Documente Academic
Documente Profesional
Documente Cultură
POR
RICARDO ANDRES CANO
CODIGO
20111
ADMISNSTRACION DE REDES
PROFESOR
CAMILO ZAPATA
CENTRO DE SERVICIOS Y GESTION EMPRESARIAL
SERVICIO NACIONAL DE APRENDIZAJE SENA
MEDELLIN
2010
PROBLEMA PLANTEADO
∙ Simular la red mostrada en la figura
∙ El Router de borde “NAT Router” brindará la conexión a Internet para la red local y tendrá
un enlace principal y un enlace de backup, para cuando falle el Enlace principal.
∙ NAT Router permitirá que una petición que llegue a través del puerto 80 por una de sus
interfaces externas (Internet) sea re direccionada al puerto 8080 del servidor Web
∙ El departamento estará en una VLAN diferente, al igual que la granja de servidores
∙ Todos los clientes de cada VLAN pueden acceder a los servicios de red (Web, DNS, etc),
pero la administración remota (switches, routers y servidores) podrá llevarse a cabo
solamente desde los clientes de la VLAN del departamento de administración
∙ El enlace serial entre Router0 y NAT Router debe ser configurado con la tecnología Frame
Relay.
∙ Todos los Routers deben tener habilitado el servicio SSH y deshabilitado el Telnet
∙ Debe configurar el Switch adecuadamente para que analizador de tráfico capture el tráfico
de todas VLANs.
SOLUCION DEL PROBLEMA PLANTEADO.
La simulación se realizara con el cisco Packet Tracer 5.0, lo primero que se realizara es
colocar en el area de trabajo los dispositivos necesarios para iniciar la simulación, es decir
colocamos la granja de servidores, los PCs y los Swicht, routers asi como el cableado
respectivo.
1. para iniciar configuraremos el Swicht de nuestra topología con el fin de implementar las
VLan que se nos pide. Para esto utilizamos los siguientes comandos:
Vlan database <cr> comando con el que ingresamos al modo de configuración de las vlan
Vtp server <cr> con este comando designamos al swicht como servidor, es decir que provee
información sobre vlan.
Vtp domain “nombre” <cr> se denomina un dominio para las vlan que se configuren en el
swicht
Vtp v2mode <cr> con este comando se activa la versión 2 del vtp
vlan 10 name administración se crea la vlan para administración.
vlan 20 name servicios para crear la vlan de la granja de servidores.
2. luego se pasa a configurar las interfaces para que reciban cada una de las vlan y se
configura un puerto troncal para la comunicación con el swicth. Asi:
Conf t comando ejecutado en el modo exec privilegiado y es necesario para ingresar en el
modo de configuración global.
Interface f0/1 se utiliza para ingresar en una interface en este caso la 0/1
switchport mode trunk para activar la interface como troncal para la comunicación con el
router.
switchport mode Access lo utilizamos para definir una de las interfaces como interface de
acceso
switchport acces vlan 10 con este comando designamos una vlan a dicha interface. En
nuestro caso la vlan 10.
3. una vez creada las vlan se pasa a verificar la creación para ello se ejecuta el comando sh
vlan para mostrar las vlan en nuestro swicht.
4. proseguimos con la configuración del router conectado a nuestro swicth este router lo
llamaremos router 0 en el configuraremos 2 interfaces lookback o interfaces virtuales por
medio de los siguientes comandos:
Interface f0/0 para ingresar en la interface del router 0 en esta interface física solo nos
limitaremos a activarla por medio del comando no shutdown
Interface f0/0.1 con este comando creamos la interface lógica para el router
subif)#encapsulation dot1Q 10 con este comando estamos asignando la vlan 10 a la
interface en la cual nos encontremos trabajando.
ip add 192.168.2.1 255.255.255.0 para designar una dirección de ip a la interface y se
designa la mascara de subred.
NOTA: esta acción se debe repetir para ambas vlans
5. configuramos la interface serial del router ya que nos encontramos situados allí para esto
ingresamos en la interface serial que se encuentra conectada asi
Interface serial 0/0/0 para ingresar en una interface serial de nuestro router.
ip add 10.0.0.1 255.255.255.252 se esta desigando una dirección ip para el enlace serial esta
será punto a punto.
no shutdown para subir la interface
clock rate para establecer la sincronización en la comunicación WAN
por ultimo ejecutamos el comando end y procedemos a grabar los cambios realizados con el
comando copy r s
6. lo siguiente es configurar el nat en el router que llamaremos nat router por esto para ello
tendremos que configurar primero que nada el enlace con el resto de nuestra topología por
ello subiremos la interface serial que nos conecta con el router 0. de esta manera:
Interface s0/0/0 ingresamos en la interface serial
Ip add 10.0.0.2 255.255.255.252 para designar una IP dentro del enlace punto a punto.
No shutdown para subir la interface serial.
7. configuraremos las interfaces que están conectadas al router ISP como se muestra en la
topología debemos tener 2 interface fastEthernet para configurar.
Interface f0/0 ingresamos en la primera interface
Ip address 200.168.2.1 255.255.255.0 se designa la primera dirección IP
No shutdown para subir la interface
Interface f0/1 se ingresa en la segunda interface LAN
ip add 200.168.3.1 se configura la dirección para la segunda cabe decir que tiene que ser una
red diferente.
No shutdown sirve para subir la interface.
8. se configura el nat dinámico para nuestra topología. Mediante las siguientes líneas de
comando, cabe decir que estos comandos se ejecutan desde el modo de configuración global
del router.
ip nat pool redes 200.16.24.1 200.16.24.5 netmask 255.255.255.0 se utiliza para crear un
pool de direcciones a las cuales se transforman las ip privadas en ip publicas
accesslist 1 permit 172.16.0.0 0.0.255.255 esta lista de acceso se configura para permitir el
acceso de las direcciones privadas
ip nat inside source list 1 pool redes. Este comando es utilizado para configurar el nat de
modo que inside o de entrada.
9. después se procede a designar el pool de nat en cada una de las interfaces primero para las
direcciones que salen por lo cual se configurara en el enlace serial asi:
interface serial 0/1/0
ip nat inside se coloca inside porque esta conexión es la que se encuentra en la parte interna
de nuestra topología y es por donde entrara las direcciones que se cambian de publicas a
privadas
10. luego pasamos a configurar el nat de la parte externa de nuestra topología es decir las
interfaces Ethernet, con los siguientes comandos:
interface fastEthernet 0/0
ip nat outside se dice que outside porque este estará encargado de cambiar las direcciones
privadas en publicas es decir que por esta interface saldrán las direcciones privadas a
publicas.
11. luego procedemos a configurar el el redireccionamiento del el puerto del servicio web
puerto 80 para que se redireccione por el puerto 8080, para ello se configurara un nat estatico
en el router. Asi:
Conf t se debe realizar dentro del modo de configuración global del router
ip nat inside source static tcp 192.168.0.4 80 200.168.2.13 8080 agregamos la direccion IP
del servidor WEB de nuestra red y después el puerto por defecto 80 y la dirección que tomara
y el puerto al cual se re direccionara el paquete http. Grabamos y terminamos con copy r s
12. procedemos a configurar el router ISP es decir los enlaces LAN con el router nat router
para esto haremos lo mismo que en los paso anteriores ingresaremos en las interfaces y
designaremos una dirección IP que corresponda con el enlace y subiremos la interface. Asi:
interface fastEthernet 0/0
ip address 200.168.2.2 255.255.255.0
no shutdown
interface fastEthernet 0/1
ip address 200.168.3.2 255.255.255.0
no shutdown
13. En el siguiente paso se procede con la configuración del protocolo de enrutamiento en
cada uno de los routers en nuestro caso se utilizara en protocolo router OSPF para los router
router 0 y el nat router para ello utilizaremos los siguientes comandos:
Conf t se ejecuta el modo de configuración global
Router ospf 1 se utiliza para ingresar al protocolo ospf
Network 192.168.0.0 0.0.0.0.255 area 0 mediante este comando se agrega la dirección de red
seguida de la wildcard y el area es decir que mediante este comando se publicaran las
direcciones en la tabla de enrutamiento del router.
NOTA se publicaran todas las redes directamente conectadas menos los enlaces LAN entre el
router nat router y ISP pues estos se accederán mediante una ruta estática por defecto.
13. configuraremos la ruta por defecto en el router router 0 de esta manera las tramas que
vengan desde los routers exteriores se recibirán para configurarla ingresaremos en el modo de
configuración global e ingresaremos los siguientes comandos.
ip route 0.0.0.0 0.0.0.0 Serial0/1/0 mediante este comando se crea la ruta estatica por
defecto.
14. la configuración del SSH para la administración remota de los dispositivos intermediarios
para ellos ingresaremos en el router los siguientes comandos.
hostname ADC mediante este comando le designaremos un nombre al router, este paso es
importante puesto que sin el nombre el ssh son funcionara.
ip domainname proyecto necesario para la encriptación mediante rsa
crypto key generate rsa este comando permite encripta el usuario y la contraseña con la cual
se loguen los usuarios clientes.
ip ssh timeout 60 este comando determina el tiempo de espera en segundos que tendrá el
ssh.
ip ssh authenticationretries 5 comando utilizado para determinar el numero de intentos
para el ingreso.
username redes password redes se especifica el usuario y el password con el que el cliente
ingresara remotamente a la configuración de los dispositivos.
line vty 0 4 se designa la línea por la cual escuchara el ssh
transport input ssh necesario para habilitar el uso del protocolo ssh en la línea vty del
router.
login local mediante este comando se permite al protocolo la autenticación con un usuario
que se ha creado en los pasos anteriores
Salimos y grabamos los cambios, y procedemos a probarlo desde una maquina desde consola
por medio del siguiente comando ssh –l “usuario” “dirección IP” seguido de esto nos
pedirá que ingresemos el password y después de esto estará listo.
15. procedemos con la configuración de la acces list extendida que nos permitirá la
denegación de la administración remota de los dispositivos como swicht o routers. Para esto
tendremos que bloquear el puerto 22 para que no permita el paso tcp en la interface virtual de
la granja de servidores y denegar cada uno de los equipos clientes para que solo quede en la
vlan de administración. Para esto ejecutamos los siguientes comandos:
Conf t ingresamos en configuración global para crear la Access list
Accesslist 105 deny tcp 192.168.0.0 0.0.0.255 host 192.168.0.1 eq 22 se esta dando la
primera regla de la lista de acceso en la que no se permitirá la salida de ningún paquete tcp
que sea dirigido al puerto 22, que es el puerto del ssh , en nuestro caso se deniega la salida a
la vlan de la granja de servidores hacia el router para evitar que estos puedan hacer
administración remota.
Accesslist 105 deny tcp any host 192,168,1,1 eq 22
accesslist 105 permit ip any any
Interaface f0/0 ingresamos en la interface virtual de la granja de servidores para designar la
lista de acceso a esta interface.
Ip Accessgroup 105 in con este comando estamos designando la lista de acceso 105 a la
interface y con esto comenzara a condicionar el ingreso de paquetes.
16. procedemos con la instlacion de la tecnologia frame relay en los routers router 0 y nat
router esta configuracion debe realizarce en la intrerface serial 0/0/0 que es el enlace entre
estos dos dispositivos ejecutaaremos los siguientes comandos.
encapsulation framerelay ietf nos sive para emcapsular en framerelay
framerelay interfacedlci 50
no keepalive
CONCLUCIONES
• Se apropiaron nuevos conocimientos con respecto a la administración remota de
dispositivos activos gracias a la implementación del ssh en los routers cisco.
• Gracias a la práctica de nat se afianzaron conocimientos además de que se maneja el uso
de la opción de redirección de puertos.
• El proyecto nos ayuda a ver las falencias en cuanto a los conocimientos adquiridos en
nuestro proceso de aprendizaje, dado que muchos de los conceptos aquí planteados no se
habían apropiado con anterioridad.