NAT – DHCP - SSH(Configs básicas)

En este video se explican comandos básicos de configuración NAT, DHCP y SSH para aprovechar dichos servicios en nuestros routers. […]

::: Empezando la configuración :::

Lo básico: El equipo viene con su configuración por defecto, si hacemos un show runing config nos daremos cuenta de que las interfaces no tienen ninguna configuración.

Le damos un nombre al router

router(config)#hostname 1751v

Un mensaje de bienvenida

1751v(config)#banner motd #mensaje que nos dará al inciar el router#

Configurar la hora, primero uso horario (para chile)

1751v(config)#clock timezone CL –4

1751v(config)#end

1751v#clock set <hr:min:seg> <mes> <dia> <año>

Configuramos ingreso al router en forma remota

Colocamos contraseña

1751v(config)#enable secret <password>

Configuramos acceso remoto SSH, el SSH es mejor que telnet ya que telnet es más facil de sniffear, al contrario SSH va por un canal cifrado

1° Configurar nombre de dominio (debe tener nombre el equipo)

1751v(config)#ip domain-name <nombre dominio>

2° Generar una llave RSA para obtener encriptación del canal

1751v(config)#crypto key generate rsa

nos pregunta cuantos bits necesitamos para la encriptacion, ej. 1024, esperamos…

… y se habilita SSH

3° Ahora confirmamos que telnet esté deshabilitado y habilitamos SSH como transporte por defecto.

1751v(config)#line vty 0 4

1751v(config-line)#transport input none

1751v(config-line)#transport input ssh

1751v(config-line)#end

1751v#wr

*Para ver las llaves

1751v#show crypto key maypubt key rsa

Teniendo todo configurado se puede configurar los tiempos e intentos de espera para la carga de SSH, entrada, salida, autentificacion, etc

1751v(config)#ip ssh ? y nos da varias opciones

4° Creamos Usuarios para entrar en modo SSH en forma remota

1751v(config)#aaa new-model

1751v(config)#aaa authentication login default local

1751v(config)#username <aqui un nombre de usuario> password 0 <la contraseña>

“password 0 queda desencriptada la password, si colocamos 7 queda encriptada

Asi terminamos la configuracion de SSH

 

Video 19:20 Verificación de interfaces y conexión por SSH

Existen 2 interfaces en el router una conectada a la WAN (e1/0) y la LAN (f0/0)

Asignamos descripción a la interfaz, agregar ip y levantar la f0/0

1751v(config)#interface f0/0

1751v(config-if)#description LAN

1751v(config-if)#ip add 192.168.10.1 255.255.255.0

1751v(config-if)#no shutdown

Ahora configuramos la interfaz e1/0, descripción, dhcp

1751v(config)#interface ethernet 1/0

1751v(config-if)#ip address dhcp client-id ethernet 1/0

Así nos asigna una IP publica ya que estamos conectados a un ISP por la interfaz WAN, en este caso 190.161.146.8

Ahora con esta IP podemos acceder remotamente con el programa PuTTY, al ingresar nos pide la llave creada en algunos pasos más atrás, además del usuario. Al ingresar nos mostrará el banner motd y todas las configuraciones creadas previamente, además de esto podemos ver que obtenemos dirección por DHCP además de DNS.

Verificando rutas

Al ingresar con el comando show ip route nos damos cuenta que el router creo automáticamente una ruta estática por defecto, esta ruta nos lleva al default getaway proporcionado por el ISP (190.161.146.1), este gateway nos sirve para que cualquier equipo que se encuentre detrás del router y no conosca una ruta se redirecciona por defecto a este gateway.

Video 28:30 Configuración de NAT

Existen 3 tipos de NAT:

• Estático
• Dinámico
• Overloading o que le llaman mediante PAT

Terminología NAT

Inside local: Indica la dirección origen antes de pasar por el NAT

Outside Local: La dirección destino antes de pasar por el NAT

Inside global: Indica la direccion origen despues de pasar por el NAT, osea la dirección traducida

Outside global: La direccion destino a la que va (despues de pasar por el NAT), es decir internet. (gateway que nos da por DHCP la compañia)

Determinar interfaces

1751v(conf)#interface f0/0

1751v(conf)#ip nat inside

1751v(conf)#interface ethernet 1/0

1751v(conf)#ip nat outside

Permitir que la LAN salga a internet con una ACL

1751v(conf)#access-list 1 permit 192.168.10.0 0.0.0.255 || <ip> <wildcard>

Realizar la traducción

1751v(conf)#ip nat inside source <list | route-map | static>

en este caso ocupamos la opción list

1751v(conf)#ip nat inside source list 1

Ahora se asigna porque interfaz va a salir

1751v(conf)#ip nat inside source list 1 interface ethernet 1/0 overload

Aqui permitimos que salga la list 1 por la interface e1/0 traduciendo todas las ip’s privadas de la LAN (list 1) para que puedan salir a internet por ip pública.

Si no se aplica el comando overload, sólo una dirección podrá salir a través del NAT.

Con el siguiente comando podemos confirmar los parametros de inside, outside local y globlal

1751v#show ip nat translations

 

CONTINUA

 

Ejercicio Vlan, switch capa 3 con default getaway

Code: 003-IV

► Descargar configuración completa

• Configurando SW1

SW1>enable

SW1#configure terminal

Creamos Vlan’s para cada red

SW1(config)#vlan 10
SW1(config)#vlan 11

Asignamos por cual intertases del switch pasará cada Vlan

SW1(config)#interface f0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 10
SW1(config-if)#interface f0/2
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 11

Creamos un puente para la interfaz f0/23 la cual está conectada a SW, este trunk se crea para que las Vlan’s 10 y 11 pasen por esta interfaz hacia el SW

SW1(config-if)#interface f0/23
SW1(config-if)#switchport mode trunk
SW1(config-if)#switchport trunk allowed vlan 10,11

Guardamos los cambios

SW1(config-if)#do wr

• Configurando SW2

SW2>enable
SW2#configure terminal

Creamos las Vlan’s para las redes 12 y 13

SW2(config)#vlan 12
SW2(config)#vlan 13

Lo mismo que en el SW1

SW2(config)#interface f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 12
SW2(config-if)#interface f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 13
SW2(config-if)#interface f0/22
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk allowed vlan 12,13
SW2(config-if)#do wr

 

• Configurando SW

SW>enable
SW#configure terminal

Creamos las Vlans que pasarán por este switch, en este caso las 4 vlans

SW(config)#vlan 10
SW(config)#vlan 11
SW(config)#vlan 12
SW(config)#vlan 13

Configuramos la interface f0/23 como trunk para las vlan’s correspondientes

SW(config)#interface fastEthernet 0/23
SW(config-if)#switchport mode trunk
SW(config-if)switchport trunk allowe vlan 10,11

Configuramos la interface f0/22 como trunk para las vlan’s correspondientes

SW(config-if)interface fastEthernet 0/22
SW(config-if)switchport mode trunk
SW(config-if)switchport trunk allowed vlan 12,13

Configuramos la interface f0/24 como trunk para las todas las vlan’s de la 10 a la 13 (10-13)

SW(config-if)interface fastEthernet 0/24
SW(config-if)switchport mode trunk
SW(config-if)switchport trunk allowed vlan 10-13

Guardamos los cambios

do wr

• Configurando el Switch 3560 (capa 3)

3560>enable
3560#configure terminal

Crear las Vlan’s que pasan por el switch

3560(config)#vlan 10
3560(config)#vlan 11
3560(config)#vlan 12
3560(config)#vlan 13

Configurar en modo trunk para que pasen las Vlan’s a través de la interfaz f0/24

3560(config-if)#interface fastEthernet 0/24
3560(config-if)#switchport mode trunk
3560(config-if)#switchport trunk allowed vlan 10-13

Crear interfaces “virtuales” para poder asignar los default gateway para las diferentes vlan’s

3560(config-if)#interface vlan 10
3560(config-if)#ip add 10.0.0.1 255.0.0.0
3560(config-if)#exit
3560(config-if)#interface vlan 11
3560(config-if)#ip add 11.0.0.1 255.0.0.0
3560(config-if)#interface vlan 12
3560(config-if)#ip add 12.0.0.1 255.0.0.0
3560(config-if)#interface vlan 13
3560(config-if)#ip add 13.0.0.1 255.0.0.0

El switch 3560 es capa 3, por lo tanto puede cumplir algunas características propias de un router como por ejemplo enlazar, para esto cambiaremos la interfaz f0/21 a SOLO ENLACE, no va a cumplir la función de switch, se hace de la siguiente manera

3560(config-if)#interface fastEthernet 0/21
3560(config-if)#no switchport

Asignarle una IP para poder enrutar con protocolo OSPF hacia el router y las VLAN’s

3560(config-if)#ip add 14.0.0.2 255.255.255.252
3560(config-if)#no shutdown

3560(config-if)# do wr
3560(config)#exit

Configurar el protocolo de enrutamiento OSPF hacia la red que está conectado el router y las diferentes Vlan’s, despues guardar la configuarción

3560(config)#router ospf 1
3560(config-router)#network 10.0.0.0 0.255.255.255 area 0
3560(config-router)#network 11.0.0.0 0.255.255.255 area 0
3560(config-router)#network 12.0.0.0 0.255.255.255 area 0
3560(config-router)#network 13.0.0.0 0.255.255.255 area 0
3560(config-router)#network 14.0.0.0 0.0.0.3 area 0
3560(config-router)#exit
3560(config)#do wr

• Configurar R1

R1>enable
R1#configure terminal

R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 14.0.0.1 255.255.255.252
R1(config-if)no shutdown

R1(config)#router ospf 1
R1(config-router)network 14.0.0.0 0.0.0.3 area 0
R1(config-router)do wr

Así concluimos la configuración de este ejercicio :)

Cualquier duda o corrección postearla :)

DHCP (explicacion video)

A continuación se explicará textualmente la manera de utilizar los comandos para realizar DHCP en un router cisco [...]

::: Operacion del DHCP :::

1° DHCP DISCOVER
Cliente > broadcast > encuentra al dhcp server

2° DHC POFFER
broadcast > dhcp server> > unicast > ofrece ip > cliente

3° DHCP PREQUEST
ip > cliente > respuesta broadcast > pide esa ip > dhcp server

4°DHCP ACK
dhcp server > formaliza la peticion > unicast > cliente



::: Configurando DHCP :::

> asignamos nombre

router (config)#ip dhcp pool <poolname>

> asignamos red a la que pertenece el dhcp

router (dhcp-config)#network <ip> <mask>

> ademas podemos excluir alguna direcciones dentro del pool para que no se asignen en modo DHCP

router (config)#ip dhcp excluded-address <ip> |o| <inicio rango> <end rango>

ej de creacion de pool

router (config)#ip dhcp pool casa
router (dhcp-config)#network 192.168.0.0 255.255.255.0
router (dhcp-config)#defaul-router 192.168.0.1
router (dhcp-config)#dns-server 192.168.0.2
router (dhcp-config)#netbios-name-server 192.168.0.3
router (dhcp-config)#domain-name foo.com

* Para verificar el dhcp:

#show dhcp binding

* para verificar el router esté enviando y reciviendo mensajes:

#show ip dhcp server stadistics

* Para verificar problemas

#debug ip dhcp server events

> Al enviar un broadcast de peticion de DHCP a un router que no está en el mismo segmento y está detrás de un router sin DHCP el broadcast se ilimina ya que el router capa 3 no retransmite broadcast para no saturar la red, LA SOLUCION es utilizar el comando # para enviar el boradcast en forma de unicast hacia el servidor que proporciona el DHCP...

#ip helper-address

...para poder lograr esto, el router sin dhcp se debe configurar para que acepte servicios de broadcast por UDP para despues enviarla como unicast hacia una IP especifica

Explicacion ejercicio (19:00 mints)

En la imagen nos muestra las Vlans creadas
Vlan 1 es la vlan nativa del switch para que haya comunicación entre los dispositivos

Router PAT DHCP está en la red 172.16.16.1/16
Router NAT estatico tiene la misma red 172.16.16.2
El cliente PC2 se encuentra en un dominio de broadcast diferente al del servidor DHCP, este pretende que se le entregue una IP automatica y realiza una petición local, pero al no estar en el mismo dominio, el router no la reenvia hacia el server DHCP, para que esto se realice se utiliza el comando Ip helper-address 172.16.16.1 este vendría siendo la dirección del dominio al que pertenece el servidor DHCP.

router (conf-if)#ip helper-address 172.16.16.1

Ahora excluimos las direcciones Ips que usaremos en algunos dispositivos por defecto

router (conf)#ip dhcp excluded-address 172.16.16.1

Para crear el pool, se toma una red (ej. de las mismas vlans)

router (config)#ip dhcp pool computadores

Asignamos red a la que pertenece el dhcp (26:00 mints)

router (dhcp-config)#network 192.168.10.0 255.255.255.0

VLAN (Comando)

En esta entrada se explicará qué comandos se utilizan y como utilizarlos para lograr crear vlans con switches cisco para obtener distintas redes en un mismo switch [...]

VLAN 1 es la vlan default o nativa
Se crea vlan porque en un switch tengo 2 redes, ej. 10.0.0.0 y 20.0.0.0

> para conf vlan se hace en el modo de configuracion global. CONF TERM-.

Switch(config)#vlan 10
Switch(config-vlan)#name xd
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name asdf

> ahora entramos a la interfaz que le queremos asignar una vlan

Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10

Switch(config)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

Existe un protocolo que se llama 802.1Q esta en el cap.9 ccna3 v3.1
el protocolo encapsula la trama que envia una red que llega el switch etiquetando la trama con la que se asignó a la red enviandolo aun router diciéndole que pertenece a la id "X" que corresponde a la red asignada anteriormente. Asi el protocolo permite enviar mas de una red por el mismo cable

para que funcione el protocolo 802.1Q hay que decirle a la interfaz del router y la interfaz conectada al switch (fast ethernet) que van a pasar "x" vlan's


> permitir que a la puerta 0/24 se le indica que pasan todas las vlan's por ese puerto

Switch(config)#int f0/24
Switch(config-if)#switch mode trunk
Switch(config-if)#switchport trunk allowed vlan 10,20

---

Ahora en el router se configura la interfaz fast ethernet a la que esta conectada el switch

> En el router se crean "subinterfaces"

Router(config)#int f0/0.X

> Activando el protocolo 802.1Q y asignandole IP

Router(config)#interface f0/0.10
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip add 10.0.0.1 255.0.0.0

Router(config)#interface f0/0.20
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 20.0.0.1 255.0.0.0

> ahora se levanta la interfaz f0/0

Router(config)#interface f0/0
Router(config-inf)#no shutdown

Configurando OSPF en el router frontera vlan

Router(config-router)#net 10.0.0.0 0.255.255.255 area 0
Router(config-router)#net 20.0.0.0 0.255.255.255 area 0
Router(config-router)#net 30.0.0.0 0.255.255.255 area 0

VLAN

Las VLANs proveen seguridad, segmentación, flexibilidad, permiten agrupar usuarios de un mismo dominio de broadcast con independencia de su ubicación física en la red. Usando la tecnología VLAN se pueden agrupar lógicamente puertos del switch y los usuarios conectados a ellos en grupos de trabajo con interés común. Utilizando la electrónica y los medios existentes es posible asociar usuarios lógicamente con total independencia de su ubicación física incluso a través de una WAN. Las VLAN pueden existir en un solo switch o bien abarcar varios de ellos. Las VLAN pueden extenderse a múltiples switch por medio de enlaces troncales que se encargan de transportar tráfico de múltiples VLANs

El rendimiento de una red se ve ampliamente mejorado al no propagarse las difusiones de un segmento a otro aumentando también los márgenes de seguridad. Para que las vlans puedan comunicarse son necesarios los servicios de routers quienes pueden implementan el uso de ACL para mantener el margen de seguridad necesario.

VTP (Teoria)

Cuando se configura VTP es importante elegir el modo adecuado, ya que VTP es una herramienta muy potente y puede
crear problemas en la red. En un mismo dominio VTP la información de VLAN configurada en el servidor se transmite a todos los clientes

VTP opera en estos tres modos: [...]

• Modo servidor

• Modo cliente

• Modo transparente

Modo servidor:

El modo VTP predeterminado es el modo servidor.
En modo servidor pueden crearse, modificar y suprimir VLAN y otros parámetros de configuración que afectan a todo el dominio VTP. En modo servidor, las configuraciones de VLAN se guardan en la memoria de acceso aleatoria no volátil (NVRAM).
En este modo se envían y retransmiten avisos VTP y se sincroniza la información de configuración de VLAN con otros switches.

El modo servidor debe elegirse para el switch que se usará para crear, modificar o suprimir VLAN.
Modo cliente:

Un dispositivo que opera en modo VTP cliente no puede crear, cambiar ni suprimir VLAN.
Un cliente VTP no guarda la configuración VLAN en memoria no volátil.
Tanto en modo cliente como en modo servidor, los switches sincronizan su configuración VLAN con la del switch que tenga el número de revisión más alto en el dominio VTP.
En este modo se envían y retransmiten avisos VTP y se sincroniza la información de configuración de VLAN con otros switches.

El modo cliente debe configurarse para cualquier switch que se añada al dominio VTP para prevenir un posible reemplazo de configuraciones de VLAN.

Modo transparente:

Un switch que opera en VTP transparente no crea avisos VTP ni sincroniza su configuración de VLAN, con la información recibida desde otros switch del dominio de administración. Reenvía los avisos VTP recibidos desde otros switches que forman parte del mismo dominio de administración.
Un switch configurado en el modo transparente puede crear, suprimir y modificar VLAN, pero los cambios no se transmiten a otros switch del dominio, afectan tan solo al switch local.

El modo transparente debe usarse en un switch que necesite para avisos VTP a otros switches, pero que necesitan también capacidad para administrar sus VLAN independientemente.

La pertenencia de los puertos de switch a las VLAN se asigna manualmente puerto a puerto (pertenencia VLAN estática o basada en puertos).

Pruning VTP

Por defecto todas las líneas troncales transportan el tráfico de todas las Vlans configuradas. Algún tráfico innecesario podría inundar los enlaces perdiendo efectividad. El recorte VTP permite determinar cual es el trafico que inunda el enlace troncal evitando enviarlo a los switches que no tengan configurados puertos de la vlan destino.
La Vlan1 es la vlan de administración y se utiliza para tareas de administración como las publicaciones VTP, no sera omitida por el Pruning VTP.

ACL

-vlan 10 (verde) haga ping a todo, sin inet, sin acceso vlan 12 (roja)

•

>denegando todo

acce 100 deny ip 172.35.196.0 0.0.3.255 172.35.192.0 0.0.3.255
acce 100 deny tcp 172.35.196.0 0.0.3.255 any eq 80 -> puede llegar a cualquier ip pero no por p80
acce 100 deny udp 172.35.196.0 0.0.3.255 any eq 53 -> puede llegar a cualquier ip pero no por p53

>permitiendo ping

acce 100 permit icmp 172.35.196.0 0.0.3.255 any
int f0/0.X(origen)
ip access-group 100 in

al permitir ping despues de denegar lo que primero hace caso es denegar primero.