• Author / Uploaded
• fernanddax

• Categories
• Router (Informática)
• Conmutador de red
• Dirección IP
• Redes de computadoras
• Arquitectura de red

Citation preview

CCNA Discovery Introducción al enrutamiento y la conmutación en la empresa

Práctica de laboratorio 8.4.5: Configuración y verificación de las ACL para filtrar el tráfico entre VLAN

Dispositivo

Nombre de Host

Router 1

R1

Dirección IP de FastEthernet Fa0/0: ninguno Fa0/0.1: 192.168.1.1/24 Fa0/0.2: 192.168.2.1/24 Fa0/0.3: 192.168.3.1/24 Fa0/0.4: 192.168.4.1/24

Dirección IP del gateway predeterminado

Switch 1

S1

192.168.1.2/24

192.168.1.1

Host 1

H1

192.168.2.10/24

192.168.2.1

Host 2

H2

192.168.3.10/24

192.168.3.1

Host 3

H3

192.168.4.10/24

192.168.4.1

Nombres y números de VLAN

VLAN 1 Nativa Servidores VLAN 10 Usuarios1 de VLAN 20 Usuarios2 de VLAN 30

Asignaciones del puerto del switch

Fa0/1 Fa0/2 Fa0/5 Fa0/8

Contraseña secreta de enable

Contraseña de enable, de vty y de consola

class

cisco

class

cisco

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 1 de 5

CCNA Discovery Introducción al enrutamiento y la conmutación en la empresa Objetivos •

Configurar las VLAN en un switch.

•

Configurar y verificar el enlace troncal.

•

Configurar un router para enrutamiento entre VLAN.

•

Configurar, aplicar y probar una ACL para filtrar el tráfico entre VLAN.

Información básica / Preparación Cree una red con un cableado similar al del diagrama. Se puede usar cualquier router que cumpla con los requisitos de interfaz que se muestran en el diagrama de topología. Por ejemplo, se pueden usar los routers serie 800, 1600, 1700, 1800, 2500, 2600, 2800 o cualquier combinación de esta clase. La información en esta práctica de laboratorio se aplica al router 1841. También pueden funcionar otros routers, aunque la sintaxis de comandos puede variar. Las interfaces pueden variar según el modelo de router. Por ejemplo, en algunos routers Serial 0 puede ser Serial 0/0 o Serial 0/0/0 y Ethernet 0 puede ser FastEthernet 0/0. El switch Cisco Catalyst 2960 viene preconfigurado y sólo se le debe asignar información básica de seguridad antes de conectarlo a una red. Se necesitan los siguientes recursos: •

Un switch Cisco 2960 o un switch similar

•

Un router Cisco 1841 o similar

•

Tres PC con Windows, cada una con un programa de emulación de terminal

•

Por lo menos un cable conector de consola RJ-45 a DB-9 para configurar el router y el switch

•

Cuatro cables de conexión directa Ethernet

NOTA: Asegúrese de que se hayan borrado las configuraciones de inicio del router y del switch. Las instrucciones para borrar tanto el switch como el router se proporcionan en el Manual del laboratorio, que se encuentra en la sección Tools del sitio Web Academy Connection. NOTA: Routers habilitados para SDM: si se borra el archivo startup-config en un router habilitado para SDM, SDM ya no aparecerá de manera predeterminada cuando se reinicie el router. Será necesario desarrollar una configuración básica de router con comandos IOS. Los pasos de esta práctica de laboratorio utilizan comandos IOS y no requieren el uso de SDM. Si desea utilizar SDM, consulte las instrucciones del Manual del laboratorio, que se encuentra en la sección Tools del sitio Web Academy Connection, o comuníquese con su instructor si es necesario.

Paso 1: Conectar el equipo a. Conecte la interfaz Fa0/0 del router 1 al puerto Fa0/1 del switch 1 mediante un cable de conexión directa. b. Conecte las PC con cables de consola para realizar configuraciones en el router y el switch. c.

Conecte las PC host con cables de conexión directa a los siguientes puertos de switch: Host 1 a Fa0/2; Host 2 a Fa0/5; Host 3 a Fa0/8.

Paso 2: Realizar la configuración básica del Router 1

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 2 de 5

CCNA Discovery Introducción al enrutamiento y la conmutación en la empresa

Paso 3: Configurar R1 para admitir el tráfico entre VLAN La interfaz FastEthernet 0/0 en R1 se configurará en subinterfaces para enrutar el tráfico desde cada una de las tres VLAN. Cada dirección IP de subinterfaz se convertirá en el gateway predeterminado para su VLAN designada. R1#configure terminal R1(config)#interface fastethernet 0/0 R1(config-if)#no shutdown R1(config-if)#interface fastethernet 0/0.1 R1(config-subif)#encapsulation dot1q 1 R1(config-subif)#ip address 192.168.1.1 255.255.255.0 R1(config-subif)#interface fastethernet 0/0.2 R1(config-subif)#encapsulation dot1q 10 R1(config-subif)#ip address 192.168.2.1 255.255.255.0 R1(config-subif)#interface fastethernet 0/0.3 R1(config-subif)#encapsulation dot1q 20 R1(config-subif)#ip address 192.168.3.1 255.255.255.0 R1(config-subif)#interface fastethernet 0/0.4 R1(config-subif)#encapsulation dot1q 30 R1(config-subif)#ip address 192.168.4.1 255.255.255.0 R1(config-subif)#end R1#copy running-config startup-config ¿Por qué el comando no shutdown se ejecuta sólo en la interfaz FastEthernet 0/0? _______________________________________________________________________________ ¿Por qué es necesario especificar el tipo de encapsulación en cada subinterfaz? _______________________________________________________________________________

Paso 4: Realizar la configuración básica del Switch 1 Paso 5: Crear, nombrar y asignar puertos a tres VLAN en S1 Esta red contiene una VLAN para la granja de servidores y dos VLAN para los grupos de usuarios. ¿Por qué conviene ubicar la granja de servidores en una VLAN separada? _______________________________________________________________________________ a. Introduzca los siguientes comandos para crear las tres VLAN: S1(config)#vlan S1(config)#name S1(config)#vlan S1(config)#name S1(config)#vlan S1(config)#name

10 Servers 20 Users1 30 Users2

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 3 de 5

CCNA Discovery Introducción al enrutamiento y la conmutación en la empresa

b. Asigne un puerto a cada VLAN, según la tabla de direccionamiento. S1#configure terminal S1(config)#interface fastethernet0/2 S1(config-if)#switchport mode access S1(config-if)#switchport access vlan 10 S1(config)#interface fastethernet0/5 S1(config-if)#switchport mode access S1(config-if)#switchport access vlan 20 S1(config)#interface fastethernet0/8 S1(config-if)#switchport mode access S1(config-if)#switchport access vlan 30 NOTA: En esta práctica de laboratorio, sólo se asigna una interfaz representativa a cada VLAN. Cuando asigne múltiples puertos a una VLAN, utilice el parámetro range. Por ejemplo, si asigna a VLAN 10 los puertos de 0/2 a 0/4, utilice esta secuencia de comandos: S1(config)#interface range fastethernet 0/2 - 4 S1(config-if-range)#switchport mode access S1(config-if-range)#switchport access vlan 10

Paso 6: Crear el enlace troncal en S1 Introduzca el siguiente comando para establecer la interfaz Fa0/1 como puerto de enlace troncal: S1(config)#interface fastethernet 0/1 S1(config-if)#switchport mode trunk S1(config-if)#end ¿Por qué no es necesario especificar qué protocolo de enlace troncal (dot1q, ISL) se utilizará? _______________________________________________________________________________

Paso 7: Configurar los hosts Configure cada host con la correspondiente dirección IP, máscara de subred y gateway predeterminada según la tabla de direccionamiento. Predecir: Si las configuraciones son correctas, ¿a qué dispositivos debería poder hacer ping con éxito un usuario en PC1? _______________________________________________________________________________

Paso 8: Verificar que la red esté funcionando a. Desde cada host conectado, haga ping a los otros dos hosts y a cada una de las direcciones IP de la subinterfaz del router. ¿Ha logrado hacer ping? __________ Si la respuesta es no, resuelva el problema en las configuraciones del router, el switch y el host para detectar el error. b. Desde el switch S1, haga ping al gateway predeterminado 192.168.1.1 del router. ¿Ha logrado hacer ping? __________ c.

Utilice el comando show ip interfaces brief y verifique el estado de cada interfaz o subinterfaz. ¿Cuál es el estado de las interfaces?

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 4 de 5

CCNA Discovery Introducción al enrutamiento y la conmutación en la empresa R1: FastEthernet 0/0:

__________

FastEthernet 0/0.1: __________ FastEthernet 0/0.2: __________ FastEthernet 0/0.3: __________ FastEthernet 0/0.4: __________ S1: Interfaz VLAN1:

__________

d. Haga ping nuevamente hasta que sea exitoso.

Paso 9: Configurar, aplicar y probar una ACL extendida para filtrar el tráfico entre VLAN Los miembros de los Usuarios1 VLAN no deberían poder llegar a la granja de servidores, pero los miembros de la otra VLAN deberían poder llegar a cada una de ellas y al router. Los Usuarios1 deberían poder llegar a las VLAN que no pertenezcan a la granja de servidores. a. Cree las sentencias de ACL extendida: R1(config)#access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 R1(config)#access-list 100 permit ip any any R1 tiene una interfaz FastEthernet 0/0 y cuatro subinterfaces. ¿Dónde debería colocarse esta ACL y en qué dirección? ¿Por qué? ______________________________________________________________________________ b. Aplique la ACL y pruebe haciendo ping desde PC2 a PC1 y a PC3. Si la ACL funciona correctamente, los pings de PC2 a PC1 deberían fallar. Todos los otros pings deberían tener éxito. Si los resultados no cumplen con este criterio, resuelva el problema de la sintaxis y la ubicación de ACL.

Paso 10: Reflexión a. ¿Por qué conviene realizar y verificar configuraciones básicas y relativas a VLAN antes de crear y aplicar una ACL? _______________________________________________________________________________ _______________________________________________________________________________ b. ¿Qué resultados se hubiesen producido si la ACL se hubiese colocado en la subinterfaz FastEthernet 0/0.3 saliente y la PC2 hubiese hecho ping a PC3? _______________________________________________________________________________

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco.

Página 5 de 5