Paso 5 Trabajo Colaborativo 3 CNNA2 Unad

DIPLOMADO DE PROFUNDIZACIÓN CISCO
(DISEÑO E IMPLEMENTACIÓN DE SOLUCIONES INTEGRADAS LAN / WAN)
Paso 5. Actividad colaborativa 3
Presentado por:
LUIS GUILLERMO PINZÓN PORRAS
CRISTHIAN ENRIQUE CABALLERO
CAMILO ERNESTO NIÑO
JORDDI YESID SUAREZ
JHONATAN FLOREZ OBANDO
Grupo: 203092_15
Tutor
Ing. GERARDO GRANADOS ACUÑA
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Abril de 2018
INTRODUCCION
Este trabajo colaborativo de este diplomado busca profundizar en temáticas importantes y que
serán la base para el desarrollo de los trabajos siguientes y del fortalecimiento de nuestras
competencias cognitivas futuras como ingenieros y arquitectos de soluciones en el área de redes
informáticas especialmente usando tecnologías de punta como CISCO.
Actualmente está en auge una serie de nuevas tecnologías que hacen la vida del hombre más
fácil en muchos aspectos, dichas tecnologías son Internet de las cosas, Sistemas Ciber físicos,
Cloud Computing, Machine to Machine, entre otros.
Estas tecnologías están fundamentadas en redes informáticas por esto es fundamental como
profesionales conocer la historia y evolución de estas redes distinguir los estándares y las
organizaciones que se encargan de su desarrollo y cuáles de estos tienen vigencia en las redes
actuales.
La mejor forma de poder comprender cuál es el funcionamiento de una red informática es a
través de la practica creando modelos que se ajusten a la realidad, para tal fin este curso nos
provee de una poderosa herramienta como lo es cisco packet tracert la cual nos da la
oportunidad de experimentar con los diferentes tipos de dispositivos, medios de transmisión tipos
de redes, protocolos, etc.

DESARROLLO DE ACTIVIDADES
Numero EJERCICIOS RESPONSABLE

1 2.1.1.6 Lab - Configuring Basic Switch Settings LUIS GUILLERMO PINZON
2.2.4.9 Packet Tracer - Configuring Switch Port
2 Security Instructions - IG LUIS GUILLERMO PINZON
3 2.2.4.11 Lab - Configuring Switch Security Features LUIS GUILLERMO PINZON
3.2.1.7 Packet Tracer - Configuring VLANs Instructions
4 IG LUIS GUILLERMO PINZON
3.2.2.4 Packet Tracer - Configuring Trunks Instructions
5 IG CAMILO NINO
6 3.2.2.5 Lab - Configuring VLANs and Trunking CAMILO NINO
7 3.3.2.2 Lab - Implementing VLAN Security CAMILO NINO
4.1.4.6 Lab - Configuring Basic Router Settings with
8 IOS CLI CAMILO NINO
4.1.4.7 Lab - Configuring Basic Router Settings with
9 CCP JORDDI SUAREZ
5.1.3.6 Packet Tracer - Configuring Router-on-a-Stick
10 Inter-VLAN Routing Instructions IG JORDDI SUAREZ
5.1.3.7 Lab - Configuring 802.1Q Trunk-Based Inter-
11 VLAN Routing JORDDI SUAREZ
6.2.2.5 Lab - Configuring IPv4 Static and Default
12 Routes jhonatan florez
6.2.4.5 Lab - Configuring IPv6 Static and Default
13 Routes CRISTHIAN ENRIQUE
6.3.3.7 Lab - Designing and Implementing IPv4
14 Addressing with VLSM CRISTHIAN ENRIQUE
6.4.2.5 Lab - Calculating Summary Routes with IPv4
15 and IPv6 CRISTHIAN ENRIQUE
16 6.5.1.2 Packet Tracer - Layer 2 Security_Instructor jhonatan florez
6.5.1.3 Packet Tracer - Layer 2 VLAN
17 Security_Instructor jhonatan florez
2.1.1.6. Práctica de laboratorio: configuración de los parámetros
básicos de un switch
Topología
Tabla de direccionamiento
Máscara de Gateway
Dispositivo Interfaz Dirección IP subred predeterminado
S1 VLAN 99 192.168.1.2 255.255.255.0 192.168.1.1

PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1
Objetivos
Parte 1: tender el cableado de red y verificar la configuración predeterminada del switch
Parte 2: configurar los parámetros básicos de los dispositivos de red
• Configurar los parámetros básicos del switch.
• Configurar la dirección IP de la computadora.
Parte 3: verificar y probar la conectividad de red
• Mostrar la configuración del dispositivo.
• Probar la conectividad de extremo a extremo con ping.
• Probar las capacidades de administración remota con Telnet.
• Guardar el archivo de configuración en ejecución del switch.
Parte 4: administrar la tabla de direcciones MAC
• Registrar la dirección MAC del host.
• Determine las direcciones MAC que el switch ha aprendido.
• Enumere las opciones del comando show mac address-table.
• Configure una dirección MAC estática.
Información básica/situación
Los switches Cisco se pueden configurar con una dirección IP especial, conocida como “interfaz virtual de
switch” (SVI). La SVI o dirección de administración se puede usar para el acceso remoto al switch a fin de ver
o configurar parámetros. Si se asigna una dirección IP a la SVI de la VLAN 1, de manera predeterminada,
todos los puertos en la VLAN 1 tienen acceso a la dirección IP de administración de SVI.
© 2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 15
Práctica de laboratorio: configuración de los parámetros básicos de un switch
En esta práctica de laboratorio, armará una topología simple mediante cableado LAN Ethernet y accederá a
un switch Cisco utilizando los métodos de acceso de consola y remoto. Examinará la configuración
predeterminada del switch antes de configurar los parámetros básicos del switch. Esta configuración básica
del switch incluye el nombre del dispositivo, la descripción de interfaces, las contraseñas locales, el mensaje
del día (MOTD), el direccionamiento IP, la configuración de una dirección MAC estática y la demostración del
uso de una dirección IP de administración para la administración remota del switch. La topología consta de
un switch y un host que solo usa puertos Ethernet y de consola.
Nota: el switch que se utiliza es Cisco Catalyst 2960 con IOS de Cisco versión 15.0(2) (imagen lanbasek9).
Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de
Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en
las prácticas de laboratorio.
Nota: asegúrese de que el switch se haya borrado y no tenga una configuración de inicio. Consulte el
apéndice A para conocer los procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios
• 1 switch (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o comparable)
• 1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term, y
capacidad para Telnet)
• Cable de consola para configurar el dispositivo con IOS de Cisco mediante el puerto de consola
• Cable Ethernet, como se muestra en la topología
Parte 1. tender el cableado de red y verificar la configuración

predeterminada del switch
En la parte 1, establecerá la topología de la red y verificará la configuración predeterminada del switch.
Paso 1. realizar el cableado de red tal como se muestra en la topología.

a. Realice el cableado de la conexión de consola tal como se muestra en la topología. En esta instancia, no
conecte el cable Ethernet de la PC-A.
Nota: si utiliza Netlab, puede desactivar F0/6 en el S1, lo que tiene el mismo efecto que no conectar la
PC-A al S1.
b. Con Tera Term u otro programa de emulación de terminal, cree una conexión de consola de la PC-A al
switch.
¿Por qué debe usar una conexión de consola para configurar inicialmente el switch? ¿Por qué no es
posible conectarse al switch a través de Telnet o SSH?
Rta:/ Esto es porque no se ha configurado ninguno de estos puertos para poder acceder remotamente.
Paso 2. Verificar la configuración predeterminada del switch.

En este paso, examinará la configuración predeterminada del switch, como la configuración actual del switch,
la información de IOS, las propiedades de las interfaces, la información de la VLAN y la memoria flash.
Puede acceder a todos los comandos IOS del switch en el modo EXEC privilegiado. Se debe restringir el
acceso al modo EXEC privilegiado con protección con contraseña para evitar el uso no autorizado, dado que
proporciona acceso directo al modo de configuración global y a los comandos que se usan para configurar
los parámetros de funcionamiento. Establecerá las contraseñas más adelante en esta práctica de laboratorio.
El conjunto de comandos del modo EXEC privilegiado incluye los comandos del modo EXEC del usuario y el
comando configure, a través del cual se obtiene acceso a los modos de comando restantes. Use el
comando enable para ingresar al modo EXEC privilegiado.
a. Si se parte de la suposición de que el switch no tenía ningún archivo de configuración almacenado en la

memoria de acceso aleatorio no volátil (NVRAM), usted estará en la petición de entrada del modo EXEC
del usuario en el switch, con la petición de entrada Switch>. Use el comando enable para ingresar al
modo EXEC privilegiado.
Switch> enable
Switch#
Observe que el indicador cambia en la configuración para reflejar el modo EXEC privilegiado.
Verifique que el archivo de configuración esté limpio con el comando show running-config del modo
EXEC privilegiado. Si se guardó un archivo de configuración anteriormente, se debe eliminar. Según cuál
sea el modelo del switch y la versión del IOS, la configuración podría variar. Sin embargo, no debería
haber contraseñas ni direcciones IP configuradas. Si su switch no tiene una configuración
predeterminada, borre y recargue el switch.
Nota: en el apéndice A, se detallan los pasos para inicializar y volver a cargar los dispositivos.
b. Examine el archivo de configuración activa actual.
Switch# show running-config
¿Cuántas interfaces FastEthernet tiene un switch 2960? ____24__
¿Cuántas interfaces Gigabit Ethernet tiene un switch 2960? ___2____
¿Cuál es el rango de valores que se muestra para las líneas vty? ____0-4 y 5-15_
c. Examine el archivo de configuración de inicio en la NVRAM.
Switch# show startup-config
startup-config is not present
¿Por qué aparece este mensaje? Porque aún no se ha configurado

d. Examine las características de la SVI para la VLAN 1.
Switch# show interface vlan1
¿Hay alguna dirección IP asignada a la VLAN 1? ___No___
¿Cuál es la dirección MAC de esta SVI? Las respuestas varían. 0001.6420.3b09
¿Está activa esta interfaz?
Esta administrativamente apagada
e. Examine las propiedades IP de la VLAN 1 SVI.
Switch# show ip interface vlan1
¿Qué resultado ve?
Vlan1 is administratively down, line protocol is down
Internet protocol processing disabled
f. Conecte el cable Ethernet de la PC-A al puerto 6 en el switch y examine las propiedades IP de la VLAN 1 SVI.
Aguarde un momento para que el switch y la computadora negocien los parámetros de dúplex y velocidad.
Nota: si utiliza Netlab, habilite la interfaz F0/6 en el S1.
Switch# show ip interface vlan1
¿Qué resultado ve?
Vlan1 is administratively down, line protocol is down
Internet protocol processing disabled
g. Examine la información de la versión del IOS de Cisco del switch.

Switch# show version
¿Cuál es la versión del IOS de Cisco que está ejecutando el switch?
Version 12.2(25)FX
¿Cuál es el nombre del archivo de imagen del sistema?
C2960-LANBASE-M
¿Cuál es la dirección MAC base de este switch? Las respuestas varían.
0001.6420.3B09
h. Examine las propiedades predeterminadas de la interfaz FastEthernet que usa la PC-A.
Switch# show interface f0/6
¿La interfaz está activa o desactivada?
Activa
¿Qué haría que una interfaz se active?
Detecta automáticamente que hay una conexión proveniente de la PC
¿Cuál es la dirección MAC de la interfaz?
000b.bed0.e206
¿Cuál es la configuración de velocidad y de dúplex de la interfaz? 100 Mb/s
i. Examine la configuración VLAN predeterminada del switch.
Switch# show vlan
¿Cuál es el nombre predeterminado de la VLAN 1? default
¿Qué puertos hay en esta VLAN? Todos los puertos del switch, 24 Fastethertnet y 2 gigabitethernet
¿La VLAN 1 está activa? SI
¿Qué tipo de VLAN es la VLAN predeterminada? enet
j. Examine la memoria flash.
Ejecute uno de los siguientes comandos para examinar el contenido del directorio flash.
Switch# show flash
Switch# dir flash:
Los archivos poseen una extensión, tal como .bin, al final del nombre del archivo. Los directorios no
tienen una extensión de archivo.
¿Cuál es el nombre de archivo de la imagen de IOS de Cisco?
c2960-lanbase-mz.122-25.FX.bin
Parte 2. configurar los parámetros básicos de los dispositivos de red

En la parte 2, configurará los parámetros básicos para el switch y la computadora.
Paso 1. configurar los parámetros básicos del switch, incluidos el nombre de host, las
contraseñas locales, el mensaje MOTD, la dirección de administración y el acceso por
Telnet.
En este paso, configurará la computadora y los parámetros básicos del switch, como el nombre de host y la
dirección IP para la SVI de administración del switch. La asignación de una dirección IP en el switch es solo
el primer paso. Como administrador de red, debe especificar cómo se administra el switch. Telnet y SSH son
los dos métodos de administración que más se usan. No obstante, Telnet no es un protocolo seguro. Toda la
información que fluye entre los dos dispositivos se envía como texto no cifrado. Las contraseñas y otra
información confidencial pueden ser fáciles de ver si se las captura mediante un programa detector de
paquetes.
a. Si se parte de la suposición de que el switch no tenía ningún archivo de configuración almacenado en la
NVRAM, verifique que usted esté en el modo EXEC privilegiado. Introduzca el comando enable si la
petición de entrada volvió a cambiar a Switch>.
Switch> enable
Switch#
b. Ingrese al modo de configuración global.
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
La petición de entrada volvió a cambiar para reflejar el modo de configuración global.

c. Asigne el nombre de host del switch.
Switch(config)# hostname S1
S1(config)#
d. Configurar la encriptación de contraseñas.
S1(config)# service password-encryption
S1(config)#
e. Asigne class como contraseña secreta para el acceso al modo EXEC privilegiado.
S1(config)# enable secret class
S1(config)#
f. Evite las búsquedas de DNS no deseadas.
S1(config)# no ip domain-lookup
S1(config)#
g. Configure un mensaje MOTD.
S1(config)# banner motd #
Enter Text message. End with the character ‘#’.
#
h. Para verificar la configuración de acceso, alterne entre los modos.
S1(config)# exit
S1#
*Mar 1 00:19:19.490: %SYS-5-CONFIG_I: Configured from console by console

S1# exit
S1 con0 is now available
Press RETURN to get started.
Unauthorized access is strictly prohibited.

S1>
¿Qué teclas de método abreviado se usan para ir directamente del modo de configuración global al
modo EXEC privilegiado? ___ex___
i. Vuelva al modo EXEC privilegiado desde el modo EXEC del usuario. Introduzca la contraseña class
cuando se le solicite hacerlo.
S1> enable
Password:
S1#
Nota: cuando se introduce la contraseña, esta no se muestra.
j. Ingrese al modo de configuración global para establecer la dirección IP de la SVI del switch. Esto permite
la administración remota del switch.
Antes de poder administrar el S1 en forma remota desde la PC-A, debe asignar una dirección IP al
switch. El switch está configurado de manera predeterminada para que la administración de este se
realice a través de VLAN 1. Sin embargo, la práctica recomendada para la configuración básica del
switch es cambiar la VLAN de administración a otra VLAN distinta de la VLAN 1.
Con fines de administración, utilice la VLAN 99. La selección de la VLAN 99 es arbitraria y de ninguna
manera implica que siempre deba usar la VLAN 99.
Primero, cree la nueva VLAN 99 en el switch. Luego, establezca la dirección IP del switch en 192.168.1.2
con la máscara de subred 255.255.255.0 en la interfaz virtual interna VLAN 99.
S1# configure terminal
S1(config)# vlan 99
S1(config-vlan)# exit
S1(config)# interface vlan99
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to down
S1(config-if)# ip address 192.168.1.2 255.255.255.0
S1(config-if)# no shutdown
S1(config-if)# exit
S1(config)#
Observe que la interfaz VLAN 99 está en estado down, aunque haya introducido el comando no
shutdown. Actualmente, la interfaz se encuentra en estado down debido a que no se asignaron puertos
del switch a la VLAN 99.
k. Asigne todos los puertos de usuario a VLAN 99.
S1(config)# interface range f0/1 – 24,g0/1 - 2
S1(config-if-range)# switchport access vlan 99
S1(config-if-range)# exit
S1(config)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan99, changed state to up
Para establecer la conectividad entre el host y el switch, los puertos que usa el host deben estar en la
misma VLAN que el switch. Observe que, en el resultado de arriba, la interfaz VLAN 1 queda en estado
down porque no se asignó ninguno de los puertos a la VLAN 1. Después de unos segundos, la VLAN 99
pasa al estado up porque ahora se le asigna al menos un puerto activo (F0/6 con la PC-A conectada).
l. Emita el comando show vlan brief para verificar que todos los puertos de usuario estén en la VLAN 99.
S1# show vlan brief
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 default active
99 VLAN0099 active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
m. Configure el gateway IP predeterminado para el S1. Si no se estableció ningún gateway predeterminado,

no se puede administrar el switch desde una red remota que esté a más de un router de distancia. Sí
responde a los pings de una red remota. Aunque esta actividad no incluye un gateway IP externo, se
debe tener en cuenta que finalmente conectará la LAN a un router para tener acceso externo.
Suponiendo que la interfaz LAN en el router es 192.168.1.1, establezca el gateway predeterminado para
el switch.
S1(config)# ip default-gateway 192.168.1.1
S1(config)#
n. También se debe restringir el acceso del puerto de consola. La configuración predeterminada permite
todas las conexiones de consola sin necesidad de introducir una contraseña. Para evitar que los
mensajes de consola interrumpan los comandos, use la opción logging synchronous.
S1(config)# line con 0
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# logging synchronous
S1(config-line)# exit
S1(config)#
o. Configure las líneas de terminal virtual (vty) para que el switch permita el acceso por Telnet. Si no
configura una contraseña de vty, no puede acceder al switch mediante telnet.
S1(config)# line vty 0 15
S1(config-line)# password cisco
S1(config-line)# login
S1(config-line)# end
S1#
*Mar 1 00:06:11.590: %SYS-5-CONFIG_I: Configured from console by console
¿Por qué se requiere el comando login?
_Para que solicite la contraseña la tratar de ingresar al modo
Paso 2. configurar una dirección IP en la PC-A.

Asigne a la computadora la dirección IP y la máscara de subred que se muestran en la tabla de
direccionamiento. Aquí se describe una versión abreviada del procedimiento. Para esta topología, no se
requiere ningún gateway predeterminado; sin embargo, puede introducir 192.168.1.1 para simular un router
conectado al S1.
1) Haga clic en el ícono Inicio de Windows > Panel de control.
2) Haga clic en Ver por: y elija Íconos pequeños.
3) Selecciones Centro de redes y recursos compartidos > Cambiar configuración del adaptador.
4) Seleccione Conexión de área local, haga clic con el botón secundario y elija Propiedades.
5) Seleccione Protocolo de Internet versión 4 (TCP/IPv4) > Propiedades.
6) Haga clic en el botón de opción Usar la siguiente dirección IP e introduzca la dirección IP y la
máscara de subred.
Parte 3. verificar y probar la conectividad de red

En la parte 3, verificará y registrará la configuración del switch, probará la conectividad de extremo a extremo
entre la PC-A y el S1, y probará la capacidad de administración remota del switch.
Paso 1. mostrar la configuración del switch.

Desde la conexión de consola en la PC-A, muestre y verifique la configuración del switch. El comando show
run muestra la configuración en ejecución completa, de a una página por vez. Utilice la barra espaciadora
para avanzar por las páginas.
a. Aquí se muestra un ejemplo de configuración. Los parámetros que configuró están resaltados en
amarillo. Las demás son opciones de configuración predeterminadas del IOS.
S1# show run
Building configuration...
Current configuration : 2206 bytes

!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname S1
!
boot-start-marker
boot-end-marker
!
enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa new-model
system mtu routing 1500
!
!
no ip domain-lookup
!
<output omitted>
!
interface FastEthernet0/24
switchport access vlan 99
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan99
ip address 192.168.1.2 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip http server
ip http secure-server
!
banner motd ^C
Unauthorized access is strictly prohibited. ^C
!
line con 0
password 7 104D000A0618
logging synchronous
login
line vty 0 4
password 7 14141B180F0B
login
line vty 5 15
password 7 14141B180F0B
login
!
end
S1#
b. Verifique la configuración de la VLAN 99 de administración.

S1# show interface vlan 99
Vlan99 is up, line protocol is up
Hardware is EtherSVI, address is 0cd9.96e2.3d41 (bia 0cd9.96e2.3d41)

Internet address is 192.168.1.2/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:06, output 00:08:45, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
175 packets input, 22989 bytes, 0 no buffer
Received 0 broadcasts (0 IP multicast)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
1 packets output, 64 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
¿Cuál es el ancho de banda en esta interfaz? 1000000 kbits___
¿Cuál es el estado de la VLAN 99? ___Up______
¿Cuál es el estado del protocolo de línea? Up____
Paso 2. probar la conectividad de extremo a extremo con ping.
a. En el símbolo del sistema de la PC-A, haga ping a la dirección de la propia PC-A primero.
C:\Users\User1> ping 192.168.1.10
b. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración de SVI del S1.
C:\Users\User1> ping 192.168.1.2
Debido a que la PC-A debe resolver la dirección MAC del S1 mediante ARP, es posible que se agote el
tiempo de espera del primer paquete. Si los resultados del ping siguen siendo incorrectos, resuelva los
problemas de configuración de los parámetros básicos del dispositivo. Revise el cableado físico y el
direccionamiento lógico, si es necesario.
Paso 3. probar y verificar la administración remota del S1.

Ahora utilizará Telnet para acceder al switch en forma remota. En esta práctica de laboratorio, la PC-A y el
S1 se encuentran uno junto al otro. En una red de producción, el switch podría estar en un armario de
cableado en el piso superior, mientras que la computadora de administración podría estar ubicada en la
planta baja. En este paso, utilizará Telnet para acceder al switch S1 en forma remota mediante la dirección
de administración de SVI. Telnet no es un protocolo seguro; sin embargo, lo usará para probar el acceso
remoto. Con Telnet, toda la información, incluidos los comandos y las contraseñas, se envía durante la
sesión como texto no cifrado. En las prácticas de laboratorio posteriores, usará SSH para acceder a los
dispositivos de red en forma remota.
Nota: si utiliza Windows 7, es posible que el administrador deba habilitar el protocolo Telnet. Para instalar el
cliente de Telnet, abra una ventana cmd y escriba pkgmgr /iu:“TelnetClient”. A continuación, se muestra un
ejemplo.
C:\Users\User1> pkgmgr /iu:”TelnetClient”
a. Con la ventana cmd abierta en la PC-A, emita un comando de Telnet para conectarse al S1 a través de
la dirección de administración de SVI. La contraseña es cisco.
C:\Users\User1> telnet 192.168.1.2
b. Después de introducir la contraseña cisco, quedará en la petición de entrada del modo EXEC del
usuario. Acceda al modo EXEC privilegiado.
c. Escriba exit para finalizar la sesión de Telnet.
Paso 4. guardar el archivo de configuración en ejecución del switch.

Guarde la configuración.
S1# copy running-config startup-config
Destination filename [startup-config]? [Enter]
[OK]
S1#
Parte 4. Administrar la tabla de direcciones MAC

En la parte 4, determinará la dirección MAC que detectó el switch, configurará una dirección MAC estática en
una interfaz del switch y, a continuación, eliminará la dirección MAC estática de esa interfaz.
Paso 1. registrar la dirección MAC del host.

En el símbolo del sistema de la PC-A, emita el comando ipconfig /all para determinar y registrar las
direcciones (físicas) de capa 2 de la NIC de la computadora.
00D0.BA1D.89B3 ________________________________
Paso 2. Determine las direcciones MAC que el switch ha aprendido.

Muestre las direcciones MAC con el comando show mac address-table.
S1# show mac address-table
¿Cuántas direcciones dinámicas hay? _____1____
¿Cuántas direcciones MAC hay en total? ___1_____
¿La dirección MAC dinámica coincide con la dirección MAC de la PC-A? _____Si__
Paso 3. enumerar las opciones del comando show mac address-table.

a. Muestre las opciones de la tabla de direcciones MAC.
S1# show mac address-table ?
¿Cuántas opciones se encuentran disponibles para el comando show mac address-table?
_____4 incluyento <cr>__________
b. Emita el comando show mac address-table dynamic para mostrar solo las direcciones MAC que se
detectaron dinámicamente.
S1# show mac address-table dynamic
¿Cuántas direcciones dinámicas hay? _____1_______
c. Vea la entrada de la dirección MAC para la PC-A. El formato de dirección MAC para el comando es
00d0.ba1d.89b3.
S1# show mac address-table address <PC-A MAC here>
Paso 4. Configure una dirección MAC estática.

a. limpie la tabla de direcciones MAC.
Para eliminar las direcciones MAC existentes, use el comando clear mac address-table del modo EXEC
privilegiado.
S1# clear mac address-table dynamic
b. Verifique que la tabla de direcciones MAC se haya eliminado.
¿Cuántas direcciones MAC estáticas hay?
___Ninguna______________________________________________________________________
¿Cuántas direcciones dinámicas hay?
___ Ninguna __________________________________________________________________
c. Examine nuevamente la tabla de direcciones MAC

Es muy probable que una aplicación en ejecución en la computadora ya haya enviado una trama por la
NIC hacia el S1. Observe nuevamente la tabla de direcciones MAC en el modo EXEC privilegiado para
ver si el S1 volvió a detectar la dirección MAC para la PC-A.
¿Cuántas direcciones dinámicas hay? ___1______
¿Por qué cambió esto desde la última visualización?
_____Porque el switch detecto la dirección Mac de la PC-A__________
Si el S1 aún no volvió a detectar la dirección MAC de la PC-A, haga ping a la dirección IP de la VLAN 99
del switch desde la PC-A y, a continuación, repita el comando show mac address-table.
d. Configure una dirección MAC estática.
Para especificar a qué puertos se puede conectar un host, una opción es crear una asignación estática
de la dirección MAC del host a un puerto.
Configure una dirección MAC estática en F0/6 con la dirección que se registró para la PC-A en la parte 4,
paso 1. La dirección MAC 0050.56BE.6C89 se usa solo como ejemplo. Debe usar la dirección MAC de
su PC-A, que es distinta de la del ejemplo.
S1(config)# mac address-table static 0050.56BE.6C89 vlan 99 interface
fastethernet 0/6
e. Verifique las entradas de la tabla de direcciones MAC.
¿Cuántas direcciones MAC hay en total? ____1______
¿Cuántas direcciones estáticas hay?
___Una________________________________________________________________________
____________________________________________________________________________________
f. Elimine la entrada de MAC estática. Ingrese al modo de configuración global y elimine el comando
escribiendo no delante de la cadena de comandos.
Nota: la dirección MAC 0050.56BE.6C89 se usa solo en el ejemplo. Use la dirección MAC de su PC-A.
S1(config)# no mac address-table static 0050.56BE.6C89 vlan 99 interface
fastethernet 0/6
g. Verifique que la dirección MAC estática se haya borrado.
¿Cuántas direcciones MAC estáticas hay en total? Ninguna_
Reflexión
1. ¿Por qué debe configurar las líneas vty para el switch?
_Para poder acceder al switch____________________________________________________________
2. ¿Para qué se debe cambiar la VLAN 1 predeterminada a un número de VLAN diferente?
_Se hace para cambiar la que viene configurada por defecto__________________________
3. ¿Cómo puede evitar que las contraseñas se envíen como texto no cifrado?
_Empleando el comando service password encryption_______________
4. ¿Para qué se debe configurar una dirección MAC estática en una interfaz de puerto?
Para evitar ingresos no autorizados__________
Apéndice A: inicialización y recarga de un router y un switch
Paso 1. inicializar y volver a cargar el router.

a. Acceda al router mediante el puerto de consola y habilite el modo EXEC privilegiado.
Router> enable
Router#
b. Introduzca el comando erase startup-config para eliminar la configuración de inicio de la NVRAM.
Router# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
Router#
c. Emita el comando reload para eliminar una configuración antigua de la memoria. Cuando reciba el
mensaje Proceed with reload?, presione Enter. (Si presiona cualquier otra tecla, se cancela la recarga).
Router# reload
Proceed with reload? [confirm]
*Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason:
Reload Command.
Nota: es posible que reciba una petición de entrada para guardar la configuración en ejecución antes de
volver a cargar el router. Responda escribiendo no y presione Enter.
System configuration has been modified. Save? [yes/no]: no
d. Una vez que se vuelve a cargar el router, se le solicita introducir el diálogo de configuración inicial.
Escriba no y presione Enter.
Would you like to enter the initial configuration dialog? [yes/no]: no
e. Aparece otra petición de entrada para finalizar la instalación automática. Responda escribiendo yes (sí) y
presione Enter.
Would you like to terminate autoinstall? [yes]: yes
Paso 2. inicializar y volver a cargar el switch.

a. Acceda al switch mediante el puerto de consola e ingrese al modo EXEC privilegiado.
Switch> enable
Switch#
b. Utilice el comando show flash para determinar si se crearon VLAN en el switch.
Switch# show flash
Directory of flash:/
2 -rwx 1919 Mar 1 1993 00:06:33 +00:00 private-config.text

3 -rwx 1632 Mar 1 1993 00:06:33 +00:00 config.text
4 -rwx 13336 Mar 1 1993 00:06:33 +00:00 multiple-fs
5 -rwx 11607161 Mar 1 1993 02:37:06 +00:00 c2960-lanbasek9-mz.150-2.SE.bin
6 -rwx 616 Mar 1 1993 00:07:13 +00:00 vlan.dat
32514048 bytes total (20886528 bytes free)

Switch#
c. Si se encontró el archivo vlan.dat en la memoria flash, elimínelo.

Switch# delete vlan.dat
Delete filename [vlan.dat]?
d. Se le solicitará que verifique el nombre de archivo. Si introdujo el nombre correctamente, presione Enter;
de lo contrario, puede cambiar el nombre de archivo.
e. Se le solicita que confirme la eliminación de este archivo. Presione Intro para confirmar.
Delete flash:/vlan.dat? [confirm]
Switch#
f. Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la

NVRAM. Se le solicita que elimine el archivo de configuración. Presione Intro para confirmar.
Switch# erase startup-config
[OK]
Switch#
g. Vuelva a cargar el switch para eliminar toda información de configuración antigua de la memoria. Luego,
recibirá una petición de entrada para confirmar la recarga del switch. Presione Enter para continuar.
Switch# reload
Nota: es posible que reciba un mensaje para guardar la configuración en ejecución antes de volver a
cargar el switch. Responda escribiendo no y presione Enter.
h. Una vez que se vuelve a cargar el switch, debe ver una petición de entrada del diálogo de configuración
inicial. Responda escribiendo no en la petición de entrada y presione Enter.
Switch>
2.2.4.9. Packet Tracer - Configuring Switch Port Security
Topology
Addressing Table
Device Interface IP Address Subnet Mask
S1 VLAN 1 10.10.10.2 255.255.255.0

PC1 NIC 10.10.10.10 255.255.255.0
PC2 NIC 10.10.10.11 255.255.255.0
Rogue Laptop NIC 10.10.10.12 255.255.255.0
Objective
Part 1: Configure Port Security
Part 2: Verify Port Security
Background
In this activity, you will configure and verify port security on a switch. Port security allows you to restrict a
port’s ingress traffic by limiting the MAC addresses that are allowed to send traffic into the port.
Part 1: Configure Port Security

a. Access the command line for S1 and enable port security on Fast Ethernet ports 0/1 and 0/2.
S1(config)# interface range fa0/1 - 2
S1(config-if-range)# switchport port-security
b. Set the maximum so that only one device can access the Fast Ethernet ports 0/1 and 0/2.
S1(config-if-range)# switchport port-security maximum 1
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Page 1 of 2
Packet Tracer - Configuring Switch Port Security
c. Secure the ports so that the MAC address of a device is dynamically learned and added to the running
configuration.
S1(config-if-range)# switchport port-security mac-address sticky
d. Set the violation so that the Fast Ethernet ports 0/1 and 0/2 are not disabled when a violation occurs, but
packets are dropped from an unknown source.
S1(config-if-range)# switchport port-security violation restrict
e. Disable all the remaining unused ports. Hint: Use the range keyword to apply this configuration to all the
ports simultaneously.
S1(config-if-range)# interface range fa0/3 - 24 , gi1/1 - 2
S1(config-if-range)# shutdown
Part 2: Verify Port Security

a. From PC1, ping PC2.
b. Verify port security is enabled and the MAC addresses of PC1 and PC2 were added to the running
configuration.
c. Attach Rogue Laptop to any unused switch port and notice that the link lights are red.
d. Enable the port and verify that Rogue Laptop can ping PC1 and PC2. After verification, shut down the
port connected to Rogue Laptop.
e. Disconnect PC2 and connect Rogue Laptop to PC2’s port. Verify that Rogue Laptop is unable to ping
PC1.
f. Display the port security violations for the port Rogue Laptop is connected to.
S1# show port-security interface fa0/2
g. Disconnect Rouge Laptop and reconnect PC2. Verify PC2 can ping PC1.
h. Why is PC2 able to ping PC1, but the Rouge Laptop is not? The port security that was enabled on the
port only allowed the device, whose MAC was learned first, access to the port while preventing all other
devices access.
CALIFICACION AUTOMATICA
2.2.4.11. Práctica de laboratorio: configuración de características
de seguridad de switch
Topología
Máscara de Gateway
R1 G0/1 172.16.99.1 255.255.255.0 N/A

S1 VLAN 99 172.16.99.11 255.255.255.0 172.16.99.1
PC-A NIC 172.16.99.3 255.255.255.0 172.16.99.1
Objetivos
Parte 1: establecer la topología e inicializar los dispositivos
Parte 2: configurar los parámetros básicos de los dispositivos y verificar la conectividad
Parte 3: configurar y verificar el acceso por SSH en el S1
• Configurar el acceso por SSH.
• Modificar los parámetros de SSH.
• Verificar la configuración de SSH.
Parte 4: configurar y verificar las características de seguridad en el S1
• Configurar y verificar las características de seguridad general.
• Configurar y verificar la seguridad del puerto.
Es muy común bloquear el acceso e instalar buenas características de seguridad en computadoras y
servidores. Es importante que los dispositivos de infraestructura de red, como los switches y routers, también
se configuren con características de seguridad.
En esta práctica de laboratorio, seguirá algunas de las prácticas recomendadas para configurar
características de seguridad en switches LAN. Solo permitirá las sesiones de SSH y de HTTPS seguras.
También configurará y verificará la seguridad de puertos para bloquear cualquier dispositivo con una
dirección MAC que el switch no reconozca.
Nota: el router que se utiliza en las prácticas de laboratorio de CCNA es un router de servicios integrados
(ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). El switch que se utiliza es Cisco
Catalyst 2960 con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros routers,
switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los comandos
disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las prácticas de
Práctica de laboratorio: configuración de características de seguridad de switch
laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta práctica de
laboratorio para obtener los identificadores de interfaz correctos.
Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
está seguro, solicite ayuda al instructor o consulte las prácticas de laboratorio anteriores para conocer los
procedimientos de inicialización y recarga de dispositivos.
Recursos necesarios
• 1 router (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
• 1 computadora (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
• Cables de consola para configurar los dispositivos con IOS de Cisco mediante los puertos de consola
• Cables Ethernet, como se muestra en la topología
Parte 1. establecer la topología e inicializar los dispositivos

En la parte 1, establecerá la topología de la red y borrará cualquier configuración, si fuera necesario.
Paso 2. inicializar y volver a cargar el router y el switch.

Si los archivos de configuración se guardaron previamente en el router y el switch, inicialice y vuelva a cargar
estos dispositivos con los parámetros básicos.
Parte 2. configurar los parámetros básicos de los dispositivos y verificar

la conectividad
En la parte 2, configure los parámetros básicos en el router, el switch y la computadora. Consulte la topología
y la tabla de direccionamiento incluidos al comienzo de esta práctica de laboratorio para conocer los nombres
de los dispositivos y obtener información de direcciones.
Paso 1. configurar una dirección IP en la PC-A.
Paso 2. configurar los parámetros básicos en el R1.

a. Configure el nombre del dispositivo.
b. Desactive la búsqueda del DNS.
c. Configure la dirección IP de interfaz que se muestra en la tabla de direccionamiento.

d. Asigne class como la contraseña del modo EXEC privilegiado.
e. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión.
f. Cifre las contraseñas de texto no cifrado.
g. Guarde la configuración en ejecución en la configuración de inicio.
Paso 3. configurar los parámetros básicos en el S1.

Una buena práctica de seguridad es asignar la dirección IP de administración del switch a una VLAN distinta
de la VLAN 1 (o cualquier otra VLAN de datos con usuarios finales). En este paso, creará la VLAN 99 en el
switch y le asignará una dirección IP.
a. Configure el nombre del dispositivo.
c. Asigne class como la contraseña del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de vty y la contraseña de consola, y luego habilite el inicio de sesión.
e. Configure un gateway predeterminado para el S1 con la dirección IP del R1.
g. Guarde la configuración en ejecución en la configuración de inicio.
h. Cree la VLAN 99 en el switch y asígnele el nombre Management.
S1(config)# vlan 99
S1(config-vlan)# name Management
S1(config)#
i. Configure la dirección IP de la interfaz de administración VLAN 99, tal como se muestra en la tabla de
direccionamiento, y habilite la interfaz.
S1(config)# interface vlan 99
S1(config-if)# end
S1#
j. Emita el comando show vlan en el S1. ¿Cuál es el estado de la VLAN 99? ____Active______
k. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo para la interfaz de
administración VLAN 99?
_____Estatus: up, Protocolo: down________________________________
¿Por qué el protocolo figura como down, a pesar de que usted emitió el comando no shutdown para la
interfaz VLAN 99?
____Porque no se le ha asignado ningún puerto___
l. Asigne los puertos F0/5 y F0/6 a la VLAN 99 en el switch.
S1# config t
S1(config)# interface f0/5
S1(config-if)# switchport mode access
S1(config-if)# switchport access vlan 99
S1(config-if)# interface f0/6
S1(config-if)# end
m. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado y el protocolo que se muestra
para la interfaz VLAN 99? ___Los dos están up_______________________
Nota: puede haber una demora mientras convergen los estados de los puertos.
Paso 4. verificar la conectividad entre los dispositivos.

a. En la PC-A, haga ping a la dirección de gateway predeterminado en el R1. ¿Los pings se realizaron
correctamente? ____Si__________
b. En la PC-A, haga ping a la dirección de administración del S1. ¿Los pings se realizaron correctamente?
Si
c. En el S1, haga ping a la dirección de gateway predeterminado en el R1. ¿Los pings se realizaron
correctamente? Si
d. En la PC-A, abra un navegador web y acceda a http://172.16.99.11. Si le solicita un nombre de usuario y

una contraseña, deje el nombre de usuario en blanco y utilice la contraseña class. Si le solicita una
conexión segura, conteste No. ¿Pudo acceder a la interfaz web en el S1? No
e. Cierre la sesión del explorador en la PC-A.
Nota: la interfaz web no segura (servidor HTTP) en un switch Cisco 2960 está habilitada de manera
predeterminada. Una medida de seguridad frecuente es deshabilitar este servicio, tal como se describe en la
parte 4.
Parte 3. configurar y verificar el acceso por SSH en el S1
Paso 1. configurar el acceso por SSH en el S1.

a. Habilite SSH en el S1. En el modo de configuración global, cree el nombre de dominio CCNA-Lab.com.
S1(config)# ip domain-name CCNA-Lab.com
b. Cree una entrada de base de datos de usuarios local para que se utilice al conectarse al switch a través
de SSH. El usuario debe tener acceso de nivel de administrador.
Nota: la contraseña que se utiliza aquí NO es una contraseña segura. Simplemente se usa a los efectos
de esta práctica de laboratorio.
S1(config)# username admin privilege 15 secret sshadmin
c. Configure la entrada de transporte para que las líneas vty permitan solo conexiones SSH y utilicen la
base de datos local para la autenticación.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit
d. Genere una clave criptográfica RSA con un módulo de 1024 bits.
S1(config)# crypto key generate rsa modulus 1024
The name for the keys will be: S1.CCNA-Lab.com
% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 3 seconds)
S1(config)#
S1(config)# end
e. Verifique la configuración de SSH y responda las siguientes preguntas.
S1# show ip ssh
¿Qué versión de SSH usa el switch? __1.99
¿Cuántos intentos de autenticación permite SSH? ___3____________________
¿Cuál es la configuración predeterminada de tiempo de espera para SSH? ____120 segundos__
Paso 2. modificar la configuración de SSH en el S1.

Modifique la configuración predeterminada de SSH.
S1# config t
S1(config)# ip ssh time-out 75

S1(config)# ip ssh authentication-retries 2
¿Cuántos intentos de autenticación permite SSH? ___2______
¿Cuál es la configuración de tiempo de espera para SSH? ___75_____
Paso 3. verificar la configuración de SSH en el S1.

a. Mediante un software de cliente SSH en la PC-A (como Tera Term), abra una conexión SSH en el S1. Si
recibe un mensaje en el cliente SSH con respecto a la clave de host, acéptela. Inicie sesión con el
nombre de usuario admin y la contraseña class.
¿La conexión se realizó correctamente? Si
¿Qué petición de entrada se mostró en el S1? ¿Por qué?
___#__Porque se accede directamente al modo EXC privilegiado, porque se supone que ese tipo de
entrada es para realizar configuraciones remotas
b. Escriba exit para finalizar la sesión de SSH en el S1.
Parte 4. configurar y verificar las características de seguridad en el S1

En la parte 4, desactivará los puertos sin utilizar, desactivará determinados servicios que se ejecutan en el
switch y configurará la seguridad de puertos según las direcciones MAC. Los switches pueden estar sujetos
a ataques de desbordamiento de la tabla de direcciones MAC, a ataques de suplantación de direcciones
MAC y a conexiones no autorizadas a los puertos del switch. Configurará la seguridad de puertos para limitar
la cantidad de direcciones MAC que se pueden detectar en un puerto del switch y para deshabilitar el puerto
si se supera ese número.
Paso 1. configurar las características de seguridad general en el S1.

a. Configure un aviso de mensaje del día (MOTD) en el S1 con un mensaje de advertencia de seguridad
adecuado.
b. Emita un comando show ip interface brief en el S1. ¿Qué puertos físicos están activos?
__F0/5 y F0/6________________________________________
c. Desactive todos los puertos sin utilizar en el switch. Use el comando interface range.
S1(config)# interface range f0/1 – 4
S1(config-if-range)# interface range f0/7 – 24
S1(config-if-range)# interface range g0/1 – 2
S1(config-if-range)# end
S1#
d. Emita el comando show ip interface brief en el S1. ¿Cuál es el estado de los puertos F0/1 a F0/4?
___ administratively down______________________
e. Emita el comando show ip http server status.
¿Cuál es el estado del servidor HTTP? En mi caso packet tracer no tiene el protocolo activado en los
switch, pero en un entorno de laboratorio real si estaría
¿Qué puerto del servidor utiliza? ______N/A en packet tracer_
¿Cuál es el estado del servidor seguro de HTTP? ___N/A packet tracer ________________________
¿Qué puerto del servidor seguro utiliza? ________ N/A packet tracer ______________
f. Las sesiones HTTP envían todo como texto no cifrado. Deshabilite el servicio HTTP que se ejecuta en el
S1.
S1(config)# no ip http server
g. En la PC-A, abra una sesión de navegador web a http://172.16.99.11. ¿Cuál fue el resultado?
_______________ N/A packet tracer _________________________________
h. En la PC-A, abra una sesión segura de navegador web en https://172.16.99.11. Acepte el certificado.
Inicie sesión sin nombre de usuario y con la contraseña class. ¿Cuál fue el resultado?
_______________ N/A packet tracer _______________________
i. Cierre la sesión web en la PC-A.
Paso 2. configurar y verificar la seguridad de puertos en el S1.

a. Registre la dirección MAC de G0/1 del R1. Desde la CLI del R1, use el comando show interface g0/1 y
registre la dirección MAC de la interfaz.
R1# show interface g0/1
GigabitEthernet0/1 is up, line protocol is up
Hardware is CN Gigabit Ethernet, address is 30f7.0da3.1821 (bia
3047.0da3.1821)
¿Cuál es la dirección MAC de la interfaz G0/1 del R1?
00d0.ffb6.c202 ______________________________________________
b. Desde la CLI del S1, emita un comando show mac address-table en el modo EXEC privilegiado.
Busque las entradas dinámicas de los puertos F0/5 y F0/6. Regístrelos a continuación.
Dirección MAC de F0/5: ___ 00d0.ffb6.c202 _______________________
Dirección MAC de F0/6: __ 0060.47a7.77e9 _______________________
c. Configure la seguridad básica de los puertos.

Nota: normalmente, este procedimiento se realizaría en todos los puertos de acceso en el switch. Aquí
se muestra F0/5 como ejemplo.
1) Desde la CLI del S1, ingrese al modo de configuración de interfaz para el puerto que se conecta al R1.
2) Desactive el puerto.
S1(config-if)# shutdown
3) Habilite la seguridad de puertos en F0/5.
S1(config-if)# switchport port-security
Nota: la introducción del comando switchport port-security establece la cantidad máxima de
direcciones MAC en 1 y la acción de violación en shutdown. Los comandos switchport port-security
maximum y switchport port-security violation se pueden usar para cambiar el comportamiento
predeterminado.
4) Configure una entrada estática para la dirección MAC de la interfaz G0/1 del R1 registrada en el paso
2a.
S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx
(xxxx.xxxx.xxxx es la dirección MAC real de la interfaz G0/1 del router)
Nota: de manera optativa, puede usar el comando switchport port-security mac-address
sticky para agregar todas las direcciones MAC seguras que se detectan dinámicamente en un puerto
(hasta el máximo establecido) a la configuración en ejecución del switch.
5) Habilite el puerto del switch.
S1(config-if)# end
d. Verifique la seguridad de puertos en F0/5 del S1 mediante la emisión de un comando show port-
security interface.
S1# show port-security interface f0/5
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
¿Cuál es el estado del puerto de F0/5?

___Secure-up____________________________________________
e. En el símbolo del sistema del R1, haga ping a la PC-A para verificar la conectividad.
R1# ping 172.16.99.3
f. Ahora violará la seguridad mediante el cambio de la dirección MAC en la interfaz del router. Ingrese al
modo de configuración de interfaz para G0/1 y desactívela.
R1# config t
R1(config)# interface g0/1
R1(config-if)# shutdown
g. Configure una nueva dirección MAC para la interfaz, con la dirección aaaa.bbbb.cccc.
R1(config-if)# mac-address aaaa.bbbb.cccc
h. De ser posible, tenga una conexión de consola abierta en el S1 al mismo tiempo que realiza este paso.
Verá que se muestran varios mensajes en la conexión de consola al S1 que indican una violación de
seguridad. Habilite la interfaz G0/1 en R1.
R1(config-if)# no shutdown
i. En el modo EXEC privilegiado del R1, haga ping a la PC-A. ¿El ping se realizó correctamente? ¿Por qué
o por qué no?
No se realizó porque el sistema de seguridad del switch no permitio la transmision
j. En el switch, verifique la seguridad de puertos con los comandos que se muestran a continuación.
S1# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/5 1 1 1 Shutdown
----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192
S1# show port-security interface f0/5

Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : aaaa.bbbb.cccc:99
Security Violation Count : 1
S1# show interface f0/5

FastEthernet0/5 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet, address is 0cd9.96e2.3d05 (bia 0cd9.96e2.3d05)
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
<output omitted>
S1# show port-security address

Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
99 30f7.0da3.1821 SecureConfigured Fa0/5 -
-----------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) :8192
k. En el router, desactive la interfaz G0/1, elimine la dirección MAC codificada de forma rígida del router y
vuelva a habilitar la interfaz G0/1.
R1(config-if)# shutdown
R1(config-if)# no mac-address aaaa.bbbb.cccc
R1(config-if)# end
l. Desde el R1, vuelva a hacer ping a la PC-A en 172.16.99.3. ¿El ping se realizó correctamente?
__No_______________
m. Emita el comando show interface f0/5 para determinar la causa de la falla del ping. Registre sus
conclusiones.
No se podrá establecer comunicación entre tanto no se apague y encienda la interfaz del router en el
switch, toda vez que esta configurado el modo de inhabilitación por errores
n. Borre el estado de inhabilitación por errores de F0/5 en el S1.
S1# config t
S1(config-if)# shutdown
Nota: puede haber una demora mientras convergen los estados de los puertos.
o. Emita el comando show interface f0/5 en el S1 para verificar que F0/5 ya no esté en estado de
inhabilitación por errores.
S1# show interface f0/5
FastEthernet0/5 is up, line protocol is up (connected)
Hardware is Fast Ethernet, address is 0023.5d59.9185 (bia 0023.5d59.9185)
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
p. En el símbolo del sistema del R1, vuelva a hacer ping a la PC-A. Debería realizarse correctamente.
Reflexión
1. ¿Por qué habilitaría la seguridad de puertos en un switch?
_Para evitar accesos no autorizados a la red y al dispositivo
2. ¿Por qué deben deshabilitarse los puertos no utilizados en un switch?
_Para evitar que cualquier persona no autorizada pretenda conectarse a algún puerto vacio para realizar
alguna configuración
3.2.1.7. Packet Tracer – Configuring VLANs
Topology
Addressing Table
Device Interface IP Address Subnet Mask VLAN
PC1 NIC 172.17.10.21 255.255.255.0 10

PC2 NIC 172.17.20.22 255.255.255.0 20
PC3 NIC 172.17.30.23 255.255.255.0 30
PC4 NIC 172.17.10.24 255.255.255.0 10
PC5 NIC 172.17.20.25 255.255.255.0 20
PC6 NIC 172.17.30.26 255.255.255.0 30
Objectives
Part 1: Verify the Default VLAN Configuration
Part 2: Configure VLANs
Part 3: Assign VLANs to Ports
Background
VLANs are helpful in the administration of logical groups, allowing members of a group to be easily moved,
changed, or added. This activity focuses on creating and naming VLANs, and assigning access ports to
specific VLANs.
Packet Tracer – Configuring VLANs
Part 1: View the Default VLAN Configuration

Step 1: Display the current VLANs.
On S1, issue the command that displays all VLANs configured. By default, all interfaces are assigned to
VLAN 1.
Step 2: Verify connectivity between PCs on the same network.

Notice that each PC can ping the other PC that shares the same network.
• PC1 can ping PC4
Pings to PCs in other networks fail.
What benefit will configuring VLANs provide to the current configuration? The primary benefits of using
VLANs are as follows: security, cost reduction, higher performance, broadcast storm mitigation, improved IT
staff efficiency, and simpler project and application management.
Part 2: Configure VLANs
Step 1: Create and name VLANs on S1.

Create the following VLANs. Names are case-sensitive:e
• VLAN 10: Faculty/Staff
• VLAN 20: Students
• VLAN 30: Guest(Default)
• VLAN 99: Management&Native
S1#(config)# vlan 10
S1#(config-vlan)# name Faculty/Staff
S1#(config-vlan)# vlan 20
S1#(config-vlan)# name Students
S1#(config-vlan)# name Guest(Default)
S1#(config-vlan)# name Management&Native
Step 2: Verify the VLAN configuration.

Which command will only display the VLAN name, status, and associated ports on a switch?
S1# show vlan brief
Step 3: Create the VLANs on S2 and S3.

Using the same commands from Step 1, create and name the same VLANs on S2 and S3.
Step 4: Verify the VLAN configuration.
Part 3: Assign VLANs to Ports

Step 1: Assign VLANs to the active ports on S2.
Assign the VLANs to the following ports:
• VLAN 10: Fast Ethernet 0/11
S2(config)# interface fa0/11
S2(config-if)# interface fa0/18
S2(config-if)# interface fa0/6
Step 2: Assign VLANs to the active ports on S3.

S3 uses the same VLAN access port assignments as S2.
Step 3: Verify loss of connectivity.

Previously, PCs that shared the same network could ping each other successfully. Try pinging between PC1
and PC4. Although the access ports are assigned to the appropriate VLANs, were the pings successful?
Why? No, the pings failed because the ports between the switches are in VLAN 1 and PC1 and PC4 are in
VLAN 10.
What could be done to resolve this issue? Configure the ports between the switches as trunk ports.
Packet Tracer – Configuring Trunks
Topology
Addressing Table
Device Interface IP Address Subnet Mask Switch Port VLAN
PC1 NIC 172.17.10.21 255.255.255.0 S2 F0/11 10

PC2 NIC 172.17.20.22 255.255.255.0 S2 F0/18 20
PC3 NIC 172.17.30.23 255.255.255.0 S2 F0/6 30
PC4 NIC 172.17.10.24 255.255.255.0 S3 F0/11 10
PC5 NIC 172.17.20.25 255.255.255.0 S3 F0/18 20
PC6 NIC 172.17.30.26 255.255.255.0 S3 F0/6 30
Objectives
Part 1: Verify VLANs
Part 2: Configure Trunks
Background
Trunks are required to pass VLAN information between switches. A port on a switch is either an access port
or a trunk port. Access ports carry traffic from a specific VLAN assigned to the port. A trunk port by default is a
member of all VLANs; therefore, it carries traffic for all VLANs. This activity focuses on creating trunk ports,
and assigning them to a native VLAN other than the default.
Part 1: Verify VLANs

Step 1: Display the current VLANs.
a. On S1, issue the command that will display all VLANs configured. There should be 9 VLANs in total.
Notice how all 26 ports on the switch are assigned to one port or another.
b. On S2 and S3, display and verify all the VLANs are configure and assigned to the correct switchports
according to the Addressing Table.
Step 2: Verify loss of connectivity between PCs on the same network.
Although PC1 and PC4 are on the same network, they cannot ping one another. This is because the ports
connecting the switches are assigned to VLAN 1 by default. In order to provide connectivity between the PCs
on the same network and VLAN, trunks must be configured.
Part 2: Configure Trunks
Step 1: Configure trunking on S1 and use VLAN 99 as the native VLAN.

a. Configure G1/1 and G1/2 interfaces on S1 for trunking.
S1(config)# interface range g1/1 - 2
S1(config-if)# switchport mode trunk
b. Configure VLAN 99 as the native VLAN for G1/1 and G1/2 interfaces on S1.
S1(config-if)# switchport trunk native vlan 99
The trunk port takes about a minute to become active due to Spanning Tree which you will learn in the
proceeding chapters. Click Fast Forward Time to speed the process. After the ports become active, you
will periodically receive the following syslog messages:
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/2
(99), with S3 GigabitEthernet1/2 (1).
%CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/1
(99), with S2 GigabitEthernet1/1 (1).
You configured VLAN 99 as the native VLAN on S1. However, the S2 and S3 are using VLAN 1 as the
default native VLAN as indicated by the syslog message.
Although you have a native VLAN mismatch, pings between PCs on the same VLAN are now successful.
Why? Pings are successful because trunking has been enabled on S1. Dynamic Trunking Protocol (DTP)
has automatically negotiated the other side of the trunk links. In this case, S2 and S3 have now
automatically configured the ports attached to S1 as trunking ports.
Step 2: Verify trunking is enabled on S2 and S3.

On S2 and S3, issue the show interface trunk command to confirm that DTP has successfully negotiated
trunking with S1 on S2 and S3. The output also displays information about the trunk interfaces on S2 and S3.
Which active VLANs are allowed to across the trunk? 1, 10, 20, 30, and 99.
Step 3: Correct the native VLAN mismatch on S2 and S3.

a. Configure VLAN 99 as the native VLAN for the appropriate interfaces on S2 and S3.
b. Issue show interface trunk command to verify the correct native VLAN configuration.
Step 4: Verify configurations on S2 and S3.

a. Issue the show interface interface switchport command to verify that the native VLAN is now 99.
b. Use the show vlan command to display information regarding configured VLANs. Why is port G1/1 on S2
no longer assigned to VLAN 1? Port G1/1 is a trunk port and trunks ports are not displayed.
Suggested Scoring Rubric

Packet Tracer scores 80 points. The three questions in Step 1, 2 and 4 are worth 20 points.
Práctica de laboratorio: configuración de redes VLAN y enlaces
troncales
Topología
Máscara de Gateway
S1 VLAN 1 192.168.1.11 255.255.255.0 N/A

S2 VLAN 1 192.168.1.12 255.255.255.0 N/A
PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1
PC-B NIC 192.168.10.4 255.255.255.0 192.168.10.1
PC-C NIC 192.168.20.3 255.255.255.0 192.168.20.1
Objetivos
Parte 1: armar la red y configurar los parámetros básicos de los dispositivos
Parte 2: crear redes VLAN y asignar puertos de switch
Parte 3: mantener las asignaciones de puertos de VLAN y la base de datos de VLAN
Parte 4: configurar un enlace troncal 802.1Q entre los switches
Parte 5: eliminar la base de datos de VLAN
Práctica de laboratorio: configuración de redes VLAN y enlaces troncales
Los switches modernos usan redes de área local virtuales (VLAN) para mejorar el rendimiento de la red
mediante la división de grandes dominios de difusión de capa 2 en otros más pequeños. Las VLAN también
se pueden usar como medida de seguridad al controlar qué hosts se pueden comunicar. Por lo general, las
redes VLAN facilitan el diseño de una red para respaldar los objetivos de una organización.
Los enlaces troncales de VLAN se usan para abarcar redes VLAN a través de varios dispositivos. Los
enlaces troncales permiten transferir el tráfico de varias VLAN a través de un único enlace y conservar
intactas la segmentación y la identificación de VLAN.
En esta práctica de laboratorio, creará redes VLAN en los dos switches de la topología, asignará las VLAN a
los puertos de acceso de los switches, verificará que las VLAN funcionen como se espera y, a continuación,
creará un enlace troncal de VLAN entre los dos switches para permitir que los hosts en la misma VLAN se
comuniquen a través del enlace troncal, independientemente del switch al que está conectado el host.
Nota: los switches que se utilizan son Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de
lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco. Según el modelo y la
versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen pueden diferir de los
que se muestran en las prácticas de laboratorio.
Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está
seguro, consulte con el instructor.
Recursos necesarios
• 2 switches (Cisco 2960 con IOS de Cisco versión 15.0(2), imagen lanbasek9 o similar)
• 3 computadoras (Windows 7, Vista o XP con un programa de emulación de terminal, como Tera Term)
Parte 1. armar la red y configurar los parámetros básicos de los

dispositivos
En la parte 1, establecerá la topología de la red y configurará los parámetros básicos en los equipos host y
los switches.

Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según sea
necesario.
Paso 2. inicializar y volver a cargar los switches según sea necesario.
Paso 3. configurar los parámetros básicos para cada switch.

a. Desactive la búsqueda del DNS.
b. Configure el nombre del dispositivo como se muestra en la topología.
d. Asigne cisco como la contraseña de vty y la contraseña de consola, y habilite el inicio de sesión para las
líneas de vty y de consola.
e. Configure logging synchronous para la línea de consola.
f. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.
g. Configure la dirección IP que se indica en la tabla de direccionamiento para la VLAN 1 en ambos
switches.
h. Desactive administrativamente todos los puertos que no se usen en el switch.
i. Copie la configuración en ejecución en la configuración de inicio
Paso 4. configurar los equipos host.

Consulte la tabla de direccionamiento para obtener información de direcciones de los equipos host.
Paso 5. Probar la conectividad.

Verifique que los equipos host puedan hacer ping entre sí.
Nota: puede ser necesario desactivar el firewall de las computadoras para hacer ping entre ellas.
¿Se puede hacer ping de la PC-A a la PC-B? __SI___

¿Se puede hacer ping de la PC-A a la PC-C? __NO___
¿Se puede hacer ping de la PC-A al S1? __NO___
¿Se puede hacer ping de la PC-B a la PC-C? _NO_____

¿Se puede hacer ping de la PC-B al S2? _NO_____
¿Se puede hacer ping de la PC-C al S2? _NO___
¿Se puede hacer ping del S1 al S2? _SI____

Si la respuesta a cualquiera de las preguntas anteriores es no, ¿por qué fallaron los pings?
Algunos pines NO funcionan porque no están en la misma RED capa 3
Parte 2. crear redes VLAN y asignar puertos de switch

En la parte 2, creará redes VLAN para los estudiantes, el cuerpo docente y la administración en ambos
switches. A continuación, asignará las VLAN a la interfaz correspondiente. El comando show vlan se usa
para verificar las opciones de configuración.
Paso 1. crear las VLAN en los switches.

a. Cree las VLAN en S1.
S1(config)# vlan 10
S1(config-vlan)# name Student
S1(config-vlan)# vlan 20
S1(config-vlan)# name Faculty
S1(config-vlan)# name Management
S1(config-vlan)# end
b. Cree las mismas VLAN en el S2.
c. Emita el comando show vlan para ver la lista de VLAN en el S1.

S1# show vlan
¿Cuál es la VLAN predeterminada? LA VLAN 1

¿Qué puertos se asignan a la VLAN predeterminada?
Todo los puertos FA de1 al 24 y los 2 Gigabits
Paso 2. asignar las VLAN a las interfaces del switch correctas.

a. Asigne las VLAN a las interfaces en el S1.
1) Asigne la PC-A a la VLAN Estudiantes.
2) Transfiera la dirección IP del switch a la VLAN 99.
S1(config)# interface vlan 1
S1(config-if)# no ip address
S1(config-if)# interface vlan 99
S1(config-if)# end
b. Emita el comando show vlan brief y verifique que las VLAN se hayan asignado a las interfaces
correctas.
S1# show vlan brief
c. Emita el comando show ip interface brief.
¿Cuál es el estado de la VLAN 99? ¿Por qué?

La vlan 99 esta arriba pero su procolo esta caído porque no tiene ningún puerto activo
d. Use la topología para asignar las VLAN a los puertos correspondientes en el S2.
e. Elimine la dirección IP para la VLAN 1 en el S2.

f. Configure una dirección IP para la VLAN 99 en el S2 según la tabla de direccionamiento.
g. Use el comando show vlan brief para verificar que las VLAN se hayan asignado a las interfaces
correctas.
S2# show vlan brief
¿Es posible hacer ping de la PC-A a la PC-B? ¿Por qué?
El ping NO es exitoso debido a que no hay comunicación entre el S1 y el S2 en capa3

¿Es posible hacer ping del S1 al S2? ¿Por qué?
No hay comunicación debido la Interfaz f0/1 del S1 y el S2 pertenecen a la VLAN1
Parte 3. mantener las asignaciones de puertos de VLAN y la base de datos

de VLAN
En la parte 3, cambiará las asignaciones de VLAN a los puertos y eliminará las VLAN de la base de datos de
VLAN.
Paso 1. asignar una VLAN a varias interfaces.

a. En el S1, asigne las interfaces F0/11 a 24 a la VLAN 10.
b. Emita el comando show

vlan brief para verificar las asignaciones de VLAN.
c. Reasigne F0/11 y F0/21 a la VLAN 20.
d. Verifique que las asignaciones de VLAN sean las correctas.
Paso 2. eliminar una asignación de VLAN de una interfaz.

a. Use el comando no switchport access vlan para eliminar la asignación de la VLAN 10 a F0/24.
b. Verifique que se haya realizado el cambio de VLAN.

¿A qué VLAN está asociada ahora F0/24?
VLAN1
Paso 3. eliminar una ID de VLAN de la base de datos de VLAN.

a. Agregue la VLAN 30 a la interfaz F0/24 sin emitir el comando VLAN.
Nota: la tecnología de switches actual ya no requiere la emisión del comando vlan para agregar una
VLAN a la base de datos. Al asignar una VLAN desconocida a un puerto, la VLAN se agrega a la base
de datos de VLAN.
b. Verifique que la nueva VLAN se muestre en la tabla de VLAN.
S1# show vlan brief
¿Cuál es el nombre predeterminado de la VLAN 30?

VLAN0030
c. Use el comando no vlan 30 para eliminar la VLAN 30 de la base de datos de VLAN.
S1(config)# no vlan 30
S1(config)# end
d. Emita el comando show vlan brief. F0/24 se asignó a la VLAN 30.
Una vez que se elimina la VLAN 30, ¿a qué VLAN se asigna el puerto F0/24? ¿Qué sucede con el tráfico
destinado al host conectado a F0/24?
____________________________________________________________________________________
S1# show vlan brief

---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Gi0/1, Gi0/2
10 Student active Fa0/12, Fa0/13, Fa0/14, Fa0/15
Fa0/16, Fa0/17, Fa0/18, Fa0/19

Fa0/20, Fa0/22, Fa0/23
20 Faculty active Fa0/11, Fa0/21
99 Management active
e. Emita el comando no switchport access vlan en la interfaz F0/24.

f. Emita el comando show vlan brief para determinar la asignación de VLAN para F0/24. ¿A qué VLAN se
asignó F0/24?
El puerto 24 NO aparece asignado a ninguna vlan NO puede recibir ningun trafico

Nota: antes de eliminar una VLAN de la base de datos, se recomienda reasignar todos los puertos
asignados a esa VLAN.
¿Por qué debe reasignar un puerto a otra VLAN antes de eliminar la VLAN de la base de datos de
VLAN?
Porque si no se asignan esos puertos quedan asignados a la VLAN que se elimino y por tanto no
aparecen en cuando se usa el comando show vlan brief
Parte 4. configurar un enlace troncal 802.1Q entre los switches

En la parte 4, configurará la interfaz F0/1 para que use el protocolo de enlace troncal dinámico (DTP) y
permitir que negocie el modo de enlace troncal. Después de lograr y verificar esto, desactivará DTP en la
interfaz F0/1 y la configurará manualmente como enlace troncal.
Paso 1. usar DTP para iniciar el enlace troncal en F0/1.

El modo de DTP predeterminado de un puerto en un switch 2960 es dinámico automático. Esto permite que
la interfaz convierta el enlace en un enlace troncal si la interfaz vecina se establece en modo de enlace
troncal o dinámico deseado.
a. Establezca F0/1 en el S1 en modo de enlace troncal.
S1(config-if)# switchport mode dynamic desirable
*Mar 1 05:07:28.746: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed
state to down
*Mar 1 05:07:29.744: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,
changed state to down
S1(config-if)#
*Mar 1 05:07:32.772: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1,
changed state to up
S1(config-if)#
state to up
state to up
También debe recibir mensajes del estado del enlace en el S2.
b. Emita el comando show vlan brief en el S1 y el S2. La interfaz F0/1 ya no está asignada a la VLAN 1.
Las interfaces de enlace troncal no se incluyen en la tabla de VLAN.
S1# show vlan brief
c. Emita el comando show interfaces trunk para ver las interfaces de enlace troncal. Observe que el modo
en el S1 está establecido en deseado, y el modo en el S2 en automático.
S1# show interfaces trunk
Fa0/1 1,10,20,99
Nota: de manera predeterminada, todas las VLAN se permiten en un enlace troncal. El comando
switchport trunk le permite controlar qué VLAN tienen acceso al enlace troncal. Para esta práctica de
laboratorio, mantenga la configuración predeterminada que permite que todas las VLAN atraviesen F0/1.
d. Verifique que el tráfico de VLAN se transfiera a través de la interfaz de enlace troncal F0/1.
¿Se puede hacer ping del S1 al S2? __SI_____
¿Se puede hacer ping de la PC-A a la PC-B? ___SI_____

¿Se puede hacer ping de la PC-A a la PC-C? ___NO_____
¿Se puede hacer ping de la PC-B a la PC-C? ___NO_____
¿Se puede hacer ping de la PC-A al S1? ___NO_____
¿Se puede hacer ping de la PC-B al S2? ___NO______
¿Se puede hacer ping de la PC-C al S2? ___NO_______
Si la respuesta a cualquiera de las preguntas anteriores es no, justifíquela a continuación.
Algunos hosts están en otras redes en capa3 y están VLAN diferentes
Paso 2. configurar manualmente la interfaz de enlace troncal F0/1.

El comando switchport mode trunk se usa para configurar un puerto manualmente como enlace troncal.
Este comando se debe emitir en ambos extremos del enlace.
a. Cambie el modo de switchport en la interfaz F0/1 para forzar el enlace troncal. Haga esto en ambos
switches.
b. Emita el comando show interfaces trunk para ver el modo de enlace troncal. Observe que el modo
cambió de desirable a on.
S2# show interfaces trunk
¿Por qué desearía configurar una interfaz en modo de enlace troncal de forma manual en lugar de usar
DTP?
De esta forma nos aseguramos que puerto este configurado como troncal y sea compatible con
equipos que no usen DTP
Parte 5. Eliminar la base de datos de VLAN

En la parte 5, eliminará la base de datos de VLAN del switch. Es necesario hacer esto al inicializar un switch
para que vuelva a la configuración predeterminada.
Paso 1. determinar si existe la base de datos de VLAN.

Emita el comando show flash para determinar si existe el archivo vlan.dat en la memoria flash.
S1# show flash
Nota: si hay un archivo vlan.dat en la memoria flash, la base de datos de VLAN no contiene la
configuración predeterminada.
Paso 2. eliminar la base de datos de VLAN.

a. Emita el comando delete vlan.dat para eliminar el archivo vlan.dat de la memoria flash y restablecer la
base de datos de VLAN a la configuración predeterminada. Se le solicitará dos veces que confirme que
desea eliminar el archivo vlan.dat. Presione Enter ambas veces.
b. Emita el comando show flash para verificar que se haya eliminado el archivo vlan.dat.
S1# show flash
Para inicializar un switch para que vuelva a la configuración predeterminada, ¿cuáles son los otros
comandos que se necesitan?
Erase start-config ; reload
Reflexión
1. ¿Qué se necesita para permitir que los hosts en la VLAN 10 se comuniquen con los hosts en la VLAN 20?
Se necesita un dispositivo de CAPA 3 como un router
2. ¿Cuáles son algunos de los beneficios principales que una organización puede obtener mediante el uso
eficaz de las VLAN?
Tener mayor seguridad y dividir los dominios de broadcast por ende hay un mejor rendimiento en la
red
Práctica de laboratorio: implementación de seguridad de VLAN
Topología
Máscara de Gateway
S1 VLAN 99 172.17.99.11 255.255.255.0 172.17.99.1

S2 VLAN 99 172.17.99.12 255.255.255.0 172.17.99.1
PC-A NIC 172.17.99.3 255.255.255.0 172.17.99.1
PC-B NIC 172.17.10.3 255.255.255.0 172.17.10.1
PC-C NIC 172.17.99.4 255.255.255.0 172.17.99.1
Asignaciones de VLAN
VLAN Nombre
10 Datos
99 Management&Native
999 BlackHole
Objetivos
Parte 2: implementar seguridad de VLAN en los switches
La práctica recomendada indica que se deben configurar algunos parámetros básicos de seguridad para los
puertos de enlace troncal y de acceso en los switches. Esto sirve como protección contra los ataques de
VLAN y la posible detección del tráfico de la red dentro de esta.
En esta práctica de laboratorio, configurará los dispositivos de red en la topología con algunos parámetros
básicos, verificará la conectividad y, a continuación, aplicará medidas de seguridad más estrictas en los
switches. Utilizará varios comandos show para analizar la forma en que se comportan los switches Cisco.
Luego, aplicará medidas de seguridad.
Nota: los switches que se utilizan en esta práctica de laboratorio son Cisco Catalyst 2960s con IOS de Cisco
versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros switches y otras versiones del IOS de Cisco.
Según el modelo y la versión de IOS de Cisco, los comandos disponibles y los resultados que se obtienen
pueden diferir de los que se muestran en las prácticas de laboratorio.
Nota: asegúrese de que los switches se hayan borrado y no tengan configuraciones de inicio. Si no está
seguro, consulte con el instructor.
Recursos necesarios

dispositivos
En la parte 1, configurará los parámetros básicos en los switches y las computadoras. Consulte la tabla de
direccionamiento para obtener información sobre nombres de dispositivos y direcciones.
Paso 2. inicializar y volver a cargar los switches.
Paso 3. configurar las direcciones IP en la PC-A, la PC-B y la PC-C.

Consulte la tabla de direccionamiento para obtener la información de direcciones de las computadoras.

Desactive la búsqueda del DNS.
a. Configure los nombres de los dispositivos como se muestra en la topología.
b. Asigne class como la contraseña del modo EXEC privilegiado.
c. Asigne cisco como la contraseña de VTY y la contraseña de consola, y habilite el inicio de sesión para
las líneas de vty y de consola.
d. Configure el inicio de sesión sincrónico para las líneas de vty y de consola.
Paso 5. configurar las VLAN en cada switch.

a. Cree las VLAN y asígneles nombres según la tabla de asignaciones de VLAN.
b. Configure la dirección IP que se indica para la VLAN 99 en la tabla de direccionamiento en ambos

switches.
c. Configure F0/6 en el S1 como puerto de acceso y asígnelo a la VLAN 99.
d. Configure F0/11 en el S2 como puerto de acceso y asígnelo a la VLAN 10.

e. Configure F0/18 en el S2 como puerto de acceso y asígnelo a la VLAN 99.
f. Emita el comando show vlan brief para verificar las asignaciones de VLAN y de puertos.
¿A qué VLAN pertenecería un puerto sin asignar, como F0/8 en el S2? VLAN1
Paso 6. configurar la seguridad básica del switch.

a. Configure un mensaje MOTD para advertir a los usuarios que se prohíbe el acceso no autorizado.
b. Encripte todas las contraseñas.
c. Desactive todos los puertos físicos sin utilizar.
d. Deshabilite el servicio web básico en ejecución.

e. Copie la configuración en ejecución en la configuración de inicio.
Paso 7. verificar la conectividad entre la información de VLAN y los dispositivos.

a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1. ¿Tuvieron éxito
los pings? ¿Por qué?
El comando ping nos demuestra que si hay conectividad debido a que el S1 y el PC-A están en la misma
RED
b. Desde el S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los pings? ¿Por qué?
NO hay conectividad entre S1 y S2 pues la Fast ethernet 1 sigue asignada a la VLAN 1
c. En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del S1 y el S2, y a la
dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué?
NO HAY conectividad con ningún dispositivo pues esta en redes diferentes.

d. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2.
¿Tuvo éxito? ¿Por qué?
Con el S2 si hay conectividad pero con el S1 NO pues no se tiene conectividad entre el S1 y el S2
Parte 2. implementar seguridad de VLAN en los switches
Paso 1. configurar puertos de enlace troncal en el S1 y el S2.

a. Configure el puerto F0/1 en el S1 como puerto de enlace troncal.
b. Configure el puerto F0/1 en el S2 como puerto de enlace troncal.
c. Verifique los enlaces troncales en el S1 y el S2. Emita el comando show interface trunk en los dos
switches.
S1# show interface trunk
Paso 2. cambiar la VLAN nativa para los puertos de enlace troncal en el S1 y el S2.
Es aconsejable para la seguridad cambiar la VLAN nativa para los puertos de enlace troncal de la VLAN 1 a
otra VLAN.
a. ¿Cuál es la VLAN nativa actual para las interfaces F0/1 del S1 y el S2?
COMO VIMOS en el numeral F del punto 5 es la VLAN1
b. Configure la VLAN nativa de la interfaz de enlace troncal F0/1 del S1 en la VLAN 99
Management&Native.
S1# config t
c. Espere unos segundos. Debería comenzar a recibir mensajes de error en la sesión de consola del S1.
¿Qué significa el mensaje %CDP-4-NATIVE_VLAN_MISMATCH:?
Que la VLAN nativa de los dispositivos son distintos
d. Configure la VLAN 99 como VLAN nativa de la interfaz de enlace troncal F0/1 del S2.
e. Verifique que ahora la VLAN nativa sea la 99 en ambos switches. A continuación, se muestra el
resultado del S1.
Paso 3. verificar que el tráfico se pueda transmitir correctamente a través del enlace troncal.
a. En el símbolo del sistema de la PC-A, haga ping a la dirección de administración del S1. ¿Tuvieron éxito
los pings? ¿Por qué?
Los paquetes llegan correctamente pues están correctamente configurados
b. En la sesión de consola del S1, haga ping a la dirección de administración del S2. ¿Tuvieron éxito los
pings? ¿Por qué?
El ping se ejecuta de manera exitosa debido a que las vlan asignadas a interfaz 0/1 tienen asignadas las
vlan correctas.
c. En el símbolo del sistema de la PC-B, haga ping a las direcciones de administración del S1 y el S2, y a la
dirección IP de la PC-A y la PC-C. ¿Los pings se realizaron correctamente? ¿Por qué?
NINGUN dispositivo responde debido que estan en redes diferentes tanto en capa2 como en capa3
d. En el símbolo del sistema de la PC-C, haga ping a las direcciones de administración del S1 y el S2, y a la
dirección IP de la PC-A. ¿Tuvo éxito? ¿Por qué?
Ahora si hay conectividad con el S1 debido a que el S1 y el S2 estan conetcados con una troncal
adecuadamente
Paso 4. impedir el uso de DTP en el S1 y el S2.

Cisco utiliza un protocolo exclusivo conocido como “protocolo de enlace troncal dinámico” (DTP) en los
switches. Algunos puertos negocian el enlace troncal de manera automática. Se recomienda desactivar la
negociación. Puede ver este comportamiento predeterminado mediante la emisión del siguiente comando:
S1# show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
<Output Omitted>
a. Desactive la negociación en el S1.

S1(config-if)# switchport nonegotiate
b. Desactive la negociación en el S2.
S2(config-if)# switchport nonegotiate
c. Verifique que la negociación esté desactivada mediante la emisión del comando show interface f0/1
switchport en el S1 y el S2.
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: Off
<Output Omitted>
Paso 5. implementar medidas de seguridad en los puertos de acceso del S1 y el S2.

Aunque desactivó los puertos sin utilizar en los switches, si se conecta un dispositivo a uno de esos puertos y
la interfaz está habilitada, se podría producir un enlace troncal. Además, todos los puertos están en la VLAN
1 de manera predeterminada. Se recomienda colocar todos los puertos sin utilizar en una VLAN de “agujero
negro”. En este paso, deshabilitará los enlaces troncales en todos los puertos sin utilizar. También asignará
los puertos sin utilizar a la VLAN 999. A los fines de esta práctica de laboratorio, solo se configurarán los
puertos 2 a 5 en ambos switches.
a. Emita el comando show interface f0/2 switchport en el S1. Observe el modo administrativo y el estado
para la negociación de enlaces troncales.
Name: Fa0/2
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: down
Negotiation of Trunking: On
<Output Omitted>
b. Deshabilite los enlaces troncales en los puertos de acceso del S1.

S1(config)# interface range f0/2 – 5
S1(config-if-range)# switchport mode access
S1(config-if-range)# switchport access vlan 999
c. Deshabilite los enlaces troncales en los puertos de acceso del S2.
d. Verifique que el puerto F0/2 esté establecido en modo de acceso en el S1.

Name: Fa0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: down
Negotiation of Trunking: Off
Access Mode VLAN: 999 (BlackHole)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
<Output Omitted>
e. Verifique que las asignaciones de puertos de VLAN en ambos switches sean las correctas. A
continuación, se muestra el S1 como ejemplo.
S1# show vlan brief

---- ------------------------------ --------- ------------------------------
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 Data active
99 Management&Native active Fa0/6
999 BlackHole active Fa0/2, Fa0/3, Fa0/4, Fa0/5
Restrict VLANs allowed on trunk ports.
De manera predeterminada, se permite transportar todas las VLAN en los puertos de enlace troncal. Por
motivos de seguridad, se recomienda permitir que solo se transmitan las VLAN deseadas y específicas a
través de los enlaces troncales en la red.
f. Restrinja el puerto de enlace troncal F0/1 en el S1 para permitir solo las VLAN 10 y 99.
S1(config-if)# switchport trunk allowed vlan 10,99
g. Restrinja el puerto de enlace troncal F0/1 en el S2 para permitir solo las VLAN 10 y 99.
h. Verifique las VLAN permitidas. Emita el comando show interface trunk en el modo EXEC privilegiado
en el S1 y el S2
Port Mode Encapsulation Status Native vlan

Fa0/1 on 802.1q trunking 99
Port Vlans allowed on trunk

Fa0/1 10,99
Port Vlans allowed and active in management domain

Fa0/1 10,99
Port Vlans in spanning tree forwarding state and not pruned

Fa0/1 10,99
¿Cuál es el resultado?
Reflexión
¿Qué problemas de seguridad, si los hubiera, tiene la configuración predeterminada de un switch Cisco?
Claro que tiene problemas de seguridad pues cualquier persona que pueda acceder al equipo podrá cambiar
la configuración del equipo y hacer cambios NO autorizados llegando hasta el colapso de toda la red.
Práctica de laboratorio: configuración de los parámetros básicos
del router con la CLI del IOS
Topología
Máscara de Gateway
R1 G0/0 192.168.0.1 255.255.255.0 N/A

G0/1 192.168.1.1 255.255.255.0 N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.0.3 255.255.255.0 192.168.0.1
Objetivos
• Realizar el cableado de los equipos para que coincidan con la topología de la red.
• Inicializar y reiniciar el router y el switch.
Parte 2: configurar los dispositivos y verificar la conectividad

• Asignar información de IPv4 estática a las interfaces de la computadora.
• Configurar los parámetros básicos del router.
• Verificar la conectividad de la red
• Configurar el router para el acceso por SSH.
Parte 3: mostrar la información del router

• Recuperar información del hardware y del software del router.
• Interpretar el resultado de la configuración de inicio.
• Interpretar el resultado de la tabla de routing.
• Verificar el estado de las interfaces.
Parte 4: configurar IPv6 y verificar la conectividad
Práctica de laboratorio: configuración de los parámetros básicos del router con la CLI del IOS
Esta es una práctica de laboratorio integral para revisar comandos de router de IOS que se abarcaron
anteriormente. En las partes 1 y 2, realizará el cableado de los equipos y completará las configuraciones
básicas y las configuraciones de las interfaces IPv4 en el router.
En la parte 3, utilizará SSH para conectarse de manera remota al router y usará comandos de IOS para
recuperar la información del dispositivo para responder preguntas sobre el router. En la parte 4, configurará
IPv6 en el router de modo que la PC-B pueda adquirir una dirección IP y luego verificará la conectividad.
Para fines de revisión, esta práctica de laboratorio proporciona los comandos necesarios para las
configuraciones de router específicas.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son routers de servicios integrados
(ISR) Cisco 1941 con IOS de Cisco versión 15.2(4)M3 (imagen universalk9). Los switches que se utilizan son
Cisco Catalyst 2960 con IOS de Cisco, versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros
routers, switches y otras versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los
comandos disponibles y los resultados que se obtienen pueden diferir de los que se muestran en las
prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de esta
práctica de laboratorio para obtener los identificadores de interfaz correctos.
Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio.
Consulte el apéndice A para conocer los procedimientos para inicializar y volver a cargar los dispositivos.
Recursos necesarios
Nota: las interfaces Gigabit Ethernet en los ISR Cisco 1941 cuentan con detección automática, y se puede
utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco, puede ser
necesario usar un cable cruzado Ethernet.

a. Conecte los dispositivos tal como se muestra en el diagrama de la topología y realice el cableado según
sea necesario.
b. Encienda todos los dispositivos de la topología.

Nota: en el apéndice A, se detallan los pasos para inicializar y volver a cargar los dispositivos.
Parte 2: Configurar dispositivos y verificar la conectividad

Paso 1. Configure las interfaces de la PC.
a. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-A.
b. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-B.
Paso 2. Configurar el router.

Router> enable
Router#
Router# config terminal
Router(config)#
c. Asigne un nombre de dispositivo al router.
Router(config)# hostname R1
d. Deshabilite la búsqueda DNS para evitar que el router intente traducir los comandos incorrectamente
introducidos como si fueran nombres de host.
R1(config)# no ip domain-lookup
e. Establezca el requisito de que todas las contraseñas tengan como mínimo 10 caracteres.
R1(config)# security passwords min-length 10
Además de configurar una longitud mínima, enumere otras formas de aportar seguridad a las
contraseñas.
____________________________________________________________________________________
f. Asigne cisco12345 como la contraseña cifrada del modo EXEC privilegiado.
R1(config)# enable secret cisco12345
g. Asigne ciscoconpass como la contraseña de consola, establezca un tiempo de espera, habilite el inicio
de sesión y agregue el comando logging synchronous. El comando logging synchronous sincroniza
la depuración y el resultado del software IOS de Cisco, y evita que estos mensajes interrumpan la
entrada del teclado.
R1(config)# line con 0
R1(config-line)# password ciscoconpass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
R1(config-line)# exit
R1(config)#
Para el comando exec-timeout, ¿qué representan el 5 y el 0?
5 MINUTOS Y 0 SEGUNDOS de inactividad para cerrarse automáticamente la consola
h. Asigne ciscovtypass como la contraseña de vty, establezca un tiempo de espera, habilite el inicio de
sesión y agregue el comando logging synchronous.
R1(config)# line vty 0 4
R1(config-line)# password ciscovtypass
R1(config-line)# exec-timeout 5 0
R1(config-line)# login
R1(config-line)# logging synchronous
R1(config)#
i. Cifre las contraseñas de texto no cifrado.

R1(config)# service password-encryption
j. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está
prohibido.
R1(config)# banner motd #Unauthorized access prohibited!#
k. Configure una dirección IP y una descripción de interfaz. Active las dos interfaces en el router.
R1(config)# int g0/0
R1(config-if)# description Connection to PC-B
R1(config-if)# ip address 192.168.0.1 255.255.255.0
R1(config-if)# int g0/1
R1(config-if)# description Connection to S1
R1(config-if)# exit
R1(config)# exit
R1#
l. Configure el reloj en el router, por ejemplo:

R1# clock set 17:00:00 18 Feb 2013
m. Guarde la configuración en ejecución en el archivo de configuración de inicio.
R1# copy running-config startup-config
Destination filename [startup-config]?
[OK]
R1#
¿Qué resultado obtendría al volver a cargar el router antes de completar el comando copy running-
config startup-config?
UNA VEZ SE REINICIARA EL ROUTER SE PERDERIA LA CONFIGURACION
Paso 3. Verificar la conectividad de la red

a. Haga ping a la PC-B en un símbolo del sistema en la PC-A.
Nota: quizá sea necesario deshabilitar el firewall de las computadoras.

¿Tuvieron éxito los pings? SI
Después de completar esta serie de comandos, ¿qué tipo de acceso remoto podría usarse para acceder
al R1?
PODRIA ACCEDER POR TELNET
b. Acceda de forma remota al R1 desde la PC-A mediante el cliente de Telnet de Tera Term.
Abra Tera Term e introduzca la dirección IP de la interfaz G0/1 del R1 en el campo Host: de la ventana
Tera Term: New Connection (Tera Term: nueva conexión). Asegúrese de que el botón de opción Telnet
esté seleccionado y después haga clic en OK (Aceptar) para conectarse al router.
¿Pudo conectarse remotamente? SI
¿Por qué el protocolo Telnet es considerado un riesgo de seguridad?

Porque la información no va encriptada y cualquier persona podrá verla sin problema
Paso 4. configurar el router para el acceso por SSH.

a. Habilite las conexiones SSH y cree un usuario en la base de datos local del router.
R1# configure terminal
R1(config)# ip domain-name CCNA-lab.com
R1(config)# username admin privilege 15 secret adminpass1
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config)# crypto key generate rsa modulus 1024
R1(config)# exit
b. Acceda remotamente al R1 desde la PC-A con el cliente SSH de Tera Term.

Abra Tera Term e introduzca la dirección IP de la interfaz G0/1 del R1 en el campo Host: de la ventana
Tera Term: New Connection (Tera Term: nueva conexión). Asegúrese de que el botón de opción SSH
esté seleccionado y después haga clic en OK para conectarse al router.
¿Pudo conectarse remotamente? ____
Parte 3: mostrar la información del router

En la parte 3, utilizará comandos show en una sesión SSH para recuperar información del router.
Paso 1. establecer una sesión SSH para el R1.

Mediante Tera Term en la PC-B, abra una sesión SSH para el R1 en la dirección IP 192.168.0.1 e inicie
sesión como admin y use la contraseña adminpass1.
Paso 2. recuperar información importante del hardware y el software.

a. Use el comando show version para responder preguntas sobre el router.
¿Cuál es el nombre de la imagen de IOS que el router está ejecutando?
¿Cuánta memoria de acceso aleatorio no volátil (NVRAM) tiene el router?
¿Cuánta memoria flash tiene el router?
b. Con frecuencia, los comandos show proporcionan varias pantallas de resultados. Filtrar el resultado
permite que un usuario visualice determinadas secciones del resultado. Para habilitar el comando de
filtrado, introduzca una barra vertical (|) después de un comando show, seguido de un parámetro de
filtrado y una expresión de filtrado. Para que el resultado coincida con la instrucción de filtrado, puede
usar la palabra clave include para ver todas las líneas del resultado que contienen la expresión de
filtrado. Filtre el comando show version mediante show version | include register para responder la
siguiente pregunta.
¿Cuál es el proceso de arranque para el router en la siguiente recarga?
El router se carga de manera normal
Paso 3. mostrar la configuración de inicio.

Use el comando show startup-config en el router para responder las siguientes preguntas.
¿De qué forma figuran las contraseñas en el resultado?
LAS CONTRASEÑAS ESTAN ECRYPTADAS
Use el comando show startup-config | begin vty.

¿Qué resultado se obtiene al usar este comando?
Nos muestra lo concernienta a vty
Paso 4. mostrar la tabla de routing en el router.

Use el comando show ip route en el router para responder las siguientes preguntas.
¿Qué código se utiliza en la tabla de routing para indicar una red conectada directamente?
LA C corresponde a una SUBRED y la L a una red local
¿Cuántas entradas de ruta están cifradas con un código C en la tabla de routing? 2
Paso 5. mostrar una lista de resumen de las interfaces del router.

Use el comando show ip interface brief en el router para responder la siguiente pregunta.
¿Qué comando cambió el estado de los puertos Gigabit Ethernet de administrativamente inactivo a
activo?
NO SHUTDOWN
Parte 4: configurar IPv6 y verificar la conectividad
Paso 1. asignar direcciones IPv6 a la G0/0 del R1 y habilitar el routing IPv6.

Nota: la asignación de una dirección IPv6, además de una dirección IPv4, en una interfaz se conoce como
“dual stacking”, debido a que las pilas de protocolos IPv4 e IPv6 están activas. Al habilitar el routing de
unidifusión IPv6 en el R1, la PC-B recibe el prefijo de red IPv6 de G0/0 del R1 y puede configurar
automáticamente la dirección IPv6 y el gateway predeterminado.
a. Asigne una dirección de unidifusión global IPv6 a la interfaz G0/0; asigne la dirección link-local en la
interfaz, además de la dirección de unidifusión; y habilite el routing IPv6.
R1# configure terminal
R1(config-if)# ipv6 address 2001:db8:acad:a::1/64
R1(config-if)# ipv6 address fe80::1 link-local
R1(config-if)# exit
R1(config)# ipv6 unicast-routing
R1(config)# exit
b. Use el comando show ipv6 int brief para verificar la configuración de IPv6 en el R1.
Si no se asignó una dirección IPv6 a la G0/1, ¿por qué se indica como [up/up]?
Refleja la conectividad de CAPA 1 Y CAPA 2 de la interface
c. Emita el comando ipconfig en la PC-B para examinar la configuración de IPv6.
¿Cuál es la dirección IPv6 asignada a la PC-B?
¿Cuál es el gateway predeterminado asignado a la PC-B? FE80::1

En la PC-B, haga ping a la dirección link-local del gateway predeterminado del R1. ¿Tuvo éxito? SI pero
fue necesario activar ipv6 en el pc
En la PC-B, haga ping a la dirección IPv6 de unidifusión del R1 2001:db8:acad:a::1. ¿Tuvo éxito? SI
Reflexión
1. Durante la investigación de un problema de conectividad de red, un técnico sospecha que no se habilitó una
interfaz. ¿Qué comando show podría usar el técnico para resolver este problema?
show ip interface brief o show startup-config proporcionaría la información.
2. Durante la investigación de un problema de conectividad de red, un técnico sospecha que se asignó una
máscara de subred incorrecta a una interfaz. ¿Qué comando show podría usar el técnico para resolver este
problema?
Con los commandos show startup-config or show running-config
3. Después de configurar IPv6 en la LAN de la PC-B en la interfaz G0/0 del R1, si hiciera ping de la PC-A a la
dirección IPv6 de la PC-B, ¿el ping sería correcto? ¿Por qué o por qué no?
NO funcionaria R1 G0 / 1 no esta configurada con IPv6 y la PC-A solo tiene una dirección IPv4.
Tabla de resumen de interfaces del router
Resumen de interfaces del router
Modelo de Interfaz Ethernet #1 Interfaz Ethernet Interfaz serial #1 Interfaz serial n.º 2
router n.º 2
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0) (F0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo de router y
cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de todas las combinaciones de
configuraciones para cada clase de router. En esta tabla, se incluyen los identificadores para las posibles
combinaciones de interfaces Ethernet y seriales en el dispositivo. En esta tabla, no se incluye ningún otro tipo de
interfaz, si bien puede haber interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un
ejemplo. La cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS de
Cisco para representar la interfaz.
Apéndice A: inicialización y recarga de un router y un switch

Paso 1. inicializar y volver a cargar el router.
Router> enable
Router#
b. Escriba el comando erase startup-config para eliminar el archivo de configuración de inicio de la
NVRAM.
Router# erase startup-config

[OK]
Router#
c. Emita el comando reload para eliminar una configuración antigua de la memoria. Cuando reciba el
mensaje Proceed with reload (Continuar con la recarga), presione Enter para confirmar. (Si presiona
cualquier otra tecla, se cancela la recarga).
Router# reload
*Nov 29 18:28:09.923: %SYS-5-RELOAD: Reload requested by console. Reload Reason:
Reload Command.
cargar el router. Escriba no y presione Enter.
d. Una vez que se vuelve a cargar el router, se le solicita introducir el diálogo de configuración inicial.
e. Se le solicita finalizar la instalación automática. Escriba yes (sí) y, luego, presione Enter.
Would you like to terminate autoinstall? [yes]: yes
Paso 2. inicializar y volver a cargar el switch.

a. Acceda al switch mediante el puerto de consola e ingrese al modo EXEC privilegiado.
Switch> enable
Switch#
b. Utilice el comando show flash para determinar si se crearon VLAN en el switch.
Switch# show flash
Directory of flash:/
2 -rwx 1919 Mar 1 1993 00:06:33 +00:00 private-config.text

3 -rwx 1632 Mar 1 1993 00:06:33 +00:00 config.text
4 -rwx 13336 Mar 1 1993 00:06:33 +00:00 multiple-fs
5 -rwx 11607161 Mar 1 1993 02:37:06 +00:00 c2960-lanbasek9-mz.150-2.SE.bin
6 -rwx 616 Mar 1 1993 00:07:13 +00:00 vlan.dat
32514048 bytes total (20886528 bytes free)

Switch#
c. Si se encontró el archivo vlan.dat en la memoria flash, elimínelo.

Switch# delete vlan.dat
Delete filename [vlan.dat]?
d. Se le solicitará que verifique el nombre de archivo. En este momento, puede cambiar el nombre de
archivo o, simplemente, presionar Enter si introdujo el nombre de manera correcta.
e. Se le solicitará que confirme que desea eliminar este archivo. Presione Enter para confirmar la
eliminación. (Si se presiona cualquier otra tecla, se anula la eliminación).
Delete flash:/vlan.dat? [confirm]

Switch#
f. Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la

NVRAM. Se le solicitará que confirme la eliminación del archivo de configuración. Presione Enter para
confirmar que desea borrar este archivo. (Al pulsar cualquier otra tecla, se cancela la operación).
Switch# erase startup-config
[OK]
Switch#
g. Vuelva a cargar el switch para eliminar toda información de configuración antigua de la memoria. Se le
solicitará que confirme la recarga del switch. Presione Enter para seguir con la recarga. (Si presiona
cualquier otra tecla, se cancela la recarga).
Switch# reload
cargar el switch. Escriba no y presione Enter.
h. Una vez que se vuelve a cargar el switch, se le solicita introducir el diálogo de configuración inicial.
Switch>
Práctica de laboratorio: configuración de los parámetros básicos
del router con CCP
Topología
Máscara de Gateway
R1 G0/0 192.168.0.1 255.255.255.0 N/A

G0/1 192.168.1.1 255.255.255.0 N/A
S1 VLAN 1 N/A N/A N/A
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1
PC-B NIC 192.168.0.3 255.255.255.0 192.168.0.1
Objetivos
Parte 2: configurar los dispositivos y verificar la conectividad
Parte 3: configurar el router para permitir el acceso de CCP
Parte 4: (optativo) instalar y configurar CCP en la PC-A
Parte 5: configurar los parámetros del R1 con CCP
Parte 6: usar las utilidades de CCP
Cisco Configuration Professional (CCP) es una aplicación basada en computadora que proporciona
administración de dispositivos basados en GUI para routers de servicios integrados (ISR). Simplifica la
configuración del routing, el firewall, la VPN, la WAN, la LAN y otras configuraciones por medio de menús y
de asistentes fáciles de utilizar.
En esta práctica de laboratorio, configurará los parámetros del router con la configuración de la práctica de
laboratorio anterior en este capítulo. Se debe establecer conectividad de capa 3 entre la PC que ejecuta CCP
(PC-A) y el R1 antes de que CCP pueda establecer una conexión. Además, se debe configurar el acceso y la
autenticación HTTP en el R1.
Descargará e instalará CCP en la computadora y luego lo utilizará para supervisar el estado de la interfaz del
R1, configurará una interfaz, establecerá la fecha y hora, agregará un usuario a la base de datos local y
editará la configuración de vty. También usará algunas de las utilidades incluidas en CCP.
Práctica de laboratorio: configuración de los parámetros básicos del router con CCP
Nota: las configuraciones de router llevadas a cabo con CCP generan los comandos de CLI del IOS. CCP
puede ser muy útil para configurar características más complejas del router, ya que no requiere un
conocimiento específico de la sintaxis de los comandos de IOS de Cisco.
Cisco Catalyst 2960s con IOS de Cisco versión 15.0(2) (imagen de lanbasek9). Se pueden utilizar otros
Nota: asegúrese de que el router y el switch se hayan borrado y no tengan configuraciones de inicio. Si no
está seguro, consulte con el instructor.
Recursos necesarios
Nota: los requisitos del sistema de la computadora para la versión 2.6 de CCP son los siguientes:
• Procesador de 2 GHz o más rápido
• 1 GB de DRAM como mínimo; se recomienda contar con 2 GB
• 400 MB de espacio en disco duro disponible
• Internet Explorer 6.0 o más reciente
• Resolución de pantalla de 1024x768 o superior
• Java Runtime Environment (JRE), versión 1.6.0_11 o más reciente
• Adobe Flash Player, versión 10.0 o más reciente, con la depuración configurada en No
Nota: las interfaces Gigabit Ethernet en los ISR Cisco 1941 cuentan con detección automática, y se puede
utilizar un cable directo de Ethernet entre el router y la PC-B. Si utiliza otro modelo de router Cisco, puede ser
necesario usar un cable cruzado Ethernet.

a. Conecte los dispositivos que se muestran en el diagrama de la topología y realice el cableado, según sea
necesario.
b. Encienda todos los dispositivos de la topología.
Parte 2. Configurar dispositivos y verificar la conectividad

En la parte 2, configurará los parámetros básicos, como las direcciones IP de interfaz (solo G0/1), el acceso
seguro a dispositivos y las contraseñas. Consulte la topología y la tabla de direccionamiento para conocer los
nombres de los dispositivos y obtener información de direcciones.

a. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-A.
b. Configure la dirección IP, la máscara de subred y la configuración del gateway predeterminado en la PC-B.
Paso 2. Configurar el router.

Nota: todavía NO configure la interfaz G0/0. Configurará esta interfaz con CCP más adelante en esta
práctica de laboratorio.
Router> enable
Router#
Router# config terminal
Router(config)#
c. Desactive la búsqueda del DNS.
R1(config)# no ip domain-lookup
d. Asigne un nombre de dispositivo al router.
Router(config)# hostname R1
e. Establezca el requisito de que todas las contraseñas tengan como mínimo 10 caracteres.
R1(config)# security passwords min-length 10
f. Asigne cisco12345 como la contraseña cifrada del modo EXEC privilegiado.
R1(config)# enable secret cisco12345
g. Asigne ciscoconpass como la contraseña de consola y habilite el inicio de sesión.
h. Asigne ciscovtypass como la contraseña de vty y habilite el inicio de sesión.
i. Configure logging synchronous en las líneas de consola y vty.
j. Cifre las contraseñas de texto no cifrado.

R1(config)# service password-encryption
k. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el acceso no autorizado está
prohibido.
R1(config)# banner motd #Unauthorized access prohibited!#
l. Configure las direcciones IP y una descripción de la interfaz, y active la interfaz G0/1 en el router.
m. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Paso 3. Verificar la conectividad de la red

Verifique que pueda hacer ping a la G0/1 del R1 desde la PC-A.
Parte 3. configurar el router para permitir el acceso de CCP

En la parte 3, configurará el router para permitir el acceso de CCP al habilitar los servicios de servidores
HTTP y HTTPS. También habilitará la autenticación HTTP para usar la base de datos local.
Paso 1. habilitar los servicios de servidores HTTP y HTTPS en el router.

R1(config)# ip http server
R1(config)# ip http secure-server
Paso 2. habilitar la autenticación HTTP para usar la base de datos local en el router.
R1(config)# ip http authentication local
Paso 3. configurar el router para el acceso de CCP.

Asigne un usuario en la base de datos local del router para acceder a CCP con el nombre de usuario admin
y la contraseña adminpass1.
R1(config)# username admin privilege 15 secret adminpass1
Parte 4. (optativo) instalar y configurar CCP en la PC-A

Paso 1. instalar CCP.
Nota: si CCP ya está instalado en la PC-A, puede omitir este paso.
a. Descargue CCP 2.6 del sitio web de Cisco:

http://software.cisco.com/download/release.html?mdfid=281795035&softwareid=282159854&release=2.6
&rellifecycle=&relind=AVAILABLE&reltype=all
b. Seleccione el archivo cisco-config-pro-k9-pkg-2_6-en.zip.
Nota: verifique si seleccionó el archivo correcto de CCP y no CCP Express. Si hay una versión más
actualizada de CCP, puede optar por descargarlo; sin embargo, en esta práctica de laboratorio se usa
CCP 2.6.
c. Acepte los términos y condiciones y descargue y guarde el archivo en la ubicación deseada.
d. Abra el archivo ZIP y ejecute el archivo ejecutable de CCP.
e. Siga las instrucciones en pantalla para instalar CCP 2.6 en la computadora.
Paso 2. cambiar la configuración para ejecutar como administrador.

Si no se ejecuta como administrador, es posible que no pueda iniciar CCP correctamente. Puede cambiar la
configuración de inicio para que se ejecute automáticamente en modo administrador.
a. Haga clic con el botón secundario en el ícono del escritorio de CCP (o haga clic en el botón Inicio) y
luego haga clic con el botón secundario en Cisco Configuration Professional. En la lista desplegable,
seleccione Propiedades.
b. En el cuadro de diálogo Properties, seleccione la ficha Compatibilidad. En la sección Nivel de privilegio,
haga clic en la casilla de verificación Ejecutar este programa como administrador y luego haga clic en
Aceptar.
Paso 3. crear o administrar comunidades.

a. En la PC-A, inicie CCP. (Haga doble clic en el ícono del escritorio de CCP o haga clic en Inicio > Cisco
Configuration Professional.
b. Si recibe un mensaje de advertencia de seguridad que le solicita que permita que el programa
CiscoCP.exe realice cambios en la computadora, haga clic en Sí.
c. Cuando se inicia CCP, aparece el cuadro de diálogo Select/Manage Community

(Seleccionar/administrar comunidad). Introduzca la dirección IP para la G0/1 del R1, y el nombre de
usuario admin y la contraseña adminpass1 que agregó a la base de datos local durante la configuración
del router en la parte 2. Haga clic en Aceptar.
d. En la venta Community Information (Información de comunidad), haga clic en Discover (Detectar).
Si configuró el router correctamente, el Discovery Status (Estado de detección) cambia de Not

discovered (No detectado) a Discovered (Detectado) y el R1 aparece en la columna Router Hostname
(Nombre de host del router).
Nota: si hay un problema de configuración, verá el estado Discovery failed (Error de detección). Haga clic
en Discovery Details (Detalles de detección) para determinar el motivo de la falla en el proceso de
detección y luego resuelva el problema.
Parte 5. configurar los parámetros del R1 con CCP

En la parte 5, utilizará CCP para mostrar información sobre el R1, configurará la interfaz G0/0, establecerá la
fecha y hora, agregará un usuario a la base de datos local y cambiará la configuración de vty.
Paso 1. ver el estado de las interfaces en el R1.

a. En la barra de herramientas de CCP, haga clic en Monitor.
b. En el panel de navegación izquierdo, haga clic en Router > Overview (Router > Descripción general)
para visualizar la pantalla Monitor Overview (Descripción general del monitor) en el panel de contenido
derecho.
c. Utilice las flechas arriba y abajo en el lado derecho de la lista de interfaces para desplazarse por la lista
de interfaces del router.
Paso 2. usar el asistente de LAN Ethernet para configurar la interfaz G0/0.

a. En la barra de herramientas de CCP, haga clic en Configure (Configurar).
b. En el panel de navegación izquierdo, haga clic en Interface Management (Administración de interfaz) >
Interface and Connections (Interfaz y conexiones) para visualizar la pantalla Interfaces and
Connections (Interfaces y conexiones) en el panel de contenido derecho.
c. Haga clic en Create New Connection (Crear conexión nueva) para iniciar el asistente de LAN Ethernet.
d. Cuando se le solicite habilitar AAA en el router, haga clic en No.
e. Haga clic en Next (Siguiente) para avanzar por el proceso de creación de interfaces Ethernet de capa 3.
f. Mantenga seleccionado el botón de opción Configure this interface for straight routing (Configurar
esta interfaz para routing directo) y haga clic en Next.
g. Introduzca 192.168.0.1 en el campo de dirección IP y 255.255.255.0 en el campo de máscara de subred
y luego haga clic en Next.
h. Mantenga seleccionado el botón de opción No en la pantalla del servidor de DHCP y haga clic en Next.
i. Revise la pantalla de resumen y haga clic en Finish (Finalizar).
j. Haga clic en la casilla de verificación Save running config to device’s startup config (Guardar
configuración en ejecución en la configuración de inicio del dispositivo) y luego haga clic en Deliver
(Entregar). Esta acción agrega los comandos que aparecen en la ventana de vista previa a la
configuración en ejecución y luego guarda esta última en la configuración de inicio en el router.
k. Aparece la ventana Commands Delivery Status (Estado de entrega de comandos). Haga clic en OK para
cerrar la ventana. Volverá a la pantalla Interfaces and Connections. G0/0 ahora debería estar de color
verde y debería aparecer como Up (Activa) en la columna Status (Estado).
Paso 3. establecer fecha y hora en el router.

a. En el panel de navegación izquierdo, seleccione Router > Time > Date and Time (Router > Hora >
Fecha y hora) para que aparezca la pantalla Additional Tasks > Date/Time (Tareas adicionales >
Fecha/hora) en el panel de contenido derecho. Haga clic en Change Settings... (Cambiar configuración).
b. En la ventana Date and Time Properties (Propiedades de fecha y hora), edite Date (Fecha), Time (Hora)
y Time Zone (Zona horaria). Haga clic en Apply (Aplicar).
c. En la ventana de configuración del reloj de Router, haga clic en OK. En la ventana Date and Time
Properties, haga clic en Close (Cerrar).
Paso 4. Agregue una cuenta de usuario nueva a la base de datos local.

a. En el panel de navegación izquierdo, seleccione Router > Router Access > User Accounts/View
(Router > Acceso al router > Cuentas de usuario/Ver) para visualizar la pantalla Additional Tasks > User
Accounts/View en el panel de contenido derecho. Haga clic en el botón Add… (Agregar).
b. Introduzca ccpadmin en el campo Username: (Nombre de usuario:). Introduzca ciscoccppass en los

campos New Password: (Contraseña nueva:) y Confirm New Password: (Confirmar contraseña nueva:).
Seleccione 15 en la lista desplegable Privilege Level: (Nivel de privilegio). Haga clic en OK para agregar
este usuario a la base de datos local.
c. En la ventana Deliver Configuration to Device (Entregar configuración al dispositivo), haga clic en la

casilla de verificación Save running config to device’s startup config y luego haga clic en Deliver.
d. Revise la información en la ventana Commands Delivery Status y haga clic en OK. La cuenta de usuario
nueva debería aparecer en el panel de contenido derecho.
Paso 5. editar la configuración de las líneas vty.

a. En el panel de navegación izquierdo, seleccione Router Access > VTY (Acceso al router > VTY) para
visualizar la ventana Additional Tasks > VTYs (Tareas adicionales > VTY) en el panel de contenido
derecho. Haga clic en Edit… (Editar).
b. En la ventana Edit VTY Lines (Editar líneas vty), modifique el campo Time out: (Tiempo de espera) y
establézcalo en 15 minutos. Haga clic en la casilla de verificación Input Protocol > Telnet (Protocolo de
entrada > Telnet). Revise las otras opciones disponibles. También seleccione la casilla de verificación
SSH. A continuación, haga clic en Aceptar.
c. En la pantalla Deliver Configuration to Device, revise los comandos que se entregarán a la configuración
en ejecución y haga clic en Deliver. En la ventana Commands Delivery Status, haga clic en OK. El panel
de contenido derecho debería reflejar los cambios efectuados en el valor de tiempo de espera de
ejecución.
Parte 6. usar utilidades de CCP

En la parte 6, utilizará el panel Utilities (Utilidades) para guardar la configuración en ejecución del router en la
configuración de inicio. Usará la utilidad Ping para probar la conectividad de red y la utilidad View (Ver) para
visualizar la configuración en ejecución del router. Por último, cerrará CCP.
Paso 1. guardar la configuración en ejecución del router en la configuración de inicio.

a. En la parte inferior del panel de navegación izquierdo, busque el panel Utilities (Utilidades). Haga clic en
Write to Startup Configuration (Escribir en la configuración de inicio).
b. El panel de contenido muestra una pantalla de confirmación. Haga clic en Confirmar. Aparece una
ventana que le informa que la configuración se guardó correctamente. Haga clic en Aceptar.
Paso 2. usar la utilidad Ping para probar la conectividad a la PC-B.

a. En el panel Utilities (Utilidades), haga clic en Ping and Traceroute (Ping y traceroute) para mostrar la
pantalla Ping and Traceroute en el panel de contenido. Introduzca 192.168.0.3 en el campo Destination*:
(Destino*:) y luego haga clic en Ping. Use la barra de desplazamiento ubicada a la derecha del cuadro
de resultados para ver los resultados del ping.
Paso 3. Use la utilidad View para visualizar la configuración en ejecución del router.
a. En el panel Utilities, haga clic en View > IOS Show Commands (Ver > Comandos show de IOS) para
visualizar la pantalla IOS Show Commands en el panel de contenido.
b. Seleccione show run en la lista desplegable y haga clic en Show (Mostrar). La configuración en
ejecución del router se muestra en el panel de contenido.
Paso 4. cerrar CCP.

Cierre la ventana de CCP. Cuando aparezca una ventana de confirmación de Windows Internet Explorer,
haga clic en Salir de esta página.
Reflexión
1. ¿Qué protocolo de transporte usa CCP para acceder al router, y qué comandos se usan para permitir el
acceso?
CCP utiliza el protocolo HTTP o HTTPS para acceder al router. Para permitir el acceso de CCP, se usan los
comandos “ip http server o ip http secure-server”
2. ¿Qué comando del router le indica a CCP que use la base de datos local para la autenticación?
Ip http authentication local
3. ¿Qué otros comandos show se encuentran disponibles en el panel Utilities de CCP?
Show run, show flash, show startup-config, show access-lists, show diag, show interfaces, show version, show
tech-support, show environment.
4. ¿Por qué usaría CCP en vez de la CLI del IOS?
Si tiene que configurar características complejas como una VPN o un Firewall, CCP puede facilitar el proceso
con menús y asistentes y no requiere que tenga un conocimiento profundo de los comandos IOS. Además, al
introducir comandos de IOS, se pueden cometer errores de pulsación de tecla. CCP genera los comandos de
IOS equivalentes
Modelo de Interfaz Ethernet #1 Interfaz Ethernet Interfaz serial #1 Interfaz serial n.º 2
router n.º 2
(F0/0) (F0/1)
(G0/0) (G0/1)
(F0/0) (F0/1)
(F0/0) (F0/1)
(G0/0) (G0/1)
Packet Tracer: configuración de routing entre VLAN con router-on-a-stick
Packet Tracer: configuración de routing entre VLAN con router-

on-a-stick
Topología
Máscara de Gateway
Dispositivo Interfaz Dirección IPv4 subred predeterminado
G0/0.10 172.17.10.1 255.255.255.0 N/A

R1
G0/0.30 172.17.30.1 255.255.255.0 N/A
PC1 NIC 172.17.10.10 255.255.255.0 172.17.10.1
PC2 NIC 172.17.30.10 255.255.255.0 172.17.30.1
Objetivos
Parte 1: probar la conectividad sin routing entre VLAN
Parte 2: agregar VLAN a un switch
Parte 3: configurar subinterfaces
Parte 4: probar la conectividad con routing entre VLAN
Situación
En esta actividad, verificará la conectividad antes de implementar el routing entre VLAN. Luego, configurará
las VLAN y el routing entre VLAN. Por último, habilitará el enlace troncal y verificará la conectividad entre las
VLAN.
Parte 1: Probar conectividad sin routing entre VLAN

Paso 1: hacer ping entre la PC1 y la PC3.
Espere a que converjan los switches o haga clic en Fast Forward Time (Adelantar el tiempo) varias veces.
Cuando las luces de enlace para la PC1 y la PC3 estén de color verde, haga ping entre la PC1 y la PC3.
Como las dos computadoras están en redes separadas y el R1 no está configurado, el ping falla.
Paso 2: pasar al modo de simulación para controlar los pings.

a. Para pasar al modo Simulation (Simulación), haga clic en la ficha Simulation o presione Mayús+S.
b. Haga clic en Capture/Forward (Capturar/Adelantar) para ver los pasos que sigue el ping entre la PC1
y la PC3. Observe que el ping nunca deja la PC1. ¿Qué proceso falló y por qué?
El proceso ARP falló porque la solicitud ARP fue eliminada por PC3. PC1 y PC3 no están en la misma
red, por lo que PC1 nunca obtiene la dirección MAC para PC3. Sin una dirección MAC, la PC1 no puede crear
una solicitud de eco ICMP.
Parte 2: agregar VLAN a un switch
Paso 1: crear VLAN en el S1.

Vuelva al modo Realtime (Tiempo real) y cree la VLAN 10 y la VLAN 30 en el S1.
Paso 2: Asignar VLAN a puertos.

a. Configure las interfaces F0/6 y F0/11 como puertos de acceso y asigne las VLAN.
• Asigne la PC1 a la VLAN 10.
• Asigne la PC3 a la VLAN 30.
b. Emita el comando show vlan brief para verificar la configuración de VLAN.

S1# show vlan brief

---- -------------------------------- --------- -------------------------------
Fa0/5, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/1, Gig0/2
10 VLAN0010 active Fa0/11
30 VLAN0030 active Fa0/6
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Paso 3: probar la conectividad entre la PC1 y la PC3.

En la PC1, haga ping a la PC3. Los pings deberían seguir fallando. ¿Por qué fallaron los pings?
____________________________________________________________________________________
____________________________________________________________________________________
Cada VLAN es una red separada y requiere un enrutador o un conmutador de capa 3 para
proporcionar comunicación entre ellos.
Parte 3: configurar subinterfaces

Paso 1: configurar las subinterfaces en el R1 con la encapsulación 802.1Q.
a. Cree la subinterfaz G0/0.10.
• Establezca el tipo de encapsulación en 802.1Q y asigne la VLAN 10 a la subinterfaz.
• Consulte la tabla de direccionamiento y asigne la dirección IP correcta a la subinterfaz.
b. Repita el proceso para la subinterfaz G0/0.30.
Paso 2: verificar la configuración.

a. Utilice el comando show ip interface brief para verificar la configuración de las subinterfaces. Ambas
subinterfaces están inactivas. Las subinterfaces son interfaces virtuales que se asocian a una interfaz
física. Por lo tanto, para habilitar las subinterfaces, debe habilitar la interfaz física a la que se asocian.
b. Habilite la interfaz G0/0. Verifique que las subinterfaces ahora estén activas.
Parte 4: probar la conectividad con routing entre VLAN
Paso 1: hacer ping entre la PC1 y la PC3.

En la PC1, haga ping a la PC3. Los pings deberían seguir fallando.
Paso 2: habilitar el enlace troncal.

a. En el S1, emita el comando show vlan. ¿A qué VLAN se asignó la interfaz G0/1?
b. Como el router se configuró con varias subinterfaces asignadas a diferentes VLAN, el puerto de switch
que se conecta al router se debe configurar como enlace troncal. Habilite el enlace troncal en la interfaz
G0/1.
a. ¿Cómo puede determinar que la interfaz es un puerto de enlace troncal mediante el comando show
vlan?
____________________________________________________________________________________
La interfaz ya no figura en VLAN 1.
b. Emita el comando show interface trunk para verificar que la interfaz se haya configurado como enlace
troncal.
Paso 3: pasar al modo de simulación para controlar los pings.

a. Para pasar al modo Simulation (Simulación), haga clic en la ficha Simulation o presione Mayús+S.
b. Haga clic en Capture/Forward (Capturar/Adelantar) para ver los pasos que sigue el ping entre la PC1
y la PC3.
c. Debería ver solicitudes y respuestas de ARP entre el S1 y el R1. Luego, solicitudes y respuestas de ARP
entre el R1 y el S3. De esta manera, la PC1 puede encapsular una solicitud de eco ICMP con la
información de capa de enlace de datos correspondiente, y el R1 enruta la solicitud a la PC3.
Nota: una vez finalizado el proceso ARP, es posible que deba hacer clic en Reset Simulation
(Restablecer simulación) para ver el proceso ICMP completo.
Tabla de calificación sugerida

Packet Tracer tiene una puntuación de 60 puntos. Las cuatro preguntas valen 10 puntos cada una.
Práctica de laboratorio: configuración de routing entre VLAN
basado en enlaces troncales 802.1Q
Topología
Práctica de laboratorio: configuración de routing entre VLAN basado en enlaces troncales 802.1Q
Dispositivo Interfaz Dirección IP Máscara de subred Gateway predeterminado
R1 G0/1.1 192.168.1.1 255.255.255.0 N/A

G0/1.10 192.168.10.1 255.255.255.0 N/A
G0/1.20 192.168.20.1 255.255.255.0 N/A
Lo0 209.165.200.225 255.255.255.224 N/A
S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
S2 VLAN 1 192.168.1.12 255.255.255.0 192.168.1.1
PC-A NIC 192.168.10.3 255.255.255.0 192.168.10.1
PC-B NIC 192.168.20.3 255.255.255.0 192.168.20.1
Especificaciones de la asignación de puertos de switch
Puertos Asignaciones Red
S1 F0/1 Enlace troncal de 802.1Q N/A

S1 F0/6 VLAN 10: Estudiantes 192.168.10.0/24
S2 F0/18 VLAN 20: Cuerpo docente 192.168.20.0/24
Objetivos
Parte 2: configurar switches con VLAN y enlaces troncales
Parte 3: configurar routing entre VLAN basado en enlaces troncales
Un segundo método para proporcionar routing y conectividad a varias VLAN es mediante el uso de un enlace
troncal 802.1Q entre uno o más switches y una única interfaz del router. Este método también se conoce
como “routing entre VLAN con router-on-a-stick”. En este método, se divide la interfaz física del router en
varias subinterfaces que proporcionan rutas lógicas a todas las VLAN conectadas.
En esta práctica de laboratorio, configurará el routing entre VLAN basado en enlaces troncales y verificará la
conectividad a los hosts en diferentes VLAN y con un loopback en el router.
Nota: en esta práctica de laboratorio, se proporciona la ayuda mínima relativa a los comandos que
efectivamente se necesitan para configurar el routing entre VLAN basado en enlaces troncales. Sin embargo,
los comandos requeridos para la configuración se proporcionan en el apéndice A. Ponga a prueba su
conocimiento e intente configurar los dispositivos sin consultar el apéndice.
prácticas de laboratorio. Consulte la tabla Resumen de interfaces del router que se encuentra al final de la
Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte con el instructor.
Recursos necesarios
• 1 router (Cisco 1941 con IOS de Cisco, versión 15.2(4)M3, imagen universal o similar)
• 2 switches (Cisco 2960 con IOS de Cisco, versión 15.0(2), imagen lanbasek9 o similar)
Parte 1: armar la red y configurar los parámetros básicos de los

dispositivos
En la parte 1, configurará la topología de la red y configurará los parámetros básicos en los equipos host, los
switches y el router.
Paso 2. configurar los equipos host.
Paso 3. inicializar y volver a cargar los routers y switches, según sea necesario.

b. Configure los nombres de los dispositivos como se muestra en la topología.
d. Asigne cisco como la contraseña de consola y la contraseña de vty.
e. Configure logging synchronous para la línea de consola.
f. Configure la dirección IP que se indica en la tabla de direccionamiento para la VLAN 1 en ambos

switches.
g. Configure el gateway predeterminado en los dos switches.
h. Desactive administrativamente todos los puertos que no se usen en el switch.
i. Copie la configuración en ejecución en la configuración de inicio
Paso 5. configurar los parámetros básicos para el router.

b. Configure los nombres de los dispositivos como se muestra en la topología.
c. Configure la dirección IP Lo0, como se muestra en la tabla de direccionamiento. No configure las

subinterfaces en esta instancia; esto lo hará en la parte 3.
d. Asigne cisco como la contraseña de consola y la contraseña de vty.
e. Asigne class como la contraseña del modo EXEC privilegiado.
f. Configure logging synchronous para evitar que los mensajes de consola interrumpan la entrada de
comandos.
g. Copie la configuración en ejecución en la configuración de inicio
Parte 2: configurar los switches con las VLAN y los enlaces troncales
En la parte 2, configurará los switches con las VLAN y los enlaces troncales.
Nota: los comandos requeridos para la parte 2 se proporcionan en el apéndice A. Ponga a prueba su
conocimiento e intente configurar el S1 y el S2 sin consultar el apéndice.
Paso 1. Configurar las VLAN en S1.

a. En el S1, configure las VLAN y los nombres que se indican en la tabla Especificaciones de la asignación
de puertos de switch. En el espacio proporcionado, escriba los comandos que utilizó.
S1(config)# vlan 10
S1(config-vlan)# name Students
b. En el S1, configure la interfaz conectada al R1 como enlace troncal. También configure la interfaz
conectada al S2 como enlace troncal. En el espacio proporcionado, escriba los comandos que utilizó.
c. En el S1, asigne el puerto de acceso para la PC-A a la VLAN 10. En el espacio proporcionado, escriba
los comandos que utilizó.
Paso 2. configurar las VLAN en el switch 2.

a. En el S2, configure las VLAN y los nombres que se indican en la tabla Especificaciones de la asignación
de puertos de switch.
b. En el S2, verifique que los nombres y números de las VLAN coincidan con los del S1. En el espacio
proporcionado, escriba el comando que utilizó.
S1# Show vlan brief
S1# Show interface trunk

c. En el S2, asigne el puerto de acceso para la PC-B a la VLAN 20.
d. En el S2, configure la interfaz conectada al S1 como enlace troncal.

Parte 3: configurar routing entre VLAN basado en enlaces troncales

En la parte 3, configurará el R1 para enrutar a varias VLAN mediante la creación de subinterfaces para cada
VLAN. Este método de routing entre VLAN se denomina “router-on-a-stick”.
Nota: los comandos requeridos para la parte 3 se proporcionan en el apéndice A. Ponga a prueba su
conocimiento e intente configurar el routing entre VLAN basado en enlaces troncales o con router-on-a-stick
sin consultar el apéndice.
Paso 1. configurar una subinterfaz para la VLAN 1.

a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 1 y use el 1 como ID de la subinterfaz. En
el espacio proporcionado, escriba el comando que utilizó.
R1(config)# interface g0/1.1
b. Configure la subinterfaz para que opere en la VLAN 1. En el espacio proporcionado, escriba el comando
que utilizó.
R1(config-subif)# encapsulation dot1Q 1
c. Configure la subinterfaz con la dirección IP de la tabla de direccionamiento. En el espacio proporcionado,

escriba el comando que utilizó.
R1(config-subif)# ip address 192.168.1.1 255.255.255.0

a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 10 y use el 10 como ID de la subinterfaz.
R1(config-subif)# interface g0/1.10
b. Configure la subinterfaz para que opere en la VLAN 10.

c. Configure la subinterfaz con la dirección de la tabla de direccionamiento.


a. Cree una subinterfaz en la interfaz G0/1 del R1 para la VLAN 20 y use el 20 como ID de la subinterfaz.
b. Configure la subinterfaz para que opere en la VLAN 20.

c. Configure la subinterfaz con la dirección de la tabla de direccionamiento.

Paso 4. habilitar la interfaz G0/1.

Habilite la interfaz G0/1. En el espacio proporcionado, escriba los comandos que utilizó.
Paso 5. Verifique la conectividad.

Introduzca el comando para ver la tabla de routing en el R1. ¿Qué redes se enumeran?
R1#show ip route
¿Es posible hacer ping de la PC-A al gateway predeterminado de la VLAN 10? SI
¿Es posible hacer ping de la PC-A a la PC-B? SI
¿Es posible hacer ping de la PC-A a la interfaz Lo0? SI
¿Es posible hacer ping de la PC-A al S2? SI
Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija los
errores.
Reflexión
¿Cuáles son las ventajas del routing entre VLAN basado en enlaces troncales comparado con el routing
entre VLAN con router-on-a-stick?
l routing entre VLAN con router-on-a-stick permite que la interfaz enrute a varias VLAN a diferencia del
método de routing entre VLAN anterior, que requiere un puerto por cada VLAN.
Modelo de Interfaz Ethernet #1 Interfaz Ethernet n.º 2 Interfaz serial #1 Interfaz serial n.º 2
router
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1
(F0/0) (S0/0/1)
1900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1
(G0/0) (G0/1) (S0/0/1)
(F0/0) (S0/1/1)
(F0/0) (S0/0/1)
2900 Gigabit Ethernet 0/0 Gigabit Ethernet 0/1 Serial 0/0/0 (S0/0/0) Serial 0/0/1
(G0/0) (G0/1) (S0/0/1)
Apéndice A: comandos de configuración
Switch S1
S1(config)# vlan 10
Switch S2
S2(config)# vlan 10
Router R1
R1(config)# interface g0/1.1
R1(config-subif)# exit
Práctica de laboratorio: configuración de rutas estáticas y
predeterminadas IPv4
Topología
Máscara de Gateway
R1 G0/1 192.168.0.1 255.255.255.0 N/A

S0/0/1 10.1.1.1 255.255.255.252 N/A
R3 G0/1 192.168.1.1 255.255.255.0 N/A
S0/0/0 (DCE) 10.1.1.2 255.255.255.252 N/A
Lo0 209.165.200.225 255.255.255.224 N/A
Lo1 198.133.219.1 255.255.255.0 N/A
PC-A NIC 192.168.0.10 255.255.255.0 192.168.0.1
PC-C NIC 192.168.1.10 255.255.255.0 192.168.1.1
Práctica de laboratorio: configuración de rutas estáticas y predeterminadas IPv4
Objetivos
Parte 2: configurar los parámetros básicos de los dispositivos y verificar la conectividad
Parte 3: configurar rutas estáticas
• Configurar una ruta estática recursiva.
• Configurar una ruta estática conectada directamente.
• Configurar y eliminar rutas estáticas.
Parte 4: configurar y verificar una ruta predeterminada
Un router utiliza una tabla de enrutamiento para determinar a dónde enviar los paquetes. La tabla de routing
consta de un conjunto de rutas que describen el gateway o la interfaz que el router usa para llegar a una red
especificada. Inicialmente, la tabla de routing contiene solo redes conectadas directamente. Para
comunicarse con redes distantes, se deben especificar las rutas, que deben agregarse a la tabla de routing.
En esta práctica de laboratorio, configurará manualmente una ruta estática a una red distante especificada
sobre la base de una dirección IP del siguiente salto o una interfaz de salida. También configurará una ruta
estática predeterminada. Una ruta predeterminada es un tipo de ruta estática que especifica el gateway que
se va a utilizar cuando la tabla de routing no incluye una ruta para la red de destino.
efectivamente se necesitan para configurar el routing estático. Sin embargo, los comandos requeridos se
proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin
consultar el apéndice.
Nota: asegúrese de que los routers y los switches se hayan borrado y no tengan configuraciones de inicio. Si
no está seguro, consulte con el instructor.
Recursos necesarios
• 2 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen universal o similar)
• Cables Ethernet y seriales, como se muestra en la topología
Parte 2. configurar los parámetros básicos de los dispositivos y verificar

la conectividad
En la parte 2, configurará los parámetros básicos, como las direcciones IP de interfaz, el acceso a
dispositivos y las contraseñas. Verificará la conectividad LAN e identificará las rutas que se indican en las
tablas de routing del R1 y el R3.
Paso 2. configurar los parámetros básicos en los routers.

a. Configure los nombres de los dispositivos, como se muestra en la topología y en la tabla de
direccionamiento.
c. Asigne class como la contraseña de enable y asigne cisco como la contraseña de consola y la
contraseña de vty.
d. Guarde la configuración en ejecución en el archivo de configuración de inicio.
Paso 3. configurar los parámetros IP en los routers.

a. Configure las interfaces del R1 y el R3 con direcciones IP según la tabla de direccionamiento.
b. La conexión S0/0/0 es la conexión DCE y requiere el comando clock rate. A continuación, se muestra la
configuración de la interfaz S0/0/0 del R3.
R3(config)# interface s0/0/0
R3(config-if)# clock rate 128000
Paso 4. verificar la conectividad de las LAN.

a. Para probar la conectividad, haga ping de cada computadora al gateway predeterminado que se
configuró para ese host.
¿Es posible hacer ping de la PC-A al gateway predeterminado? Si
¿Es posible hacer ping de la PC-C al gateway predeterminado? Si
b. Para probar la conectividad, haga ping entre los routers conectados directamente.
¿Es posible hacer ping del R1 a la interfaz S0/0/0 del R3? Si
Si la respuesta a cualquiera de estas preguntas es no, resuelva los problemas de configuración y corrija
el error.
c. Pruebe la conectividad entre los dispositivos que no están conectados directamente.
¿Es posible hacer ping de la PC-A a la PC-C? No
¿Es posible hacer ping de la PC-A a la interfaz Lo0? No
¿Es posible hacer ping de la PC-A a la interfaz Lo1? No

¿Los pings eran correctos? ¿Por qué o por qué no?
Para R1, R3 ping no tiene éxito porque no hay ningún protocolo en uso y R3 aún no se especifica como
una ruta. Por lo tanto, R3 no puede ser visto en la tabla de enrutamiento, por lo tanto, no hay conexión
entre los dos.
Paso 5. reunir información.

a. Revise el estado de las interfaces en el R1 con el comando show ip interface brief.
¿Cuántas interfaces están activadas en el R1? 2
b. Revise el estado de las interfaces en el R3.
¿Cuántas interfaces están activadas en el R3? 4
c. Vea la información de la tabla de routing del R1 con el comando show ip route.
¿Qué redes están presentes en la tabla de direccionamiento de esta práctica de laboratorio, pero no en
la tabla de routing del R1?
R//=Incluye redes en 192.168.0.0 y los dos interfaces de bucle invertido en R3 no están incluidos en la
tabla de enrutamiento.
d. Vea la información de la tabla de routing para el R3.
¿Qué redes están presentes en la tabla de direccionamiento de esta práctica de laboratorio, pero no en
la tabla de routing del R3?
R//= La red 192.168.0.0 no está incluido en la tabla de enrutamiento.
¿Por qué ninguna de las redes está presente en las tablas de enrutamiento para cada uno de los
routers?
R//= Es suficiente con saber sólo las redes que están al lado de él. Esto evita que el router de ser
atacado con demasiada información, que a su vez, se pone lenta la CPU cuando se hace búsqueda
recurrente.
Parte 3. Configure las rutas estáticas.

En la parte 3, empleará varias formas de implementar rutas estáticas y predeterminadas, confirmará si las
rutas se agregaron a las tablas de routing del R1 y el R3, y verificará la conectividad sobre la base de las
rutas introducidas.
efectivamente se necesitan para configurar el routing estático. Sin embargo, los comandos requeridos se
proporcionan en el apéndice A. Ponga a prueba su conocimiento e intente configurar los dispositivos sin
consultar el apéndice.
Paso 1. Configure una ruta estática recursiva.

Con una ruta estática recursiva, se especifica la dirección IP del siguiente salto. Debido a que solo se
especifica la IP de siguiente salto, el router tiene que hacer varias búsquedas en la tabla de routing antes de
reenviar paquetes. Para configurar rutas estáticas recursivas, utilice la siguiente sintaxis:
Router(config)# ip route dirección-red máscara-subred dirección-ip
a. En el router R1, configure una ruta estática a la red 192.168.1.0 utilizando la dirección IP de la interfaz
serial 0/0/0 del R3 como la dirección de siguiente salto. En el espacio proporcionado, escriba el comando
que utilizó.
ip route 192.168.1.0 255.255.255.0 10.1.1.2
b. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática.

¿Cómo se indica esta ruta nueva en la tabla de routing?
S 192.168.1.0/24 [1/0] via 10.1.1
¿Es posible hacer ping del host PC-A host a al host PC-C? No
Estos pings deben fallar. Si la ruta estática recursiva se configuró correctamente, el ping llega a la PC-C.
La PC-C envía un ping de respuesta a la PC-A. Sin embargo, este ping se descarta en el R3, porque el
R3 no tiene una ruta de retorno a la red 192.168.0.0 en la tabla de routing.
Paso 2. configurar una ruta estática conectada directamente.

Con una ruta estática conectada directamente, se especifica el parámetro interfaz-salida, que permite que el
router resuelva una decisión de reenvío con una sola búsqueda. En general, una ruta estática conectada
directamente se utiliza con una interfaz serial punto a punto. Para configurar rutas estáticas conectadas
directamente con una interfaz de salida especificada, utilice la siguiente sintaxis:
Router(config)# ip route dirección-red máscara-subred interfaz-salida
a. En el router R3, configure una ruta estática a la red 192.168.0.0 con la interfaz S0/0/0 como la interfaz de
salida. En el espacio proporcionado, escriba el comando que utilizó.
ip route 192.168.0.0 255.255.255.0 s0/0/0
S 192.168.0.0/24 is directly connected, Serial0/0/0
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
c. ¿Es posible hacer ping del host PC-A host a al host PC-C? Si
Este ping debe tener éxito.
Paso 3. configurar una ruta estática.

a. En el router R1, configure una ruta estática a la red 198.133.219.0 utilizando una de las opciones de
configuración de ruta estática de los pasos anteriores. En el espacio proporcionado, escriba el comando
que utilizó.
Ip route 198.133.219.0 255.255.2550 s/0/0/1
b. En el router R1, configure una ruta estática a la red 209.165.200.224 en el R3 utilizando la otra opción de
configuración de ruta estática de los pasos anteriores. En el espacio proporcionado, escriba el comando
que utilizó.
Ip route 209.165.200.224 255.255.255.224 s/0/0/1_
c. Observe la tabla de enrutamiento para verificar la entrada de la nueva ruta estática.
S 198.133.219.0/24 is directly connected, Serial0/0/1
209.165.200.0/27 is subnetted, 1 subnets
d. ¿Es posible hacer ping del host PC-A a la dirección 198.133.219.1 del R1? Si
Este ping debe tener éxito.
Paso 4. Elimine las rutas estáticas de las direcciones de loopback.

a. En el R1, utilice el comando no para eliminar las rutas estáticas de las dos direcciones de loopback de la
tabla de routing. En el espacio proporcionado, escriba los comandos que utilizó.
No ip route 198.133.219.0 255.255.255.0
No ip route 209.165.200.224 255.255.255.224
b. Observe la tabla de routing para verificar si se eliminaron las rutas.

¿Cuántas rutas de red se indican en la tabla de routing del R1? 3
¿El gateway de último recurso está establecido? Si
Parte 4. configurar y verificar una ruta predeterminada

En la parte 4, implementará una ruta predeterminada, confirmará si la ruta se agregó a la tabla de routing y
verificará la conectividad sobre la base de la ruta introducida.
Una ruta predeterminada identifica el gateway al cual el router envía todos los paquetes IP para los que no
tiene una ruta descubierta o estática. Una ruta estática predeterminada es una ruta estática con 0.0.0.0 como
dirección IP y máscara de subred de destino. Comúnmente, esta ruta se denomina “ruta de cuádruple cero”.
En una ruta predeterminada, se puede especificar la dirección IP del siguiente salto o la interfaz de salida.
Para configurar una ruta estática predeterminada, utilice la siguiente sintaxis:
Router(config)# ip route 0.0.0.0 0.0.0.0 {ip-address or exit-intf}
a. Configure el router R1 con una ruta predeterminada que utilice la interfaz de salida S0/0/1. En el espacio
proporcionado, escriba el comando que utilizó.
ip route 0.0.0.0 0.0.0.0 s0/0/1_
S* 0.0.0.0/0 is directly connected, Serial0/0/1_
¿Cuál es el gateway de último recurso?
Gateway of last resort is 0.0.0.0 to network 0.0.0.0_
c. ¿Es posible hacer ping del host PC-A a 209.165.200.225? Si
d. ¿Es posible hacer ping del host PC-A a 198.133.219.1? Si
Estos pings deben tener éxito.
Reflexión
1. Una nueva red 192.168.3.0/24 está conectada a la interfaz G0/0 del R1. ¿Qué comandos podrían utilizarse
para configurar una ruta estática a esa red desde el R3?
R//= Un comando puede ser: la ruta del IP 192.168.3.0 255.255.255.0 g0 / 0

1. ¿Ofrece alguna ventaja configurar una ruta estática conectada directamente, en vez de una ruta estática?
Sí, uno de los beneficios es que se reduce la carga en la CPU cada vez que no tiene que hacer una
búsqueda recurrente.
2. ¿Por qué es importante configurar una ruta predeterminada en un router?

Es importante porque si un destino no está en la ruta, podría encontrar su destino por salir de esa red a
través de la ruta por defecto dado.
Modelo de Interfaz Ethernet #1 Interfaz Ethernet n.º 2 Interfaz serial #1 Interfaz serial n.º 2
router
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
(F0/0)
(G0/0) (G0/1)
(F0/0)
(F0/0)
(G0/0) (G0/1)
Apéndice A: comandos de configuración para las partes 2, 3 y 4

Los comandos que se indican en el apéndice A sirven exclusivamente como referencia. Este apéndice no
incluye todos los comandos específicos que se necesitan para completar esta práctica de laboratorio.
Configuración básica de los dispositivos

Configure los parámetros IP en el router.
R3(config)# interface s0/0/0
Configuraciones de rutas estáticas

Configure una ruta estática recursiva.
R1(config)# ip route 192.168.1.0 255.255.255.0 10.1.1.2
Configure una ruta estática conectada directamente.
R3(config)# ip route 192.168.0.0 255.255.255.0 s0/0/0
Elimine las rutas estáticas.
R1(config)# no ip route 209.165.200.224 255.255.255.224 serial0/0/1
o
R1(config)# no ip route 209.165.200.224 255.255.255.224 10.1.1.2

o
R1(config)# no ip route 209.165.200.224 255.255.255.224
Configuración de rutas predeterminadas

R1(config)# ip route 0.0.0.0 0.0.0.0 s0/0/1
6.2.4.5
Lab - Configuring IPv6 Static and Default Routes
Topología
Dispositiv Interfa Dirección IPv6/longitud de Gateway

o z prefijo predeterminado
R1 G0/1 2001:DB8:ACAD:A::/64 eui-64 N/A

S0/0/1 FC00::1/64 N/A
R3 G0/1 2001:DB8:ACAD:B::/64 eui-64 N/A
S0/0/0 FC00::2/64 N/A
PC-A NIC SLAAC SLAAC
PC-C NIC SLAAC SLAAC

dispositivos
En la parte 1, realizará el cableado de la red y la configurará para que
establezca la comunicación utilizando direccionamiento IPv6.
Paso 1. Realice el cableado de red tal como se muestra en el diagrama de
topología.
Paso 2. inicializar y volver a cargar los routers y los switches.
Paso 3. habilitar el routing de unidifusión IPv6 y configurar el

direccionamiento IPv6 en los routers.
a. Mediante Tera Term, acceda al router etiquetado R1 en el diagrama de la
topología mediante el puerto de consola y asígnele el nombre R1.
b. En el modo de configuración global, habilite el routing IPv6 en el R1.

c. Configure las interfaces de red en el R1 con direcciones IPv6. Observe que
IPv6 está habilitado en cada interfaz. La interfaz G0/1 tiene una dirección
de unidifusión enrutable globalmente, y se utiliza EUI-64 para crear la
porción del identificador de la interfaz de la dirección. La interfaz S0/0/1
tiene una dirección local única y enrutable de forma privada, que se
recomienda para las conexiones seriales punto a punto.
R1(config-if)# ipv6 address 2001:DB8:ACAD:A::/64 eui-64
R1(config-if)# interface serial 0/0/1
R1(config-if)# ipv6 address FC00::1/64
R1(config-if)# exit
d. Asigne un nombre de dispositivo al router R3.

e. En el modo de configuración global, habilite el routing IPv6 en el R3.
f. Configure las interfaces de red en el R3 con direcciones IPv6. Observe que
IPv6 está habilitado en cada interfaz. La interfaz G0/1 tiene una dirección
de unidifusión enrutable globalmente, y se utiliza EUI-64 para crear la
porción del identificador de la interfaz de la dirección. La interfaz S0/0/0
tiene una dirección local única y enrutable de forma privada, que se
recomienda para las conexiones seriales punto a punto. La frecuencia de
reloj está establecida, porque es el extremo del DCE del cable serial.
R3(config)# interface gigabit 0/1
R3(config-if)# ipv6 address 2001:DB8:ACAD:B::/64 eui-64
R3(config-if)# interface serial 0/0/0
R3(config-if)# ipv6 address FC00::2/64
R3(config-if)# exit
Paso 4. deshabilitar el direccionamiento IPv4 y habilitar SLAAC de IPv6 para
las interfaces de red de las computadoras.
a. En la PC-A y la PC-C, navegue hasta el menú Inicio > Panel de control.
Haga clic en el enlace Centro de redes y recursos compartidos en la
vista por íconos. En la ventana Centro de redes y recursos compartidos,
haga clic en el enlace Cambiar configuración del adaptador, que se
encuentra en el lado izquierdo de la ventana, para abrir la ventana
Conexiones de red.
b. En la ventana Conexiones de red, verá los íconos de los adaptadores de
interfaz de red. Haga doble clic en el ícono de Conexión de área local de la
interfaz de red de la computadora que está conectada al switch. Haga clic
en Propiedades para abrir la ventana de diálogo Propiedades de conexión
de área local.
c. Con la ventana Propiedades de conexión de área local abierta, desplácese
hacia abajo por los elementos y desactive la casilla de verificación del
elemento Protocolo de Internet versión 4 (TCP/IPv4) para deshabilitar el
protocolo IPv4 en la interfaz de red.
d. Con la ventana Propiedades de conexión de área local todavía abierta,
haga clic en la casilla de verificación Protocolo de Internet versión 6
(TCP/IPv6) y luego en Propiedades.
e. Con la ventana Propiedades > Protocolo de Internet versión 6 (TCP/IPv6)
abierta, verifique que los botones de opción Obtener una dirección IPv6
automáticamente y Obtener la dirección del servidor DNS
automáticamente estén seleccionados. Si no lo están, selecciónelos.
f. Si las computadoras están configuradas para obtener una dirección IPv6
automáticamente, se comunicarán con los routers para obtener la
información del gateway y de la subred de la red y configurarán
automáticamente la información de la dirección IPv6. En el siguiente paso,
verificará la configuración.
Paso 5. usar ipconfig y ping para verificar la conectividad LAN.
g. En la PC-A, abra un símbolo del sistema, escriba ipconfig /all y presione
Enter. El resultado debe ser similar al que se muestra a continuación. En el
resultado, debería ver que la computadora ahora tiene una dirección IPv6
de unidifusión global, una dirección IPv6 link-local y una dirección IPv6 link-
local de gateway predeterminado. Es posible que también vea una dirección
IPv6 temporal y, en direcciones del servidor DNS, tres direcciones locales
de sitio que empiezan con FEC0. Las direcciones locales de sitio son
direcciones privadas que tienen compatibilidad retrospectiva con NAT. Sin
embargo, no son compatibles con IPv6, y se reemplazaron con direcciones
locales únicas.
C:\Users\User1> ipconfig /all
Windows IP Configuration
<Output Omitted>
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel(R) 82577LC Gigabit Network Connection
Physical Address. . . . . . . . . : 1C-C1-DE-91-C3-5D
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . :
2001:db8:acad:a:7c0c:7493:218d:2f6c(Preferred)
Temporary IPv6 Address. . . . . . :
2001:db8:acad:a:bc40:133a:54e7:d497(Preferred)
Link-local IPv6 Address . . . . . : fe80::7c0c:7493:218d:2f6c%13(Preferred)
Default Gateway . . . . . . . . . : fe80::6273:5cff:fe0d:1a61%13
DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS over Tcpip. . . . . . . . : Disabled
Sobre la base de la implementación de la red y el resultado del comando

ipconfig /all, ¿la PC-A recibió información de direccionamiento IPv6 del
R1?
R/ No porque no se ha configurado el router para poder realizar un ping
entre las PC.
h. ¿Cuál es la dirección IPv6 de unidifusión global de la PC-A?
R/ 2001:DB8:ACAD:A:200:CFF:FE03:8755
i. ¿Cuál es la dirección IPv6 link-local de la PC-A?
R/ FE80::200:CFF:FE03:8755
j. ¿Cuál es la dirección IPv6 de gateway predeterminado de la PC-A?
R/ FE80::260:47FF:FE48:1B02
k. En la PC-A, use el comando ping -6 para emitir un ping IPv6 a la dirección
link-local de gateway predeterminado. Debería ver respuestas del router
R1.
C:\Users\User1> ping -6 <default-gateway-address>
¿La PC-A recibió respuestas al ping hizo que al R1?
l. Repita el paso 5a en la PC-C.
¿La PC-C recibió información de direccionamiento IPv6 del R3?
R/ Se debe realizar la configuración del router para asi poder realizar la
conexión deseada.
m. ¿Cuál es la dirección IPv6 de unidifusión global de la PC-C?
R/ 2001:DB8:ACAD:B:200:CFF:FEB9:9E2D
n. ¿Cuál es la dirección IPv6 link-local de la PC-C?
R/ FE80::200:CFF:FEB9:9E2D
o. ¿Cuál es la dirección IPv6 de gateway predeterminado de la PC-C?
R/ FE80::210:11FF:FEA4:9702
p. En la PC-C, use el comando ping -6 para hacer ping al gateway
predeterminado de la PC-C.
¿La PC-C recibió respuestas a los pings que hizo al R3?
q. Intente hacer ping -6 IPv6 de la PC-A a la dirección IPv6 de la PC-C.
C:\Users\User1> ping -6 PC-C-IPv6-address
¿El ping se realizó correctamente? ¿Por qué o por qué no?

R/ El ping se realizo correctamente,ya que la ipv6 quedo muy bien
configurada.
Paso 6. Use los comandos show para verificar la configuración de IPv6.

r. Revise el estado de las interfaces en el R1 con el comando show ipv6
interface brief.
¿Cuáles son las dos direcciones IPv6 de la interfaz G0/1 y qué tipo de
direcciones IPv6 son?
¿Cuáles son las dos direcciones IPv6 de la interfaz S0/0/1 y qué tipo de
direcciones IPv6 son?
s. Para ver información más detallada sobre las interfaces IPv6, escriba el
comando show ipv6 interface en el R1 y presione Enter.
¿Cuáles son las direcciones del grupo de multidifusión de la interfaz Gigabit
Ethernet 0/1?
¿Cuáles son las direcciones del grupo de multidifusión de la interfaz
S0/0/1?
¿Para qué se usa la dirección de multidifusión FF02::1?

R/ Se utiliza para comunicarse con los nodos
¿Para qué se usa la dirección de multidifusión FF02::2?
R/ Se utiliza para comunicarse con los segmentos.
¿Qué tipo de direcciones de multidifusión son FF02::1:FF00:1 y
FF02::1:FF0D:1A60 y para qué se usan?
R/ Se utiliza para resolver las direcciones ip entre los vecinos y son de tipo
multicas solicitadas
t. Vea la información de la tabla de routing IPv6 del R1 con el comando show
ipv6 route. La tabla de routing IPv6 debe tener dos rutas conectadas, una
para cada interfaz, y tres rutas locales, una para cada interfaz y otra para el
tráfico de multidifusión a una interfaz Null0.
¿De qué forma el resultado de la tabla de routing del R1 revela el motivo
por el que no pudo hacer ping de la PC-A a la PC-C?
Parte 2. configurar rutas estáticas y predeterminadas IPv6

En la parte 2, configurará rutas estáticas y predeterminadas IPv6 de tres
maneras distintas. Confirmará que las rutas se agreguen a las tablas de routing
y verificará que la conectividad entre la PC-A y la PC-C sea correcta.
Configurará tres tipos de rutas estáticas IPv6:
• Ruta estática IPv6 conectada directamente: una ruta estática conectada
directamente se crea al especificar la interfaz de salida.
• Ruta estática IPv6 recursiva: una ruta estática recursiva se crea al
especificar la dirección IP del siguiente salto. Este método requiere que el
router ejecute una búsqueda recursiva en la tabla de routing para identificar
la interfaz de salida.
• Ruta estática predeterminada IPv6: similar a una ruta IPv4 de cuádruple
cero, una ruta estática predeterminada IPv6 se crea al hacer que el prefijo
IPv6 de destino y la longitud de prefijo sean todos ceros, :: /0.
Paso 1. configurar una ruta estática IPv6 conectada directamente.

En una ruta estática IPv6 conectada directamente, la entrada de ruta especifica
la interfaz de salida del router. En general, una ruta estática conectada
directamente se utiliza con una interfaz serial punto a punto. Para configurar
una ruta estática IPv6 conectada directamente, utilice el siguiente formato de
comando:
Router(config)# ipv6 route <ipv6-prefix/prefix-length> <outgoing-interface-
type> <outgoing-interface-number>
a. En el router R1, configure una ruta estática IPv6 a la red
2001:DB8:ACAD:B::/64 en el R3 mediante la interfaz de salida S0/0/1 del
R1.
R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1
R1(config)#
b. Consulte la tabla de routing IPv6 para verificar la entrada de la ruta estática

nueva.
¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta que
se agregó recientemente a la tabla de routing?
c. Ahora que la ruta estática se configuró en el R1, ¿es posible hacer ping de
la PC-A al host PC-C?
Estos pings deben fallar. Si la ruta estática recursiva se configuró

correctamente, el ping llega a la PC-C. La PC-C envía un ping de respuesta
a la PC-A. Sin embargo, ese ping se descarta en el R3, porque el R3 no
tiene una ruta de retorno a la red 2001:DB8:ACAD:A::/64 en la tabla de
routing. Para hacer ping correctamente a través de la red, también debe
crear una ruta estática en el R3.
d. En el router R3, configure una ruta estática IPv6 a la red
2001:DB8:ACAD:A::/64, mediante la interfaz de salida S0/0/0 del R3.
R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0
R3(config)#
e. Ahora que ambos routers tienen rutas estáticas, intente hacer ping -6 de
IPv6 desde la PC-A hasta la dirección IPv6 de unidifusión global de la PC-
C.
¿El ping se realizó correctamente? ¿Por qué?
R/ Si porque se activo la ipv6 en el router 3.
Paso 2. configurar una ruta estática IPv6 recursiva.

En una ruta estática IPv6 recursiva, la entrada de ruta tiene la dirección IPv6
del router del siguiente salto. Para configurar una ruta estática IPv6 recursiva,
utilice el siguiente formato de comando:
Router(config)# ipv6 route <ipv6-prefix/prefix-length> <next-hop-ipv6-
address>
f. En el router R1, elimine la ruta estática conectada directamente y agregue
una ruta estática recursiva.
R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 serial 0/0/1
R1(config)# ipv6 route 2001:DB8:ACAD:B::/64 FC00::2
R1(config)# exit
g. En el router R3, elimine la ruta estática conectada directamente y agregue

una ruta estática recursiva.
R3(config)# no ipv6 route 2001:DB8:ACAD:A::/64 serial 0/0/0
R3(config)# ipv6 route 2001:DB8:ACAD:A::/64 FC00::1
R3(config)# exit
h. Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta
estática nueva.
¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta que
se agregó recientemente a la tabla de routing?
i. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la

PC-C.
¿El ping se realizó correctamente? R/ Si.
Nota: puede ser necesario desactivar el firewall de las computadoras para
hacer ping entre ellas.
Paso 3. configurar una ruta estática predeterminada IPv6.
En una ruta estática predeterminada, el prefijo IPv6 de destino y la longitud de
prefijo son todos ceros.
Router(config)# ipv6 route ::/0 <outgoing-interface-type> <outgoing-
interface-number> {and/or} <next-hop-ipv6-address>
j. En el router R1, elimine la ruta estática recursiva y agregue una ruta
estática predeterminada.
R1(config)# no ipv6 route 2001:DB8:ACAD:B::/64 FC00::2
R1(config)# ipv6 route ::/0 serial 0/0/1
R1(config)#
k. En el R3, elimine la ruta estática recursiva y agregue una ruta estática
predeterminada.
l. Consulte la tabla de routing IPv6 del R1 para verificar la entrada de la ruta

estática nueva.
¿Cuál es la letra de código y la entrada de la tabla de routing de la ruta
predeterminada que se agregó recientemente a la tabla de routing?
m. Para verificar la conectividad, emita un comando ping -6 de la PC-A a la

PC-C.
¿El ping se realizó correctamente? R/ Si
Nota: quizás sea necesario inhabilitar el firewall de las computadoras para
hacer ping entre estas.
Reflexión
1. Esta práctica de laboratorio se centra en la configuración de rutas estáticas y
predeterminadas IPv6. ¿Puede pensar en una situación en la que tendría que
configurar rutas estáticas y predeterminadas IPv6 e IPv4 en un router?
R/ Se pueden usar estas configuraciones cuando en una organización se
tienen varios departamentos y necesitan conectarse a la red por medio de
rutas estáticas, ya que el envió de paquetes se hará por varios saltos y es
difícil configurar todas las rutas.Se prodrian utilizar al mismo tiempo,cuando
hay una transición se utiliza IPV6 y IPV4 al mismo tiempo hasta que solo se
utilice la IPV6,porque aun hay clientes que manejan IPV4,por eso se utilizan
las dos.
2. En la práctica, la configuración de rutas estáticas y predeterminadas IPv6 es
muy similar a la configuración de rutas estáticas y predeterminadas IPv4.
Independientemente de las diferencias obvias entre el direccionamiento IPv6 e
IPv4, ¿cuáles son algunas otras diferencias que se observan al configurar y
verificar una ruta estática IPv6 en comparación con una ruta estática IPv4?
R/ Es muy similar, simplemente cambia la dirección a IPv6 y para observar la
tabla de enrutamiento solo se agrega IPv6, las direcciones IPv6 son 8 campos
de 4 o se utilizan en hexadecimal.
Modelo Interfaz Ethernet Interfaz Ethernet Interfaz serial Interfaz serial

de router #1 n.º 2 #1 n.º 2
1800 Fast Ethernet 0/0 Fast Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
(F0/0) (F0/1) (S0/0/0) (S0/0/1)
1900 Gigabit Ethernet Gigabit Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
0/0 (G0/0) (G0/1) (S0/0/0) (S0/0/1)
(F0/0) (F0/1) (S0/1/0) (S0/1/1)
(F0/0) (F0/1) (S0/0/0) (S0/0/1)
2900 Gigabit Ethernet Gigabit Ethernet 0/1 Serial 0/0/0 Serial 0/0/1
0/0 (G0/0) (G0/1) (S0/0/0) (S0/0/1)
Nota: para conocer la configuración del router, observe las interfaces a fin de identificar el tipo
de router y cuántas interfaces tiene. No existe una forma eficaz de confeccionar una lista de
todas las combinaciones de configuraciones para cada clase de router. En esta tabla, se
incluyen los identificadores para las posibles combinaciones de interfaces Ethernet y seriales
en el dispositivo. En esta tabla, no se incluye ningún otro tipo de interfaz, si bien puede haber
interfaces de otro tipo en un router determinado. La interfaz BRI ISDN es un ejemplo. La
cadena entre paréntesis es la abreviatura legal que se puede utilizar en los comandos de IOS
de Cisco para representar la interfaz.
6.3.3.7
Práctica de laboratorio: diseño e implementación de

direccionamiento IPv4 con VLSM
Topología
Objetivos
Parte 1: examinar los requisitos de la red
Parte 2: diseñar el esquema de direcciones VLSM
Parte 3: realizar el cableado y configurar la red IPv4
La máscara de subred de longitud variable (VLSM) se diseñó para conservar
direcciones IP. Con VLSM, una red se divide en subredes, que luego se
subdividen nuevamente. Este proceso se puede repetir varias veces para crear
subredes de distintos tamaños, según el número de hosts requerido en cada
subred. El uso eficaz de VLSM requiere la planificación de direcciones.
En esta práctica de laboratorio, se le asigna la dirección de red

172.16.128.0/17 para que desarrolle un esquema de direcciones para la red
que se muestra en el diagrama de la topología. Se usará VLSM para que se
pueda cumplir con los requisitos de direccionamiento. Después de diseñar el
esquema de direcciones VLSM, configurará las interfaces en los routers con la
información de dirección IP adecuada.
Nota: los routers que se utilizan en las prácticas de laboratorio de CCNA son
routers de servicios integrados (ISR) Cisco 1941 con IOS de Cisco versión
15.2(4)M3 (imagen universalk9). Pueden utilizarse otros routers y otras
versiones del IOS de Cisco. Según el modelo y la versión de IOS de Cisco, los
comandos disponibles y los resultados que se obtienen pueden diferir de los
que se muestran en las prácticas de laboratorio. Consulte la tabla Resumen de
interfaces del router que se encuentra al final de esta práctica de laboratorio
para obtener los identificadores de interfaz correctos.
Nota: asegúrese de que los routers se hayan borrado y no tengan

configuraciones de inicio. Si no está seguro, consulte con el instructor.
Recursos necesarios
• 3 routers (Cisco 1941 con IOS de Cisco versión 15.2(4)M3, imagen
universal o similar)
• 1 computadora (con un programa de emulación de terminal, como
Tera Term, para configurar los routers)
• Cable de consola para configurar los dispositivos con IOS de Cisco
mediante los puertos de consola
• Cables Ethernet (optativo) y seriales, como se muestra en la topología
• Calculadora de Windows (optativo)
Parte 1: examinar los requisitos de la red

En la parte 1, examinará los requisitos de la red y utilizará la dirección de red
172.16.128.0/17 para desarrollar un esquema de direcciones VLSM para la red
que se muestra en el diagrama de la topología.
Nota: puede utilizar la aplicación Calculadora de Windows y la calculadora de

subredes IP de www.ipcalc.org como ayuda para sus cálculos.
Paso 1. determinar la cantidad de direcciones host disponibles y la cantidad de
subredes que se necesitan.
¿Cuántas direcciones host se encuentran disponibles en una red /17? R=/
32766
¿Cuál es la cantidad total de direcciones host que se necesitan en el diagrama

de la topología? R=/31506
¿Cuántas subredes se necesitan en la topología de la red? R=/ 9 Subredes
Paso 2. determinar la subred más grande que se necesita.

Descripción de la subred (p. ej., enlace BR1 G0/1 LAN o BR1-HQ WAN) R=/
HQ G0/0 LAN
¿Cuántas direcciones IP se necesitan en la subred más grande? R=/ 16000
¿Cuál es la subred más pequeña que admite esa cantidad de direcciones? R=/
18:255.255.192.0
¿Cuántas direcciones host admite esa subred? R=/ 16382
¿Se puede dividir la red 172?16.128.0/17 en subredes para admitir esta

subred? R=/ Si
¿Cuáles son las dos direcciones de red que se obtendrían de esta división en
subredes?
172.16.128.0/18
172.16.192.0/19
Utilice la primera dirección de red para esta subred.
Paso 3. determinar la segunda subred más grande que se necesita.

Descripción de la subred HQ G0/1 LAN
¿Cuántas direcciones IP se necesitan para la segunda subred más grande?

R=/8000
¿Cuál es la subred más pequeña que admite esa cantidad de hosts?
R=/ 19=255.255.224.0
¿Se puede volver a dividir la subred restante en subredes sin que deje de
admitir esta subred? R=/ Si
subredes?
172.16.192.0/19
172.16.224.0/19
Paso 4. determinar la siguiente subred más grande que se necesita.

Descripción de la subred R=/ 172.16.224.0/20
¿Cuántas direcciones IP se necesitan para la siguiente subred más grande?

R=/4000
¿Cuál es la subred más pequeña que admite esa cantidad de hosts? R=/ BR1
G0/1 LAN
subredes?
172.16.224.0/20
172.16.240.0/20

Descripción de la subred R=/ BR G0/0 LAN

R=/ 2000
¿Cuál es la subred más pequeña que admite esa cantidad de hosts? R=/ 21 o
255.255.248.0
subredes?
172.16.240.0/21
172.16.248.0/21

Descripción de la subred R=/ BR2 G0/1 LAN

R=/ 1000
¿Cuál es la subred más pequeña que admite esa cantidad de hosts? R=/ 22 o
255.255.252.0
subredes?
172.16.248.0/22
172.16.252.0/22

Descripción de la subred R=/ BR2 G0/0 LAN

R=/ 500
¿Cuál es la subred más pequeña que admite esa cantidad de hosts? R=/ /23 o
255.255.254.0
subredes?
172.16.252.0/23
172.16.254.0/23
Paso 8. determinar las subredes que se necesitan para admitir los enlaces
seriales.
¿Cuántas direcciones host se necesitan para cada enlace de subred serial?
R=/ 2
¿Cuál es la subred más pequeña que admite esa cantidad de direcciones

host? R=/ 30 (255.255.255.252)
a. Divida la subred restante en subredes y, a continuación, escriba las

direcciones de red que se obtienen de esta división.
172.16.254.0/30
172.16.254.4/30
172.16.254.8/30
b. Siga dividiendo en subredes la primera subred de cada subred nueva hasta

obtener cuatro subredes /30. Escriba las primeras tres direcciones de red
de estas subredes /30 a continuación.
172.16.254.0/30
172.16.254.4/30
172.16.254.8/30
c. Introduzca las descripciones de las subredes de estas tres subredes a
continuación.
Enlace serial HQ - BR1
Enlace serial HQ - BR2
Enlace serial BR1 - BR2
Parte 2: diseñar el esquema de direcciones VLSM
Paso 1. calcular la información de subred.

Utilice la información que obtuvo en la parte 1 para completar la siguiente tabla.
Primera
Descripción de la Cantidad de Dirección de dirección de Dirección de
subred hosts necesarios red/CIDR host broadcast
HQ G0/0 16 000 172.16.128.0/18 172.16.128.1/18 172.16.191.255/18
172.16.192.0/19 172.16.192.1/19 172.16.223.255/19

HQ G0/1 8 000
BR1 G0/1 4 000 172.16.224.0/20 172.16.224.1/20 172.16.239.255/20
172.16. 240.0/21 172.16. 240.1/21 172.16. 247.255/21

BR1 G0/0 2 000
BR2 G0/1 1.000 172.16. 248.0/22 172.16. 248.1/22 172.16. 251.255/22
172.16. 252.0/23 172.16. 252.1/23 172.16. 253.255/23

BR2 G0/0 500
HQ S0/0/0-BR1
S0/0/0 2 172.16. 255.0/30 172.16. 254.1/30 172.16. 254.3/30
HQ S0/0/1-BR2
172.16.254.4/30 172.16.254.5/30 172.16.254.7/30
S0/0/1 2
BR1 S0/0/1-BR2
S0/0/0 2 172.16.254.8/30 172.16.254.9/30 172.16.254.11/30
Paso 2. completar la tabla de direcciones de interfaces de dispositivos.

Asigne la primera dirección host en la subred a las interfaces Ethernet. A HQ
se le debería asignar la primera dirección host en los enlaces seriales a BR1 y
BR2. A BR1 se le debería asignar la primera dirección host para el enlace
serial a BR2.
Dispositivo Interfaz Dirección IP Máscara de subred Interfaz del dispositivo
G0/0 172.16.128.1 255.255.192.0 LAN de 16 000 hosts

172.16.192.1 255.255.224.0 LAN de 8000 hosts
G0/1
HQ
S0/0/0 172.16. 254.2 255.255.192.0 BR1 S0/0/0
S0/0/1 172.16.254.6 255.255.192.0 BR2 S0/0/1
G0/0 172.16.240.1 255.255.255.240 LAN de 2000 hosts
G0/1 172.16.224.1 255.255.255.240 LAN de 4000 hosts
BR1
S0/0/0 172.16.254.2 255.255.255.252 HQ S0/0/0
S0/0/1 172.16.254.9 255.255.255.252 BR2 S0/0/0
G0/0 172.16.252.1 255.255.254.0 LAN de 500 hosts
G0/1 172.16.248.1 255.255.255.252 LAN de 1000 hosts
BR2
S0/0/0 172.16.254.10 255.255.255.252 BR1 S0/0/1
S0/0/1 172.16.254.6 255.255.255.252 HQ S0/0/1
Parte 3: realizar el cableado y configurar la red IPv4

En la parte 3, realizará el cableado de la topología de la red y configurará los
tres routers con el esquema de direcciones VLSM que elaboró en la parte 2.

Paso 2. configurar los parámetros básicos en cada router.
a. Asigne el nombre de dispositivo al router.
b. Deshabilite la búsqueda DNS para evitar que el router intente traducir los
comandos incorrectamente introducidos como si fueran nombres de host.
c. Asigne class como la contraseña cifrada del modo EXEC privilegiado.
d. Asigne cisco como la contraseña de consola y habilite el inicio de sesión.

e. Asigne cisco como la contraseña de vty y habilite el inicio de sesión.
g. Cree un aviso que advierta a todo aquel que acceda al dispositivo que el
acceso no autorizado está prohibido.
Paso 3. configurar las interfaces en cada router.

a. Asigne una dirección IP y una máscara de subred a cada interfaz utilizando la
tabla que completó en la parte 2.
b. Configure una descripción de interfaz para cada interfaz.
c. Establezca la frecuencia de reloj en 128000 en todas las interfaces seriales DCE.
HQ(config-if)# clock rate 128000
d. Active las interfaces.
Paso 4. Probar la conectividad
a. Haga ping de HQ a la dirección de la interfaz S0/0/0 de BR1.
b. Haga ping de HQ a la dirección de la interfaz S0/0/1 de BR2.
c. Haga ping de BR1 a la dirección de la interfaz S0/0/0 de BR2.
d. Si los pings no se realizaron correctamente, resuelva los problemas de

conectividad.
Reflexión
¿Puede pensar en un atajo para calcular las direcciones de red de las
subredes /30 consecutivas? R=/ Una red con mascara de subred 30 tiene 4
espacios para direcciones (11111111.11111111.11111111.11111100 /
255.255.255.252): la dirección de red, dos direcciones para para host y
una direcciones para broadcast. Otra técnica para obtener la próxima
dirección de red /30 sería tomar la dirección de red /30 anterior y sumarle
4 al último octeto
6.4.2.5.
Cálculo de Rutas Resumidas IPv4 e IPv6.
Topología de la guía:
Topología del laboratorio:

Tabla de direccionamiento:
Subred Dirección IPv4 Dirección IPv6
LAN1 de HQ 192.168.64.0/23 2001:DB8:ACAD:E::/64

LAN2 de HQ 192.168.66.0/23 2001:DB8:ACAD:F::/64
LAN1 de EAST 192.168.68.0/24 2001:DB8:ACAD:1::/64
LAN2 de EAST 192.168.69.0/24 2001:DB8:ACAD:2::/64
LAN1 de WEST 192.168.70.0/25 2001:DB8:ACAD:9::/64
192.168.70.128/2
LAN2 de WEST 5 2001:DB8:ACAD:A::/64
Enlace desde HQ a
ESTE 192.168.71.4/30 2001:DB8:ACAD:1000::/64
Enlace desde HQ a
WEST 192.168.71.0/30 2001:DB8:ACAD:2000::/64
Enlace desde HQ a ISP 209.165.201.0/30 2001:DB8:CC1E:1::/64
Objetivos:
Parte 1: Calcular rutas resumidas IPv4.
Determinar la ruta resumida para las LAN de HQ.
Determinar la ruta resumida para las LAN ESTE.
Determinar la ruta resumida para las LAN OESTE.
Determinar la ruta resumida para las LAN de HQ, ESTE y OESTE.
Parte 2: Calcular rutas resumidas IPv6
Determinar la ruta resumida para las LAN de HQ.
Determinar la ruta resumida para las LAN ESTE.
Determinar la ruta resumida para las LAN OESTE.
Determinar la ruta resumida para las LAN de HQ, ESTE y OESTE.
Información básica/situación:
Las rutas resumidas reducen el número de entradas en las tablas de routing y hacen que
el proceso de búsqueda en dichas tablas sea más eficaz. Este proceso también
disminuye los requisitos de memoria del router. Se puede usar una sola ruta estática para
representar unas pocas rutas o miles de rutas.
En esta práctica de laboratorio, determinará las rutas resumidas de diferentes subredes
de una red. Después determinará la ruta resumida de toda la red. Determinará rutas
resumidas para direcciones IPv4 e IPv6. Debido a que IPv6 usa valores hexadecimales,
tendrá que convertir el valor hexadecimal en valor binario.
Recursos necesarios:
1 computadora (Windows 7, Vista o XP, con acceso a Internet).
Optativo: Calculadora para convertir los valores hexadecimales y decimales en valores
binarios
Parte 1: Calcular rutas resumidas IPv4

En la parte 1, determinará las rutas resumidas que se pueden utilizar para reducir el
tamaño de las tablas de routing. Después de cada conjunto de pasos, complete las tablas
con la información apropiada de direccionamiento IPv4.
Paso 1: Indique la máscara de subred de la dirección IP de la LAN1 de HQ y la LAN2
de HQ en formato decimal.
Subred: Direccion IP y mascara de subred:
LAN1 de HQ 192.168.64.0/23
LAN2 de HQ 192.168.66.0/23
Paso 2: Indique la dirección IP de la LAN1 de HQ y la LAN2 de HQ en formato

binario.
Subred: Dirección IP en binario:
11000000.10101000.01000000.00000
LAN1 de HQ 000
11000000.10101000.01000010.00000
LAN2 de HQ 000
Paso 3: Contar el número de bits coincidentes que se encuentran en el extremo

izquierdo para determinar la máscara de subred para la ruta resumida.
Mascara de
Subred: Dirección IP: subred:
11000000.10101000.01000000.00000
LAN1 de HQ 000
11000000.10101000.01000010.00000
LAN2 de HQ 000 /22
a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las dos

redes?
Rta: En las dos redes coinciden 22 bits.
b. Indique la máscara de subred para la ruta resumida en formato decimal.

Mascara de
Subred resumida: Dirección IP resumida: subred:
Resumen de las LAN 11000000.10101000.01000000.00000

de HQ. 000 /22
Paso 4: Copiar los bits binarios coincidentes y luego agregar todos ceros para
determinar la dirección de red resumida.
Dirección IP de la subred en formato

Subred: binario:
LAN1 de HQ. 11000000.10101000.01000000.00000000
LAN2 de HQ. 11000000.10101000.01000010.00000000

Dirección de resumen de las LAN de
HQ. 11000000.10101000.01000000.00000000
a. Indique los bits binarios coincidentes de las subredes de la LAN1 de HQ y la

LAN2 de HQ.
Subred: Bit binaries coincidentes de las redes:
LAN1 y LAN2 de HQ 11000000.10101000.010000
b. Agregue ceros para conformar el resto de la dirección de red en formato binario.
Subred: Direccion de la red HQ resumida:
11000000.10101000.01000000.0000000
LAN1 y LAN2 de HQ 0
Máscara
Dirección de Dirección IP de la subred en
Subred IPv4 subred formato binario
192.168.64. 11000000.10101000.01000000.0000
LAN1 de HQ 0 /23 0000
192.168.66. 11000000.10101000.01000010.0000
LAN2 de HQ 0 /23 0000
Dirección de
resumen de las LAN 192.168.64. 11000000.10101000.01000000.0000
de HQ 0 /22 0000
c. Indique las direcciones de red resumidas en formato decimal.
Paso 5: Indicar la máscara de subred de la dirección IP de la LAN1 ESTE y la LAN2

ESTE en formato decimal.
Dirección IPv4 y mascara de

Subred: red:
LAN1 de EAST 192.168.68.0/24
LAN2 de EAST 192.168.69.0/24
Paso 6: Indicar la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato binario.
LAN1 de
EAST 11000000.10101000.01000100.00000000
LAN2 de
EAST 11000000.10101000.01000101.00000000

Mascara de
Subred: Dirección IP en binario: subred:
LAN1 de
EAST 11000000.10101000.01000100.00000000
LAN2 de
EAST 11000000.10101000.01000101.00000000 /23

redes?
Mascara de

de EAST. 000 /23
a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2
ESTE.
Bit binaries coincidentes de las

Subred: redes:
LAN1 y LAN2 de EAST 11000000.10101000.0100010
Subred: Direccion de la red ESTE resumida:
11000000.10101000.01000100.00000
LAN1 y LAN2 de EAST 000
Máscara
Dirección de
Subred IPv4 subred Dirección de subred en formato binario
LAN1 de EAST 192.168.68.0 /24 11000000.10101000.01000100.00000000
LAN2 de EAST 192.168.69.0 /24 11000000.10101000.01000101.00000000

Dirección de
resumen de las
LAN ESTE 192.168.68.0 /23 11000000.10101000.01000100.00000000
Paso 9: Indicar la máscara de subred de la dirección IP de la LAN1 OESTE y la LAN2
OESTE en formato decimal.
Subred: Dirección IPv4 y mascara de red:
LAN1 de
OESTE 192.168.70.0/25
LAN2 de
OESTE 192.168.70.128/25
Paso 10: Indicar la dirección
IP de la LAN1 OESTE y la LAN2 OESTE en formato binario.
LAN1 de
OESTE 11000000.10101000.01000110.00000000
LAN2 de
OESTE 11000000.10101000.01000110.10000000

Mascara de
LAN1 de
OESTE 11000000.10101000.01000110.00000000
LAN2 de
OESTE 11000000.10101000.01000110.10000000 /24

redes?
Mascara de

de OESTE. 000 /24
a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la
LAN2 OESTE.

Subred: redes:
LAN1 y LAN2 de
OESTE 11000000.10101000.01000110
Subred: Direccion de la red OESTE resumida:
LAN1 y LAN2 de OESTE 11000000.10101000.01000110.00000000
Máscara
de Dirección IP de la subred en formato
Subred Dirección IPv4 subred binario
LAN1 de
WEST 192.168.70.0 /25 11000000.10101000.01000110.00000000
LAN2 de
WEST 192.168.70.128 /25 11000000.10101000.01000110.10000000
Dirección de
resumen de
las LAN
OESTE 192.168.70.0 /24 11000000.10101000.01000110.00000000
Paso 13: Indicar la dirección IP y la máscara de subred de la ruta resumida de HQ,
ESTE y OESTE en formato decimal.
Dirección IP y mascara de
Subred: red:
Paso 14: Indicar la dirección IP de la ruta
HQ 192.168.64.0/22 resumida de HQ, ESTE y OESTE en
ESTE 192.168.68.0/23 formato binario.
OESTE 192.168.70.0/24
HQ 11000000.10101000.01000000.00000000
ESTE 11000000.10101000.01000100.00000000
OESTE 11000000.10101000.01000110.10000000

Mascara de
HQ 11000000.10101000.01000000.00000000
ESTE 11000000.10101000.01000100.00000000
OESTE 11000000.10101000.01000110.10000000 /21
a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las tres

redes?
Rta: En las tres redes coinciden 21 bits.
Mascara de
Resumen de las LAN

de HQ, ESTE Y 11000000.10101000.01000000.00000
OESTE. 000 /21
a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE.

Subred: redes:
HQ, ESTE Y
OESTE. 11000000.10101000.01000
Subred: Direccion de las subredes resumida:
HQ, ESTE Y 11000000.10101000.01000000.000000

OESTE. 00
Máscara
Dirección de Dirección IP de la subred en formato
Subred IPv4 subred binario
HQ 192.168.64.0 /22 11000000.10101000.01000000.00000000
EAST 192.168.68.0 /23 11000000.10101000.01000100.00000000
WEST 192.168.70.0 /24 11000000.10101000.01000110.10000000

Ruta
resumida de
la dirección
de red 192.168.64.0 /21 11000000.10101000.01000000.00000000
Parte 2: Calcular rutas resumidas IPv6.
En la parte 2, determinará las rutas resumidas que se pueden utilizar para reducir el
tamaño de las tablas de routing. Después de cada conjunto de pasos, complete las tablas
con la información apropiada de direccionamiento IPv6.
Topología:
Tabla de direccionamiento:
Subred Dirección IPv6
LAN1 de HQ 2001:DB8:ACAD:E::/64
LAN2 de HQ 2001:DB8:ACAD:F::/64
LAN1 de EAST 2001:DB8:ACAD:1::/64
LAN1 de WEST 2001:DB8:ACAD:9::/64
LAN2 de WEST 2001:DB8:ACAD:A::/64
Enlace desde HQ a
ESTE 2001:DB8:ACAD:1000::/64
Enlace desde HQ a
WEST 2001:DB8:ACAD:2000::/64
Enlace desde HQ a ISP 2001:DB8:CC1E:1::/64
Paso 1: Indicar los primeros 64 bits de la máscara de subred de la dirección IP de
la LAN1 de HQ y la LAN2 de HQ en formato hexadecimal.
Direccion IPv6 y mascara de

Subred: subred:
LAN1 de HQ 2001:DB8:ACAD:E::/64
LAN2 de HQ 2001:DB8:ACAD:F::/64
Paso 2: Indicar la ID de subred (bits 48 a 64) de la LAN1 de HQ y la LAN2 de HQ en

formato binario.
Dirección ID en
Subred: binario:
LAN1 de HQ 00000000.00001110
LAN2 de HQ 00000000.00001111

Subred: Mascara de
Dirección ID: subred:
LAN1 de HQ 00000000.00001110 /63

LAN2 de HQ 00000000.00001111

ID de subred?
Rta: Coinciden 63 bits.
b. Indique la máscara de subred de los primeros 64 bits de la ruta resumida en
formato decimal.
Dirección IP Mascara de
Subred resumida: resumida: subred:
Resumen de las LAN de

HQ. 2001:DB8:ACAD:E:: /63
Paso 4: copiar los bits binarios coincidentes y luego agregar todos ceros para
a. Indique los bits binarios de la ID de subred coincidentes para las subredes LAN1
de HQ y LAN2 de HQ.

Subred: redes:
LAN1 y LAN2 de HQ 0000000000000111
b. Agregue ceros para conformar el resto de la dirección de ID de subred en formato

binario.
Direccion de la red HQ
Subred: resumida:
LAN1 y LAN2 de HQ 0000000000001110
Máscara de subred
de los primeros 64 ID de subred en
Subred. Dirección IPv6. bits. formato binario.
2001:DB8:ACAD:E::/6 00000000.000011
LAN1 de HQ 4 2001 DB8 ACAD 10
2001:DB8:ACAD:F::/6 00000000.000011
LAN2 de HQ 4 2001 DB8 ACAD 11
Dirección de
resumen de las 2001:DB8:ACAD:E::/6 00000000.000011
LAN de HQ 3 2001 DB8 ACAD 10

la LAN1 ESTE y la LAN2 ESTE en formato hexadecimal.
Subred: red:
Paso 6: Indicar la dirección IP de la LAN1 ESTE y la LAN2 ESTE en formato binario.
Dirección ID en
Subred: binario:
LAN1 de
EAST 00000000.00000001
LAN2 de
EAST 00000000.00000010

Dirección ID en Mascara de
Subred: binario: subred:
LAN1 de EAST 00000000.00000001
LAN2 de EAST 00000000.00000010 /62

ID de subred?
Rta: Coinciden 62 bits.

formato decimal.
Dirección IP
Subred resumida: resumida: Mascara de subred:

EAST. 2001:DB8:ACAD:0:: /62
a. Indique los bits binarios coincidentes de las subredes de la LAN1 ESTE y la LAN2
ESTE.

Subred: redes:
LAN1 y LAN2 de EAST 00000000.000000

binario.
LAN1 y LAN2 de EAST 00000000.00000000
Máscara de
subred de los ID de subred en
Subred Dirección IPv6 primeros 64 bits formato binario
LAN1 de EAST 2001:DB8:ACAD:1::/64 2001 DB8 ACAD 00000000.00000001
LAN2 de EAST 2001:DB8:ACAD:2::/64 2001 DB8 ACAD 00000000.00000010

Dirección de
resumen de las
LAN ESTE 2001:DB8:ACAD:0::/62 2001 DB8 ACAD 00000000.00000000

la LAN1 OESTE y la LAN2 OESTE en formato decimal.

Subred: red:
LAN1 de OESTE 2001:DB8:ACAD:9::/64
LAN2 de OESTE 2001:DB8:ACAD:A::/64
Paso 10: Indicar la ID de subred (bits 48 a 64) de la LAN1 OESTE y la LAN2 OESTE
en formato binario.
Dirección ID en
Subred: binario:
LAN1 de OESTE 00000000.00001001
LAN2 de OESTE 00000000.00001010

Dirección ID en
Subred: binario: Mascara de subred:
LAN1 de
OESTE 00000000.00001001
LAN2 de
OESTE 00000000.00001010 /60

ID de subred?
Rta:
formato decimal.
Dirección IP Mascara de
Subred resumida: resumida: subred:

OESTE. 2001:DB8:ACAD:8:: /62
Paso 12: copiar los bits binarios coincidentes y luego agregar todos ceros para
a. Indique los bits binarios coincidentes de las subredes de la LAN1 OESTE y la
LAN2 OESTE.

Subred: redes:
LAN1 y LAN2 de
OESTE 00000000.000010

binario.
LAN1 y LAN2 de
OESTE 00000000.00001000
Máscara de subred
de los primeros ID de subred en
Subred Dirección IPv6 64 bits formato binario
LAN1 de
WEST 2001:DB8:ACAD:9::/64 2001 DB8 ACAD 00000000.00001001
LAN2 de
WEST 2001:DB8:ACAD:A::/64 2001 DB8 ACAD 00000000.00001010
Dirección de
resumen de
las LAN
OESTE 2001:DB8:ACAD:8::/62 2001 DB8 ACAD 00000000.00001000
Paso 13. Indicar la dirección IP de la ruta resumida y los primeros 64 bits de la

máscara de subred de HQ, ESTE y OESTE en formato decimal.
Dirección IP de los primeros 64 bits y mascara
Subred: de red:
HQ 2001:DB8:ACAD:E::/63
ESTE 2001:DB8:ACAD:0::/62
OESTE 2001:DB8:ACAD:8::/62
Paso 14. Indicar la ID de subred de la ruta resumida de HQ, ESTE y OESTE en

formato binario.
Dirección ID en
Subred: binario:
HQ 00000000.00001110
ESTE 00000000.00000000
OESTE 00000000.00001000
Paso 15. Contar el número de bits coincidentes que se encuentran en el extremo

Dirección IP en Mascara de
Subred: binario: subred:
HQ 00000000.00001110
ESTE 00000000.00000000
OESTE 00000000.00001000 /60

a. ¿Cuántos bits coincidentes en el extremo izquierdo están presentes en las tres
ID de subred?
Rta: Se encontraron 60 bits coincidentes en la tres subredes sumatorias.

formato decimal.
Dirección ID
Subred resumida: resumida: Mascara de subred:
Resumen de las LAN de HQ,

ESTE Y OESTE. 00000000.00000000 /60
a. Indique los bits binarios coincidentes de las subredes de HQ, ESTE y OESTE.
Bit binaries coincidentes de las ID de las

Subred: subredes:
HQ, ESTE Y
OESTE. 00000000.0000

binario.
Subred: Direccion ID de la redes resumida:
HQ, ESTE Y
OESTE. 00000000.00000000
Máscara de
subred de los ID de subred en
Subred Dirección IPv6 primeros 64 bits formato binario
HQ 2001:DB8:ACAD:E::/63 2001 DB8 ACAD 00000000.00001110
EAST 2001:DB8:ACAD:0::/62 2001 DB8 ACAD 00000000.00000000
WEST 2001:DB8:ACAD:8::/62 2001 DB8 ACAD 00000000.00001000

Ruta resumida
de la dirección
de red: 2001:DB8:ACAD:0::/60 2001 DB8 ACAD 00000000.00000000
Reflexión
1. ¿Qué diferencia existe entre determinar la ruta resumida para IPv4 y determinarla
para IPv6?
Rta: Entre las diferencias se encuentran: en ipv4 se encuentran 32 bits, mientras que en
ipv6 hay 128 bits; en ipv4 hay que convertir de decimal a binarios y en ipv6 hay que
convertir de hexadecimal a binario.
2. ¿Por qué las rutas resumidas son beneficiosas para una red?
Rta: Porque pueden llevar el proceso con eficiencia, además que requiere menos
memoria en el router.
Packet Tracer - Layer 2 Security
Topology
Objectives
• Assign the Central switch as the root bridge.

• Secure spanning-tree parameters to prevent STP manipulation attacks.
• Enable storm control to prevent broadcast storms.
• Enable port security to prevent MAC address table overflow attacks.
Background / Scenario
There have been a number of attacks on the network recently. For this reason, the network
administrator has assigned you the task of configuring Layer 2 security. For optimum
performance and security, the administrator would like to ensure that the root bridge is the
3560 Central switch. To prevent against spanning-tree manipulation attacks, the
administrator wants to ensure that the STP parameters are secure. In addition, the network
administrator would like to enable storm control to prevent broadcast storms. Finally, to
prevent against MAC address table overflow attacks, the network administrator has decided
to configure port security to limit the number of MAC addresses that can be learned per
switch port. If the number of MAC addresses exceeds the set limit, the administrator would
like the port to be shutdown. All switch devices have been preconfigured with the following:
o Enable password: ciscoenpa55
© 201 4 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco
o Console password: ciscoconpa55
o VTY line password: ciscovtypa55
Part 1: Configure Root Bridge
Step 1: Determine the current root bridge.

From Central, issue the show spanning-tree command to determine the current root bridge and to
see the
ports in use and their status.
Which switch is the current root bridge?
Current root is SW-1
Step 2: Assign Central as the primary root bridge.

Using the spanning-tree vlan 1 root primary command, assign Central as the root bridge.
Central(config)# spanning-tree vlan 1 root primary
Step 3: Assign SW-1 as a secondary root bridge.

Assign SW-1 as the secondary root bridge using the spanning-tree vlan 1 root secondary
command.
SW-1(config)# spanning-tree vlan 1 root secondary
Step 4: Verify the spanning-tree configuration.

Issue the show spanning-tree command to verify that Central is the root bridge.
Which switch is the current root bridge?
Current root is Central
Central#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 00D0.D31C.634C
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 24577 (priority 24576 sys-id-ext 1)

Address 00D0.D31C.634C
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- --------------------------------
Gi0/2 Desg FWD 4 128.26 P2p
Gi0/1 Desg FWD 4 128.25 P2p
Fa0/1 Desg FWD 19 128.1 P2p
Part 2: Protect Against STP Attacks

Secure the STP parameters to prevent STP manipulation attacks.
Step 1: Enable PortFast on all access ports.

PortFast is configured on access ports that connect to a single workstation or server to enable them
to
become active more quickly. On the connected access ports of the SW-A and SW-B, use the
spanning-tree
portfast command.
SW-A(config)# interface range fastethernet 0/1 - 4

SW-A(config-if-range)# spanning-tree portfast
SW-B(config)# interface range fastethernet 0/1 - 4

SW-B(config-if-range)# spanning-tree portfast
Step 2: Enable BPDU guard on all access ports.
BPDU guard is a feature that can help prevent rogue switches and spoofing on access ports.
Enable BPDU
guard on SW-A and SW-B access ports.
SW-A(config)# interface range fastethernet 0/1 - 4

SW-A(config-if-range)# spanning-tree bpduguard enable
SW-B(config)# interface range fastethernet 0/1 - 4
SW-B(config-if-range)# spanning-tree bpduguard enable
Step 3: Enable root guard.
Root guard can be enabled on all ports on a switch that are not root ports. It is best deployed on
ports that connect to other non-root switches. Use the show spanning-tree command to determine
the location of the root port on each switch.
On SW-1 , enable root guard on ports Fa0/23 and Fa0/24. On SW-2, enable root guard on ports
Fa0/23 and Fa0/24.
SW-1(config)# interface range fa0/23 - 24

SW-1(config-if-range)# spanning-tree guard root
SW-2(config)# interface range fa0/23 - 24

SW-2(config-if-range)# spanning-tree guard root
Part 3: Enable Storm Control
Step 1: Enable storm control for broadcasts.
a. Enable storm control for broadcasts on all ports connecting switches (trunk ports).
b. Enable storm control on interfaces connecting Central, SW-1 , and SW-2. Set a 50 percent rising
suppression level using the storm-control broadcast command.
SW-1(config)# interface range gi1/1 , fa0/1 , fa0/23 - 24

SW-1(config-if)# storm-control broadcast level 50
SW-2(config)# interface range gi1/1 , fa0/1 , fa0/23 - 24
SW-2(config-if)# storm-control broadcast level 50
Central(config-if)# interface range gi0/1 , gi0/2 , fa0/1
Central(config-if)# storm-control broadcast level 50
Step 2: Verify storm control configuration.
Verify your configuration with the show storm-control broadcast and the show run commands.
Part 4: Configure Port Security and Disable Unused Ports
Step 1: Configure basic port security on all ports connected to host devices.
This procedure should be performed on all access ports on SW-A and SW-B. Set the maximum
number of learned MAC address to 2, allow the MAC address to be learned dynamically, and set
the violation to shutdown.
Note: A switch port must be configured as an access port to enable port security.
SW-A(config)# interface range fa0/1 - 22

SW-A(config-if-range)# switchport mode access
SW-A(config-if-range)# switchport port-security
SW-A(config-if-range)# switchport port-security maximum 2
SW-A(config-if-range)# switchport port-security violation shutdown
SW-A(config-if-range)# switchport port-security mac-address sticky
SW-B(config)# interface range fa0/1 - 22
SW-B(config-if-range)# switchport mode access
SW-B(config-if-range)# switchport port-security
SW-B(config-if-range)# switchport port-security maximum 2
SW-B(config-if-range)# switchport port-security violation shutdown
SW-B(config-if-range)# switchport port-security mac-address sticky
Why would you not want to enable port security on ports connected to other switches or routers?
Ports connected to other switch devices and routers can, and should, have a multitude of MAC
addresses learned for that single port. Limiting the number of MAC addresses that can be learned on
these ports can significantly impact network functionality.
Step 2: Verify port security.
On SW-A, issue the show port-security interface fa0/1 command to verify that port security has
been configured.
Step 3: Disable unused ports.
Disable all ports that are currently unused.
SW-A(config)# interface range fa0/5 - 22

SW-A(config-if-range)# shutdown
SW-B(config)# interface range fa0/5 - 22
SW-B(config-if-range)# shutdown
Step 4: Check results.

Your completion percentage should be 100%. Click Check Results to see feedback and
verification of which required components have been completed.
!!!Script for Central
conf t
spanning-tree vlan 1 root primary
interface range gi0/1 , gi0/2 , fa0/1
storm-control broadcast level 50
end
!!!Script for SW-1
conf t
spanning-tree vlan 1 root secondary
interface range fa0/23 - 24
spanning-tree guard root
interface range gi1/1 , fa0/1 , fa0/23 - 24
end
!!!Script for SW-2
conf t
spanning-tree guard root
interface range gi1/1 , fa0/1 , fa0/23 - 24
end
!!!Script for SW-A
conf t
interface range fastethernet 0/1 - 4
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
shutdown
end
!!!Script for SW-B
conf t
interface range fastethernet 0/1 - 4
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security violation shutdown
switchport port-security mac-address sticky
shutdown
end
Packet Tracer - Layer 2 VLAN Security
Topology
Objectives
• Connect a new redundant link between SW-1 and SW-2.

• Enable trunking and configure security on the new trunk link between SW-1 and SW-2.
• Create a new management VLAN (VLAN 20) and attach a management PC to that VLAN.
• Implement an ACL to prevent outside users from accessing the management VLAN.
Background / Scenario
A company’s network is currently set up using two separate VLANs: VLAN 5 and VLAN 10. In
addition, all trunk ports are configured with native VLAN 15. A network administrator wants to add a
redundant link between switch SW-1 and SW-2. The link must have trunking enabled and all
security requirements should be in place.
In addition, the network administrator wants to connect a management PC to switch SW-A. The
administrator would like to allow the management PC to be able to connect to all switches and the
router, but does not want any other devices to connect to the management PC or the switches. The
administrator would like to create a new VLAN 20 for management purposes.
All devices have been preconfigured with:
o Enable secret password: ciscoenpa55
o Console password: ciscoconpa55
o VTY line password: ciscovtypa55
Part 1: Verify Connectivity
Step 1: Verify connectivity between C2 (VLAN 10) and C3 (VLAN 10).
Step 2: Verify connectivity between C2 (VLAN 10) and D1 (VLAN 5).
Note: If using the simple PDU GUI packet, be sure to ping twice to allow for ARP.
Part 2: Create a Redundant Link Between SW-1 and SW-2
Step 1: Connect SW-1 and SW-2.
Using a crossover cable, connect port Fa0/23 on SW-1 to port Fa0/23 on SW-2.
Step 2: Enable trunking, including all trunk security mechanisms on the link between SW-1 and
SW-2.
Trunking has already been configured on all pre-existing trunk interfaces. The new link must be configured
for trunking, including all trunk security mechanisms. On both SW-1 and SW-2, set the port to trunk, assign
native VLAN 15 to the trunk port, and disable auto-negotiation.
SW-1(config)# interface fa0/23
SW-1(config-if)# switchport mode trunk
SW-1(config-if)# switchport trunk native vlan 15
SW-1(config-if)# switchport nonegotiate
SW-1(config-if)# no shutdown
SW-2(config)# interface fa0/23
SW-2(config-if)# switchport mode trunk
SW-2(config-if)# switchport trunk native vlan 15
SW-2(config-if)# switchport nonegotiate
SW-2(config-if)# no shutdown
Part 3: Enable VLAN 20 as a Management VLAN

The network administrator wants to access all switch and routing devices using a management PC. For
security, the administrator wants to ensure that all managed devices are on a separate VLAN.
Step 1: Enable a management VLAN (VLAN 20) on SW-A.
a. Enable VLAN 20 on SW-A.
SW-A(config)# vlan 20
SW-A(config-vlan)# exit
b. Create an interface VLAN 20 and assign an IP address within the

192.168.20.0/24 network.
SW-A(config)# interface vlan 20

SW-A(config-if)# ip address 192.168.20.1 255.255.255.0
Step 2: Enable the same management VLAN on all other switches.

a. Create the management VLAN on all switches: SW-B, SW-1 , SW-2, and
Central.
SW-B(config)# vlan 20
SW-B(config-vlan)# exit
SW-1(config)# vlan 20
SW-1(config-vlan)# exit
SW-2(config)# vlan 20
SW-2(config-vlan)# exit
Central(config)# vlan 20
Central(config-vlan)# exit
b. Create an interface VLAN 20 on all switches and assign an IP address within the 192.168.20.0/24
network.
SW-B(config)# interface vlan 20

SW-B(config-if)# ip address 192.168.20.2 255.255.255.0
SW-1(config)# interface vlan 20
SW-1(config-if)# ip address 192.168.20.3 255.255.255.0
SW-2(config)# interface vlan 20
SW-2(config-if)# ip address 192.168.20.4 255.255.255.0
Central(config)# interface vlan 20
Central(config-if)# ip address 192.168.20.5 255.255.255.0
Step 3: Configure the management PC and connect it to SW-A port Fa0/1.

Ensure that the management PC is assigned an IP address within the 192.168.20.0/24 network. Connect the
management PC to SW-A port Fa0/1.
Step 4: On SW-A, ensure the management PC is part of VLAN 20.
Interface Fa0/1 must be part of VLAN 20.
SW-A(config)# interface fa0/1
SW-A(config-if)# switchport access vlan 20
SW-A(config-if)# no shutdown
Step 5: Verify connectivity of the management PC to all switches.

The management PC should be able to ping SW-A, SW-B, SW-1 , SW-2, and Central.
Part 4: Enable the Management PC to Access Router R1

Step 1: Enable a new subinterface on router R1.
a. Create subinterface Fa0/0.3 and set encapsulation to dot1q 20 to account for VLAN 20.
R1(config)# interface fa0/0.3
R1(config-subif)# encapsulation dot1q 20
b. Assign an IP address within the 192.168.20.0/24 network.

Step 2: Verify connectivity between the management PC and R1.

Be sure to configure the default gateway on the management PC to allow
for connectivity.
Step 3: Enable security.
While the management PC must be able to access the router, no other PC
should be able to access the
management VLAN.
a. Create an ACL that denies any network from accessing the
192.168.20.0/24 network, but permits all other
networks to access one another.
Example: (may vary from student configuration)
R1(config)# access-list 101 deny ip any 192.168.20.0 0.0.0.255

R1(config) # access-list 101 permit ip any any
b. Apply the ACL to the proper interface(s).

Example: (may vary from student configuration)

R1(config-subif)# ip access-group 101 in
R1(config-subif)# interface fa0/0.2
R1(config-subif)# ip access-group 101 in
Step 4: Verify security.

a. From the management PC, ping SW-A, SW-B, and R1 . Were the pings
successful? Explain.
The pings should have been successful because all devices within the 192.168.20.0 network should be
able to ping one another. Devices within VLAN20 are not required to route through the router.
b. From D1 , ping the management PC. Were the pings successful? Explain.
The ping should have failed. This is because in order for a device within a different VLAN to successfully
ping a device within VLAN20, it must be routed. The router has an ACL that prevents all packets from
accessing the 192.168.20.0 network.
Step 5: Check results.

Your completion percentage should be 100%. Click Check Results to see feedback and verification of which
required components have been completed.
If all components appear to be correct and the activity still shows incomplete, it could be due to the
connectivity tests that verify the ACL operation.
CONCLUSIONES
• Se reconocieron los conceptos de switching y routing básicos, como bases fundamentales de

las telecomunicaciones actuales, al igual que los diferentes metodos de conmutación, entre
los que se encuentran: por almacenamiento y envío y conmutación por corte.
• Se aprendieron los métodos de configuración básicos de un switch y un router, así como la
implementación de seguridad para acceder a ellos.
• Se estudiaron las finalidades de una red VLAN, como se reenvían las tramas a través de ellas,
como configurar un puerto según los requisitos tanto en switches como en routers, como
por ejemplo un enlace troncal, a solucionar problemas relacionados con una inadecuada
configuración y a configurar características de seguridad.
• Se analizo el funcionamiento de un router y su tabla de enrutamiento. Ademas de la
configuración de enrutamiento estático.
• Se analizaron algunos problemas comunes relacionados con el routing entre VLAN y la
conmutación de capa 3.

Paso 5 Trabajo Colaborativo 3 CNNA2 Unad

Cargado por

Copyright:

Formatos disponibles

Paso 5 Trabajo Colaborativo 3 CNNA2 Unad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Paso 5 Trabajo Colaborativo 3 CNNA2 Unad

Cargado por

Copyright:

Formatos disponibles

DIPLOMADO DE PROFUNDIZACIÓN CISCO

(DISEÑO E IMPLEMENTACIÓN DE SOLUCIONES INTEGRADAS LAN / WAN)

Paso 5. Actividad colaborativa 3

LUIS GUILLERMO PINZÓN PORRAS

CRISTHIAN ENRIQUE CABALLERO

CAMILO ERNESTO NIÑO

JORDDI YESID SUAREZ

JHONATAN FLOREZ OBANDO

Ing. GERARDO GRANADOS ACUÑA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Escuela de Ciencias Básicas, Tecnología e Ingeniería

competencias cognitivas futuras como ingenieros y arquitectos de soluciones en el área de redes

informáticas especialmente usando tecnologías de punta como CISCO.

Cloud Computing, Machine to Machine, entre otros.

La mejor forma de poder comprender cuál es el funcionamiento de una red informática es a

de redes, protocolos, etc.

Numero EJERCICIOS RESPONSABLE

S1 VLAN 99 192.168.1.2 255.255.255.0 192.168.1.1

Parte 1. tender el cableado de red y verificar la configuración

Paso 1. realizar el cableado de red tal como se muestra en la topología.

Paso 2. Verificar la configuración predeterminada del switch.

a. Si se parte de la suposición de que el switch no tenía ningún archivo de configuración almacenado en la

¿Por qué aparece este mensaje? Porque aún no se ha configurado

g. Examine la información de la versión del IOS de Cisco del switch.

Parte 2. configurar los parámetros básicos de los dispositivos de red

La petición de entrada volvió a cambiar para reflejar el modo de configuración global.

*Mar 1 00:19:19.490: %SYS-5-CONFIG_I: Configured from console by console

Press RETURN to get started.

Unauthorized access is strictly prohibited.

VLAN Name Status Ports

m. Configure el gateway IP predeterminado para el S1. Si no se estableció ningún gateway predeterminado,

Paso 2. configurar una dirección IP en la PC-A.

Parte 3. verificar y probar la conectividad de red

Paso 1. mostrar la configuración del switch.

Current configuration : 2206 bytes

b. Verifique la configuración de la VLAN 99 de administración.

Hardware is EtherSVI, address is 0cd9.96e2.3d41 (bia 0cd9.96e2.3d41)

Paso 2. probar la conectividad de extremo a extremo con ping.

Paso 3. probar y verificar la administración remota del S1.

Paso 4. guardar el archivo de configuración en ejecución del switch.

Parte 4. Administrar la tabla de direcciones MAC

Paso 1. registrar la dirección MAC del host.

Paso 2. Determine las direcciones MAC que el switch ha aprendido.

Paso 3. enumerar las opciones del comando show mac address-table.

Paso 4. Configure una dirección MAC estática.

c. Examine nuevamente la tabla de direcciones MAC

Para evitar ingresos no autorizados__________

Apéndice A: inicialización y recarga de un router y un switch

Paso 1. inicializar y volver a cargar el router.

Paso 2. inicializar y volver a cargar el switch.

2 -rwx 1919 Mar 1 1993 00:06:33 +00:00 private-config.text

32514048 bytes total (20886528 bytes free)

c. Si se encontró el archivo vlan.dat en la memoria flash, elimínelo.

f. Utilice el comando erase startup-config para eliminar el archivo de configuración de inicio de la

Device Interface IP Address Subnet Mask

S1 VLAN 1 10.10.10.2 255.255.255.0

Part 1: Configure Port Security

Part 2: Verify Port Security

R1 G0/1 172.16.99.1 255.255.255.0 N/A

¿Se puede hacer ping de la PC-A a la PC-B? SI_