Taller Redes Sistemas 2020-2020

1
TALLER DE REDES DE
Ing. Tannia Mayorga J., Mg. CCNA Instructor DATOS PRESENTACIÓN
Objetivo: Fortalecer los conocimientos de redes para preparar a los
Estudiantes de 10mo nivel de Ciencias de Ingeniería para el examen de
Fin de carrera
ACADEMIA CISCO UNIVERSIDAD TECNOLÓGICA ISRAEL

Ing. Tannia Mayorga J., Mg. CCNA Instructor
2
CCNA
INSTRUCTOR Ing. Tannia Mayorga J., Mg. CCNA Instructor
TA N N I A M AY O R G A J Á C O M E

3
“ N I N G Ú N M A R E N C A L M A H I Z O E X P E RT O A
UN MARINERO.”
F R A N K L I N D . R O O S E V E L T

4
CCNA V7
CARRERA
CARRERA
SISTEMAS
TELECOMUNICACIONES
INFORMÁTICOS
CCNA4v6
CCNA 1 CCNA 2 CCNA 3 CYBEROPS
REDES 1 REDES 2 REDES 3 REDES 4

Modelo OSI Enrutamiento RIP Enrutamiento EIGRP VPNs
Subneteo IPV4, IPV6 VLANS OSPF Enrutamiento BGP
DHCP Ataques a la Red
N AT Mitigación
Seguridad de puertos
ACADEMIA CISCO UNIVERSIDAD TECNOLÓGICA ISRAEL Ing. Tannia Mayorga J., Mg. CCNA Instructor
5
MODELO OSI – TCP/IP
TITLE TWO
T h a t ’s w h y w e p r o v i d e p o i n t a n d c l i c k
solutions that let you choose.
TITLE ONE TITLE TWO

6
P R O TO C O L O S
TITLE TWO
TITLE ONE TITLE TWO

7
SUBNETEO EN IPV4

8
EJERCICIO
TITLE TWO
TITLE ONE TITLE TWO

9
Y O U C A N W R I T E H E R E
SUBNETEO EN IPV6

10
EJERCICIO
TITLE TWO
TITLE ONE TITLE TWO

11
E N R U TA M I E N TO
ESTÁTICO

12
S I N TA X I S
Router(config)# ip route
network-address subnet-
mask { ip-address | exit-
intf [ip-address]}
[distance]Ing. Tannia Mayorga J., Mg. CCNA Instructor
TITLE TWO
Router(config) # ipv6
route ipv6-prefix/prefix-
length { ipv6-address |
exit-intf [ ipv6-address]}
[ distance] T I T L E O N E TITLE TWO
13
E N R U TA M I E N TO
DINÁMICO

14
E N R U TA M I E N TO D I N Á M I C O
RIP EIGR OSPF BGP

P
BELLMAN-FORD DUAL DIJKSTRA P U E R TA D E E N L A C E

DE FRONTERA
T I P O : Ve c t o r d i s t a n c i a T I P O : Ve c t o r d i s t a n c i a TIPO: estado de enlace T I P O : Ve c t o r r u t a
15
TA B L A D E E N R U TA M I E N TO
TITLE TWO
TITLE ONE TITLE TWO

16
D I S TA N C I A A D M I N I S T R AT I VA
O R I G E N D E L A R U TA D I S TA N C I A A D M I N I S T R AT I VA
Conectada 0
Estática 1

BGP externa 20
TITLE TWO
EIGRP interno T h a t ’s w h y90
we provide point and click
IGRP 100
OSPF 110
IS-IS 115
TITLE ONE TITLE TWO
RIP 120
EIGRP externo s o l u t i o n s t170
hat let you choose.
BGP interno 200
17
E N R U TA M I E N TO R I P
TITLE TWO
R1>enable R2#configure terminal
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#network 192.168.1.0 R1(config)#ip route 0.0.0.0 s0/0/1 209.165.200.226
R1(config-router)#network 192.168.2.0 R1(config)#router rip
T I T L E Og0/0
R1(config-router)#passive-interface NE R1(config-router)#default-information
T I T L E T W O originate
R1(config-router)#no auto-summary T h a t ’s w h y w e p r o v i d e p o i n t a n d c l i c k
18
VLANS

A C A D E M I A C I S C O U N I V E R S I D A D T E C N O L Ó G I C A I S R A E L
19
VLANS
TITLE TWO
TITLE ONE TITLE TWO

20
VLANS
TITLE TWO
TITLE ONE TITLE TWO

21
DHCP

22
DHCP
TITLE TWO
TITLE ONE TITLE TWO

23
DHCP
TITLE TWO
TITLE ONE TITLE TWO

24
DHCP
TITLE TWO
TITLE ONE TITLE TWO

25
RESOLUCIÓN DE PROBLEMAS DE DHCP
TITLE TWO
TITLE ONE TITLE TWO

26
CONFIGURACIÓN DE DHCP COMO CLIENTE
TITLE TWO
TITLE ONE TITLE TWO

27
D H C P PA R A I P V 6
TITLE TWO
TITLE ONE TITLE TWO

28
TITLE TWO
TITLE ONE TITLE TWO

29
30
31
32
33
34

35
DHCP PARA IPV6

A C A D E M I A CC IISSCCOO U UN NI VI EV RE SRI SDIADDA TD E CT N

A C A D E M I A
O L Ó G I C A I S R AI ES LR
E C N O L Ó G I C A A E L Ing. Tannia Mayorga J., Mg. CCNA Instructor
36
RESOLUCIÓN DE PROBLEMAS DE DHCP IPV6
PROBLEMA DESCRIPCIÓN
Resolución de problemas Tarea 1 Resolver conflicto de direcciones
Resolución de problemas Tarea 2 Verificar el método de asignación
Resolución de problemas Tarea 3 Probar con direcciones IPV6 estáticas
Resolución de problemas Tarea 4 Verificar la configuración del puerto del switch
Resolución de problemas Tarea 5 Probar desde la misma subred o VLAN
37
N AT
A C A D E M I A C I S C O U N I V E R S I D A D T E C N O L Ó G I C A I S R A E L Ing. Tannia Mayorga J., Mg. CCNA Instructor

38
N AT
DINÁMIC
ESTÁTIC O PAT
O
Pool de direcciones
publicas se asocian a la Cada dirección privada se
1 ip privada traduce a 1 ip dirección privada que la traduce a una pública
pública requiera asociada con un puerto
39
40
N AT
•Inside address - La dirección del

dispositivo que está siendo traducida por
NAT.
•Outside address - La dirección del
dispositivo destino.
•Local address - Una dirección es
cualquier dirección que aparece en la
porción interna de la red.
•Global address - Es cualquier dirección
que aparede en la porción externa de la
red
41
N AT
42
43
N AT E S T Á T I C O
ip nat inside source static local-ip global-ip

ip nat inside
ip nat outside
Comandos show
show ip nat translations
show ip nat statistics
clear ip nat statistics
44
N AT E S T Á T I C O
Nat estático usa mapeo uno a uno

con direcciones globales.
45
N AT D I N Á M I C O
Nat dinámico usa un pool de direcciones

Públicas y asigna a la primera que
Venga, Cuando un dispositivo interno solicita
Acceso a un dispositivo de red de salida, NAT
Dinámico asigna una dirección IPV4 pública
Desde el pool.
46
N AT D I N Á M I C O
Crear el pool
ip nat pool name start-ip end-ip {netmask netmask
| prefix-length prefix-length}
Crear ACL para permitir a esas direcciones ser traducidas

access-list access-list-number permit source
[source-wildcard]
Enlazar ACL al pool
ip nat inside source list access-list-
number pool name
Identificar las interfaces internas y externas
ip nat inside
ip nat outside
47
C O N F I G U R A C I Ó N D E N AT D I N Á M I C O
Comandos show
show ip nat translations verbose
clear ip nat translations *
48
C O N F I G U R A C I Ó N D E PAT
Definir el pool
nat pool name start-ip end-ip {netmask netmask |
prefix-length prefix-length}
Crear la ACL estándard para permitir a estas direcciones ser traducidas
access-list access-list-number permit source [source-
wildcard]
Enlazar el pool con la ACL
ip nat inside source list access-list-number pool name
Identificar las interfaces internas y externas
ip nat inside
ip nat outside
49
PAT
Configurar PAT:
Definir una ACL estandar que permita a estas direcciones ser traducidas
access-list access-list-number permit source [source-
wildcard]
Establecer la traducción de origen dinámico, especificar la ACL, salir de la

interface, y sobrecargar la opción
ip nat inside source list access-list-number interface
type name overload
Identicar las interfaces de entrada e interfaces de salida
ip nat inside
ip nat outside
50
PAT
Comandos show
slear ip nat statistics
51
PAT
Port Forwarding
Port forwarding es el acto de enviar un Puerto de la red desde uno de los otros nodos de la red.
A packet sent to the public IP address and port of a router can be forwarded to a private IP
address and port in inside network.
Port forwarding is helpful in situations where servers have private addresses, not reachable from
the outside networks.

Wireless Router Example
Configuring Port Forwarding with IOS
ip nat inside source [static {tcp | udp local-ip local-port global-
ip global-port} [extendable]
52
N AT PA R A I P V 6
NAT para IPv6?
IPv6 trabaja con direcciones de 128-bit prove 340 undecillones de direcciones.
El espacio de direcciones no es un problema para IPv6.
IPv6 hace que el IPv4 NAT público-privado sea innecesario por diseño; sin embargo, IPv6 implementa una forma de
direcciones privadas, y se implementa de manera diferente a la de IPv4.
Dirección local única de IPv6
Las direcciones locales únicas (ULA) IPv6 están diseñadas para permitir comunicaciones IPv6 dentro de un sitio
local.
Los ULA no están destinados a proporcionar espacio de direcciones IPv6 adicional.
Los ULA tienen el prefijo FC00 :: / 7, que da como resultado un primer rango de hextetos de FC00 a FDFF.
Los ULA también se conocen como direcciones IPv6 locales (no deben confundirse con las direcciones locales de
enlace IPv6).
53
N AT PA R A I P V 6
NAT for IPv6
IPv6 tambié usa NAT, pero en un context diferente. En IPv6, NAT is usado para proveer
comunicación transparente entre IPv6 e IPv4.
NAT64 no pretende ser una solución permanente, está destinado a ser un mecanismo de
trancisión.Ing. Tannia Mayorga J., Mg. CCNA Instructor
Network Address Translation-Protocol Translation (NAT-PT) fue otro mecaniso de transición

basado en NAT para IPv6, pero actualmente está en desuso por IETF.
NAT64 es el actualmente recomendado.
54
R E S O L U C I Ó N D E P R O B L E M A S D E N AT
Comando show
clear ip nat translations *

Show ip nat translations
Comando debug
debug ip nat
55
SEGURIDAD DE
P U E RTO S

56
Implementar Seguridad de Puertos (Port Security)

Asegure los puertos no utilizados
Los ataques de Capa 2 son de los más sencillos de desplegar para los hackers, pero estas amenazas
también pueden ser mitigadas con algunas soluciones comunes de capa 2.
• Se deben proteger todos los puertos (interfaces) del switch antes de implementar el dispositivo
para la producción. ¿Cómo se asegura un puerto dependiendo de su función?.
• Un método simple que muchos administradores usan para contribuir a la seguridad de la red
ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan.
Navegue a cada puerto no utilizado y emita el comando de apagado shutdownde Cisco IOS. Si
un puerto debe reactivarse más tarde, se puede habilitar con el comando no shutdown.
• Para configurar un rango de puertos, use el comando interface range.
Switch(config)# interface range type module/first-number – last-number

57
Implementar la seguridad de puertos (Port Security)

Mitigar los ataques de la tabla de direcciones MAC
El método más simple y eficaz para evitar ataques por saturación de la tabla de direcciones MAC es
habilitar el port security.
• La seguridad de puertos limita la cantidad de direcciones MAC válidas permitidas en el puerto.

Permite a un administrador configurar manualmente las direcciones MAC para un puerto o permitir
que el switch aprenda dinámicamente un número limitado de direcciones MAC. Cuando un puerto
configurado con port security recibe un trama, la dirección MAC de origen del trama se compara con
la lista de direcciones MAC de origen seguro que se configuraron manualmente o se aprendieron
dinámicamente en el puerto.
• Al limitar a uno el número de direcciones MAC permitidas en un puerto, port security se puede
utilizar para controlar el acceso no autorizado a la red.

58
Implementar Seguridad de puertos (Port Security)
Activar Port Security
Port security se habilita con el comando switchport port-security de la interfaz de puerto
Observe que en el ejemplo, el comando switchport port-security fue rechazado. Esto se debe a que
port security solo se puede configurar en puertos de acceso o trunks configurados manualmente Los
puertos capa 2 del switch están definidos como dynamic auto (troncal encendido), de manera
predeterminada. Por lo tanto, en el ejemplo, el puerto se configura con el comando switchport mode
access de la interfaz
Nota: La configuración de port security troncal va mas allá del alcance de este curso.

59
Implementar Seguridad de puertos (Port Security)
Activar Port Security (Cont.)
Use el comando show port-security interface para mostrar
la configuración de seguridad del puerto actual para
FastEthernet 0/1.
• Note que port security está habilitado, el modo de
violación esta apagado, y que el número máximo de

direcciones MAC permitidas es 1.
• Si un dispositivo está conectado al puerto, el switch
automáticamente agregará la dirección MAC de este
dispositivo como una dirección MAC segura. En este
ejemplo, no existe ningún dispositivo conectado al
puerto.
Nota: Si un puerto activo está configurado con el
comando switchport port-security y hay más de un dispositivo
conectado a ese puerto, el puerto pasará al estado de error
desactivado.

60
Implemente Seguridad de puertos (Port Security)

Activar Port Security (Cont.)
Una vez que se activa port security, se pueden configurar otras funciones específicas de port
security, como se muestra en el ejemplo.

61
Limitar y aprender direcciones MAC
Para poner el número máximo de direcciones MAC permitidas en un puerto, utilice el siguiente
comando
Switch(config-if)# switchport port-security maximum valor
• El valor predeterminado de port security es 1.

• El número máximo de direcciones MAC seguras que se puede configurar depende del switch y
el IOS.
• En este ejemplo, el máximo es 8192.

62

Limitar y Aprender MAC Addresses (Cont.)
El switch se puede configurar para aprender direcciones MAC en un puerto seguro de tres maneras:
1. Configuración manual:el administrador configura manualmente una dirección MAC estática
mediante el siguiente comando para cada dirección MAC segura en el puerto:
Switch(config-if)# switchport port-security mac-address dirección MAC

2. Aprendizaje dinámico: cuando se ingresa el comando switchport port-security la fuente MAC
actual para el dispositivo conectado al puerto se asegura automáticamente pero no se agrega a
la configuración en ejecución. Si el switch es reiniciado, el puerto tendrá que re-aprender la
direccion MAC del dispositivo.
3. Aprendizaje dinámico: – Sticky: el administrador puede configurar el switch para aprender

dinámicamente la dirección MAC y "adherirla" a la configuración en ejecución mediante el
siguiente comando:
Switch(config-if)# switchport port-security mac-address sticky
Al guardar la configuración en ejecución la dirección MAC aprendida automáticamente se quedara en
NVRAM.
63

Limitar y Aprender direcciones MAC (Cont.)
El ejemplo muestra una configuración de
seguridad de puerto completa para
FastEthernet 0/1.
• El administrador especifica una cantidad

máxima de 4 direcciones MAC, configura
una direccion MAC segura, y luego
configura el puerto para que aprenda mas
direcciones MAC de manera automática
hasta un máximo de 4 direcciones MAC.
• Use los comandos show port-security
interface y el show port-security address
para verificar la configuración.

64

activar Port Security
El vencimiento del port security puede usarse para poner el tiempo de vencimiento de las
direcciones seguras estáticas y dinámicas en un puerto.
• Absoluta- Las direcciones seguras en el puerto se eliminan después del tiempo de caducidad
especificado.
• Inactiva- Las direcciones seguras en el puerto se eliminan si están inactivas durante un tiempo
específico.
Utilice el vencimiento para remover las direcciones MAC seguras en un puerto seguro sin necesidad
de eliminar manualmente las direcciones MAC existentes.
• El vencimiento de direcciones seguras configuradas estáticamente puede ser habilitado o des-habilitado por
puerto.
Switch(config-if)# switchport port-security aging {static | time time | type {absolute | inactivity}}
Use el comandoswitchport port-security aging para habilitar o deshabilitar el vencimiento estático
para el puerto seguro, o para establecer el tiempo o el tipo de vencimiento.

65

Vencimiento de Port Security (Cont.)
El ejemplo muestra a un
administrador configurando el tipo

de vencimiento a 10 minutos de
inactividad.
El comando show port-security

confirma los cambios.

66

Modos de violación de Port Security
Si la dirección MAC de un dispositivo conectado a un puerto difiere de la lista de direcciones
seguras, se produce una violación del puerto y el puerto entra en estado de error desactivado.
• Para poner el modo de violación de seguridad de puerto, use el siguiente comando:
Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}
La siguiente tabla muestra cómo reacciona un switch en función del modo de infracción configurado.
Modo Descripción
El puerto pasa al estado de error desactivado de inmediato, apaga el LED del puerto y envía un mensaje de registro del
shutdown
sistema. Aumenta el contador de violaciones. Cuando un puerto seguro se encuentra en estado de error desactivado,
(predetermina
un administrador debe volver a habilitarlo ingresando los comandos shutdown y no shutdown.
dos)
El puerto descarta paquetes con direcciones de origen desconocidas hasta que elimine un número suficiente de
restrict direcciones MAC seguras para caer por debajo del valor máximo o aumentar el valor máximo. Este modo hace que el
(Restricción) contador de Infracción de seguridad se incremente y genera un mensaje de syslog.
Este modo es el menos seguro de los modos de violaciones de seguridad. El puerto descarta paquetes con direcciones
protect de origen MAC desconocidas hasta que elimine un número suficiente de direcciones MAC seguras para colocar por
(protección) debajo del valor máximo o aumentar el valor máximo. No se envía ningún mensaje syslog.

67

Modos de violación de Security (Cont.)
El ejemplo muestra a un administrador

cambiando la violación de seguridad a
"Restrict"
El resultado del comando show port-

security interfaceconfirma que se ha
realizado el cambio.

68

Puertos en estado de error-disabled
Cuando un puerto está apagado y puesto en modo error-desabilitado, no se envía ni se recibe
tráfico a través de ese puerto.
En la consola, se muestra una serie de mensajes relacionados con la seguridad del puerto.
Nota: El protocolo del puerto y el estado del enlace se cambian a inactivo y el LED del puerto se apaga.

69
Puertos en estado error-disabled (Cont.)
• En el ejemplo, el comando show interface
identifica el estado del puerto como err-disabled.
La salida del comando show port-security
interface ahora muestra el estado del puerto
como secure-shutdown. El contador de violación

incrementa en uno.
• El administrador debe determinar que causó la
violación de seguridad, si un dispositivo no
autorizado está conectado a un puerto seguro, la
amenazas de seguridad es eliminada antes de
restablecer el puerto.
• Para volver a habilitar el puerto, primero use el
shutdown luego, use el comando no shutdown.

70
Verificar Port Security
Después de configurar la seguridad de puertos en un switch, revise cada interfaz para verificar que la
seguridad de puertos y las direcciones MAC estáticas se configuraron correctamente.
Para mostrar la configuración de seguridad del puerto para el conmutador, use el comando show port-
security.
• El ejemplo indica que las 24 interfaces están
configuradas con el comando switchport
port-security porque el máximo permitido
es 1 y el modo de violación está apagado.
• No hay dispositivos conectados, por lo
tanto, el CurrentAddr (Count) es 0 para cada
interfaz.

71
Verificar Port Security (Cont.)
Use el comando show port-security

interface para ver detalles de una

interfaz específica, como se mostró
anteriormente y en este ejemplo.

Implementar Seguridad de Puertos (Port Security) 72

Para verificar que las direcciones MAC
están configuradas “sticking”
(pegadas) a la configuración, use el
comando show run como se muestra
en el ejemplo de FastEthernet 0/19.

73

Para mostrar todas las direcciones
MAC seguras que son configuradas
manualmente o aprendidas
dinámicamente en todas las interfaces
del switch use el comando show port-

security address como se muestra en
el ejemplo.

74
TITLE TWO
E l m e j o r d e l o s é x i t o s e n s u e x a m e nT h adt ’sew hfyiwne pd
r o vei d ecpa
o i nrt re
and r
c la
ick
TITLE ONE TITLE TWO



Taller Redes Sistemas 2020-2020

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Taller Redes Sistemas 2020-2020

Cargado por

Copyright:

Formatos disponibles

1

ACADEMIA CISCO UNIVERSIDAD TECNOLÓGICA ISRAEL

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

ACADEMIA CISCO UNIVERSIDAD TECNOLÓGICA ISRAEL

REDES 1 REDES 2 REDES 3 REDES 4

MODELO OSI – TCP/IP

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

ACADEMIA CISCO UNIVERSIDAD TECNOLÓGICA ISRAEL

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

ACADEMIA CISCO UNIVERSIDAD TECNOLÓGICA ISRAEL

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

RIP EIGR OSPF BGP

BELLMAN-FORD DUAL DIJKSTRA P U E R TA D E E N L A C E

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

BGP interno 200

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

RESOLUCIÓN DE PROBLEMAS DE DHCP

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

CONFIGURACIÓN DE DHCP COMO CLIENTE

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

TITLE ONE TITLE TWO

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

Ing. Tannia Mayorga J., Mg. CCNA Instructor

DHCP PARA IPV6

A C A D E M I A CC IISSCCOO U UN NI VI EV RE SRI SDIADDA TD E CT N

RESOLUCIÓN DE PROBLEMAS DE DHCP IPV6

Resolución de problemas Tarea 1 Resolver conflicto de direcciones

Resolución de problemas Tarea 2 Verificar el método de asignación

Resolución de problemas Tarea 3 Probar con direcciones IPV6 estáticas

Resolución de problemas Tarea 4 Verificar la configuración del puerto del switch