
un ejemplo del uso de la asignacin de direcciones esttica es una situacin en la que un router situado en el otro extremo de la red Frame Relay no admite el ARP inverso dinmico para un protocolo de red especfico.
Para proporcionar accesibilidad, se requiere una asignacin esttica para completar la direccin de capa de red remota a la resolucin de DCLI local.
v Dado que los routers spoke no tienen conectividad directa entre s, el ARP inverso dinmico no funciona entre ellos.
v En este caso, el ARP inverso dinmico slo funciona entre hub and spoke, y los spoke requieren la asignacin esttica para permitir la conexin entre s.
Bsicamente, la LMI es un mecanismo activo que proporciona informacin de estado sobre las conexiones Frame Relay entre el router (DTE) y el switch Frame Relay (DCE).
Existen varios tipos de LMI, todos incompatibles entre s. El tipo de LMI configurado en el router debe coincidir con el utilizado por el proveedor de servicios. Los routers Cisco admiten tres tipos de LMI:
v La asignacin esttica se configura manualmente en un router . Establecer la asignacin esttica depende de sus necesidades de red.
La palabra clave broadcast permite enviar broadcast y multicast a travs del PVC y, de hecho, convierte al broadcast en un unicast de modo que el otro nodo obtenga las actualizaciones de enrutamiento
Paso 1. Quitar cualquier direccin de capa de red asignada a la interfaz fsica. Si la interfaz fsica tiene una direccin, las subinterfaces locales no reciben las tramas.
1.- Configurar vtp
vtp mode server
vtp domain cisco
vtp password cisco
vtp mode client
Verificar configuracion de vtp
show vtp status
2.- Configurar S1 para que siempre sea raiz
Spannning-tree vlan 1-1000 root primary
3.- Verificar que S1 sea raiz
show spanning-tree summary
4.- Configurar subinterfaces en Router para conexin de Siwtch
interface fast ethernet 0/1.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
interface fast ehternet 0/1.12
encapsulation dot1q 12
ip address 10.12.10.1 255.255.255.0
Asignar una vlan nativa en un router
interface fa 0/0.99
encapsulation dot1q native
ip addres 172.17.99.1 255.255.255.0
los Switch debe llevar una ip defaul gateway
para salir y es la ip del router al que se conectar
ip default-gateway 172.17.99.1
los switch conectador a router deben tener su interfas como acceso
5.- Asignar puertos a una vlan
interface fa 0/1
switchport trunk allowed vlan 10,12, 13
Verificar configuracionn de puerto
show interface fa 0/1 switchport
vtp=protocolo troncal de vlan=propaga las vlan
stp=protocolo spannging tree=x defecto anula caminos
spanning-tree vlan vlan-id root primary en global
Etiquetas :
El siguiente es un pequeo resumen sobre comandos para configurar un switch cisco y algunos
de router, espero que les sea til como lo es para mi.
Rip
NewYork(config)#interface fastethernet0/0
NewYork(config-if)#ip address 192.168.50.129 255.255.255.192
NewYork(config-if)#ip rip send version 1
NewYork(config-if)#ip rip receive version 1
NewYork(config-if)#ip rip send version 1 2
Show ip protocols
show interface interface
show ip interface interface
show running-config
Show ip rip database
OSPF
Router(config)#router ospf process-id
Router(config-router)#network address wildcard-mask area area-id
Router(config)#interface lookback 0
Rtr(config-if)# bandwidth 64
Rtr(config-if)# ip ospf cost 1562
Autenticacin sin md5
Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area-number authentication
Autenticacin con md5
Router(config-if)#ip ospf message-digest-key key-id encryption-type md5 key
Router(config-router)#area area-id authentication message-digest
Router(config-if)#ip ospf hello-interval seconds
Router(config-if)#ip ospf dead-interval seconds
debug ip ospf events
--aumentar la prioridad para elegir un router DR
sw(config)#interface fasethernet 0/0
sw(config-if)#ip osfp priority 50
sw(config-if)#end
EIGRP
Router(config)#router eigrp as-id
Router(config-router)#end
Router# show ip eigrp topology
eigrp log-neighbor-changes
resumen de rutas: router(config-router)#no auto-summary
Switch
Switch# dir flash:
Switch#show flash
Switch#show vlan
Switch#vlan database
Switch(vlan)#vlan vlan_number
Switch(vlan)#exit
Switch(config)#interface fastethernet 0/9
Switch(config-if)#switchport access vlan vlan_number
Switch(vlan)#no vlan 300
Sw1#delete flash:vlan.dat
Sw1#erase startup-config
Sw1#reload
Interface web
Sw1(config)#ip http port 80
Ver la tabla MAC:
Switch#show mac-address-table (? Mas opciones)
Switch#clear mac-address-table
Asignar una mac estatica
Switch(config)#mac-address-table static interface FastEthernet vlan
Switch(config)#no mac-address-table static interface FastEthernet vlan
Seguridad de Puerto
Sw1(config)#interface fastETehernet 0/2
Sw1(config-if)#switchport port-security ?(sale las opciones)
Limitar la cantidad de host por puerto
1900:00:00
Sw1(config-if)#port secure mas-mac-count 1
2950:00:00
Sw1(config-if)#switchport port-security maximum 1
Configuracion del Puerto que se desconecte cuando se produce una violacion de seguridad
Sw(config-if)#switchport port-security violation shutdown
2900xl:
Sw(config-if)#port security action shutdown
Poner Ip a la Vlan1
Catalyst 2950
Sw(config)#interface Vlan1
Sw(config-if)#ip address 192.168.1.2 255.255.255.0
Sw(config-if)#no shutdown
Sw(config)# ip default-gateway 192.168.1.1
Catalyst 1900
Sw(config)#ip address 192.168.1.2 255.255.255.0
Archivos de configuracion
Sw# copy running-config startup-config
1900:00:00
Sw#copy nvram tftp://tftp server ip add/destination_filename
COnfiguracion de la velocidad
Switch(config-if)#duplex full
Switch(config-if)#speed 100
Crear el trunk del switch
Sw(config)#interface fastethernet 0/1
Sw(config-if)#swicthport mode trunk
Sw(config-if)#end
2900:00:00
Sw(config-if)#swicthport trunk encapsulation dot1q
Sw(config-if)#end
1900:00:00
Sw(config-if)#end
Trunk en el router
Router(config-if)#interface fastEthernet 0/0.1
Router(config-subif)#encapsulation dot1q vlan-number
Router(config-subif)#ip address.
router1#copy running-config tftp
Quitar un Puerto de una VLAN
Switch(config)#interface fasethernet 0/9
Switch(config-if)#no switchport access vlan 300
Eliminar una vlan
Spanning tree
show spanning-tree
Configuracion de VTP
switch#vlan database
switch#vtp v2-mode
switch(vlan)#vtp domain password
switch#vtp {client | server | transparent}
Copiar el IOS a un server tftp
Sw#copy flash tftp
2900: sw#copy flash:nombre_del_archivo tftp
Copiar IOS desde un Server tftp
Sw#copy TFTP flash
Sw# copy Start tftp
1900: sw#copy nvram tftp://numero-ip/name
Sw#copy tftp startup-config
1900: sw#copy tftp://numero-ip/name nvram
Recuperar el acceso al switch
1. Apagar el switch, Vuelva a encenderlo mientras presiona el boton MODE en la parte delantera
del switch. Deje de presionar el boton MODE una vez que se apague el led de STAT
2. introducir los siguientes comandos:
flash_init
load_helper
dir flash:
3. rename flash:config.text flash:config.old
4. reiniciar el sistema original:
4.1 despues de entrar al switch hacer: rename flash:config.old flash:config.text
4.2 sw#copy flash:config.text system:running-config
4.3 Cambiar los password
Actualizar el firmware
Sw#show boot (muestra el archive de boteo)
Cambiar el nombre del archivo de la ios,con el commando #rename flash:nombre
flash:Nuevo_nombre
Sw(config)#no ip http Server
Sw# delete flash:html/*
Extraer la nueva version del IOS
Sw#archive tar /x tftp://192.168.1.3/nombre_del_archivo.tar flash:
Sw(config)#ip http Server
Sw(config)#boot system flash:nombre.bin
Spanning-Tree
#show spanning-tree brief
Cambiar prioridad: ios 12.0 sw(config)#spanning-tree priority 1
sw(config)#exit
ios 12.1 sw(config)#spanning-tree vlan 1 priority 4096
sw(config)#exit
Configurar VLAN
Sw#vlan database
Sw(vlan)#vlan 2 name Logistica
Sw(vlan)#vlan 3 name Licitaciones
Sw(vlan)#end
1900:00:00
Sw#config terminal
Sw(config)#vlan 2 name VLAN2
Configurar puertos en las VLAN
Sw#conf term
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan2
Sw(config-if)#end
Elminar el Puerto de la vlan
Sw(config-if)#no switchport access vlan2
Sw(config-if)#end
1900:00:00
Sw#conf term
Sw(config-if)#vlan static 2
Para eliminar un Puerto de la vlan
Sw(config-if)#no vlan-membership 2
Sw#show vlan
Sw#show vlan id 2
1900: Show vlan-membership
Show vlan 2
Eliminar un vlan
Sw#valn database
Sw(vlan)#no vlan 3
Sw(vlan)# exit
1900: sw(confgi)# interface ethernet 0/7
sw(confgi)#no vlan 3
enlacen troncal ISL
sw(Config.)#interafce fastethernet 0/1
sw(Config-if)#switchport mode trunk
sw(Config-if)#switchport trunk encapsulation isl
sw(Config-if)#end
enlace troncal 802.1q
2950: por defecto dotiq
2900:00:00
sw(Config-if)#switchport trunk encapsulation dot1q
Vtp , servidor y cliente
Sw# Vlan database
Sw(vlan)# vtp server
Sw(vlan)# vtp domain group1
Sw(vlan)# exit
Sw# Vlan database
Sw(vlan)# vtp client
Sw(vlan)# exit
Ruteo entre VLAN
Poner el encapsulamiento en las subinterfaces del router
(config-if)#interface fastethernet 0/0.1
(config-subif)#encapsulation dot1q 1 (1 es la vlan a la que esta)
Amsterdam#configure terminal
Amsterdam(config)#interface serial 0
Amsterdam(config-if)#encapsulation frame-relay ietf
Amsterdam(config-if)#frame-relay lmi-type ansi
Amsterdam(config-if)#interface serial 0.102 point-to-point
Amsterdam(config-if)#description PVC to Pars, DLCI 102, Contact Rick
Voight(+33-1-5534-2234) Circuit #FRT372826
Amsterdam(config-if)#ip address 192.168.4.1 255.255.255.0
Amsterdam(config-if)#frame-relay interface-dlci 102
Amsterdam(config-if)#interface serial 0.103 point-to-point
Amsterdam(config-if)#description PVC to Berln, DLCI 103, Contact P
Wills(+49- 61 03 / 7 65 72 00) Circuit #DTK465866
Amsterdam(config-if)#ip address 192.168.5.1 255.255.255.0
Amsterdam(config-if)#frame-relay interface-dlci 103
Comandos para configurar un Switch Cisco
El siguiente es un pequeo resumen sobre comandos para configurar un switch cisco y algunos de router, espero que les sea til como lo es para mi.
Rip
NewYork(config-if)#ip rip send version 1
NewYork(config-if)#ip rip receive version 1
NewYork(config-if)#ip rip send version 1 2
Show ip protocols
show interface interface
show ip interface interface
show running-config
Show ip rip database
OSPF
Router(config)#router ospf process-id
Router(config-router)#network address wildcard-mask area area-id
Router(config)#interface lookback 0
Rtr(config-if)# bandwidth 64
Rtr(config-if)# ip ospf cost 1562
Autenticacin sin md5
Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area-number authentication
Autenticacin con md5
Router(config-if)#ip ospf message-digest-key key-id encryption-type md5 key
Router(config-router)#area area-id authentication message-digest
Router(config-if)#ip ospf hello-interval seconds
Router(config-if)#ip ospf dead-interval seconds
debug ip ospf events
--aumentar la prioridad para elegir un router DR
sw(config)#interface fasethernet 0/0
sw(config-if)#ip osfp priority 50
sw(config-if)#end
EIGRP
Router(config)#router eigrp as-id
Router(config-router)#end
Router# show ip eigrp topology
eigrp log-neighbor-changes
resumen de rutas: router(config-router)#no auto-summary
Switch
Switch# dir flash:
Switch#show flash
Switch#show vlan
Switch(vlan)#vlan vlan_number
Switch(vlan)#exit
Sw1#delete flash:vlan.dat
Sw1#erase startup-config
Sw1#reload
Interface web
Sw1(config)#ip http port 80
Ver la tabla MAC:
Switch#show mac-address-table (? Mas opciones)
Switch#clear mac-address-table
Asignar una mac estatica
Switch(config)#mac-address-table static interface FastEthernet vlan
Switch(config)#no mac-address-table static interface FastEthernet vlan
Seguridad de Puerto
Sw1(config-if)#switchport port-security ?(sale las opciones)
Limitar la cantidad de host por puerto
1900:00:00
Sw1(config-if)#port secure mas-mac-count 1
2950:00:00
Sw1(config-if)#switchport port-security maximum 1
Configuracion del Puerto que se desconecte cuando se produce una violacion de seguridad
Sw(config-if)#switchport port-security violation shutdown
2900xl:
Sw(config-if)#port security action shutdown
Poner Ip a la Vlan1
Catalyst 2950
Sw(config)#interface Vlan1
Sw(config-if)#ip address 192.168.1.2 255.255.255.0
Sw(config-if)#no shutdown
Catalyst 1900
Sw(config)#ip address 192.168.1.2 255.255.255.0
Archivos de configuracion
Sw# copy running-config startup-config
1900:00:00
Sw#copy nvram tftp://tftp server ip add/destination_filename
COnfiguracion de la velocidad
Switch(config-if)#duplex full
Switch(config-if)#speed 100
Crear el trunk del switch
Sw(config-if)#end
2900:00:00
Sw(config-if)#end
1900:00:00
Sw(config-if)#end
Trunk en el router
Router(config-if)#interface fastEthernet 0/0.1
Router(config-subif)#encapsulation dot1q vlan-number
Router(config-subif)#ip address.
router1#copy running-config tftp
Quitar un Puerto de una VLAN
Switch(config)#interface fasethernet 0/9
Switch(config-if)#no switchport access vlan 300
Eliminar una vlan
Spanning tree
show spanning-tree
Configuracion de VTP
switch#vlan database
switch#vtp v2-mode
switch(vlan)#vtp domain password
switch#vtp {client | server | transparent}
Copiar el IOS a un server tftp
Sw#copy flash tftp
2900: sw#copy flash:nombre_del_archivo tftp
Copiar IOS desde un Server tftp
Sw#copy TFTP flash
Sw# copy Start tftp
1900: sw#copy nvram tftp://numero-ip/name
Sw#copy tftp startup-config
1900: sw#copy tftp://numero-ip/name nvram
Recuperar el acceso al switch
1. Apagar el switch, Vuelva a encenderlo mientras presiona el boton MODE en la parte delantera del switch. Deje de presionar el boton MODE una vez que se apague el led de STAT
2. introducir los siguientes comandos:
flash_init
load_helper
dir flash:
3. rename flash:config.text flash:config.old
4. reiniciar el sistema original:
4.1 despues de entrar al switch hacer: rename flash:config.old flash:config.text
4.2 sw#copy flash:config.text system:running-config
4.3 Cambiar los password
Actualizar el firmware
Sw#show boot (muestra el archive de boteo)
Cambiar el nombre del archivo de la ios,con el commando #rename flash:nombre flash:Nuevo_nombre
Sw(config)#no ip http Server
Sw# delete flash:html/*
Extraer la nueva version del IOS
Sw#archive tar /x tftp://192.168.1.3/nombre_del_archivo.tar flash:
Sw(config)#ip http Server
Sw(config)#boot system flash:nombre.bin
Spanning-Tree
#show spanning-tree brief
Cambiar prioridad: ios 12.0 sw(config)#spanning-tree priority 1
sw(config)#exit
ios 12.1 sw(config)#spanning-tree vlan 1 priority 4096
sw(config)#exit
Configurar VLAN
Sw#vlan database
Sw(vlan)#vlan 2 name Logistica
Sw(vlan)#vlan 3 name Licitaciones
Sw(vlan)#end
1900:00:00
Sw#config terminal
Configurar puertos en las VLAN
Sw#conf term
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan2
Sw(config-if)#end
Elminar el Puerto de la vlan
Sw(config-if)#no switchport access vlan2
Sw(config-if)#end
1900:00:00
Sw#conf term
Sw(config-if)#vlan static 2
Para eliminar un Puerto de la vlan
Sw(config-if)#no vlan-membership 2
Sw#show vlan
Sw#show vlan id 2
1900: Show vlan-membership
Show vlan 2
Eliminar un vlan
Sw#valn database
Sw(vlan)#no vlan 3
Sw(vlan)# exit
1900: sw(confgi)# interface ethernet 0/7
sw(confgi)#no vlan 3
enlacen troncal ISL
sw(Config-if)#switchport trunk encapsulation isl
sw(Config-if)#end
enlace troncal 802.1q
2950: por defecto dotiq
2900:00:00
sw(Config-if)#switchport trunk encapsulation dot1q
Vtp , servidor y cliente
Sw# Vlan database
Sw(vlan)# vtp server
Sw(vlan)# exit
Sw# Vlan database
Sw(vlan)# vtp client
Sw(vlan)# exit
Ruteo entre VLAN
Poner el encapsulamiento en las subinterfaces del router
(config-if)#interface fastethernet 0/0.1
(config-subif)#encapsulation dot1q 1 (1 es la vlan a la que esta)
Escrito por lgonzalez el 23/01/2008 16:53 | Comentarios (0)
Comentarios
An no hay comentarios.
Aadir un Comentario:
Tu Nombre:
Tu Email:
Comentario:
Inserta aqu el cdigo de verificacin que ves en la imagen.
Clave para escribir en el blog:
Enviar comentario
El siguiente es un pequeo resumen sobre comandos para configurar un switch cisco y algunos de router, espero que les sea til como lo es para mi.
1. Apagar el switch, Vuelva a encenderlo mientras presiona el boton MODE en la parte delantera del switch. Deje de presionar el boton MODE una vez que se apague el led de STAT
Cambiar el nombre del archivo de la ios,con el commando #rename flash:nombre flash:Nuevo_nombre
10 pasos para segurizar un dispositivo Cisco IOS
.1. Desactive aquellos servicios o protocolos que son innecesarios.
Por defecto los dispositivos Cisco activan diversos servicios que son opcionales. Estos servicios son potenciales puntos de ataques de seguridad ya que permitien acceder a informacin del dispositivo.
Si no son utilizados, estos servicios pueden ser fcilmente desactivados:
Protocolo CDP:
Router(config)#no cdp run
Configuracin remota:
Router(config)#no service config
Servicio finger:
Router(config)#no service finger
Servicio web:
Router(config)#no ip http server
Protocolo SNMP:
Router(config)#no snmp-server
Protocolo BOOTP:
Router(config)#no ip bootp server
Servicios TCP:
Router(config)#no service tcp-small-servers
Servicios UDP:
Router(config)#no service udp-small-servers
.2. Deshabilite las interfaces que no estn en uso.
Las interfaces que no se utilizan deben estar administrativamente deshabilitadas utilizando el comando shutdown. En los routers Cisco este es el estado por defecto; por el contrario, en los switches Catalyst todos los puertos estn habilitados por defecto.
En las interfaces en uso, si no son necesarios, conviene desactivar los siguientes servicios:
Router(config-if)#no ip proxy-arp
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip mask-reply
.3. Mantenga control del trfico que atraviesa el router.
Bsicamente se debiera bloquear todo trfico innecesario. Sin embargo, muchas veces es difcil determinar el trfico necesario.
Pero hay trfico que ciertamente no debiera ingresar o circular. Por ejemplo, cuando la red tiene un router a travs del cual se conecta a Internet; este dispositivo no debiera recibir desde Internet trfico que se origine en una direccin IP privada. Para esto, se puede implementar la siguiente lista de acceso, suponiendo que la interfaz a travs de la cual el router se conecta a Internet es la interfaz serial 0/0:
Router(config)#access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
Router(config-if)#description acceso a Internet
Router(config-if)#ip access-group 101 in
.4. Mantenga los archivos log y utilice una fuente de hora confiable.
Para mantener un control del trfico que es bloqueado por las listas de acceso, es conveniente utilizar los archivos log. Estos archivos tambin pueden mantener registro de los cambios de configuracin y errores.
Para mantener estos archivos almacenados en el dispositivo, el procedimiento es el siguiente:
Router(config)#logging on
Router(config)#logging buffered 16384
De este modo se reserva un espacio de 16 MB en la memoria RAM del dispositivo.
El problema de guardar estos archivos en el router es que en caso de un reinicio del dispositivo se pierden estos archivos. Por eso conviene almacenarlos en un servidor que puede incluso ser un servidor comn a todos los dispositivos de la red.
El comando para identificar este servidor es:
Router(config)#logging [ip]
Un elemento muy importante de informacin en los archivos log, es la marca horaria de los sucesos.
Esta marca horaria puede tomarse a partir del reloj interno del dispositivo. Sin embargo, si hay varios dispositivos es muy importante que todos tomen su marca horaria de un nico servidor para poder hacer las comparaciones que puedan ser necesarias. Para activar este servicio utilice el siguiente comando:
Router(config)#service timestamps log datetime msec
Router(config)#ntp server server.ntp.address
.5. Implemente claves de acceso y clave de acceso al modo privilegiado.
Asegrese de aplicar claves de acceso a cada uno de los puertos.
Router(config)#line console 0
Router(config-line)#password [clave]
Router(config)#line aux 0
Router(config)#line vty 0 4
Para bloquear el acceso al modo privilegiado utilice siempre la enable secret que se encripta utilizando MD5.
Router(config)#enable secret [clave]
.6. Use claves complejas (robustas) y encripte las claves en texto plano.
Asegrese de utilizar claves largas y con caracteres alfanumricos, lo que reduce la posibilidad de que sean violadas por un ataque de fuerza bruta. Este comando Cisco IOS le permite asegurar una longitud de caracteres mnima para cada clave:
Router(config)#security password min-length 6
Asegrese de que todas las claves estn encriptadas, al menos con un algoritmo de encripcin bsico:
Router(config)#service password encryption
Se pueden prevenir intentos de acceso por fuerza bruta estableciendo parmetros de tiempo para el ingreso de claves en el dispositivo. En este ejemplo se define que el acceso se bloquee por 180 segundos cuando se realizan 3 intentos fallidos en un intervalo de 30 segundos.
Router(config)#login block-for 180 attempts 3 within 30
.7. Controle quines pueden acceder remotamente al router.
Es conveniente limitar las posibilidades de acceso remoto a la administracin de los dispositivos.
Una posibilidad es limitar las direcciones IP y protocolos que se utilizan para acceder a las terminales virtuales. Por ejemplo, para permitir el acceso exclusivamente desde la red local:
Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
Router(config-line)#access-class 10 in
.8. Utilice SSH para el acceso remoto.
No es recomendable el uso de telnet o http para la administracin de los dispositivos, dado los riesgos de seguridad que esto entraa.
Es altamente recomendable utilizar SSH (Secure Shell) para la administracin remota de los dispositivos ya que SSH viaja encriptado. Para habilitar SSH en un dispositivo siga los siguientes pasos:
Router(config)#hostname [nombre]
Router(config)#ip domain-name [nombre]
Router(config)#crypto key generate rsa
Router(config)#ip ssh timeout 60
Router(config-line)#transport input ssh
Nota: Antes de intentar esta implementacin, verifique que su versin y package de Cisco IOS soportan SSH.
.9. Segurice los protocolos de enrutamiento y otros servicios opcionales.
A fin de evitar ataques que signifiquen modificaciones no autorizadas de las tablas de enrutamiento es recomendable utilizar protocolos que soporten una autenticacin con claves encriptadas.
Por ejemplo, se puede configurar OSPF para que utilice claves encriptadas:
Router(config-if)#ip ospf message-digest key [1-255] md5 [1-7] [clave]
Router(config)#router ospf 1
Router(config-router)#area 0 authentication message-digest
.10. Prevenga los ataques de denegacin de servicio.
Un modo simple de prevenir ataques DoS comunes, es limitar el ancho de banda utilizado por los paquetes ICMP. El protocolo ICMP suele ser utilizado para inundar la red causando una denegacin de servicio.
Para prevenir este tipo de ataque se pueden utilizar los comandos que se indican a continuacin en cada interfaz, de modo de limitar el ancho de banda que ser ocupado por el protocolo.
En este caso, limitar a 20 Kbps la disponibilidad para trfico de ping en la interfaz serial 0/0 que tiene un ancho de banda total de 64 Kbps. Esto en la realidad depende en cada caso del ancho de banda de cada enlace y la proporcin de ese ancho de banda que se desea asignar como mximo a estos protocolos.
Router(config)#access-list 101 permit icmp any any echo-reply
Router(config)#access-list 101 permit icmp any any echo
Router(config-if)#rate-limit input access-group 101 20000 8000 8000 conform-action transmit exceed-action drop
Tenga en cuenta que la prevencin de ataques de DoS es una tarea ms compleja que debe enmarcarse en el contexto de polticas e implementaciones de seguridad. Este es solamente un tip para lograr una prevencin bsica.
Por defecto los dispositivos Cisco activan diversos servicios que son opcionales. Estos servicios son potenciales puntos de ataques de seguridad ya que permitien acceder a informacin del dispositivo.
Las interfaces que no se utilizan deben estar administrativamente deshabilitadas utilizando el comando shutdown. En los routers Cisco este es el estado por defecto; por el contrario, en los switches Catalyst todos los puertos estn habilitados por defecto.
Bsicamente se debiera bloquear todo trfico innecesario. Sin embargo, muchas veces es difcil determinar el trfico necesario.
Para mantener un control del trfico que es bloqueado por las listas de acceso, es conveniente utilizar los archivos log. Estos archivos tambin pueden mantener registro de los cambios de configuracin y errores.
El problema de guardar estos archivos en el router es que en caso de un reinicio del dispositivo se pierden estos archivos. Por eso conviene almacenarlos en un servidor que puede incluso ser un servidor comn a todos los dispositivos de la red.
Esta marca horaria puede tomarse a partir del reloj interno del dispositivo. Sin embargo, si hay varios dispositivos es muy importante que todos tomen su marca horaria de un nico servidor para poder hacer las comparaciones que puedan ser necesarias. Para activar este servicio utilice el siguiente comando:
Asegrese de utilizar claves largas y con caracteres alfanumricos, lo que reduce la posibilidad de que sean violadas por un ataque de fuerza bruta. Este comando Cisco IOS le permite asegurar una longitud de caracteres mnima para cada clave:
Se pueden prevenir intentos de acceso por fuerza bruta estableciendo parmetros de tiempo para el ingreso de claves en el dispositivo. En este ejemplo se define que el acceso se bloquee por 180 segundos cuando se realizan 3 intentos fallidos en un intervalo de 30 segundos.
Una posibilidad es limitar las direcciones IP y protocolos que se utilizan para acceder a las terminales virtuales. Por ejemplo, para permitir el acceso exclusivamente desde la red local:
No es recomendable el uso de telnet o http para la administracin de los dispositivos, dado los riesgos de seguridad que esto entraa.
Es altamente recomendable utilizar SSH (Secure Shell) para la administracin remota de los dispositivos ya que SSH viaja encriptado. Para habilitar SSH en un dispositivo siga los siguientes pasos:
A fin de evitar ataques que signifiquen modificaciones no autorizadas de las tablas de enrutamiento es recomendable utilizar protocolos que soporten una autenticacin con claves encriptadas.
Un modo simple de prevenir ataques DoS comunes, es limitar el ancho de banda utilizado por los paquetes ICMP. El protocolo ICMP suele ser utilizado para inundar la red causando una denegacin de servicio.
Para prevenir este tipo de ataque se pueden utilizar los comandos que se indican a continuacin en cada interfaz, de modo de limitar el ancho de banda que ser ocupado por el protocolo.
En este caso, limitar a 20 Kbps la disponibilidad para trfico de ping en la interfaz serial 0/0 que tiene un ancho de banda total de 64 Kbps. Esto en la realidad depende en cada caso del ancho de banda de cada enlace y la proporcin de ese ancho de banda que se desea asignar como mximo a estos protocolos.
Router(config-if)#rate-limit input access-group 101 20000 8000 8000 conform-action transmit exceed-action drop
Tenga en cuenta que la prevencin de ataques de DoS es una tarea ms compleja que debe enmarcarse en el contexto de polticas e implementaciones de seguridad. Este es solamente un tip para lograr una prevencin bsica.
tipos aplicacin
estandar
numerada
nombrada
ACL
extendida
numerada
nombrada
Como funciona una Acl
1.- Se crea la acl, sea esta estandar o extendida, puede ser esta nombrada.
2.- se aplica en la interfaz correspondiente.
Formato de Acl estandar.
Router(config)# access-list [1-99 | 1300 a 1399] [permit |deny] [ direccion de origen] [mascara comodin]
Ejemplo:
R2(config)#access-list 10 permit 192.168.10.2 0.0.0.255
.
Formato de ACL extendida.
Router(config)# access-list [100-199 | 2000 a 2699] [permit |deny] [protocolo] [ direccion de origen] [mascara comodin] [direccion de destino] [mascara comodin] [puerto] [established] [log]
Ejemplo:
R2(config)#access-list 101 permit 120.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
Formato de ACL nombrada.
Router(config)#ip access-list [standard|extended] [nombre]
Router(config-[std|ext] nac1)#[permit|deny] [condiciones de prueba; estandar o extendida]
Router(config)#ip access-list standard R2NAT
Router(config-std- nac1)#permit 192.168.10.0 0.0.0.255
Asociacion de Acl a una Interfaz:
Router (config)# interface [Tipo de interface numero de interface]
Router(config-if)#ip access-group [# lista de acceso|nombre de la lista de acceso] [in|out]
Ejemplo
R2(config)#interface s 0/0/0
R2(config-if)#ip access-group 1 out
Claves de las listas
* Un bit de mascara wildcard 0 significa "Comprobar el valor correspondiente".
* Un bit de mascara wildcar 1 significa "no comprobar (ignorar) el valor de bit correspondiente"
*En acl estandar solo se puede usar un any.(origen)
*En un acl extendido se puede usar any any (origen, destino)
Abreviaturas para casos mas frecuentes de Wildcar.
* Host=macara comodin 0.0.0.0, utilizda para un host especifico; es la mascara predeterminada en wildcar, si no se coloca ella lo toma; (solo deja pasar a ella misma, no rango, solo 1)
*Any=0.0.0.0 255.255.255.255, utilizado para definir cualuqier host, red o subred.
Cuantas listas por funcionalidad:
*Una acl por cada protocolo habilitado en la interfaz (protoclos ip, talk )
*Una acl por direccion , se deen de crear 2 una por trafico entante y otra por trfico sliente
*Una acl por interfaz
# acls = *#interfaces*#protocolos*2 direcciones por interfaz(in y out)
Ultima Sentencia por defecto en cualquier lista es: (por cierto no se mira)
como si estubiera escrita si:
Router(config)# access-list [1-99 | 1300 a 1399|nombre de la lista] deny ip any
Router(config)# access-list [100-199 | 2000 a 2699|nombre de la lista] deny ip any any
Uso de Acl para controlar vty
line vty 0 4
login
password secret
access-class [# de lista de acceso] [in|out]
tip que se pueden utiliza para comandos
eq=igual
neq=desigual
gt= mayor que
it=menor que
listado de puertos TCP mas utilizados en las Acl
# de puerto comando Protocolo
7 echo Echo
9 discard Discard
13 daytime Daytime
19 Chargen Character generator
20 ftp-data FTP dta connections
21 ftp File transfer Protocol
23 telnet Telnet
25 smtp Simple Mail Transport Protocol
37 time Time
53 domain Domain Name Service
43 whois Nicname
49 tacacs TAC Access Contro System
70 gopher Gopher
79 finger Finger
80 www-htp World wide web
101 hostname Nic hostname server
109 pop2 Post office protocol v2
110 pop3 Post office protocol v3
111 sunrpc Sun Remote Procedure call
113 ident Ident protocol
119 nntp Network News Transport Protocl
179 bgp Border gateway protocol
194 irc Internet relay Chat
496 pim-auto-rp Pim auto-rp
512 exec exec
513 login login
514 cmd Remote commands
515 lpd print service
517 talk talk
540 uucp Unix-to-Unix copy program
443 https
listado de puertos UDP mas utilizados en las Acl
# de puerto comando Protocolo
7 echo echo
9 discard discard
37 time time
42 nameserver IEN 116 name service
49 tacacs TAC Access Contro System
53 domain Domain Name service
67 bootps Bootstrap protocol server
68 bootpc Bootstrap protocol client
69 tftp Trivial File Transfer protocol
111 sunrpc Sun remote Procedur call
123 ntp Networki Time protocol
137 netbios-ns Netbios name service
138 netvios-dgm netbios datagram service
139 netvios-ss Netbios session service
161 snmp Simple network maangement protocol
162 snmptrap snm traps
177 xdmcp x display manager control protocol
195 dnsix dnsix security protocol auditing
434 mobile-ip mobile ip registration
496 pim-auto-rp pim -auto-rp
500 isakmp
internet security asociation
and key managament protocol
512 biff biff
513 who who service
514 syslog system logger
517 talk talk
520 rip routing information protocl
Protoclos mas utilizados en las acls
comando descripcion observacion
eigrp Cisco eigrp rounting protocol
gre cisco gre tunneling
icmp internet control mesage protocl
igmp internet gateway message protocl
ip any internet protocol
ospf ospf rountin protocl
pcp payload compresion protocl
tcp protoclo de control de trnsmision
udp protoclo de datagrama de usuario
Mensajes de ICMP
type code Description
0 0 echo reply
3 destination unreachable
0 network unreachable
1 host unreachable
2 protocol unreachable
3 port unreachable
4 fragmentation needed but fg not set
5 source route failed
6 destination network unknown
7 destination host unknown
8 source host isolated (obsolete)
9 destination network adimistrativly prohibited
10 destination host administratively prohibited
11 network unreachable for TOS
12 host unreachable for TOS
13 communication administratively prohibited by filtering
14 host precedence violation
15 precedence cut-off in effect
4 0 source quench (elementary flow control)
5 redirect
0 redirect for network
1 redirect for host
2 redirect for TOS and network
3 redirect for TOS and host
8 0 echo request
9 0 router advertisement
10 0 router solicitation
11 time exceeded
0 time-to-live equals 0 during transit
1 time-to-live equals 0 during reassembly
12 parameter problem
0 IP header bad
1 required option missing
13 0 timestamp request
14 0 timestamp reply
15 0 information request (obsolete)
16 0 information reply (obsolete)
17 0 address mask request
18 0 address mask reply
como donde se aplica
autorizan o deniegan
desde la ip de origen
lo mas serca posible del destino
del trafico a denegar.
autorizan o deniegan
por el tipo de protocolo,
ip de origen, ip destino,
puertos tcp udp de origen,
puertos tcp udp de destino, tipo de protocolo.
lo mas serca posible del origen del
trafico denegado.
Router(config)# access-list [1-99 | 1300 a 1399] [permit |deny] [ direccion de origen] [mascara comodin]
Router(config)# access-list [100-199 | 2000 a 2699] [permit |deny] [protocolo] [ direccion de origen] [mascara comodin] [direccion de destino] [mascara comodin] [puerto] [established] [log]
Router(config-[std|ext] nac1)#[permit|deny] [condiciones de prueba; estandar o extendida]
* Un bit de mascara wildcar 1 significa "no comprobar (ignorar) el valor de bit correspondiente"
* Host=macara comodin 0.0.0.0, utilizda para un host especifico; es la mascara predeterminada en wildcar, si no se coloca ella lo toma; (solo deja pasar a ella misma, no rango, solo 1)
observacion
flujo de datos entre cliente y servidor
transferir archivos (envio de ordenes de cliente a servidor)
observacion
Query Error
porque rango numeradas nombradas

para que no bloque el trafico hacia todos los
destinos, ya que implica todos si se coloca lejos.
1 a 99
1300 a 1999
para que el trafico no deseado no se filtre
por toda la infraestructura, ya que poseemos
direccion de origen y destino.
100 a 199
2000 a 2699
caracteres alfanumericos
se sugiere nombre con
mayusculas, los nombres
no pueden contener
espacios ni signos de
puntuacion y deben empezar
con una letra,
pueden borrar o agregar
entradas acl.
estandar
extendida
EJEMPLOS VARIOS para que sirve
1.- Permitir a un grupo de usaurio hacer telnet hacia cualquier equipo
<access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 23
<access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq telnet
2.- Bloque el acceso a ftp
<access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp
2.- Bloque el acceso a ftp data
<access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq ftp-data
3.- como miro todos los puertos que puedo bloquear o permitir
<access-list 114 permit tcp any eq ?
tcp, en P.T
ftp File Transfer Protocol (21)
pop3 Post Office Protocol v3 (110)
smtp Simple Mail Transport Protocol (25)
telnet Telnet (23)
www World Wide Web (HTTP, 80)
udp en P.T
bootpc Bootstrap Protocol (BOOTP) client (68)
bootps Bootstrap Protocol (BOOTP) server (67)
domain Domain Name Service (DNS, 53)
isakmp Internet Security Association and Key Management Protocol (500)
non500-isakmp Internet Security Association and Key Management Protocol
-4500
snmp Simple Network Management Protocol (161)
tftp Trivial File Transfer Protocol (69)
4.- Se quierer denegar el flujo de trafico ftp el resto de trafico se quiere permitir
R1 (config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 21
R1 (config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.10.0 0.0.0.255 eq 20
R1 (config)#access-list 101 permit ip any any
R1 (config)#interface fa 0/1
R1 (config-if)#ip access group 101 in
Clave de analisis del problema # 4
a) indican que bloquee el trafico ftp, entonces busco en mi cuadro el comando ftp, y resulta que hay 2 ftp(puerto 21), y ftp-data (puerto 20)
b)debo bloquear los 2, puerto, ya que no especifican
c)luego busco a que protocolo pertencen esos puertos y me douy cuenta que pertenece al tcp, po esa razon es que se coloca tcp para el bloqueo.
d)luego pide que el resto de trafico se permita, quien es el resto de trafico, cualquier direccion que se identifique con una ip, ya habiendo exluido lo anterior.
e)luego la sentencia implicit que dice que lo que no esta ah denieguelo.
f) se asigna lo mas cerc posible del origen de la direccion a denegar y como trafico entrante.
g)c/ any significa 0.0.0.0 255.255.255.255
h)recordar que als acl extendidas usan any any y las estandar sol any
5.- Denegar todo el trafico de Telnet desde 192.168.11.0 hacia la interfaz fa 0/0, pero permite todo el trafico ip de cualquier otro origen a cualquier destino.
R1(config)#access-list 101 deny tcp 192.168.11.0 0.0.0.255 any eq 23
R1(config)#access-list 101 permit ip any any
R1(config)#interface fa 0/0
R1(config-if)#ip acces-group 101 out
Claves del 5
a) aqu se puso en la saliente por conveniencia aunque fuer extendida.
6.- Permitir solicitudes a los puertos 80 y 443 con lista de acceso nombrada con el nombre SURFING
R1(config)#ip access-list extended SURFING
R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq 443
7.- Permitir respuestas de HTTP SHTTP, establecidas, con lista nombrada COMO BROWSING
R1(config)#ip access-list extended BROWSING
R1(config-ext-nacl)#permit tcp any 192.168.10.0 0.0.0.255
7.- Bloquee a la red 10.1.10.0 acceso a la red 10.1.40.0 con acl estandar
R1(config)#acces-list 10 deny 10.1.10.0 0.0.0.255
R1(config)#acces-list 10 permit any
8.- El host 10.1.10.5 no tiene permitido el acceso al hosto 10.1.50.7, todos los host restantes pueden accesar a 10.1.50.7
R1(config)#access-list 115 deny ip host 10.1.10.5 host 10.1.50.7
o R1(config)#access-list 115 deny ip 10.1.10.5 0.0.0.0 10.1.50.7 0.0.0.0
R1 (Config)# access-list 115 permit ip any any
Explicacion:
a)Se utiliza el ,protocolo "ip" porque es acceso a cualquier equipo, como es extendida se utliza ip, si fuera estandar no hay necesidad., como el caso anterior.
b)al final se pone any y any la segunda vez, porque lo quem interesa es que tenga acceso con ese paremtro abarcamnos eso.
9.- el rango de host 10.1.50.1-1.1.50.63 no tienen acceso al web al servidor intranet 10.1.80.16
se permite el acceso restante.
a)R1(config)#access-list 101 deny tcp 10.1.50.0 0.0.0.63 10.1.80.16 0.0.0.0 eq 80
b)R1(config)#acces-list 101 permit ip any any
Explicacion se permite el accso restante, se refiere a que lo que quiera en el origen y lo que quiere en del destino.
ojo para la wilcar se tomo 63(64) porque se tiene en cuenta la direccion de red entonces es de 0.. A 63 =64, de lo contrario habrai que haberla partido.para que fuera exacta.
10.- Use el nombre NO_FTP para configurar una ACL nombrada que bloquee a la red 10.1.70.0/24
el acceso a servicios FTP (puerto 21) en el servidor de archivos de 10.1.10.2. Se debe permitir cualquier otro acceso.
R1(Config)#ip access-list extended NO_FTP
R1(config-ext- nac1)#deny tcp 10.1.70.0 0.0.0.255 10.1.10.2 0.0.0.0 eq 21
R1(config-ext- nac1)#permit ip any any
11.- Dado que el ISP representa la conectividad a Internet, configure una ACL nombrada con la denominacin FIREWALL en el siguiente orden:
1. Permita nicamente respuestas de ping entrantes desde el ISP y cualquier otro origen
2. Permita nicamente sesiones TCP establecidas desde el ISP y cualquier otro origen.
3. Bloquee explcitamente cualquier otro acceso entrante desde el ISP y cualquier otro origen
R1(Config)#ip access-list extended FIREWALL
R1(config-ext- nac1)#permit icmp any any echo-reply
R1(config-ext- nac1)#permit tcp any any established
R1(config-ext- nac1)#deny ip any any
11.- Denegar la ip des la 1 hasta la 50 y el rango desde la 100 hasta la 125 (de la siguiente red 10.10.10.0/24), el resto permitalo.
access-list 42 deny 10.10.10.0 0.0.0.31
access-list 42 deny 10.10.10.32 0.0.0.15
access-list 42 deny 10.10.10.48 0.0.0.1
access-list 42 deny host 10.10.10.50
access-list 42 deny 10.10.10.100 0.0.0.3
access-list 42 deny 10.10.10.104 0.0.0.7
access-list 42 deny 10.10.10.112 0.0.0.7
access-list 42 deny 10.10.10.120 0.0.0.3
access-list 42 deny 10.10.10.124 0.0.0.1
access-list 42 permit any
12.- El protocolo ICMP debe estar activo para web server desde cualquier ubicacin y dns no debe ser visto (icmp) desde ningun punto de la red.
access-list 142 permit udp any any eq domain
access-list 142 deny ip any any .
a) indican que bloquee el trafico ftp, entonces busco en mi cuadro el comando ftp, y resulta que hay 2 ftp(puerto 21), y ftp-data (puerto 20)
c)luego busco a que protocolo pertencen esos puertos y me douy cuenta que pertenece al tcp, po esa razon es que se coloca tcp para el bloqueo.
d)luego pide que el resto de trafico se permita, quien es el resto de trafico, cualquier direccion que se identifique con una ip, ya habiendo exluido lo anterior.
5.- Denegar todo el trafico de Telnet desde 192.168.11.0 hacia la interfaz fa 0/0, pero permite todo el trafico ip de cualquier otro origen a cualquier destino.
8.- El host 10.1.10.5 no tiene permitido el acceso al hosto 10.1.50.7, todos los host restantes pueden accesar a 10.1.50.7
a)Se utiliza el ,protocolo "ip" porque es acceso a cualquier equipo, como es extendida se utliza ip, si fuera estandar no hay necesidad., como el caso anterior.
b)al final se pone any y any la segunda vez, porque lo quem interesa es que tenga acceso con ese paremtro abarcamnos eso.
Explicacion se permite el accso restante, se refiere a que lo que quiera en el origen y lo que quiere en del destino.
ojo para la wilcar se tomo 63(64) porque se tiene en cuenta la direccion de red entonces es de 0.. A 63 =64, de lo contrario habrai que haberla partido.para que fuera exacta.
el acceso a servicios FTP (puerto 21) en el servidor de archivos de 10.1.10.2. Se debe permitir cualquier otro acceso.
11.- Dado que el ISP representa la conectividad a Internet, configure una ACL nombrada con la denominacin FIREWALL en el siguiente orden:
11.- Denegar la ip des la 1 hasta la 50 y el rango desde la 100 hasta la 125 (de la siguiente red 10.10.10.0/24), el resto permitalo.
12.- El protocolo ICMP debe estar activo para web server desde cualquier ubicacin y dns no debe ser visto (icmp) desde ningun punto de la red.
1.- se usa cuando los servidores dhcp no esta n en la misma red que los routers que requeiren el servicio.
2.- Lo que suced es que los routers no tx broadcast y el dhcp funciona a traves de broadcast, por lo tanto se emplea este metodo.
3.- En cada router que existe se hace un ayudante que conecte al servidor con el siguiente comando.
4.- El resto de configuracion se queda igual.
5.-En el servidor se deben declara los ip gatway con un nombre especifico , indicando el arranque de direcciones y la cantidad de pcs que reconoceran de manera automatica.
6.- Este paso se efectua, por cada red que tenga computadoras.
7.- En las computadoras se elige dhcp, y automaticamente quedan grabadas las ip.
Router como servidor dhcp
1.- Definicion del rango de direcciones que dhcp no debe asignar, normalmente estas son direcciones estaticas.
2.- Creacion del pool de dhcp con el comando <ip dhcp pool
3.- Configurar los parametros especificos del pool.
Ejemplo
1.- Exclusion de direcciones.
R1 (config)# ip dhcp excluded-address low-address (high-address)
R1(config) #ip dhcp excluded-address 192.168.10.1 192.168.10.9
2.- Configurar un pool de dhcp
R1(config)#ip dhcp pool pool-name
R1(config)ip dhcp pool R1LAN1
R1(dhcp-config)#
3.- Tareas de dhcp requeridas
a)Definir el conjunto de direcciones.
network (network-number) [mask|prefix=length]
b) Definir el router o gateway predetrminado.
default-router address [address 2 8]
4.- Tareas Opcionales:
a)Definir un servidor dns
dns-server address [address2..8]
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
ip helper-address 192.168.2.2
Relay Dhcp (Utilizando servidor)
b)Definir el nombre de dominio.
domain-name domain | domain name span.com
c)Definir la duracion del arendamiento de dhcp
lease [days [hours] [minutes]| infinite
d)Definir el servidor Netbios.
netbios-name-server address [address2 8]
Ejemplo practico.
R1(config)ip dhcp excluded-address 192.168.10.1 192.168.10.9
R1(config)#ip dhcp pool R1LAN1
R1(dhcp-config)#network 192.168.10.0 255.255.255.0
R1(dhcp-config))default-router 192.168.10.1
R1(dhcp-config)dns-server 192.168.20.254
1.- se usa cuando los servidores dhcp no esta n en la misma red que los routers que requeiren el servicio.
2.- Lo que suced es que los routers no tx broadcast y el dhcp funciona a traves de broadcast, por lo tanto se emplea este metodo.
3.- En cada router que existe se hace un ayudante que conecte al servidor con el siguiente comando.
5.-En el servidor se deben declara los ip gatway con un nombre especifico , indicando el arranque de direcciones y la cantidad de pcs que reconoceran de manera automatica.
1.- Definicion del rango de direcciones que dhcp no debe asignar, normalmente estas son direcciones estaticas.
Relay Dhcp (Utilizando servidor)
Procedimiento Nat estatico (traduccion estatica de origen).
1.- Se establece la traduccion estatica entre una direccion local interna y una direccion global interna.
R1(config)#ip nat inside source static local-ip, global-ip
R1(config)#no ip nat inside source
2.- Especifique la interfaz interna.
R1(config)# interface [tipo & #]
3.- Marque la interfaz como conectada al interior-
R1(config-if)#ip nat inside
4.- Salga al modo de configuracion de interfaz.
R1(config-if)#exit
5.- Especifique la interfaz externa.
R1(config)#interface type number
6.- Marque la interfaz como conectada al exterior.
R1(config)#ip nat outside
Ejemplo Practico.
1.- R1(config)ip nat inside source static 192.168.20.254 209.165.202.131
2.- interface FastEthernet0/0
3.- ip nat inside
4.- exit
5.- interface Serial0/1/0
6.- ip nat outside
Procedimiento para nat dinamico
1.- Defina un conjunto de direcciones globales, para asignar segn sea necesario.
R(config)#ip nat pool name start-ip end-ip netmask [# mask| prefis-legth]
2.- Defina una lista de acceso estandar que permita las direcciones que se deben traducir.
R(config)access-list [#lista] permit source [source-wildcar]
3.- Establezca la traduccion dinamica de origen; mpara hacerlo especifique la lista de acceso definida en el paso anterior.
R(config)#ip nat inside source list -access [#lista] pool name
4.- Especifique la intrfaz interna
R(config)#interface type number
5.- Marque la interface como conectada al interior.
R(config)#ip nat inside
6.- Especifique la interfaz externa
R(config)#interface tuype number
7.- Marque la interfaz como conectada al exterior
R(config)#ip nat outside
8.- exit
Ejemplo Practico de nat Dinamico
1.- ip nat pool Nat-POOL_1 209.165.200.240 netmask 255.255.255.224
2.-Access-list 1 permit 192.168.0.0 0.0.255.255
3.- ip nat inside source list 1 pool NAT-POOL-1
4.- Interface serial 0/0/0
5.- Ipnat inside
6.-interface serial 0/1/0
7.- Ip nat outside.
8.- exit
Configuracion de Sobrecarga Nat a una direccion ip publica (pat)
1.- Defina una lista de acceso estandar que permita las direcciones que se deben trducir
R(config)#access-list [acl-number] permit source [source-wildcar]
2.- Establesca la traduccion dinamica de origen, para hacerlo especifique la lista de acceso definida en el paso anterior.
R(config)#ip nat inside source list [acl-number] interface [tipo-number] overload.
3.- Especifique la interfaz interna.
R(config)#interface type number.
R(config)# ip nat inside
4.- Especifique la interfaz externa.
R(config)#interface type-number
R(config)#ip nat outside.
ejemplo practico
1.- Access-list 1 permit 192.168.0.0 0.0.255.255
2.-ip nat inside source list 1 interface serial 0/1/0 overload
3.- interdface serial 0/0/0
ip nat inside
4.- interface serial 0/1/0
ip nat outside
5.- exit
Configuracion de Sobrecarga Nat a varias direcciones ip publicas (pat)
1.- Defina una lista de aceso estandar que permita las direcciones que se deben traducir.
R(config)#access-list [acl-number] permit source [source-wildcard]
2.- Especifque la direccion global, como un conjunto que se usara para la sobrecarga
R(config)#ip nat pool [name] start-ip end-ip netmask [#mask]
3.- Establesca la traduccion de sobrecarga
R(config)# ip nat inside source list [acl-number] pool [name] overload
4.- Especifique la interfaz interna
R(config)#interface Type number
R(config)# ip nat inside.
R(config)#interface Type number
R(config)# ip nat outside
ejemplo practico
1.- ip access-list standard R2NAT
permit 192.168.10.0 0.0.0.255
permit 192.168.20.0 0.0.0.255
permit 192.168.30.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
1.1-ip nat pool R2POOL 209.165.202.128 209.165.202.130 netmask 255.255.255.252
2.- ip nat inside source list R2NAT pool R2POOL overload
3.- interface FastEthernet0/0
ip nat inside
interface Serial0/0/0
ip nat inside
ip nat inside
ip nat outside
ejemplo practico
1.- access-list 1 permit source 192.168.0.0 0.0.255.255
2.-ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask 255.255.255.252
3.- ip nat inside source list 1 pool NAT-POOL2 overload
5.-ip nat inside
7.-ip nat outside.
establecer
borrar
3.- Establezca la traduccion dinamica de origen; mpara hacerlo especifique la lista de acceso definida en el paso anterior.
2.- Establesca la traduccion dinamica de origen, para hacerlo especifique la lista de acceso definida en el paso anterior.
estandar numerada
Se toma la interfaz de salida
estandar nombrada
estandar numerada

Comandos Final Ccna

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Comandos Final Ccna

Încărcat de

Drepturi de autor:

Formate disponibile

MODO USUARIO

porque rango numeradas nombradas

S-ar putea să vă placă și