Ccna 200-120

Indice:
http://networkkings-es.blogspot.com/2013/07/curso-gratuito-ccna200-120.html
Tecnologas de nivel 2(Switching):

Fundamentos de Spanning tree
Per VLAN Spanning tree PVST
Rapid Spanning Tree 802.1w(RSTP)
Etherchannel o portchannel
DTP: Dynamic Trunking protocol
Ejercicio tecnologas layer 2
Routing para IP e IPV6:
Conceptos basicos de routing en IOS
Routing esttico parte 1
Routing on a Stick
Routing entre Vlanes con SVI
Conceptos bsicos de routing para IPV6
Routing Esttico IPV6
OSPF con un solo area
EIGRP
OSPF v3 OSPF para IPV6
EIGRP para IPV6
Tuneles GRE
Alta disponibilidad de gateway:
HSRP
GLBP
Seguridad en redes:
Access list standard
Access list extendidas
Acceso telnet a un router
Acceso por SSH router cisco
Securizar acceso telnet o ssh con una ACL
Tecnologas WAN:
Interfaces Serial con HDLC
PPP y PPP PAP
PPP CHAP
Fundamentos de Spanning tree

Tal como funciona ethernet como protocolo de nivel 2, las redes a nivel 2 no admiten
balanceo de carga y alta disponibilidad sin hacer unos ajustes. Esto es debido a que
cuando un ordenador conectado a nivel 2 contra otro ordenador tiene mas de un
camino disponible para alcanzar el otro ordenador tenemos un bucle de nivel 2, y eso
desencadena en una tormenta de broadcast.
Redundancia a nivel 2( Spanning Tree):

Ante semejante comportamiento se dise un protocolo que permitiese tener caminos
redundantes a nivel2, para que un ordenador pudiese llegar a otro ordenador, ya que si
solo tenamos un camino, y por el camino algo se rompa, tenamos una red muy poco
fiable. Para eso naci Spanning tree.
Spanning tree es un protocolo que lo que permite es disear una topologa de red
principal, que ser la que estar activa, bloqueando caminos redundates, y en caso de
que algo se rompa, ofrecer caminos alternativos.
La manera de calcular cual es la topologa de red principal ser en base a lo que
permita llegar antes a un switch que ser el switch mas importante de la red, este
switch es conocido como Root switch o puente raz. Los switches envan
constantemente una serie de tramas de nivel 2 llamadas BPDU que son las que
permiten que todos los switches conozcan cual es el root switch.
Las BPDU son enviadas constantemente por los switches por todos sus puertos, pero si
dejan de recibir BPDU por un puerto que les llevaba al root switch, lo que haran ser
activar los puertos redundantes, para comprobar si por esos puertos pueden alcanzar
el root switch, y en caso de poder alcanzarlo, elegiran el puerto que les permita llegar
antes al root bridge.
Red tal y como est cableada.
Red vista desde el punto de vista lgico despus de elegir el Root switch.
Red despus de que un link falle, spanning tree permite usar un camino alternativo.
Estados de Spanning tree:

Blocking: Por defecto todos los routers comienzan con sus puertos en estado
bloqueado, para no crear tormentas de broadcast.
Listening: Los switches comienzan a enviar y recibir BPDU por todos los puertos,
para comprobar si hay algun otro switch, y en caso de que haya otro switch, eligen al
switch con la prioridad mas baja como root switch.
Learning: Los switches ya tienen elegido al posible root switch, y ademas aprenden
las MAC de todos los equipos conectados que estn transmitiendo en ese momento.
Forwarding: Ya se ha elegido al root switch, el root switch pondra todos los puertos
en forwarding, lo que significa que todos seran vlidos para transmitir, y el resto de
switches pondrn los puertos que les permitan llegar al root switch como puertos
ROOT(forwarding), y los puertos que permitan llegar a otros equipos o switches, que no
sean redundantes hacia el root switch se pondrn como Designated(forwarding).
Disabled: Los puertos redundantes pasaran a ser desabilitados en los switches que
no son root, y en los switches apareceran como Blocked.
Todo este proceso tarda aproximadamente de 30 a 45 segundos, pero si la red es muy
grande, es posible que algunos equipos tarden mas en empezar a transmitir.
Per Vlan Spanning Tree(PVST)

A da de hoy, ningn fabricante de equipos de comunicaciones usa STP tal y como lo
vimos en nuestro anterior artculo sobre spanning tree. Esto es porque STP en su
versin original, estaba diseado para redes con switches que manejaban un nico
dominio de broadcast. Con la introduccin de las Vlans se hizo necesario adaptar STP a
las Vlans, y de eso nace PVST que significa Per Vlan Spanning Tree.
PVST simplemente significa que cada VLAN tiene su propia topologa de spanning tree,
y por tanto
tendremos un root switch para cada VLAN.
Volviendo al ejemplo de la topologa de spanning que vimos en el artculo sobre STP:
De manera lgica tenemos dos topologas, la de la VLAN1, y la de la VLAN2, en realidad

pueden tener todas las vlanes el mismo root, pero para este ejemplo lo hemos
diferenciado.
La ventaja principal de tener un root, y una topologa diferente para cada VLAN, es la
de que no se desaprovechan enlaces, una topologa tendr activos unos cables,
mientras otra topologa tendra activos los otros, de este modo hacemos balanceo de
carga a nivel 2.
Configuracin de PVST:
En la practica totalidad de los switches viene habilitado por defecto PVST, pero aqu
detallamos los comandos:
Rack1SW1(config)#spanning-tree mode pvst <---habilitamos PVST
Rack1SW1(config)#spanning-tree vlan X priority <Numero mltiplo de 4096>
Rack1SW1(config)#spanning-tree vlan X root primary
El equipo con menor prioridad es ROOT. Por defecto la prioridad de spanning tree es de
32768 (y se le suma el nmero de vlan). El ltimo comando lo que hace es cofigurar
una prioridad mas baja a un switch, para que pueda ser root.
Mirando spanning tree:
Rack8SW1#show spanning-tree vlan 1
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 4097 <----Mi prioridad
Address aabb.cc00.0600<----Mi mac
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 4097 (priority 4096 sys-id-ext 1)<----La prioridad de root

Address aabb.cc00.0600<----La MAC de root
Aging Time 300
Interface Role Sts Cost Prio.Nbr Type

------------------- ---- --- --------- -------- -------------------------------Et0/0 Desg FWD 100 128.1 Shr
Et0/1 Desg FWD 100 128.2 Shr
Rapid Spanning Tree 802.1w(RSTP)

Rapid spanning tree es una evolucin de STP y PVST, para mejorar PVST en tiempo de
convergencia. Por defecto PVST si no le tocas los temporizadores tiene un tiempo de
convergencia que puede llegar a dos minutos si el nmero de switches conectados en
cascada es elevado. RSTP lo que te ofrece es lo mismo que PVST aadindole una
convergencia de menos de dos segundos, lo de los dos segundos desde mi punto de
vista es un poco generoso, pero lo que si es cierto es, que a fin de cuentas puede
dividir fcilmente el tiempo de convergencia entre diez, y eso es una ventaja
importante.
Como candidato para CCNA R&S para trabajar con ios 15 cualquier equipo tendr
disponible RSTP, pero si vas a trabajar con versiones antiguas de IOS la cosa puede no
ser tan fcil, ya que algunas versiones antiguas solo permiten PVST.
Estados de puertos en RSTP

Los estados de los puertos en RSTP se sustituyen por:
Discarding: Que sustituye a disabled, listening y listening.
Learning: El tiempo de convergencia se incrementa enormemente.
Forwarding: El puerto esta transmitiendo.
Roles de los puertos en RSTP

Los roles de los puertos pasarn a ser los siguentes:
Root(Forwarding): Es igual que en PVST, son puertos que llevan hacia root, y que
estan transmitiendo.
Designated(Forwarding): Lo mismo que en PVST tambin, son puertos que NO

llevan hacia root, pero que estn transmitiendo porque no presentan bucle.
Alternate(Discarding): Es un nuevo tipo de rol especfico de RSTP, este rol lo que
establece es un puerto que tambin lleva hacia Root, pero que es una manera mas
lenta de llegar a root, por tanto no enva ni recibe trfico, pero si falla el puerto que
lleva a root se pondr en Root(Forwarding) automticamente, ganando de ese modo
tiempo de convergencia
Backup(Discarding): Estos puertos son una ruta secundaria, que no es tan buena
como la principal, pero que permite llegar a otro switch que no es el camino principal
hacia root. O lo que es lo mismo son puertos que son una alternativa a un puerto con
el rol Designated(Forwarding), estos puertos estarn sin enviar ni recibir trfico hasta
que el puerto Designated del que hacen de backup pierda la conexin.
Configuracin:
Pues muy parecida a pvst:
Rack1SW1(config)#spanning-tree mode rapid-pvst <---habilitamos RSTP
Rack1SW1(config)#spanning-tree vlan X priority <Numero mltiplo de 4096>
El equipo con menor prioridad es ROOT. Por defecto la prioridad de spanning tree es de
32768 (y se le suma el nmero de vlan).
Mirando spanning tree:
VLAN0001
Spanning tree enabled protocol rstp
Root ID Priority 4097 <----Mi prioridad
Address aabb.cc00.0600<----Mi mac
Bridge ID Priority 4097 (priority 4096 sys-id-ext 1)<----La prioridad de root
Address aabb.cc00.0600<----La MAC de root

Aging Time 300
Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- -------------------------------Et0/0 Desg FWD 100 128.1 Shr
Et0/1 Desg FWD 100 128.2 Shr
Etherchannel o portchannel:
Etherchannel es una tecnologa de nivel 2, la cual permite tomar hacer que dos
switches directamente conectados por dos o mas enlaces fsicos, pasen a tener un
nico puerto lgico, haciendo balanceo de carga entre los puertos que forman el portchannel.
De este modo con etherchannel, se pueden crear interfaces lgicas de 2 gigas, de 4
gigas, o de 200 gigas, todo depende del tipo de tarjeta que forme parte del
portchannel.
Configuracin:
Los portchannel para CCNA son bastante sencillos de configurar ya que son estticos,
tan solo es meterse en la interfaz, y configurar a que porchannel se debe asociar. Es
importante que dos puertos que forman parte de un portchannel tengan exctamente
la misma configuracin, obviamente la descripcin de la interfaz no debe de ser igual,
pero si es muy importante que el duplex, y la velocidad sean iguales.
conf t
int <la_primera_interfaz>
channel-group <numero de portchannel> mode on
int <la_segunda_interfaz>
channel-group <numero de portchannel> mode on
Una vez que una interfaz ya forma parte de un porchannel se puede administrar
directamente desde la interfaz lgica, que se llamara interface port-channel <numero
de portchannel>. De este modo si hiciesemos lo siguiente:
conf t
int e0/0
channel-group 1 mode on
int e0/1
channel-group 1 mode on
*****Hasta aqu ya estan asociadas las interfaces al portchannel*****
int port-channel1
shutdown
Lo que estaramos haciendo sera tirar los dos puertos del porchannel.
Desde el punto de vista de spanning tree:

Si estas haciendo este curso de CCNA, y eres un poco aplicado te habrs hecho la
siguiente pregunta Como trata spanning tree a los portchannel?
Pues muy sencillo, los trata como una interfaz lgica, con un ancho de banda
equivalente a la suma de los interfaces que lo componen, lo que significa que las
interfaces fsicas(osea las fastethernet 0/0 o lo que sea) no forman parte de spanning
tree.
Como saber si los puertos ya forman parte de mi portchannel:

Con el comando show etherchannel summ, si lo has configurdo bien debera aparecer
una P junto a los puertos, si has hecho algo mal aparecera otra cosa. Ten en cuenta que
pueden tardar un poco en formar el portchannel, as que dales 30 antes de tirarte de
los pelos. Salvo cosa rara, el 99% de las veces, si no entran en el portchannel suele ser
porque los puertos tienen distinta configuracin, o estas intentando hacer un
porchannel con puertos diferentes, y lo siento, no existen porchannel de 110 megas ;-).
Rack1SW1#sh etherchannel summ
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------1
Po1(SU)
Et3/0(P)
Et3/1(P) <----Estas son las famosas P
Ejemplo grfico muy sencillo:

En este ejemplo tengo dos switches conectados por los puertos e1/0 y e3/1.
Rack1SW1(config)# int range e3/0 - 1
Rack8SW1(config-if-range)# channel-group 1 mode on
Rack1SW2(config)# int range e3/0 - 1
Rack1SW2(config-if-range)# channel-group 1 mode on
Una vez configurados vamos a ver si el portchannel esta montado:
Rack1SW1#sh etherchannel summ

Flags: D - down
P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3
S - Layer2
U - in use
N - not in use, no aggregation
f - failed to allocate aggregator
M - not in use, no aggregation due to minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
d - default port
w - waiting to be aggregated
Number of channel-groups in use: 1
Number of aggregators:
1
Group Port-channel Protocol Ports
------+-------------+-----------+----------------------------------------------1
Po1(SU)
Et3/0(P)
Et3/1(P)
Si, el portchannel esta montado, vamos a ver como esta a nivel de spanning tree.

VLAN0001
Root ID Priority 32769
Address
aabb.cc00.0600
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address
aabb.cc00.0600
Aging Time 300
Interface
------------------Et3/2
Et3/3
Po1
Role Sts Cost

Prio.Nbr Type
---- --- --------- -------- -------------------------------Desg FWD 100
128.99 Shr
Desg FWD 100
128.100 Shr
Desg FWD 56
128.514 Shr

VLAN0001
Root ID Priority 32769
Address
aabb.cc00.0600
Cost
56
Port
514 (Port-channel1)
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address
aabb.cc00.0700
Aging Time 300
Interface
Role Sts Cost
Prio.Nbr Type
------------------- ---- --- --------- -------- -------------------------------Et3/2
Desg FWD 100
128.99 Shr
Et3/3
Desg FWD 100
128.100 Shr
Po1
Root FWD 56
128.514 Shr
Como se puede ver el RACK1SW2 es root, y el porchannel es un puerto Root en el otro
extremo.
DTP: Dynamic Trunking protocol

Dynamic Trunking Protocol o Dtp es un protocolo de nivel 2, propietario de
cisco, que te permite que una interfaz conectada en dos switches se
convierta en trunk dinmicamente sin que el administrador de la red tenga que
configurarlo..
El motivo de existencia de DTP es para hacer la vida un poquito ms fcil al
administrador de red, aunque en esto cada uno tiene su percepcin.
Cmo funciona DTP?
Para que dos switches negocien DTP, y el puerto que les conecta se convierta
en un trunk son necesarias dos cosas:
Que ambos switches tengan habilitado DTP en el puerto que les conecta.
Esto en la mayora de los switches de cisco, excepto en switches antiguos, es
algo que ya viene por defecto. Pero para configurarlo es con el comando a nivel
de interfaz: switchport mode dynamic auto
Que al menos uno de los switches est configurado en ese puerto como:
switchport mode dynamic desirable. Algunos equipos tienen esto activado esto
por defecto.
Configuracin:
switchport mode dynamic auto
switchport mode dynamic dessirable
Ejercicio tecnologas layer 2

Todos bloques de tecnologas van a tener un ejercicio propio para que el candidato
pueda intentar aplicar los conocimientos en un ejercicio sobre hardware real, o
simulado.
Estos ejercicios consistirn en un ejercicio que combinar todas las materias
aprendidas hasta ese momento. Y que pasado un tiempo prudencial tendr otro
artculo con las soluciones y como aplicarlas.
SW1:
SW2:
SW3:
SW4:
Tiene
Tiene
Tiene
Tiene
un cliente con un puerto en la vlan 1, y otro en la vlan 2 .

un cliente con un puerto en la vlan 3, y otro en la 1.
dos clientes en la vlan 1.
un cliente en la vlan 2, y otro en la vlan 3.
Dada la siguiente topologa fsica de switches se requiere lo siguiente:

Configurar los dos puertos entre los switches DIST1 y DIST2 como un etherchannel.
Configurar DIST1 como servidor vtp, y el resto de switches, excepto SW4 como vtp
clients, SW4 no deber aprender las vlanes de DIST1.
Configuracin de spanning tree como per vlan spanning tree.
Configurar las vlanes 1,2, y 3.
Convertir el switch DIST1 como root de spanning tree para la vlan 2.
Convertir el switch DIST2 como root de spanning tree para las vlanes 1, y 3.
Habilitar DTP en los puertos que conectan contra DIST1. Y asegurarse que DIST1 inicie
las peticiones de configuracin automtica.
Configuracin de los puertos en las vlanes que aparecen en el grfico.
Conceptos bsicos de routing en IOS

Este es posiblemente uno de esos artculos que bien ledos y bien entendidos ayudan
bastante a cualquier tcnico de red a la hora de resolver problemas, y configurar
routing en routers cisco. Para entender mnimamente bien el artculo primero debes
haber entendido y practicado las tecnologas de capa 2 de CCNA, el funcionamiento de
ARP, y sobre todo entender bien subneting. Lo siento pero no voy a hacer un artculo
sobre subneting, ya que a fin de cuentas hay miles en internet, y el material de estudio
de CCNA lo explica bastante bien. Es un artculo 100% terico as que paciencia.
Cuando dos equipos (ordenadores, servidores, routers o lo que sean) estn conectados
en dos subredes diferentes, y requieren tener conectividad entre ellos lo que se
necesita es enrutar el trfico. Enrutar simplemente es asegurarse que todos los
equipos, tanto los equipos involucrados, como los puntos intermedios saben cmo
llegar al punto de origen, y al punto de destino.
Reglas Bsicas del routing:
Si la ip de origen, y la ip de destino estn en la misma subred no existe routing, todo se
hace por medio de ARP, y comunicacin intra-lan, el router en esa subred no hace
nada, hay una pequea excepcin, pero no la voy a comentar hasta el mdulo de WAN.
Puede haber routing esttico que es el routing configurado a mano por un operador, o
routing dinmico en el cual los routers se cuentan unos a otros los caminos para entre
todos intentar conocer y adaptarse a la red.
Si un router tiene dos rutas para llegar a un mismo destino se elegir la ruta mas
especfica. Esto significa que si quiero alcanzar la IP 192.168.1.111, y tengo una ruta
para la red 192.168.1.0/24 y otra para la 192.168.1.0/25, siempre elegiremos la
192.168.1.0/25 porque es mucho ms especfica.
En caso de dos rutas igual de especficas se elige la ruta con la distancia administrativa
ms pequea. Los protocolos de routing dinmicos tienen sus propias distancias
administrativas por defecto, el routing esttico tiene 1 como distancia administrativa
por defecto, pero puede configurarse un valor de 1 a 255.
En caso de que un router tenga dos caminos para alcanzar un destino, las redes sean
igual de especficas, e igual distancia administrativa se usar la ruta con menor
mtrica. La mtrica es algo propio del routing dinmico, y es la manera que tienen los
routers de medir cual es el camino ms rpido para alcanzar un destino. Cada
protocolo tiene una manera de calcular las mtricas, pero siempre se elige la mtrica
ms baja.
Estas reglas son fijas, y no puede invertirse el orden, osea que una ruta /25 con una
distancia administrativa de 250, una mtrica de mil trillones :-D , siempre ser
preferible a una ruta /24 con una distancia administrativa de 1, y una mtrica de 10.
A parte de esto hay que tener en cuenta, que para redes privadas hay una serie de
rangos de IPs especficamente designadas para ser usadas, estos rangos son los
comprendidos entre: 10.0.0.0 y 10.255.255.255, 172.16.0.0 y 172.31.255.255,
192.168.0.0 y 192.168.255.255. Estos rangos de direcciones IP no son enrutables hacia
internet, o lo que es lo mismo, todos los operadores de telecomunicaciones filtran los
direccionamientos privados.

Por defecto los routers solo conocen las rutas de las redes a las que estn directamente
conectados, pero si quieren llegar a otras redes hay que configurarles rutas estticas.
Supongamos la siguiente topologa en la que R1 quiere alcanzar R3 y viceversa, pero

R1 solo conocer la red a la que est conectado 192.168.1.0/24, R3 conocer la red a
la que est conectado 192.168.3.0/24, y por ltimo R2 conocera las redes a las que l
est conectado, que en este caso son la red que va contra R1 192.168.1.0/24, y la que
va contra R3 192.168.3.0/24.
Vamos a comprobarlo:
R1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C
192.168.1.0/24 is directly connected, FastEthernet0/0
R3#show ip route
R2#show ip route
C
C

En base a lo que estamos observando, R1 debera poder llegar a R2, R3 debera poder
llegar a R2, y R2 debera poder llegar a ambos. Pero R1 no puede llegar a R3 y
viceversa.
R1#ping 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 16/27/44 ms
R1#ping 192.168.3.3
.....
Success rate is 0 percent (0/5)
R3#ping 192.168.3.2
.!!!!
R3#ping 192.168.1.1
.....
Success rate is 0 percent (0/5)
R2#ping 192.168.1.1

!!!!!
R2#ping 192.168.3.3
!!!!!
Configuracin de una ruta esttica:

Ip route <red_destino> <mascara_destino> <Gateway_o_interfaz_de_salida>
<distancia_administrativa>
En nuestro ejemplo vamos a configurar una con gateway, y otra con interfaz de salida,
aunque al no ser punto a punto deberamos hacerlo con Gateway tambin.
Primero configuramos la ruta en R1, para alcanzar la red de R2-R3.
R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.2
Ahora configuramos en R3 la ruta para alcanzar la red de R2-R1.
R3(config)#ip route 192.168.1.0 255.255.255.0 fastEthernet 0/1
Ahora lo probamos:
R1#ping 192.168.3.3
.!!!!
R3#ping 192.168.1.1
!!!!!
Y vamos a ver la tabla de routing:

R1#show ip route

C
S

192.168.3.0/24 [1/0] via 192.168.1.2
R3#show ip route
S 192.168.1.0/24 is directly connected, FastEthernet0/1
C 192.168.3.0/24 is directly connected, FastEthernet0/1
En R2 como hemos comentado al principio, no hay que configurar nada, ya que tiene
ruta para llegar a todos los sitios.
En el artculo anterior vimos la necesidad de rutas estticas, como se configuraban, y

como se verificaban. En este artculo, partiendo de los mismos comandos vamos a
complicar un poco el asunto. Lo nico que vamos a aadir son las interfaces loopback.
Interfaces loopback:
Son interfaces que no estn conectadas a nada, pero a las que se les puede poner ip, y
que te permiten tener una interfaz siempre conectada. Se suelen utilizar para
identificar al router, para administrarloetc. A efectos prcticos son interfaces siempre
conectadas, que solo estn conectadas en el router que las tiene configuradas. Al estar
conectadas a un nico equipo prcticamente siempre tienen mscaras /32.
R1(config)#int loop 0
R1(config-if)#ip add 1.1
*Mar 1 02:35:01.411: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0,
changed state to up
R1(config-if)#ip add 1.1.1.1 255.255.255.255
Partiendo de la siguiente topologa:
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.2
R2(config)#ip route 1.1.1.1 255.255.255.255 192.168.0.1
R2(config)#ip route 5.5.5.5 255.255.255.255 192.168.1.3
R2(config)#ip route 3.3.3.3 255.255.255.255 192.168.1.3
R2(config)#ip route 192.168.3.0 255.255.255.0 192.168.1.3
R2(config)#ip route 4.4.4.4 255.255.255.255 192.168.1.3 250
R2(config)#ip route 4.4.4.4 255.255.255.255 192.168.2.4
R2(config)#ip route 192.168.4.0 255.255.255.0 192.168.2.4
R2(config)#ip route 5.5.5.5 255.255.255.255 192.168.2.4 250
R2(config)#ip route 3.3.3.3 255.255.255.255 192.168.2.4 250
R3(config)#ip route 1.1.1.1 255.255.255.255 192.168.1.2
R3(config)#ip route 4.4.4.4 255.255.255.255 192.168.1.2
R3(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.2
R3(config)#ip route 5.5.5.5 255.255.255.255 192.168.3.5
R3(config)#ip route 192.168.4.0 255.255.255.0 192.168.1.2
R3(config)#ip route 2.2.2.2 255.255.255.255 192.168.1.2
R4(config)#ip route 1.1.1.1 255.255.255.255 192.168.2.2

R4(config)#ip route 3.3.3.3 255.255.255.255 192.168.2.2
R4(config)#ip route 192.168.0.0 255.255.255.0 192.168.2.2
R4(config)#ip route 5.5.5.5 255.255.255.255 192.168.4.5
R4(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2
R4(config)#ip route 2.2.2.2 255.255.255.255 192.168.2.2
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.3
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.4.4
Ping a todo desde R1:
R1#ping 2.2.2.2 source loop 0
Packet sent with a source address of 1.1.1.1
!!!!!
!!!!!
!!!!!

!!!!!
!!!!!
!!!!!
!!!!!
!!!!!
Tablas de routing:
R1#show ip route
Gateway of last resort is 192.168.0.2 to network 0.0.0.0
1.0.0.0/32 is subnetted, 1 subnets
C 1.1.1.1 is directly connected, Loopback0
S* 0.0.0.0/0 [1/0] via 192.168.0.2
R2#show ip route

S 1.1.1.1 [1/0] via 192.168.0.1

S 3.3.3.3 [1/0] via 192.168.1.3
S 4.4.4.4 [1/0] via 192.168.2.4
S 5.5.5.5 [1/0] via 192.168.1.3
S 192.168.4.0/24 [1/0] via 192.168.2.4
C 192.168.1.0/24 is directly connected, Ethernet1/0
C 192.168.2.0/24 is directly connected, Ethernet1/1
S 192.168.3.0/24 [1/0] via 192.168.1.3
R3#show ip route
S 1.1.1.1 [1/0] via 192.168.1.2
S 2.2.2.2 [1/0] via 192.168.1.2
S 4.4.4.4 [1/0] via 192.168.1.2

S 5.5.5.5 [1/0] via 192.168.3.5
S 192.168.4.0/24 [1/0] via 192.168.1.2
S 192.168.0.0/24 [1/0] via 192.168.1.2
R4#show ip route
S 1.1.1.1 [1/0] via 192.168.2.2
S 2.2.2.2 [1/0] via 192.168.2.2
S 3.3.3.3 [1/0] via 192.168.2.2
S 5.5.5.5 [1/0] via 192.168.4.5
S 192.168.0.0/24 [1/0] via 192.168.2.2

S 192.168.3.0/24 [1/0] via 192.168.2.2
R5#show ip route
Gateway of last resort is 192.168.4.4 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 192.168.4.4
[1/0] via 192.168.3.3
Conclusiones:
Una ruta 0.0.0.0/0 es una ruta por defecto, lo que engloba a cualquier red(R1 y R5).
Cuando ponemos dos rutas al mismo destino, pero con distancia administrativa
diferente, la que tiene la menor distancia administrativa se usara en la tabla de
routing, y la otra ruta solo aparecer cuando la interfaz de salida de la primera ruta se
pierda(R2).
Cuando tenemos dos rutas iguales y, con la misma distancia administrativa. Lo que
hace el router es repartir los paquetes, alternndolos por ambas rutas.
Routing on a Stick
Routing on a stick es un tipo de topologa bastante empleada para hacer routing entre
diferentes vlanes desde un nico router. En realidad no es el mtodo mas utilizado para
hacer routing entre vlanes, pero se usa mucho, y cualquier tcnico debera dominar
ambos mtodo.
Por medio de routing on a stick, un router configurar una interfaz para etiquetar
paquetes con 802.1q, y esta interfaz ir conectada a un switch con el puerto
configurado como trunk y encapsulacin 802.1q.
El router con ello crear subinterfaces lgicas en cada una de las vlanes, y podr
enrrutar el trfico al igual que en el artculo sobre routing esttico 1 en el router 2.
Configuracin:
R(config-if)#int fa0/0.<Numero que quieras habitualmente el nmero de vlan>
R(config-subif)#encapsulation dot1Q <numero_vlan>
R(config-subif)#ip add <IP> <MASCARA>
Ejemplo:
En el ejemplo del siguiente grfico R1, R2 y R3 estn cada uno emplazado en una vlan
como si fuesen host, SWITCH tiene tres vlanes y cada puerto contra los routers
anteriores estar en access. El puerto contra R5 est configurado en trunk. Y en el R5
tenemos configuradas subinterfaces que adems estn encapsulando el trfico con
802.1q.
R1
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.1.5
R2
ip address 192.168.2.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.2.5
R3:
ip address 192.168.3.3 255.255.255.0
ip route 0.0.0.0 0.0.0.0 192.168.3.5
SWITCH:
Vlan 1
Vlan 2
Vlan 3
switchport access vlan 1
!
!
switchport mode trunk
R5
no ip address
!
interface FastEthernet0/0.1
encapsulation dot1Q 1
ip address 192.168.1.5 255.255.255.0
!
ip address 192.168.2.5 255.255.255.0
!
ip address 192.168.3.5 255.255.255.0
Haciendo ping desde R1 para probar todo:

R1#tracer 192.168.2.2
Tracing the route to 192.168.2.2
1 192.168.1.5 20 msec 60 msec 8 msec
2 192.168.2.2 32 msec * 24 msec
R1#ping 192.168.2.2
!!!!!
R1#ping 192.168.3.3

!!!!!
Tabla de rutas en R5:

R5#show ip route
C 192.168.1.0/24 is directly connected, FastEthernet0/0.1
Routing entre Vlanes con SVI:

En la mayora de entornos de red empresariales no se usan topologas de routing on a
stick, esa topologa es ms habitual en entornos de service providers, o para
diferenciar diferentes clientes que tenemos conectados en una nica interfaz de un
router.
Lo cierto es que en las actuales redes corporativas de las empresas, los switches ya no
son meros equipos de nivel 2, sino que son switches multicapa, lo que les permite
hacer routing, y por tanto son podramos decir mitad switch, mitad router, as mismo
los routers tambin pueden tener vlanes si tienen la tarjetera adecuada, por tanto un
router ya no no es solo un router, y un switch ya no es solo un switch.
Para enrutar con un switch hay que crear interfaces vlan o SVI, estas interfaces son
interfaces lgicas que permanecern siempre levantadas, siempre y cuando tengan
uno o mas puertos en su vlan levantados, y para este cmputo tambin valen los
trunks.
Configuracin:
Configure terminal
Int vlan <Numero_de _vlan>
Ip add <ip> <mascara>
Ejemplo:
Dada la topologa del artculo anterior vamos a hacer una pequea variacin, ya que
ahora vamos a enrutar en el R5 como antes, pero vamos a hacerlo por medio de SVI.
Configuracin de R5, para el resto son las mismas que en el artculo sobre routing on a
stick.
Conf t
Vlan 1
Vlan 2
Vlan 3
Exit
interface Vlan1
ip address 192.168.1.5 255.255.255.0
!
interface Vlan2
ip address 192.168.2.5 255.255.255.0
!
interface Vlan3
ip address 192.168.3.5 255.255.255.0
Tabla de rutas de R5:

R5#show ip route
C 192.168.1.0/24 is directly connected, Vlan1
Ping y tracert desde R1:
R1#ping 192.168.2.2
!!!!!
R1#ping 192.168.3.3
!!!!!
R1#trace 192.168.3.3
Tracing the route to 192.168.3.3
1 192.168.1.5 28 msec 40 msec 8 msec
2 192.168.3.3 36 msec * 28 msec
Conceptos bsicos de routing para IPV6

Fundamentos de routing para IPV6:
Con la nueva versin de CCNA R&S 5.0 se le da bastante ms importancia a IPV6, y
ahora los candidatos deben de tener unos conocimientos bastante slidos sobre IPV6.
En este artculo vamos a intentar asentar unas bases bastante claras sobre routing
para IPV6, haciendo paralelismos con el routing para IPV4.
Para este artculo parte con la idea de que el usuario ya sabe leer las direcciones de
IPV6, calcular su mscara y abreviarlas. Si hubiese cierto clamor por parte de los
usuarios podra realizarse un artculo sobre esto en el futuro. En cualquier caso el
propsito del artculo es que el alumno adquiera un conocimiento sobre cmo se hace
routing para IPV6, que en realidad es muy parecido a IPV4.
Tipos de direcciones de IPV6:

Este artculo est pensado para nivel CCNA, por tanto no me voy a meter a explicar en
este artculo las direcciones de Multicast y Anycast, todo lo que se explica a
continuacin es sobre Unicast.
Unique Local Addressing:
Son direcciones de IPV6 que seran el homologo a las direcciones IP privadas, solo
tienen mbito en la red de un cliente, y nunca son enrutadas hacia internet. Para estas
direcciones estn reservado el rango fc00::/7. Si quieres salir hacia internet, pues como
en IPV4, hacer NAT.
Global Unicast:
A efectos prcticos son como las direcciones ip pblicas de IPV4, son enrutables hacia
internet, y en su diseo original IPV6 quera que todos los host tuviesen direcciones
Global Unicast, evitando de este modo que hubiese NAT para IPV6.
En realidad esto pinta muy bonito, pero es muy poco prctico, ya que los problemas de
seguridad derivados de esto seran una autntica fiesta.
Link Local Address:
El concepto de estas direcciones es una serie de direcciones que solo son significativas
en la lan en la que participan, todas las interfaces por defecto en IPV6 tienen su propia
direccin de link local. La gracia de esto es, que en enlaces punto a punto no se gasten
direcciones IPV6 a las que nunca se va a dirigir trfico remoto. Desde del punto de vista
prctico los protocolos de routing dinmico son las que utilizan para trabajar.
Reglas bsicas de routing para IPV6:

Una interfaz en IPV6 puede tener configuradas todas las IP que quieras configurar. Ya
no vale hacer como en IPV4 cuando te equivocas, que le asignas una nueva direccin IP
sustituyendo a la anterior. Aqu son acumulativas.
Los protocolos de routing dinmico usan las direcciones link local para intercambiar su
informacin.
Al igual que en IPV4, un router siempre elegir la ruta ms especfica
independientemente de su mtrica o distancia administrativa.
Ante dos rutas igual de especficas se usar la distancia administrativa menor,
independientemente de su mtrica.
Si dos rutas son igual de especficas y tienen la misma distancia administrativa se
elegir la ruta con la menor mtrica.
A igualdad de todo, por defecto se balancear el trfico para rutas estticas, y para
protocolos de routing dinmico depender del protocolo de routing en si mismo.
Configuracin de routing para IPV6:

En el modo de configuracin global
R1(config)#ipv6 unicast-routing
Dentro de una interfaz:
R1(config-if)#ipv6 address <DIRECCION_IPV6>/<MASCARA>
El resto de comandos simplemente son los mismos que usbamos antes, pero donde
ponamos ip, ahora ponemos ipv6, como en show ip int brief, pues ahora ponemos
show ipv6 int brief.
Ejemplo:
ipv6 unicast-routing
no ip address
shutdown
ipv6 address 3434:3434::34/64
R1#show ipv6 int brief

FastEthernet0/0
[administratively down/down]
FE80::CE00:1EFF:FE14:0
3434:3434::34
FastEthernet0/1
Qu es la
[administratively down/down]
FE80::CE00:1EFF:FE14:0? Pues la link local Address :-)
Direcciones Especiales:
::/0: Es la ruta por defecto en IPV6, lo que en ipv4 es la 0.0.0.0/0
X/128: Las loopback ya no llevan /32 como en IPV4, ahora son /128.
En realidad hay mas direcciones especiales, pero para una primera toma de contacto
con IPV6 ya deberas tener suficiente
.
Routing Esttico IPV6

El routing esttico en IPV6 es exactamente el mismo que para IPV4, solamente cambia
que donde antes ponamos IP, ahora ponemos IPV6 :-D, por lo dems el concepto es el
mismo, teniendo en cuenta que las direcciones y mscaras en IPV6 son un poco mas
feas.
De hecho hay que decir que una tabla de rutas en IPV6 es muy muy fea de leer. A
primera vista es tan legible como el coreano, pero segn vas trabajando con ello le vas
cogiendo algo mas de cario, aunque eso no quita que sean difciles de leer.
Configuracion de rutas estticas en IPV6:

Ipv6 route <RED_DESTINO>/<MASCARA_DE_RED> <SIGUIENTE_SALTO>
Ejemplo routing esttico ipv6:
Este es el mapa de nivel FISICO.
Este en cambio es el nivel LGICO.
R1:
interface Loopback0
ipv6 address 1111::1/128
ipv6 address 2020:1::1/64
ipv6 route ::/0 2020:1::4
R2(Router on a Stick):
interface Loopback0

!
ipv6 route 3333::3/128 2020:3::3
ipv6 route ::/0 2020:2::4
R3(Router on a Stick):
interface Loopback0
ipv6 route ::/0 2020:3::2
SWITCH(SVI e interfaz routing):

vlan 1
vlan 2
interface Loopback0
interface Vlan2
ipv6 route 1111::1/128 2020:1::1
ipv6 route 2222::2/128 2020:2::2

ipv6 route 3333::3/128 2020:2::2
Tablas de routing:
R1#show ipv6 route
IPv6 Routing Table - 6 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [1/0]
via 2020:1::4
LC 1111::1/128 [0/0]
via ::, Loopback0
C 2020:1::/64 [0/0]
via ::, FastEthernet0/0
L 2020:1::1/128 [0/0]
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
R2#show ipv6 route

S ::/0 [1/0]
via 2020:2::4
C 2020:2::/64 [0/0]
via ::, FastEthernet0/0.2
L 2020:2::2/128 [0/0]
C 2020:3::/64 [0/0]
L 2020:3::2/128 [0/0]
LC 2222::2/128 [0/0]
via ::, Loopback0
S 3333::3/128 [1/0]
via 2020:3::3
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
R3#show ipv6 route

S ::/0 [1/0]
via 2020:3::2
C 2020:3::/64 [0/0]
L 2020:3::3/128 [0/0]
LC 3333::3/128 [0/0]
via ::, Loopback0
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
SWITCH#show ipv6 route
S 1111::1/128 [1/0]
via 2020:1::1
C 2020:1::/64 [0/0]
L 2020:1::4/128 [0/0]
C 2020:2::/64 [0/0]
via ::, Vlan2
L 2020:2::4/128 [0/0]
via ::, Vlan2
S 2222::2/128 [1/0]
via 2020:2::2
S 3333::3/128 [1/0]
via 2020:2::2
LC 4444::4/128 [0/0]
via ::, Loopback0
L FE80::/10 [0/0]
via ::, Null0
L FF00::/8 [0/0]
via ::, Null0
Haciendo pings a todo desde R1:
R1#ping ipv6 2222::2 source loopback 0
Sending 5, 100-byte ICMP Echos to 2222::2, timeout is 2 seconds:
Packet sent with a source address of 1111::1
!!!!!

!!!!!

!!!!!
R1#traceroute ipv6 3333::3

Tracing the route to 3333::3
1 2020:1::4 12 msec 32 msec 20 msec
2 2020:2::2 44 msec 40 msec 28 msec
3 3333::3 76 msec 32 msec 40 msec
OSPF con un solo area

OSPF:
Si se me permite tener un protocolo de routing favorito, ese sin duda es OSPF,Por
qu? , ni idea, pero siempre me ha gustado. En este artculo no pretendo entrar en toda
la teora sobre OSPF, que es mucha, y muy importante conocerla, simplemente vamos
a entrar a configurar OSPF con un nico rea, pero vamos a entender lo que hacemos
por medio de comandos show.
Configuracin:
La configuracin de OSPF, al igual que la de otros protocolos es bastante sencilla, lo
complicado es entender, y predecir el comportamiento.
R(config)#router ospf <Numero de Proceso>
R2(config-router)#network <red> <mascara_wildcard> area <numero_area>
Numero de proceso: Puedes poner el nmero que te venga en gana, NO tiene poque
coincidir entre los routers, simplemente es un nmero para identificar al proceso de
OSPF, existe simplemente porque puedes configurar varios OSPF en el mismo router ;) .
Red y mascara de wildcard: Es la red por la que queremos hablar ospf, esto significa
que si ponemos una ip cualquiera y una mscara de wilcard 0.0.0.0(equivalente a red /
32) solo hablaremos por esa intefaz. En cambio si ponemos 0.0.0.0
255.255.255.255(equivalente 0.0.0.0/0) hablaramos OSPF por todas las intefaces del
router. A m me gusta usar siempre 0.0.0.0 como wildcard porque me gusta controlar
completamente porque interfaz hablo routing.
Numero de rea: Debe coincidir, acostmbrate a usar 0 por un tema de diseo que
se ver en otro captulo.
Si en un link ambos extremos tienen configurado ospf debera aparecer algo como
esto:
*Mar 1 00:32:50.783: %OSPF-5-ADJCHG: Process 4, Nbr 2.2.2.2 on FastEthernet0/0

from LOADING to FULL, Loading Done
Tus routers se han hecho amigos, se irn de copas juntos, y a partir de ahora
intercambiarn informacin de routing :-D.
Ejemplo:
Dada la siguiente topologa vamos a configurar OSPF, todos los routers adems
tendran una loopback que tendr como direccion ip el numero de router en todos los
octetos, por lo que el router R1 tendra como loopback 1.1.1.1.
R1:
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
ip address 192.168.12.1 255.255.255.0
!
ip address 192.168.13.1 255.255.255.0
!
!
router ospf 1
log-adjacency-changes
network 1.1.1.1 0.0.0.0 area 0
network 192.168.12.1 0.0.0.0 area 0
network 192.168.13.1 0.0.0.0 area 0
!
R2:
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
ip address 192.168.12.2 255.255.255.0
!
ip address 192.168.24.2 255.255.255.0
!
ip address 192.168.23.2 255.255.255.0
!
!
router ospf 2
network 2.2.2.2 0.0.0.0 area 0
network 192.168.12.2 0.0.0.0 area 0
network 192.168.23.2 0.0.0.0 area 0
network 192.168.24.2 0.0.0.0 area 0
R3:
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
ip address 192.168.23.3 255.255.255.0
!
ip address 192.168.34.3 255.255.255.0
!
ip address 192.168.13.3 255.255.255.0
!
!
router ospf 3
network 3.3.3.3 0.0.0.0 area 0
network 192.168.13.3 0.0.0.0 area 0
network 192.168.23.3 0.0.0.0 area 0
network 192.168.34.3 0.0.0.0 area 0
R4:
interface Loopback0
ip address 4.4.4.4 255.255.255.255
!
ip address 192.168.24.4 255.255.255.0
!
ip address 192.168.34.4 255.255.255.0
!
!
router ospf 4
network 4.4.4.4 0.0.0.0 area 0
network 192.168.24.4 0.0.0.0 area 0
network 192.168.34.4 0.0.0.0 area 0
Vamos a ver los vecinos:
Desde R1 podemos ver que tenemos dos vecinos, los cuales se identifican con el router
ID, que por defecto es la ip de loopback ms alta de cada router. Pero debajo de
Address podemos ver cul es la IP de la que me he hecho vecino.
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
3.3.3.3 1 FULL/DR 00:00:35 192.168.13.3 FastEthernet0/1
2.2.2.2 1 FULL/DR 00:00:38 192.168.12.2 FastEthernet0/0
Tabla de routing de cada dispositivo:

Si te fijas bien puedes ver que las rutas aprendidas automticamente por OSPF
aparecen con una O delante, en lugar de la S de cuando configurbamos rutas
estticas. Adems se puede ver 110/X , 110 es la distancia administrativa, y el valor de
detrs de la barra es la mtrica.
R1#show ip route
O 2.2.2.2 [110/2] via 192.168.12.2, 00:04:35, FastEthernet0/0

[110/3] via 192.168.12.2, 00:04:36, FastEthernet0/0
O 192.168.24.0/24 [110/2] via 192.168.12.2, 00:04:36, FastEthernet0/0
R2#show ip route
R3#show ip route

R4#show ip route
Verificar nuestro proceso de OSPF:
R1#show ip ospf
Routing Process "ospf 1" with ID 1.1.1.1
Start time: 00:35:03.448, Time elapsed: 00:07:17.844
Supports only single TOS(TOS0) routes
Supports opaque LSA
Supports Link-local Signaling (LLS)
Supports area transit capability
Router is not originating router-LSAs with maximum metric
Initial SPF schedule delay 5000 msecs

Minimum hold time between two consecutive SPFs 10000 msecs
Maximum wait time between two consecutive SPFs 10000 msecs
Incremental-SPF disabled
Minimum LSA interval 5 secs
Minimum LSA arrival 1000 msecs
LSA group pacing timer 240 secs
Interface flood pacing timer 33 msecs
Retransmission pacing timer 66 msecs
Number of external LSA 0. Checksum Sum 0x000000
Number of opaque AS LSA 0. Checksum Sum 0x000000
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
Number of areas transit capable is 0
External flood list length 0
Area BACKBONE(0)
Number of interfaces in this area is 3 (1 loopback)
Area has no authentication
SPF algorithm last executed 00:06:38.096 ago
SPF algorithm executed 4 times
Area ranges are
Number of LSA 9. Checksum Sum 0x046A21
Number of opaque link LSA 0. Checksum Sum 0x000000
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
Como se puede ver aparece nuestro router ID, a que area pertenecemos, y cuantas
interfaces hablan OSPF.
Base de datos:
Si te has estudiado la teora de CCNA sabrs que OSPF es un protocolo de routing
basado en estado de enlace, y por tanto tiene una base de datos con todos los routers,
que interfaces tienen y dems. Si quieres curiosear un poco aqu te dejo un pequeo
snapshot.
R1#show ip ospf database
OSPF Router with ID (1.1.1.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
1.1.1.1 1.1.1.1 441 0x80000004 0x0059CA 3
2.2.2.2 2.2.2.2 449 0x80000007 0x00B434 4
3.3.3.3 3.3.3.3 442 0x80000007 0x00556C 4

4.4.4.4 4.4.4.4 598 0x80000004 0x00B007 3
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
192.168.12.2 2.2.2.2 449 0x80000001 0x008F1F
192.168.13.3 3.3.3.3 442 0x80000001 0x007E26
192.168.23.2 2.2.2.2 649 0x80000001 0x007A21
192.168.24.2 2.2.2.2 603 0x80000001 0x00A1F4
192.168.34.3 3.3.3.3 603 0x80000001 0x002D56
Conectividad y alta disponibilidad:
A continuacin lo que voy a hacer es lanzar un ping desde la loopback de R1 a la
loopback de R4, voy a tirar uno de los caminos que me lleva a esa loopback, y vamos a
ver que pasa.
R1# ping 4.4.4.4 source loop 1 rep 1000
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!
*Mar 1 01:23:58.711: %OSPF-5-ADJCHG: Process 1, Nbr 2.2.2.2 on FastEthernet0/0
from FULL to DOWN, Neighbor Down: Dead timer
expired!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Como se puede ver se pierden tres paquetes nicamente, el solito se adapta a la
topologa, y cuando ve que uno de los caminos est muerto lo saca de la tabla de
rutas.
EIGRP:
Al igual que con OSPF, en este artculo no pretendo entrar en toda la teora sobre
EIGRP, que es mucha, y muy importante conocerla, simplemente vamos a entrar a
configurar EIGRP, pero vamos a entender lo que hacemos por medio de comandos
show. Cabe de todos modos recordar que EIGRP es un protocolo desarrollado por Cisco,
y por tanto es propietario suyo.
La configuracin de EIGRP es bastante sencilla, luego entender el comportamiento del
protocolo ya tiene un poco mas de chicha ;-)
R(config)#router eigrp <Numero de sistema autnomo>

R(config-router)#network< red> <mascara_wildcard>
Numero de sistema autnomo: Tiene que coincidir en todos los routers que quieran
hacerse vecinos. En realidad no tiene porque ser el sistema autnomo de verdad al que
poseas, es mas, salvo que seas un operador o empresa muy grande no deberas tener
un sistema autnomo propio.
Red y mascara de wildcard: Es la red por la que queremos hablar eigrp, esto
significa que si ponemos una ip cualquiera y una mscara de wilcard
0.0.0.0(equivalente a red /32) solo hablaremos por esa intefaz. En cambio si ponemos
0.0.0.0 255.255.255.255(equivalente 0.0.0.0/0) hablaramos EIGRP por todas las
intefaces del router. A m me gusta usar siempre 0.0.0.0 como wildcard porque me
gusta controlar completamente porque interfaz hablo routing
Ejemplo:
Mismo mapa que para OSPF, as se pueden comparar.
R1:
conf t
interface Loopback1
ip address 1.1.1.1 255.255.255.255
ip address 192.168.12.1 255.255.255.0
no shut
ip address 192.168.13.1 255.255.255.0
no shut
router eigrp 33
network 1.1.1.1 0.0.0.0
net 192.168.12.1 0.0.0.0
net 192.168.13.1 0.0.0.0
end
R2:
conf t
interface Loopback0
ip address 2.2.2.2 255.255.255.255
no shut
ip address 192.168.12.2 255.255.255.0
no shut
ip address 192.168.24.2 255.255.255.0
no shut
ip address 192.168.23.2 255.255.255.0
no shut
router eigrp 33
network 2.2.2.2 0.0.0.0
network 192.168.12.2 0.0.0.0
network 192.168.23.2 0.0.0.0
network 192.168.24.2 0.0.0.0
end
R3:
conf t
interface Loopback0
ip address 3.3.3.3 255.255.255.255
no shut
ip address 192.168.23.3 255.255.255.0
no shut
ip address 192.168.34.3 255.255.255.0
no shut
ip address 192.168.13.3 255.255.255.0
no shut
router eigrp 33
network 3.3.3.3 0.0.0.0
network 192.168.13.3 0.0.0.0
network 192.168.23.3 0.0.0.0

network 192.168.34.3 0.0.0.0
end
R4:
conf t
interface Loopback0
ip address 4.4.4.4 255.255.255.255
no shut
ip address 192.168.24.4 255.255.255.0
no shut
ip address 192.168.34.4 255.255.255.0
no shut
router eigrp 33
network 4.4.4.4 0.0.0.0
network 192.168.24.4 0.0.0.0
network 192.168.34.4 0.0.0.0
Vecinos:
Al igual que en OSPF en EIGRP tambin nos hacemos vecinos de los routers que nos
rodean, e intercambiamos informacin.
R1#show ip eigrp neighbors
IP-EIGRP neighbors for process 33
H Address
Interface
Hold Uptime SRTT RTO Q Seq
(sec)
(ms)
Cnt Num
1 192.168.13.3
Fa0/1
11 00:01:45 63 378 0 15
0 192.168.12.2
Fa0/0
14 00:02:00 70 420 0 20
Se puede ver que R1 tiene dos vecinos, que son R2 y R3.

Tabla de rutas de R1:
La tabla de rutas de R1 en este caso es muy muy parecida, solo que en este caso
aparece una D delante de las rutas para indicar que es EIGRP, y en este caso la
distancia administrativa es 90, que es inferior a la de OSPF, por tanto a igualdad de
rutas siempre elijo EIGRP.
R1#show ip route
C
C
C
D
D
D
D
D
D

1.1.1.1 is directly connected, Loopback1
2.2.2.2 [90/156160] via 192.168.12.2, 00:01:02, FastEthernet0/0
192.168.24.0/24 [90/30720] via 192.168.12.2, 00:19:29, FastEthernet0/0
Probando conectividad:
!!!!!
OSPF v3 OSPF para IPV6

Uno de los pasos para que realmente se pudiera migrar hacia IPV6 era el adaptar los
protocolos de routing para funcionar en IPV6, y de eso nace OSPFv3, que simplemente
es OSPF para IPV6.
Los conceptos de estado de enlace, la base de datos de OSPF, los neighbor, y dems
todo sigue igual. Simplemente lo que se hace es adaptarse a que es IPV6.
Configuracin:
Lo primero va a ser habilitar routing para ipv6 en el router, porque sin va a ser
complicada la cosa. ;-)
Ipv6 unicast-routing
Luego ya configuramos OSPF con su respectivo router-id.

Ipv6 router ospf <numero_proceso>
Router-id <IP_de_IPV4>
Si, ha ledo usted bien, se le pone un router ID con una ip de IPV4. Por qu? Pies
porque las IP de IPV6 son feas de narices, y para que se distinga bien un router de otro
pues le ponemos un router id de IPV4.
Interface fast0/0
Ipv6 ospf area <numero_area>
Esta manera de configurar OSPF tambin se puede hacer con IPV4, pero me lo haba
reservado :).
Ejemplo:
Ejemplo con la misma topologa que en el artculo de OSPF para IPV4:
R1:
interface Loopback1
ipv6 ospf 6 area 0
!
ipv6 address 2020:12::1/64

ipv6 ospf 6 area 0
!
ipv6 address 2020:13::1/64
ipv6 ospf 6 area 0
!
ipv6 router ospf 6
router-id 1.1.1.1
R2:
interface Loopback1
ipv6 ospf 6 area 0
!
ipv6 address 2020:12::2/64
ipv6 ospf 6 area 0
!
ipv6 address 2020:24::2/64
ipv6 ospf 6 area 0
!
ipv6 address 2020:23::2/64
ipv6 ospf 6 area 0
!
ipv6 router ospf 6
router-id 2.2.2.2
R3:
interface Loopback1
ipv6 ospf 6 area 0
!
ipv6 address 2020:23::3/64
ipv6 ospf 6 area 0
!
ipv6 address 2020:34::3/64
ipv6 ospf 6 area 0
!
ipv6 address 2020:13::3/64
ipv6 ospf 6 area 0
!
ipv6 router ospf 6
router-id 3.3.3.3
R4:
interface Loopback1
ipv6 ospf 6 area 0
!
ipv6 address 2020:24::4/64
ipv6 ospf 6 area 0
!
ipv6 address 2020:34::4/64
ipv6 ospf 6 area 0
!
ipv6 router ospf 6
router-id 4.4.4.4
Un ping para probar:
R1#ping 4444::4 source loop 1
!!
EIGRP para IPV6

EIGRP para IPV6 utiliza los mismos conceptos aplicados para EIGRP para IPV4, esos
conceptos tericos que deberas haberte estudiado, ruta de sucesor, sucesor factible
etc.
En este artculo nos vamos a meter a configurar EIGRP para IPV6, y lo vamos a
verificar.
Configuracin:
Al igual que en OSPFv3 hay que poner un router id, y ese router id debe de ser una ip
de ipv4, lo que permitir que sea facil identificar cada router.
Ipv6 unicast-routing
Ipv6 router eigrp <numero_sistema_autnomo>
Router-id <IP_de_IPV4>
Adems EIGRP para IPV6 debe de configurarse a nivel de interfaz.

interface <las que sean>
ipv6 eigrp <numero_sistema_autnomo>
Ejemplo:
Partiendo de la misma topologa que para el ejemplo de OSPFv3 vamos a hacer un
ejemplo con EIGRP para IPV6.
R1:
interface Loopback1
ipv6 eigrp 33
!
ipv6 address 2020:12::1/64
ipv6 eigrp 33
!
ipv6 address 2020:13::1/64
ipv6 eigrp 33
!
ipv6 router eigrp 33
router-id 1.1.1.1
R2:
interface Loopback1
ipv6 eigrp 33
!
ipv6 address 2020:12::2/64
ipv6 eigrp 33
!
ipv6 address 2020:24::2/64

ipv6 eigrp 33
!
ipv6 address 2020:23::2/64
ipv6 eigrp 33
!
router-id 2.2.2.2
R3:
interface Loopback1
ipv6 eigrp 33
!
ipv6 address 2020:23::3/64
ipv6 eigrp 33
!
ipv6 address 2020:34::3/64
ipv6 eigrp 33
!
ipv6 address 2020:13::3/64
ipv6 eigrp 33
!
router-id 3.3.3.3
R4:
interface Loopback1
ipv6 eigrp 33
!
ipv6 address 2020:24::4/64
ipv6 eigrp 33
!
ipv6 address 2020:34::4/64
ipv6 eigrp 33
!
router-id 4.4.4.4
Un ping para probar:
R1#ping 4444::4 source loop 1

!!!!!
Tuneles GRE
Este artculo forma parte de una serie de varios artculos que tratan los distintos tipos
de routing en IPV4 e IPV6 para CCNA R&S, para ir al ndice del curso tienes este link:
http://networkkings-es.blogspot.com.es/2013/07/curso-gratuito-ccna-200-120.html
Tuneles GRE:
Hace ya mas de un ao que puliqu varios artculos sobre tuneles GRE, pero en
estaocasin voy a tomar como base mi primer artculo sobre tuneles GRE, y adaptarlo
un poco.
Tuneles GRE BASICO
Tuneles GRE multipunto (AVANZADO)
Tuneles GRE multipunto ejemplo(AVANZADO)
Recursividad en tuneles GRE
Los tneles GRE son una herramienta todoterreno que te puede echar una mano para
prcticamente todo, permitiendote saltarte limitaciones de protocolos y tecnologas
mltiples y diversas.
El hecho de ser una herramienta tan flexible, que te saca de tantos apuros, hace que el
95% de las veces se hagan "chapuzas" con ellos. Antes de explicar un poco los tneles
GRE mi recomendacin es, que salvo para circunstancias muy excepcionales intentes
evitar los tneles GRE ya que prcticamente siempre va a haber una alternativa mejor
diseada, mas limpia, mejor optimizada, y con un troubleshooting mas sencillo.
Que es un tunel GRE?
GRE significa Generic Routing Encapsulation, es una encapsulacin para tuneles, por
defecto no lleva encriptacin, es facil de implementar, funciona bajo IPV4 pero se
puede usar direccionamiento de IPV4 e IPV6, y lo mas importante que permite
establecer routing dinmico a traves del tunel.
En el fondo resumiendo un poco, lo que hace un tunel GRE es simplemente crear una
interfaz virtual entre los dos extremos del tunel, cuando se envan paquetes hacia el
otro lado del tunel estos paquetes dentro del tunel tendrn como destino la direccin ip
que corresponda, pero para llegar al otro extremo se tendrn que enviar paquetes con
destino el otro extremo del tunel. Esto en realidad es tunelizar el trfico ya que da cara
a la red es algo transparente.
Como se configura?
router(config)#interface tunnel X
router(config-if)# tunnel source ( ip | interface )
router(config-if)# tunnel destination ( destination_ip )
router(config-if)#ip address x.x.x.x y.y.y.y
router(config-if)# ipv6 address ( ipv6_address ) ( ipv6_mask )
Como funcionan ?
Es un protocolo que funciona a nivel 4 y admite una MTU mxima de 1475 bytes, por
tanto si prevees que sobre el tunel tiene que fluir trfico que no admita fragmentacin,
y que tenga mas de 1475 bytes lo mejor es ir olvidandose. El que avisa no es traidor.
Ejemplo con routing dinmico:
R4:
interface Loopback1
ip address 4.4.4.4 255.255.255.255
!
interface Loopback2
ip address 1.2.3.4 255.255.255.255
!
interface Tunnel1
ip address 10.0.0.1 255.255.255.252
tunnel source Loopback1
tunnel destination 6.6.6.6
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
half-duplex
!
router eigrp 100
network 1.2.3.4 0.0.0.0
network 10.0.0.1 0.0.0.0
auto-summary
!
router rip
version 2
network 4.0.0.0
network 192.168.1.0!
R5:
ip address 192.168.1.2 255.255.255.0
half-duplex
!
ip address 192.168.2.1 255.255.255.0
half-duplex
router rip
version 2
network 192.168.1.0
network 192.168.2.0
R6:
ip address 192.168.2.2 255.255.255.0
half-duplex
interface Loopback1
ip address 6.6.6.6 255.255.255.255
!
interface Loopback2
ip address 4.3.2.1 255.255.255.255

!
interface Tunnel1
ip address 10.0.0.2 255.255.255.252
tunnel source Loopback1
tunnel destination 4.4.4.4
router eigrp 100
network 4.3.2.1 0.0.0.0
network 10.0.0.2 0.0.0.0
no auto-summary
!
router rip
version 2
network 6.0.0.0
network 192.168.2.0
En este mismo ejemplo si se enviase un tracert desde la loopback 1 a la loopback 1 del
otro extremo veramos que hay un solo salto, ya que el router intermedio no est
viendo pasar el trfico de loopback a loopbak, el router intermedio solo ve pasar trfico
perteneciente a un tunel, y lo que haya dentro del tunel no le interesa.
HSRP
Este artculo forma parte de una serie de varios artculos que tratan los
distintos metodos de alta disponibilidad de gateway para CCNA R&S, para ir al ndice
del curso tienes este link:
HSRP:
Hace mas de un ao escrib un artculo sobre HSRP en el que comentaba que HSRP es
un procolo bsico que cualquier administrador de red debera conocer bien, y que me
gustara que fuera includo en CCNA, bueno, pues parece que al final alguien pens lo
mismo que yo :) .
http://networkkings-es.blogspot.com/2012/07/hsrp-alta-disponibilidad-nivel-de.html
Este artculo es un artculo un poco adaptado a CCNA de mi artculo anterior.
HSRP es un protocolo que permite tener una ip virtual a parte de la real, y esa ip virtual
la tendr activa un router en un segmento de red, no es posible que est activa en
ambos. Si el router activo pierde conectividad con el pasivo, el router pasivo
inmediatamente pasar a tener activa la direccin ip virtual.
El requisito obviamente es que ambos routers estn en la misma lan, y tengan
conectividad entre ellos por esa vlan, .
Configuracin:
Dentro de una interfaz, ya sea fsica, vlan o lo que te de la gana:
standby <ngrupo> ip <ip_virtual> <---- se pueden configurar varios grupos en la
misma vlan por si quieres tener varias icvirtuales
standby <ngrupo> priority <prioridad 0-250> <---la mayor prioridad gana
standby <ngrupo> preempt <---sirve para que si un router con prioridad mayor se
haga automticamente activo aunque ya haya uno activo, si no esta activo esperara
hasta que el activo deje de responder
standby <ngrupo> authentication md5 key-string <PASSWORD>
Resulta conveniente poner password porque si alguien pincha a tu red un equipo con
linux y un programa para HSRP sera posible hacer un ataque de Man In The Middle,
que por cierto me lo voy a apuntar para otro articulillo mas adelante porque es fcil y
divertido de hacer.
Un ejemplo:
Activo:
interface Vlan2
ip address 192.168.1.11 255.255.255.0
standby 2 ip 192.168.1.1
standby 2 priority 200
standby 2 preempt
standby 2 authentication md5 key-string GoMiNoLa
Standby:
interface Vlan2
ip address 192.168.1.22 255.255.255.0
standby 2 ip 192.168.1.1
standby 2 preempt
standby 2 authentication md5 key-string GoMiNoLa
Comprobamos el estado desde el activo:

R1#show standby brief
P indicates configured to preempt.
|
Interface Grp Prio P State Active Standby Virtual IP
Vl2 2 200 P Active local 192.168.1.22 192.168.1.1
Nosotros somos los activos, y el stanby es el 192.168.1.22
Ahora vamos a lanzar un ping desde uno de los routers de abajo, y vamos a
incomunicar el activo, y pasado unos segundos lo vamos a poner en juego.
R3#ping 192.168.1.1 repeat 1000

.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!..!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<---los dos paquetes fallidos
cuando falla el activo
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!<---otro paquete fallido cuando
vuelve a ponerse activo
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Aqu podemos ver lo que se ve en el servidor cuando tiramos la interfaz y volvemos a
levantarla.
R1(config-if)#shut
R1(config-if)#
*Mar 1 03:09:26.791: %HSRP-5-STATECHANGE: Vlan2 Grp 2 state Active -> Init
*Mar 1 03:09:28.799: %LINK-5-CHANGED: Interface Vlan2, changed state to
administratively down
*Mar 1 03:09:29.799: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2,
changed state to downno shut
R1(config-if)#
*Mar 1 03:09:38.407: %LINK-3-UPDOWN: Interface Vlan2, changed state to up
*Mar 1 03:09:38.827: %HSRP-5-STATECHANGE: Vlan2 Grp 2 state Listen -> Active
*Mar 1 03:09:39.407: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2,
changed state to up
Adems hay que aadir, que hay un comando bastante prctico que es el comando
track, el cual permite, que si se cae otra interfaz nuestra prioridad de HSRP se
decremente, es algo que se hace para cuando se cae un uplink en un switch de
distribucin, automticamente el otro se ponga activo.
R1(config-if)#standby 2 track fastEthernet 0/0 120
Este comando lo que hara es que cuando se caiga la interfaz fa0/0 la prioridad de hsrp
para este grupo, en esta ip, y en este router, se decremente en 120, que en el caso del
ejemplo pasara a tener 80.

Por ltimo, y muy importante, HSRP es un protocolo propietario de Cisco, por tanto
para routers de otro fabricante tendrs que usar otro protocolo como VRRP.
GLBP
Este artculo forma parte de una serie de varios artculos que tratan los distintos
metodos de alta disponibilidad de gateway para CCNA R&S, para ir al ndice del curso
tienes este link:
GLBP:
Al igual que con HSRP hace algo mas de un ao que escrib un artculo sobre GLBP.
Como ahora esto ha entrado a formar parte de CCNA, he modificado un poco el
artculo, y lo incluyo para CCNA.
http://networkkings-es.blogspot.com/2012/07/glbp-balanceo-de-carga-y-redundancia-de.html
GLBP es un protocolo que permite alta disponibilidad de gateway igual que HSRP, pero
que adems permite hacer balanceo de carga del trfico entre varios de routers que
haran de gateway con la misma IP.
GLBP tampoco es que sea un protocolo con una tecnologa especialmente novedosa,
realmente lo nico que hace es, que uno de los routers llamado AVG(Active Virtual
Gateway) se encarga de responder a todas las peticiones de ARP de todo el mundo en
esa vlan para la ip virtual, pero responde a cada cliente con la direccin MAC diferente
cada vez, que corresponder a la de los routers que forman parte del grupo de GLBP, lo
que se llama AVF(Active Virtual Forwarders).
Pongo un ejemplo que tambin deja muy claro como se configura:
Ejemplo:
Router 1 (AVG):
interface Vlan2
ip address 192.168.1.11 255.255.255.0
glbp 2 ip 192.168.1.1
glbp 2 priority 200 <--- es la prioridad del AVG, luego se balancea el trfico
glbp 2 preempt
glbp 2 authentication md5 key-string GoMiNoLa
end
Router 2 (Standby AVG):
interface Vlan2
ip address 192.168.1.22 255.255.255.0
glbp 2 ip 192.168.1.1
glbp 2 priority 100
glbp 2 preempt
glbp 2 authentication md5 key-string GoMiNoLa
end
Tambin tiene opciones para elegir como balancear el trfico, se puede elegir tambin
que algunos equipos reciban mas trfico que otros...etc.
Access list standard:
Este artculo forma parte de una serie de varios artculos que tratan distintas
tecnologas de seguridad en routers y switches para CCNA R&S, para ir al ndice del
curso tienes este link:
Access list standard:
Las access list o ACL son un mecanismo que permite controlar el trfico que entra o
sale por una interfaz. Su funcionamiento es algo bastante sencillo, simplemente se
crea una lista con el trfico que se quiere permitir dejar pasar, y con el trfico que no
se quiere dejar pasar.
Las access list se leen secuencialmente, y cuando un paquete cumple con una linea de
una access list, la access list no se sigue leyendo para ese paquete, por ello es
extremadamente importante el orden en el que se meten las entradas en una access
list, as como asignar nmeros de secuencia correctamente en las ACL.
Las access list solo hacen match con el trfico que pasa por el router, pero no van a
aplicar al trfico generado desde el propio router, esto significa que si haces un ping
desde un router ese trfico no va a matchear en ninguna ACL del mismo router, pero
podr matchear en una ACL de cualquier otro router.
Todas las ACL por defecto llevan implcitamente aplicada una condicin que deniega
todo el trfico en la ltima linea, esto no hace falta que lo configuremos, simplemente
todas las ACL llevan implcito un DENY a todo el trfico en la ltima linea.
Crear una ACL standard:
R(config)#access-list <numero_ACL> <permit/deny> <red_origen>

<wildcard_origen>
<numero_ACL>: Por narices las ACL standar tienen nmeros en el rango 1-99, aunque
hay un rango extendido entre el 1300 y el 1999 por si las moscas que tambin se
puede usar.
<permit/deny>: Si queremos dejar pasar ese trfico, o si queremos no dejarlo pasar.
<red_origen>: La red de origen de los paquetes que van a atravesar la interfaz.
<wildcard_origen>: La wildcard que aplicamos.
Usando el mismo nmero de access list podemos aadir todas las lineas que queramos
a una access list, teniendo en cuenta las reglas de las ACL que hemos comentado
antes.
Ver una access list:
show ip access-list <numero_ACL>
Rack1R1#show ip access-list 33
Standard IP access list 33
10 permit 192.168.1.1
20 permit 192.168.2.1
30 deny 192.168.1.0, wildcard bits 0.0.0.255
Lo que aparece delante de cada permit o deny es el nmero de secuencia, y el router

siempre va a leer y ordenar las ACL en base al nmero de secuencia hasta que haga
match, y luego no seguir leyendo.
Modificar una access list:
Hay dos maneras de modificar una access list, la primera es borrar la access list, e
introducir la access list con las lineas que queramos, y la otra es un poco mas fina, pero
un poco mas entretenida.
R(config)#ip access-list standard <numero_ACL>

R(config-std-nacl)#<Numero_secuencia> <deny/permit> <red_origen>
<wildcard_origen>
Si quisieramos eliminar una linea en una ACL tan solo tendramos que hacer:
R(config)#ip access-list standard <numero_ACL>

R(config-std-nacl)#no <Numero_secuencia>
Aplicar una ACL:

Las ACL no permiten o deniegan el trfico alegremente, las ACL se aplican a interfaces,
puedes aplicar una misma ACL a todas las interfaces que quieras de un router, pero
solo se puede aplicar una ACL a cada interfaz, una para input y otra para output.
R#configure terminal
R(config)#int <interfaz>
Rack8R1(config-if)#ip access-group <numero_ACL> <in/out>
<in/out>: Simplemente desde el punto de vista del router y mirando a la interfaz si la

ACL aplica a los paquetes que entran al router por esa interfaz(in) o si salen por esa
interfaz(out).
Ejemplo:
Creamos una ACL con cuatro entradas.
access-list 33 permit 192.168.1.1

access-list 33 permit 192.168.2.1
access-list 33 deny 192.168.1.0 0.0.0.255
access-list 33 permit any
Visualizamos la ACL:
Rack1R1#show ip access-list 33
10 permit 192.168.1.1
20 permit 192.168.2.1
Modificamos la ACL:
Rack1R1(config)#ip access-list standard 33

Rack1R1(config-std-nacl)#25 permit 192.168.1.0 0.0.0.255
Volvemos a ver la ACL:
Rack1R1#show ip access-lists 33
10 permit 192.168.1.1
20 permit 192.168.2.1
25 permit 192.168.1.0, wildcard bits 0.0.0.255

40 permit any
Aplicamos la ACL a una interfaz:
Rack1R1(config)#int e0/0
Rack1R1(config-if)#ip access-group 33 in
Por esa interfaz estaramos permitiendo que entrase trfico proveniente de las ip
192.168.1.1, 192.168.2.1 , de las 192.168.1.0 a 192.168.1.127, pero denegndolo a las
192.168.1.128-192.168.1.255, y permitindolo a todas las dems.
Access list extendidas:
Access list extendidas:

Se aplica todo lo que hemos visto para las listas de acceso standard, pero si antes
tenamos unas ACL que filtraban el trfico en base a la IP de origen de los paquetes
ahora fitramos en base a:
IP/red_origen
IP/red_destino
Protocolo(TCP/UDP/ICMP...)
Puerto origen
Puerto destino
Como os podis imaginar, con las ACLextendidas si se puede filtrar dignamente, en

realidad las ACL standard son utilizadas para otros propsitos, aunque en un origen
eran para filtrar trfico.
Configuracin:
access-list <100-199> permit <protocolo> <red_origen> <wildcard_origen>
<eq/lt/gt> <puerto_origen> <red_destino> <wildcard_destino> <eq/lt/gt>
<puerto_destino>
Es la misma idea que con las ACL estandar, pero se usa la numeracin del 100 al 199, y
tenemos que poner el orgen y el destino de los paquetes. Aqu tambin podemos filtrar
a nivel de puerto, tanto de origen como de destino.
<eq/lt/gt>: Eq significa que el puerto sea igual a, y un numero de puerto. Lt significa
que el puerto sea menor a, y gt significa que el nmero de puerto sea mayor que.
Modificar ACL extendida:
R(config)#ip access-list extended<numero_ACL>

R(config-std-nacl)#<Numero_secuencia> <deny/permit> <red_origen>
<wildcard_origen> <puerto> <red_destino> <wildcard_destino>
Protocolos soportados:
ahp
eigrp
esp
gre
icmp
Authentication Header Protocol

Cisco's EIGRP routing protocol
Encapsulation Security Payload
Cisco's GRE tunneling
Internet Control Message Protocol
igmp
ip
ipinip
nos
ospf
pcp
pim
tcp
udp
Internet Gateway Message Protocol

Any Internet Protocol
IP in IP tunneling
KA9Q NOS compatible IP over IP tunneling
OSPF routing protocol
Payload Compression Protocol
Protocol Independent Multicast
Transmission Control Protocol
User Datagram Protocol
El funcionamiento por lo dems es el mismo que el de las ACL standard.
Ejemplo:
access-list 101 permit tcp host 192.168.1.1 host 80.80.80.80 eq 23

access-list 101 permit tcp host 192.168.2.1 host 80.80.80.80 eq 23
Rack1R2(config)#do show ip access 101

Extended IP access list 101
10 permit tcp host 192.168.1.1 host 80.80.80.80 eq telnet
20 permit tcp host 192.168.2.1 host 80.80.80.80 eq telnet
Acceso telnet a un router
Acceso telnet
Habilitar el aceso a un router por medio de telnet es una de esas cosas sencillas que
deberas saber hacer sin pensarlo. Cualquier equipo admite el acceso por medio de
telnet.
Lo primero que debes hacer es habilitar una contrasea para enable.
enable password<la_que_quieras>
line vty 0 4
login
password 0 <la_que_quieras> <---la contrasea que te pedir cuando te conectes por
telnet
exit
<0 4> esto permite habilitar 5 usuarios concurrentes por telnet en el router, si pones 0
6 pues tendrs 7 usuarios concurrentes.
Ver quien esta conectado al router:

Yo estoy por consola, y adems me he conectado desde otro router por telnet.
Router#show users
Line
User
Host(s)
* 0 con 0
idle
130 vty 0
idle
Idle
Location
00:00:00
00:00:14 192.168.1.1
Si, desde la ip 192.168.1.1.
Echar al que est conectado por telnet:
clear line 130
Y cuando nos hechan vemos lo suguiente.

Router#
[Connection to 192.168.1.2 closed by foreign host]
Enviar un mensaje a un usuario conectado al router:
Router#send 130
Enter message, end with CTRL/Z; abort with CTRL/C:
Sal de mi maldito router!!!
^Z
Send message? [confirm]
El otro usuario ve lo siguiente:

Router#
***
***
*** Message from tty0 to tty130:
***
Sal de mi maldito router!!!
Router#
Acceso por SSH router cisco
SSH:
Esta es una de esas cosas sencillas, pero muy tiles a la hora de configurar un router.
Habilitar SSH en un router lo que permite es que si alguien est esnifando tu red, no
consiga usuarios y contraseas de acceso a equipos de comunicaciones.
Configuracin
aaa new-model <----- Para que pida usuario y contrasea

username networkkings password piruleta
line vty 0 4
transport imput ssh
login local <----usa los usuarios definidos localmente( si tienes tacacs omitelo)
exit
crypto key generate rsa 1024 <----crea la clave con la que se va a encriptar la
conexin.
Si se te olvida el ltimo paso el router no permitir el acceso por telnet, ya que no ser
capaz de generar una conexin encriptada.
1024 es una clave normalita, pero permite el uso de ssh 1 y ssh 2, pero si vas a usar
ssh2 seguro puedes poner claves RSA mas gorditas.
Nota mental, si en ese router sustituyes la supervisora porque se fastidie, no vale tan
solo con copiarle la configuracin, tambin hay que generar la clave rsa de nuevo, o si
la creaste exportable, pues volversela a cargar.
Por ltimo aadir que no todas las IOS permiten SSH :) , por lo que antes de intentar
hacer nada es mejor que compruebes el cisco feature navigator, que es una web que
permite comprobar que cosas estn habilitadas en cada imagen de IOS.
Cisco feature navigator
Securizar acceso telnet o ssh con una ACL
ACL para SSH o Telnet:

Crear una ACL que filtre desde que ips se pueden conectar a un router por ssh o por
telnet es muy facil.
Lo primero es crear una acl permitiendo las ips que queremos que se puedan conectar
al router.
Router(config)#access-list 11 permit 192.168.1.0 0.0.0.255
Una vez nos hemos creado la access list nos metemos dentro de line vty, y usamos el
comando access-class, que establecer una acl para las conexiones de telnet o SSH.
Router(config)#line vty 0 4
Router(config-line)#access-class 11 in
Como se puede ver es algo muy sencillo, y que debera estar configurado en cualquier
router.
Interfaces Serial con HDLC
tecnologas WAN en routers y switches para CCNA R&S, para ir al ndice del curso
tienes este link:
Interfaces Serial con HDLC:

Las interfaces serial son un tipo de interfaces WAN, que permiten conectar extremos
remotos a gran distancia, y que ademstienen una velocidad de conexin
relativamente baja.
En una conexin serial uno de los extremos deber actuar como DTE, y el otro extremo
actuar como DCE.
El DCE es el equipo que establecer la velocidad de reloj, lo que significar a que
velocidad se puede transmitir en esa linea.
En cambio el otro extremo no hay que configurar reloj alguno.
Configuracin del reloj en el DCE:
R(config)#int s0/0
R(config-if)#clock rate <velocidad_reloj>
Las velocidades de reloj permitidas dependern del tipo de hardware de tu interfaz,

pues hay seriales que permiten mayores velocidades que otros.
R(config-if)#clock rate ?
With the exception of the following standard values not subject to rounding,
1200 2400 4800 9600 14400 19200 28800 38400

56000 64000 128000 2015232
accepted clockrates will be bestfitted (rounded) to the nearest value
supportable by the hardware.
<246-8064000>
DCE clock rate (bits per second)
Por defecto el tipo de encapsulacin a nivel 2 permitida por las interfaces Serial es
HDLC, HDLC es un tipo de encapsulacin para las interfaces punto a punto, viene por
defecto pero para configurarla:
R1(config-if)#encapsulation hdlc
Como las interfaces serial con HDLC son punto a punto lo lgico a la hora de configurar
una red entre dos serial suele ser configurar interfaces con mascaras /30.
Ejemplo:
DTE(R1):
interface Serial0/0
ip address 192.168.1.1 255.255.255.252
DCE(R2):
interface Serial0/0
ip address 192.168.1.2 255.255.255.252
clock rate 56000
Verificacin:
R1#ping 192.168.1.2
!!!!!
R1#show int s0/0 | i HDLC

Encapsulation HDLC, crc 16, loopback not set
PPP y PPP PAP
tienes este link:
PPP
Point to Point Protcol es un protocolo de nivel 2, como puede ser HDLC, que permite
transmitir, encriptar y autenticar comunicaciones. Se puede usar en interfaces Serial,
as como en otro tipos de interfaces. Este procolo adems es un estandar, es utilizado

tambin por otros fabricantes de equipos de telecomunicaciones, as como a nivel de
servidores tambin se usa en servidores Microsoft.
Configuracin:
Configurar ppp sin autenticacin es muy sencillo, tan solo es elegir el tipo de
encapsulacin, pero en lugar de elegir hdlc, elegimos ppp.
R(config)#int s0/0
R(config-if)#encapsulation ppp
Cabe destacar, que independientemente de si quieres usar ppp o hdlc, en ambos

extremos debes configurar la misma encapsulacin, de lo contrario veras que tienes la
interfaz UP, pero el line protocol se queda en Down.
R(config-if)#do show ip int brief
Interface IP-Address OK? Method Status Protocol

Serial0/0 192.168.1.2 YES manual
up
down
Autenticacin:
El principal motivo para usar PPP es la posibilidad de incluir autenticacin a nivel 2.
Para ello tenemos dos protocolos que corren sobre PPP, PAP y CHAP, en este artculo se
explicar como se configura y funciona PAP.

PPP PAP:
PAP es un protocolo de dos vas que enva las password en texto plano, esto significa
que si alguien esnifa la comunicacin justo cuando se inicia con un tcpdump o lo que
sea, va a poder ver nuestras claves, por tanto es una buena cagada.
Configuracin de PAP:
username <usuario> password <contrasea>
Este usuario es el usuario que queremos que nos enve el otro router
int serial x/x

encapsulation ppp
ppp authentication pap
ppp pap sent-username <usuario_que_enviamos> password <password_que_enviamos>
Ejemplo:
Con un ejemplo seguro que se ve mas rpido.
R1:
username R2 password 0 buenosdias
interface Serial0/0
ip address 192.168.1.1 255.255.255.252
encapsulation ppp
ppp pap sent-username R1 password 0 buenastardes
R2:
username R1 password 0 buenastardes
interface Serial0/0
ip address 192.168.1.2 255.255.255.252
encapsulation ppp
clock rate 56000
ppp pap sent-username R2 password 0 buenosdias
Y al terminar deberas poder hacer ping.
R2#ping 192.168.1.1
!!!!!
R2#ping 192.168.1.2
!!!!!
PPP CHAP
tienes este link:
PPP CHAP:
CHAP es un protocolo de tres vas utilizado con PPP que adems encripta las password
antes de enviarlas por la red, por tanto alguien con un tcpdump no va a poder sacar las
password a la ligera como suceda con PAP, y en el mundo real se utiliza bastante mas
que PAP.
Configuracin CHAP:
username <usuario_remoto> password <contrasea_comun>
Este usuario es el usuario que queremos que nos enve el otro router.
interface Serialx/x
ppp authentication chap
ppp chap hostname <usuario>

ppp chap password <contrasea_comun>
Hostname es el usuario que vamos a enviar, y la password debe de ser comn a ambos
para que funcione.
Ejemplo
Como siempre, con un ejemplo se ve todo mucho mas facil.
R1:

interface Serial0/0
ip address 192.168.1.1 255.255.255.0
encapsulation ppp
ppp chap hostname R1
ppp chap password 0 buenastardes
R2:
interface Serial0/0
ip address 192.168.1.2 255.255.255.252

encapsulation ppp
clock rate 56000
ppp chap hostname R2
ppp chap password 0 buenastardes
end
Comandos relacionados:
debug ppp authentication

Si todo va bien deberas tener un output parecido a este al hacer un debug ppp
authen, si hay algo que est mal configurado con este debug deberas poder verlo
perfectamente
*Mar 2 03:45:49.001: Se0/0 PPP: Authorization required
*Mar 2 03:45:49.029: Se0/0 CHAP: O CHALLENGE id 127 len 23 from "R2"
*Mar 2 03:45:49.029: Se0/0 CHAP: I CHALLENGE id 23 len 23 from "R1"
*Mar 2 03:45:49.029: Se0/0 CHAP: Using hostname from interface CHAP
*Mar 2 03:45:49.029: Se0/0 CHAP: Using password from AAA
*Mar 2 03:45:49.029: Se0/0 CHAP: O RESPONSE id 23 len 23 from "R2"
*Mar 2 03:45:49.033: Se0/0 CHAP: I RESPONSE id 127 len 23 from "R1"
*Mar 2 03:45:49.037: Se0/0 PPP: Sent CHAP LOGIN Request
*Mar 2 03:45:49.037: Se0/0 PPP: Received LOGIN Response PASS
*Mar 2 03:45:49.037: Se0/0 PPP: Sent LCP AUTHOR Request
*Mar 2 03:45:49.037: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 2 03:45:49.041: Se0/0 CHAP: I SUCCESS id 23 len 4
*Mar 2 03:45:49.041: Se0/0 LCP: Received AAA AUTHOR Response PASS
*Mar 2 03:45:49.041: Se0/0 IPCP: Received AAA AUTHOR Response PASS
*Mar 2 03:45:49.045: Se0/0 CHAP: O SUCCESS id 127 len 4
*Mar 2 03:45:49.045: Se0/0 PPP: Sent CDPCP AUTHOR Request
*Mar 2 03:45:49.049: Se0/0 CDPCP: Received AAA AUTHOR Response PASS
*Mar 2 03:45:49.057: Se0/0 PPP: Sent IPCP AUTHOR Request
*Mar 2 03:45:50.045: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed
state to up

Ccna 200-120

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Ccna 200-120

Caricato da

Copyright:

Formati disponibili

Indice:

Tecnologas de nivel 2(Switching):

Fundamentos de Spanning tree

Redundancia a nivel 2( Spanning Tree):

Estados de Spanning tree:

Per Vlan Spanning Tree(PVST)

De manera lgica tenemos dos topologas, la de la VLAN1, y la de la VLAN2, en realidad

Rack1SW1(config)#spanning-tree vlan X priority <Numero mltiplo de 4096>

Rack1SW1(config)#spanning-tree vlan X root primary

Rack8SW1#show spanning-tree vlan 1

Bridge ID Priority 4097 (priority 4096 sys-id-ext 1)<----La prioridad de root

Interface Role Sts Cost Prio.Nbr Type

Rapid Spanning Tree 802.1w(RSTP)

Estados de puertos en RSTP

Roles de los puertos en RSTP

Designated(Forwarding): Lo mismo que en PVST tambin, son puertos que NO

Rack1SW1(config)#spanning-tree vlan X priority <Numero mltiplo de 4096>

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Desde el punto de vista de spanning tree:

Como saber si los puertos ya forman parte de mi portchannel:

Ejemplo grfico muy sencillo:

Rack1SW1#sh etherchannel summ

Rack1SW1#show spanning-tree vlan 1

Role Sts Cost

Rack1SW2#show spanning-tree vlan 1

DTP: Dynamic Trunking protocol

Ejercicio tecnologas layer 2

artculo con las soluciones y como aplicarlas.

un cliente con un puerto en la vlan 1, y otro en la vlan 2 .

Dada la siguiente topologa fsica de switches se requiere lo siguiente:

Conceptos bsicos de routing en IOS

Routing esttico parte 1

Supongamos la siguiente topologa en la que R1 quiere alcanzar R3 y viceversa, pero

192.168.1.0/24 is directly connected, FastEthernet0/0

192.168.3.0/24 is directly connected, FastEthernet0/1

192.168.1.0/24 is directly connected, FastEthernet0/0

Type escape sequence to abort.

Configuracin de una ruta esttica:

Y vamos a ver la tabla de routing:

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

192.168.1.0/24 is directly connected, FastEthernet0/0

Routing esttico parte 2

En el artculo anterior vimos la necesidad de rutas estticas, como se configuraban, y

R4(config)#ip route 1.1.1.1 255.255.255.255 192.168.2.2

Type escape sequence to abort.

Success rate is 100 percent (5/5), round-trip min/avg/max = 44/56/68 ms

Gateway of last resort is not set

C 2.2.2.2 is directly connected, Loopback0

S 4.4.4.4 [1/0] via 192.168.1.2

C 192.168.2.0/24 is directly connected, FastEthernet0/0

Haciendo ping desde R1 para probar todo:

Sending 5, 100-byte ICMP Echos to 192.168.3.3, timeout is 2 seconds:

Tabla de rutas en R5:

Routing entre Vlanes con SVI:

Tabla de rutas de R5:

Conceptos bsicos de routing para IPV6

Tipos de direcciones de IPV6:

Reglas bsicas de routing para IPV6:

Configuracin de routing para IPV6:

R1#show ipv6 int brief

FE80::CE00:1EFF:FE14:0? Pues la link local Address :-)

Routing Esttico IPV6