Está en la página 1de 9

Comandos utiles cisco para examen final practico Configurar encapsulacin ppp en una interfaz

R3(config)# interface serial 0/0/1 R3(config-if)# encapsulation ppp

Configurar autenticacin PPP (con CHAP)


En R1 para la conexion hacia R2 y R3 username R2 password cisco username R3 password cisco interface serial0/0/0 ppp authentication chap interface serial0/0/1 ppp authentication chap

Configurar autenticacin PPP (con PAP)


R2(config)# username R2 password cisco R2(config)# interface Serial0/0/0 R2(config-if)# ppp authentication pap R2(config-if)# ppp pap sent-username R1 password cisco

ACLs

De acuerdo con esta topologa permitir solo al host A hacer telnel a R2 y que el Password sea cisco USANDO UNA ACL ESTNDAR NOMBRADA con el nombre No_Telnet
R2(config)# ip access-list standard No_Telnet R2(config-std-nacl)# permit host 172.16.1.2 R2(config-std-nacl)# exit R2(config)# line vty 0 4 R2(config-line)# login

R2(config-line)# password cisco R2(config-line)# access-class No_Telnet in

ACLs estndar numerada

1 Denegar a los usuarios de R1 LAN a la LAN de R3 , usar un remark para decir que hace esta acl
R3(config)# access-list 1 remark Deny hosts from the R1 LAN R3(config)# access-list 1 deny 172.16.1.0 0.0.0.31 R3(config)# access-list 1 permit any R3(config)# int fa0/0 R3(config-if)# ip access-group 1 out

2 permitir solo a los usuarios de LAN R3 acceso a R2 LAN usar una ACL estndar nombrada para eso con el nombre R3_Only
R2(config)# ip access-list standard R3_Only R2(config-std-nacl)# permit 172.16.1.64 0.0.0.31 R2(config-std-nacl)# exit R2(config)# int fa0/0 R2(config-if)# ip access-group R3 out

3 el trafico de LAN 2 no puede salir de su red crear una ACL estndar numerada para esto
R2(config)# access-list 99 deny 172.16.1.32 0.0.0.31 R2(config)# int fa0/0 R2(config-if)# ip access-group 99 in

Del LAB CCNA 4 lab 5.5.1

1) PC2 no debe llegar a ningula PC de la LAN de R3, esto se hace con una ACL estandar lo mas cerca del destino posible Construir la ACL
R3(config)# ip access-list standard STND-1 R3(config-std-nacl)# deny 192.168.11.0 0.0.0.255 log R3(config-std-nacl)# permit any

Se aplica la ACL
R3(config)# interface serial 0/0/1 R3(config-if)# ip access-group STND-1 in (se la aplica como IN) R3(config-if)# end

2) Las pcs de 192.168.10.0/24 solo puden llegar a las redes internas y tampoco pude acceder al a internet 209.165.200.225 por eso debe ser un aACL extendida Construir la ACL
R1(config)# ip access-list extended EXTEND-1 R1(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225

Aplicar la ACL
R1(config)# interface serial 0/0/0 R1(config-if)# ip access-group EXTEND-1 out log R1(config-if)# end

3) Controlar el acceso a las VTY con ACL estndar en R2 permite trafico de 10.2.2.0/30 y 192.168.30.0/24 denegar otro tipo de trafico

Crear la ACL
R2(config)# ip access-list standard TASK-5 R2(config-std-nacl)# permit 10.2.2.0 0.0.0.3 R2(config-std-nacl)# permit 192.168.30.0 0.0.0.255

Aplicar la ACL
R2(config)# line vty 0 4 R2(config-line)# access-class TASK-5 in R2(config-line)# end

Del LAB CCNA 4 lab 5.5.2

1) Configurar ACLs nombradas en R1 y R3 para las lineas VTY Creacion de la ACL R1(config)#ip access-list standard VTY_LOCAL R1(config-std-nacl)#permit 10.1.1.0 0.0.0.255 R1(config-std-nacl)#deny any Aplicacion de la ACL R1(config)#line vty 0 4 R1(config-line)#access-class VTY_LOCAL in R1(config-line)#exit 2) a) Configurar ACLs extendidas para que la LAN de R1 no pueda conectarse con la LAN de R3 y la LAN de R3 no pueda conectarse con la LAN de R1 sin otras LAN que se adicionen queden afectadas b) permitir todo el trafico OSPF c) permitir trafico ICMP el las interfaces locales de R2

d) todo el trafico TCP del puerto 80 debe ser permitido otro tipo de trafico debe ser denegado y loggeado e) todo trafico no especificado debe ser denegado Creacion de la primera Lista R2(config)#ip access-list extended BLOCK_R1 R2(config-ext-nacl)#deny ip 10.1.1.0 0.0.0.255 10.3.1.0 0.0.0.255 R2(config-ext-nacl)#permit ospf any any R2(config-ext-nacl)#permit icmp any host 10.1.0.2 R2(config-ext-nacl)#permit icmp any host 10.3.0.2 R2(config-ext-nacl)#permit icmp any host 10.13.205.1 R2(config-ext-nacl)#permit tcp any any eq 80 Creacion de la segunda Lista R2(config-ext-nacl)#deny ip 10.3.1.0 0.0.0.255 10.1.1.0 0.0.0.255 R2(config-ext-nacl)#permit ospf any any R2(config-ext-nacl)#permit icmp any host 10.1.0.2 R2(config-ext-nacl)#permit icmp any host 10.3.0.2 R2(config-ext-nacl)#permit icmp any host 10.13.205.1 R2(config-ext-nacl)#permit tcp any any eq 80 Aplicando ACLs en las interfaces con los sentidos correctos interface serial 0/0/0 ip access-group BLOCK_R1 in interface serial 0/0/1 ip access-group BLOCK_R3 in

Del LAB 7.4.1

Configurar DHCP server en Router 1. exclusin de direcciones que no estarn en el pool primero se excluyen las direcciones que no van a pertenecer al pool esto incluye las direcciones de los FA de router 1 R2(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10(excluir las primeras 10) R2(config)#ip dhcp excluded-address 192.168.11.1 192.168.11.10 2. Creacion del pool de direcciones R2(config)#ip dhcp pool R1Fa0 3. Configurar el pool (para el lado de S1) R2(dhcp-config)#network 192.168.10.0 255.255.255.0 R2(dhcp-config)#dns-server 192.168.11.5 R2(dhcp-config)#default-router 192.168.10.1 4. Configurar el pool (para el lado de S2) R2(config)#ip dhcp pool R1Fa1 R2(dhcp-config)#network 192.168.11.0 255.255.255.0 R2(dhcp-config)#dns-server 192.168.11.5 R2(dhcp-config)#default-router 192.168.11.1 5. Configurar helper address por que DHCP opera em capa 2 y R1 tiene que enviar broadcasts para que funciones DHCP R1(config)#int fa0/0 R1(config-if)#ip helper-address 10.1.1.2

6.

7.

8.

9.

10.

11.

12. 13.

14.

R1(config)#int fa0/1 R1(config-if)#ip helper-address 10.1.1.2 Comandos para verificar el funcionamiento show ip dhcp binding R2# show ip dhcp pool Configurar enrutamiento estatico y por defecto ISP(config)#ip route 209.165.200.240 255.255.255.240 serial 0/0/1 (esta ruta incluye todos los ip pblicos asignados a R2) R2(config)#ip route 0.0.0.0 0.0.0.0 20.165.200.226 (una ruta para llegar afuera) R2(config)#router ospf 1 R2(config-router)#default-information originate Configurar NAT estatico para el servidor dentro de R2 por que debe ser disponible por su parte fuera de los DHCP R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254 (ip privada ip publica) Especificar las NAT de salida y de entrada R2(config)#int serial 0/0/1 (por donde sale el trafico) R2(config-if)#ip nat outside R2(config-if)#int fa0/0 (por donde entra el trafico) R2(config-if)#ip nat inside Definir el nateo dinamico con un pool de direcciones DEFINIR UN POOL GLOBAL DE DIRECCIONES R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248 Crear una lista de acceso para decidir que direcciones internas se traducen R2(config)#ip access-list extended NAT R2(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any R2(config-ext-nacl)#permit ip 192.168.11.0 0.0.0.255 any Establecer un origen de traduccin dinmica uniendo el pool con la ACL R2(config)#ip nat inside source list NAT pool MY-NAT-POOL Especificar las interfaces de salida y de entrada NAT (previamente se definion ip nat outside para el server en realidad es el ip nat outside para todos osea solo falta definir el ip nat inside que falta que sera de R1) R2(config)#interface serial 0/0/0 R2(config-if)#ip nat inside Condigurar NAT OVERLOAD primero se tienen que eliminar la traduccin dinmica hecha previamente porque solo traducir 7 direcciones y queremos mas
R2(config)# no ip nat inside source list NAT pool MY-NAT-POOL

Eliminamos el pool global


R2(config)# no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248

15. Configurar PAT en R2 usando el IP publico de la interfaz serial 0/0/1 La ACL Nat especifica cuales se traducen asi aun es util
R2(config)# ip nat inside source list NAT interface S0/0/1 overload

La parte de switches
S1(config)#vlan 30 S1(config-vlan)#exit S1(config)#vlan 70 S1(config-vlan)#exit S1(config)#int fa0/2 S1(config-if)#switchport access vlan 30 S1(config)#int fa0/3 S1(config-if)#switchport access vlan 70 S1(config)#int fa0/1 (sin este paso no se recibe ip por DHCP) S1(config-if)#switchport mode trunk (sin este paso no se recibe ip por DHCP)

La interfaz del router par alas vlan


SEDE(config)#int fa0/0 SEDE(config-if)#no shutdown SEDE(config-if)#int fa0/0.1 (la interfaz nativa de administracion) SEDE(config-subif)#encapsulation dot1Q 1 native SEDE(config-subif)#ip address 192.168.1.1 255.255.255.0

VLAN 30
SEDE(config)#int fa0/0 SEDE(config-if)#int fa0/0.30 SEDE(config-subif)#encapsulation dot1Q 30 SEDE(config-subif)#ip address 10.9.8.33 255.255.255.224

VLAN 70
SEDE(config)#int fa0/0 SEDE(config-if)#int fa0/0.70 SEDE(config-subif)#encapsulation dot1Q 70 SEDE(config-subif)#ip address 10.9.8.129 255.255.255.224