Contenido

Atajos de Teclado ................................................................................................................................ 2

Modos Consola .................................................................................................................................... 2
Otros Comandos.................................................................................................................................. 3
Configurar interfaz .............................................................................................................................. 3
SSH....................................................................................................................................................... 5
DHCP IPv4 ............................................................................................................................................ 6
DHCP IPv6 – STATELESS ....................................................................................................................... 6
IPv6 STATELESS AUTOCONFIG ............................................................................................................. 6
VLAN .................................................................................................................................................... 7
ETHERCHANNEL................................................................................................................................... 7
VLAN – 1 stick & Switch layer 3 ........................................................................................................... 8
Conmutador de capa 3 (OSPF Inter-VLAN-routing) ............................................................................ 8
STP ....................................................................................................................................................... 9
HSRP .................................................................................................................................................... 9
Seguridad............................................................................................................................................. 9
Port-Security.................................................................................................................................... 9
VLAN por salto ............................................................................................................................... 11
Mitigar Ataques de salto de VLAN ................................................................................................ 11
DHCP indagación ........................................................................................................................... 11
ARP ................................................................................................................................................ 13
STP ................................................................................................................................................. 14
ENRUTAMIENTO ................................................................................................................................ 16
Comprobar errores de enrutamiento ........................................................................................... 16
RIP en IPv4 ..................................................................................................................................... 16
RIP IPv6 .......................................................................................................................................... 17
Estatico IPv6 .................................................................................................................................. 17
Estatico IPv4 .................................................................................................................................. 17
Predeterminada IPv4 IPv6 ............................................................................................................. 17
Flotantes IPv4 ................................................................................................................................ 17
Flotantes IPv6 ................................................................................................................................ 17
Host IPv4 IPv6 ................................................................................................................................ 18
 OSPFv2........................................................................................................................................... 18
OSPFv3........................................................................................................................................... 18
Autenticacion OSPF ....................................................................................................................... 19
CDP – LLDP ........................................................................................................................................ 20
VTP .................................................................................................................................................... 21
NAT .................................................................................................................................................... 22

Atajos de Teclado

Borra todos los caracteres desde el cursor hasta el comienzo de la línea de

Ctrl+U o Ctrl+X
comando

Cuando está en cualquier modo de configuración, finaliza el modo de

Ctrl-Z o Ctrl-C
configuración y regresa al modo EXEC privilegiado.

Secuencia de interrupción multipropósito utilizada para anular búsquedas DNS,

Ctrl-Shift-6
traceroutes, pings, etc.

Ctrl+E Desplaza el cursor hasta el final de la línea de comandos.

Ctrl+A Desplaza el cursor hacia el principio de la línea.

Ctrl+W Borra la palabra a la izquierda del cursor.

Modos Consola

Modo usuario permite al usuario ver información y verificar el estado del router. no permite
ningún comando que pueda cambiar la configuración del router

Modo privilegiado da acceso a todos los comandos del router. comandos de configuración y
administración requieren que el administrador de red se encuentre en ese modo. Sólo usuarios
autorizados deben tener acceso a los comandos de configuración de router
 Modo de configuración global se hacen todos los cambios de configuración que afectan al
sistema para entrar es con configure terminal

Otros Comandos
Banner motd #mensaje#

Traceroute 192.168.5.2 (Trazado de paquetes = seguir las rutas por donde pasa la comunicación)

Enable secret cisco123 (coloca la contraseña en el modo privilegiado [es superior a enable
password])

Sh versión (ver la versión del iOS)

Service password encription = usa un algoritmo de encriptación a las contraseñas

Do Sh ip int brief (ver estado de las interfaces)

Configurar interfaz loopback

R1(config)# interface loopback 0

R1(config-if)# ip address 10.0.0.1 255.255.255.0

Configuracion del dispositivo

erase startup-config (Borrar configuración) – reload (reiniciar dispositivo)

wr (guardar configuracion) copy running-config startup-config | reload (reiniciar dispositivo)

show history = ver los comandos ingresados

Configurar interfaz

(config-if) duplex full (modo dúplex completo [enviar y recibir mensajes simultáneamente en la
interfaz – comunicación bidireccional])

speed 100 (configurar ancho de banda (Mbps) de la interfaz)

mdix auto (configurar automáticamente una interfaz para utilizar un cable directo o cruzado.)
show mac-address-table (MAC de las interfaces directamente conectadas)
 SSH
Es importante configurar contraseña en: consola, privilegiado, líneas vty

Service password-encryption (encriptar las contraseñas)

show ip ssh versión 2 (verificar si es compatible con ssh)

Configuracion Router

Ip domain name span.com

Crypto key generates rsa

Username Bob secret cisco

Line vty 0 4

Transport input ssh

Login local

Configuracion Switch con VLAN

Int vlan 1 | ip add 192.168.20.10 255.255.255.0

Default-gateway 192.168.20.1

Line vty 0 15

Transport input ssh

Login local

ssh -l bob 192.168.1.1

Username Bob secret cisco privilege 15 password mi password

Otros Parametros

general-keys modulus 1024 (coloca un par de claves de host RSA en la memoria flash y habilita SSH
en el dispositivo)

Security passwords min-length 8 (configurar la longitud mínima de una contraseña.

Login block-for 120 attempts 3 within 60

Si se realizan 3 intentos fallidos en un período de 60 segundos, el acceso de inicio de sesión se

bloquea.

Exec-timeout 5 30 (El dispositivo esperara 120 segundos antes de permitir el acceso nuevamente)
 DHCP IPv4
Ip dhcp pool Sistemas

Network 192.168.10.0 255.255.255.0

Default-router 192.168.10.1

Dns-server 192.168.10.252

Dhcp excluded-address 192.168.10.254

Domain name cisco.com

DHCP IPv6 – STATELESS

Configurando un Router

Ipv6 unicast-routing (habilitar el routing IPv6 - para que el router origine los mensajes RA ICMPv6)

Ipv6 dhcp pool pool-name

proporcionar otra información que pudo no haberse incluido en el mensaje RA

Dns-server 2001: acad:db8:1::254

Domain-name cisco cisco.com

Se vincula el conjunto de DHCPv6 con la interfaz. El router responde a las solicitudes de DHCPv6
sin estado en esta interfaz con la información incluida en el pool.

Int g0/1 (config-if) ipv6 add 2001:db8:café::1/64

ipv6 dhcp server pool-name

ipv6 nd other-config-flag

Otros Parametros

prefix-delegation pool LAN10 lifetime 2592000 604800

IPv6 STATELESS AUTOCONFIG

Ipv6 unicast-routing

Int g0/0
Ipv6 enable

Ipv6 add auto

Ivp6 address autoconfig

VLAN

Access es un puerto de agregación de red VLAN conectado a otros puertos de un switch,

pertenece únicamente a una VLAN asignada de forma estática (VLAN nativa). La configuración
predeterminada suele ser que todos los puertos sean de acceso de la VLAN1

Troncal sirve para que el switch conecte el host con la red VLAN.

Vlan 10

Name Sistemas

Sh vlan

Ip default gateway 192.168.0.1

Int range fa0/1-2, g0/1-2

Switchport access vlan 10

Switchport mode trunk

Switchport trunk allowed vlan 20,30

Encapsulation dot1q 20 native (Donde se va el tráfico no etiquetado)

Encapsulation dot1q (encapsula el protocolo IEEE 802.1Q, también conocido como dot1Q que
permite que el router configure enrutamiento IP en una subinterfaz.)

switchport nonegotiate (evita que la interfaz genere tramas DTP)

Switchport trunk native vlan 20

ETHERCHANNEL

interface range FastEthernet 0/1 - 2

Channel-protocol LACP

No switchport (Capa 3)

Channel-group 1 mode active

interface port-channel 1
switchport mode trunk

switchport trunk allowed vlan 1,2,20

show etherchannel summary

show etherchannel port-channel

show interfaces etherchannel

VLAN – 1 stick & Switch layer 3

Int g0/0.10

Ip add 192.168.10.1

Conmutador de capa 3 (OSPF Inter-VLAN-routing)

Crear vlans

vlan 10 | name LAN10

vlan 20 |name LAN20

Configurar Interfaces

interface vlan 10

description Default Gateway SVI for 192.168.10.0/24

ip add 192.168.10.1 255.255.255.0 |no shut

int vlan 20

description Default Gateway SVI for 192.168.20.0/24

ip add 192.168.20.1 255.255.255.0 |no shut

Configurar Puertos de acceso

interface GigabitEthernet1/0/6

description Access port to PC1

switchport mode access

switchport access vlan 10

interface GigabitEthernet1/0/18

description Access port to PC2

switchport mode access

switchport access vlan 20

Configurar Puerto enrutado

Ip routing (activar enrrutamiento)

Int g0/0

No switchport (Convertir Puerto de capa 2 a capa 3)

Ip add 10.10.10.2 | no shut

Configurar enrutamiento en ambos dispositivos

OSPFv4

router ospf 10 (numero de proceso)

network 192.168.10.0 0.0.0.255 (mascara de wilcard) area 0 (redes directamente conectadas)

network 192.168.20.0 0.0.0.255 area 0

network 10.10.10.0 0.0.0.3 area 0

STP
La prioridad por defecto es: 32768

Spanning-tree vlan vlan-id root primary (Configurar prioridad a 24576)

Spanning-tree vlan vlan-id root secondary (Configurar prioridad a 28678 por si falla el primario)

Spanning-tree vlan vlan-id priority 4096

Show spanning-tree

spanning-tree vlan 1 port-priority 112

HSRP

Es la redundancia del primer salto permite tener otra alternativa ante una falla del Gateway
predeterminado asignado uno virtual.

Seguridad
Port-Security
evitar saturación de la table MAC por la herramienta macof

Secure-up (Significa que hay un host conectado al puerto)

int range fa0/8 – 24 - Shutdown (inhabilitar Puerto que no se usen)

show mac address-table [dynamic]

switchport mode access

switchport port-security (limita la cantidad de direcciones MAC validas en el puerto)

switchport port-security mac-address 0001.96A9.3311 (Configurar MAC estática, solo esa MAC
puede conectarse al Puerto)

show port-security int fa0/1 (verifica que la seguridad del puerto esté habilitada)

show port-security address (Verificar las Direcciones MAC Seguras)

switchport port-security maximum? (Comprobar el N° maximo de MAC permitidas en el puerto)

Si el switch es reiniciado el puerto tendrá que re-aprender la direccion MAC del dispositivo.

switchport port-security mac-address sticky (aprende las MAC automáticamente pasando a la

configuración en ejecución NVRAM)

Vencimiento de las MAC seguras

Absoluto - Las direcciones seguras en el puerto se eliminan después del tiempo de caducidad
especificado.

Inactivo - Las direcciones seguras en el puerto se eliminan solo si están inactivas (se vencen solo si
no hay tráfico desde la dirección segura de origen) durante el tiempo de caducidad especificado.

switchport port-security aging time 10 (habilita el envejecimiento estático, el rango de tiempo es

de 0 a 1440 minutos, si es 0 el vencimiento esta deshabilitado)

show port-security int fa4/1

Modos Violación de seguridad

El puerto entra en el estado de error-disabled de manera predeterminada.

switchport port-security aging type inactivity

switchport port-security violation {protect | restrict | shutdown}

Shutdown: El puerto transiciona al estado de error-disabled inmediatamente, apaga el LED del

puerto, y envía un mensaje syslog y el admin debe rehabilitarlo usando shutdown y no shutdown.

Restrict: El puerto bota los paquetes con direcciones MAC de origen desconocidas hasta que usted
remueva un número suficiente de direcciones MAC seguras para llegar debajo del máximo valor o
incremente el máximo valor Este modo causa que el contador de violación de seguridad
incremente y genere un mensaje syslog.
Protect: No se realiza el tráfico de puertos los paquetes con direcciones MAC de origen
desconocidas hasta que usted remueva un número suficiente de direcciones MAC seguras para
llegar debajo del valor máximo o o incremente el máximo valor No se envía ningún mensaje
syslog.

El administrador debe determinar que causo la violación de seguridad, si un dispositivo no

autorizado está conectado a un puerto seguro,la amenazas de seguridad es eliminada antes de
restablecer el puerto.

VLAN por salto

Mitigar Ataques de salto de VLAN

DHCP indagación
Ataques de Inanición: Gobbler realiza un DoS para realizar un ataque de agotamiento de IP, pero
solo usa una única dirección MAC de origen, entonces puede ser mitigado por bloqueo de puerto y
además Gobbler usa una MAC única

Ataques DHCP de suplantación de identidad: Gobbler configura una MAC de la NIC real como
origen. La MAC seria legitima y se mitiga mediante el uso de detección DHCP

DHCP Snooping

determina si los mensajes de DHCP vienen de una fuente configurada administrativamente como
confiable o no confiable, filtra los mensajes de DHCP y limita la velocidad del tráfico DHCP
viniendo desde fuentes no confiables.

Confiable: Dispositivos que estén bajo su control administrativo, enlaces troncales y puertos
conectados directamente a un servidor DHCP legitimo

No confiable: Cualquier dispositivo más allá del cortafuegos fuera de su red y todos los puertos
de acceso

tabla de enlace DHCP snooping: incluye la MAC de origen de un puerto no confiable y la IP

asignada por el servidor DHCP.

ip dhcp snooping (habilitar)

ip dhcp snooping trust (puertos de confianza)

ip dhcp snooping limit rate (limitar cantidad de paquetes de mensajes de descubrimiento DHCP)

ip dhcp snooping vlan (enable snooping por VLAN)

S1(config)# ip dhcp snooping

S1(config)# interface f0/1
S1(config-if)# ip dhcp snooping trust
S1(config-if)# exit
S1(config)# interface range f0/5 - 24
S1(config-if-range)# ip dhcp snooping limit rate 6
S1(config-if-range)# exit
S1(config)# ip dhcp snooping vlan 5,10,50-52
S1(config)# end
S1#

show ip dhcp snooping

show ip dhcp snooping binding

La inspección dinámica de ARP (DAI) también requiere de la inspección DHCP

ARP

Se envia una respuesta ARP no solicitada con la MAC del atacante y la IP del gateway. Suplantacion
y envenenamiento por ARP.

Para mitigar las probabilidades de ARP spoofing Y ARP poisoning se debe

• Habilitar DHCP snooping

• Habilite la detección de DHCP en las VLAN seleccionadas.
• Habilite el DAI en las VLANs seleccionadas
• Configure las interfaces de confianza para DHCP snooping y ARP
• configurar todos los puertos de switch de acceso como no confiables
• configurar todos los puertos de enlace ascendente directamente conectados a switch
como confiables
S1(config)# ip dhcp snooping
S1(config)# ip dhcp snooping vlan 10
S1(config)# ip arp inspection vlan 10
S1(config)# interface fa0/24
S1(config-if)# ip dhcp snooping trust
S1(config-if)# ip arp inspection trust

DAI (Dinamic ARP inspection) medida de seguridad que valida los paquetes ARP de la red utiliza la
tabla de asociaciones IP-MAC generada por DHCP Snooping.

S1(config)# ip arp inspection validate (configurar DAI para descartar paquetes ARP cuando las
direcciones IP no son válidas)
S1(config)# ip arp inspection validate src-mac
S1(config)# ip arp inspection validate dst-mac
S1(config)# ip arp inspection validate ip
S1(config)# do show run | include validate
S1(config)# ip arp inspection validate src-mac dst-mac ip
S1(config)# do show run | include validate

STP
Manipulan STP falsificando el puente raíz para mitigar se usa Portfast y la Unidad de datos de
protocolo de puente (BPDU) Guard.
 ssh -l raul 192.168.1.1

PortFast omite los estados de escucha y aprendizaje de STP para minimizar el tiempo que los
puertos de acceso deben esperar a que STP converja.

Si habilita PortFast en un puerto que se conecta a otro switch, corre el riesgo de crear un bucle STP

spanning-tree portfast (Habilitar PortFast) es una función que permite a las estaciones de usuarios
finales obtener acceso inmediato a la red de capa 2.

spanning-tree portfast default (configurar globalmente en todos los puertos de acceso)

show running-config | begin span

show spanning-tree summary (verificar si PortFast está habilitado globalmente)

show spanning-tree interface

S1(config)# interface fa0/1

S1(config-if)# switchport mode access
S1(config-if)# spanning-tree portfast
S1(config-if)# exit
S1(config)# spanning-tree portfast default
S1(config)# exit
S1# show running-config | begin span
Si se recibe una BPDU en un puerto de acceso habilitado para BPDU Guard, el puerto se pone en
estado de error deshabilitado. Esto significa que el puerto se cierra y debe volver a habilitarse con
errdisable recovery cause psecure_violation.

S1(config)# interface fa0/1

S1(config-if)# spanning-tree bpduguard enable (Habilitar BPDU Guard)
S1(config-if)# exit
S1(config)# spanning-tree portfast bpduguard default (habilitar globalmente la protección BPDU
en todos los puertos habilitados para PortFast.)
S1(config)# end
S1# show spanning-tree summary (mostrar información sobre el estado STP)
spanning-tree bpduguard enable

Para configurar la protección BPDU en un puerto de acceso de capa 2

Configuración DAI

S1(config)# ip dhcp snooping S1(config)# ip dhcp snooping vlan 10 S1(config)# ip arp inspection
vlan 10 S1(config)# interface fa0/24 S1(config-if)# ip dhcp snooping trust S1(config-if)# ip arp
inspection trust

• spanning-tree mode rapid-pvst

• spanning-tree vlan 10 root primary

ENRUTAMIENTO
Comprobar errores de enrutamiento

show ipv6 route static

show ip route | begin Gateway

ping

traceroute

show ip route

show ip interface brief

show cdp neighbors detail

show running-config | include ip route

RIP en IPv4
Router rip

Version 2
Network 192.168.10.0 (redes directamente conectadas)

Network 192.168.100.0

RIP IPv6
Ipv6 router rip CISCO

Ipv6 rip CISCO enable (Enter in both interfaces)

Estatico IPv6

Ipv6 route [2001:db8:1::2/64 (red a alcanzar)] [2001::café:2::3 (ip siguiente salto)]

Ipv6 route 2001:db8:1::2/64 s0/0/1 (Conectada directamente)

Estatico IPv4

Ip route 192.168.0.0 255.255.255.0 100.200.200.1

ip route 172.16.1.0 255.255.255.0 g0/0/1 172.16.2.2 (Completamente Especificada)

Predeterminada IPv4 IPv6

ip route 0.0.0.0 0.0.0.0 172.16.2.2

ipv6 route ::/0 2001:db8:acad:2::2

Flotantes IPv4

ip route [0.0.0.0 0.0.0.0 (Cualquier coincidencia)] 10.10.10.2 5

ip route 172.16.2.0 255.255.255.224 10.10.10.5 130 = Distancia administrativa

Flotantes IPv6

ipv6 route [: :/0 (Cualquier coincidencia)] 2001:db8: acad:2::2

ipv6 route ::/0 2001:db8:feed:10::2 5

Host IPv4 IPv6

ip route [209.165.200.238 255.255.255.255 (IP del Host)] 198.51.100.2

ipv6 route 2001:db8:acad:2::238/128 2001:db8:acad:1::2

ipv6 route 2001:db8:acad:2::238/128 serial 0/1/0 fe80::2 = Link Local

OSPFv2
Show ip ospf neighbor (Ver adyacencias)

Show ip ospf database (Ver LSDB)

router ospf 10 (numero de proceso)

network 192.168.10.0 0.0.0.255 (mascara de wilcard) area 0 (redes directamente conectadas)

network 192.168.20.0 0.0.0.255 area 0

network 10.10.10.0 0.0.0.3 area 0

OSPFv3
R1> Por interfaz –

Router-id 1.1.1.1

Ipv6 router ospf 10

Cuando tenemos que crear las rutas hacia internet debemos agregar 0.0.0.0 porque esto significa
todas las redes con la máscara 0.0.0.0 que complementa el valor

no podríamos agregar una ruta para cada red que existe en internet porque son miles entonces
nunca
terminaríamos de crear todas las rutas hacia internet para eso existe la red la dirección para
referirse a
todas las redes, esto se denomina ruta predeterminada o ruta de último recurso.
Autenticacion OSPF

un atacante puede falsificar la información que se envía entre punto a punto

el atacante ha podido conectarse al enlace entre r1 y r2

el envía una actualización de routing falsa a r1

r1 establece enrutamiento y agrega la de la dirección para que pueda llegar a la dirección 192 168
10 10

router recibe esta actualización la cual es falsa y actualiza su tabla de enrutamiento luego vemos
que la pc 192 168 30 10 envía un paquete hacia la dirección 192 168 10.10 cuando el paquete llega
a r 1 uno debería reenviar el paquete hacia el host hasta las 122 168 10 10 pero como el atacante
ha agregado una nueva entrada diciendo la r1 que a través de r2 se puede llegar a la dirección 192
168 1010 lo que hace r1 es que envía el paquete hacia r2 pero como r2 sabe que para llegar a la
dirección 192 168 1010 es a través de r1 el vuelve otra vez a enviar el paquete y lo que ocasiona es
un bucle entre estos dos router entonces esta es una de las formas en la que se puede atacar una
red o un protocolo de routing mediante la falsificación de actualizaciones de routing

para para mitigar los ataques a los protocolos de routing OSPF admite 3 tipos de autenticación:

• Nula (este es el método predeterminado y significa que no se usa ninguna autenticación

para OSPF.)
• autenticación por contraseña simple («autenticación con texto no cifrado», porque la
contraseña en la actualización se envía como texto no cifrado a través de la red.)
• autenticación MD5 y sriven (la contraseña nunca se intercambia entre peers. En cambio,
se calcula mediante el algoritmo MD5. La coincidencia de los resultados autentica al
emisor.)

el router combina el mensaje de routing con la clave secreta previamente compartida y calcula la
firma (hash) con el algoritmo MD5
ip ospf message-digest-key 1 md5 CISCO-123 (Para habilitar la autenticación MD5 de OSPF
globalmente)

ip ospf authentication message-digest area 0 (impone la autenticación en todas las interfaces con
OSPF habilitado) Si una interfaz no está configurada con esto, no podrá establecer adyacencias con
otros vecinos

show ip ospf int s0/0/1 (comprobar que está habilitada la autenticación MD5)

EIGRP
Router eigrp 10 (número de sistema autónomo)

Network 192.168.1.0 0.0.0.255 (redes directamente conectadas)

CDP – LLDP

CDP

• Es utilizado para compartir información sobre otros equipos Cisco que están directamente
conectados (que son “vecinos” /neighbours).
• podemos recibir la información del dispositivo que tenemos conectado sin necesidad de
conocer la IP del equipo al que queremos acceder ni conocer realmente ningún dato sobre
el mismo
• Esta información se refresca en cada anuncio realizado por el dispositivo origen y es
descartada tras 3 anuncios no recibidos por el mismo.
• La información obtenida mediante CDP varía según el tipo de dispositivo y la versión del
S.O.
• Este protocolo está habilitado por defecto en todas las interfaces de los equipos Cisco. En
caso de tener dispositivos en nuestra red que no son de nuestra confianza es
recomendable deshabilitarlo

LLDP

• Los dispositivos solo pueden recibir o enviar información a dispositivos adyacentes (no
trata con direcciones IP).
• Esta información nunca se reenvía a otros dispositivos en la red. Además, LLDP permite la
comunicación de dicha información entre dispositivos de distintos fabricantes.
• un switch puede descubrir qué dispositivos son vecinos y los puertos por donde se
conectan entre sí.

Lldp run (habilitar lldp de manera global)

Configurar los vínculos a los switches para que solo reciban mensajes LLDP.

Configurar los vínculos al router para que solo envíen, no reciban, mensajes LLDP.

Interface g0/1 (interfaz conectada directamente al router)

(Config-if) no lldp transmit

(Config-if) lldp receive

Deshabilite completamente LLDP en los puertos de acceso que están en uso.

Interface fa0/24 – (config-if) no lldp receive – no lldp transmit

Configure los puertos de acceso que están en uso para no enviar mensajes CDP fuera de los
puertos.

No Cdp enable

Verificar CDP

show cdp (Muestra información global de CDP – Temporizadores)

show cdp neightboors detail (ver lista detalla de vecinos conectados directamente)

Show cdp entry *- (Muestra información sobre todos los dispositivos)

Verificar LLDP

Show lldp neighboor detail (ver vecindario detalladamente)

VTP
Virtual Trunking Protocol sirve para centralizar en un switch la administración de las VLAN

Podemos configurar un switch como servidor para que propague todas las VLAN de la red, por
ejemplo, si creamos las VLAN en el VTP Server las propagara a los VTP Clientes

(config) vtp mode server

Vtp domain miempresa.co

Vtp password cisco (para que los dispositivos que van a fungir como clientes establezcan una
adyacencia)
Cliente

Vtp mode client

Vtp domain miempresa.co

Vtp password cisco

Se debe pasar las interfaces directamente conectadas al server y las que conectan con el cómo
troncales para pasar las VLAN

NAT
Traductor de direcciones de red se usa para que IP privadas sean traducidas a publicas para
comunicarse a través de internet

Podemos conectar much4os nodos a internet haciendo uso de una única IP Publica

El router esta haciendo uso de NAT para asignar una IP Publica asignada por el ISP que permite el
acceso a internet

Estatico

Solo algunos de nuestros nodos pueden acceder a internet. Solo las IP establecidas en la
configuración podrán comunicarse en internet.

Si tenemos 10 host, debemos arrendar un bloque de 10 IP publicas sino solo se le asignara a los
dispositivos internos la cantidad de IP Publicas que tengamos disponibles.

Desventaja: es una traducción 1:1 entonces si 1000 PC desea conectarse a internet entonces
necesitaremos 1000 IP’s Publicas.

La IP privada x.x.x.x siempre estará mapeada a la IP privada x.x.x.x asi no la este utilizando

Ip nat inside (Interfaz que conecta a la LAN)

Ip nat outside (Interfaz que que conecta a la WAN [Tiene la IP Publica que arrendamos])

(config) ip nat inside source static ip_privada ip_publica (estaticamente asigna el mapeo)

Ejemplo

(config) ip nat inside source static 10.0.0.2 (PC1) 20.20.20.4 (PC1)

Show Ip nat translations (verificar las traducciones configuradas)

Si otra PC se quisiera conectar a internet no podría hasta que se configure NAT con la dirección
correspondiente

Dinámico

Realiza un mapeo 1:1 pero se hace a través de un pool de direcciones públicas, se hace
dinámicamente por el router.

Tengo 8 Publicas Arrendadas y 100 PC que quieren conectarse, pero no pueden hacerlo al mismo
tiempo entonces NAT dinámico ira asignando una IP publica a cada comunicación que le llegue de
la red LAN y realiza el mapeo por orden de llegada, entonces si en un momento llegan 5 paquetes
de 5 PC’s con intención de viajar en internet entonces se le asignara una Publica a cada
comunicación y tendrá solo 3 IP Publicas Disponibles.

Si se agotan habrá que esperar hasta que otra termine la comunicación y quede libre

Mapear cuando sea necesario y liberar las IP cuando dejen de ser utilizadas

Para configurar se debe tener una ACL (lista de control de acceso)

Ip nat inside
Ip nat outside

ACL (que permita las direcciones privadas a mapear)

ejemplo: Access-list 1 permit 10.0.0.0 0.0.0.255

Ip nat pool nombre primera_IP segunda_IP netmask (definir el bloque de direcciones de publicas
que ponemos a disposición de las privadas para el mapeo)

Ejemplo: Ip nat pool ejemplo1 20.20.20.1 20.20.20.6 255.255.255.248

Ip nat inside source list #acl pool nombre_pool (le inidica al router que cualquier privada definida
en la acl) podrá ser mapeada a las publicas dentro del pool definido

Ejemplo: Ip nat inside source list 1 pool ejemplo1