• Author / Uploaded
• cptinoco

Citation preview

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \ Las Redes Privadas Virtuales (Virtual Private Networks o VPNs) permiten que vari os clientes compartan el ancho de banda de la red de backbone de un proveedor de servicio de Internet (ISP). Una VPN se puede definir como el conjunto de ubicac iones que comparten una misma tabla de enrutamiento. Una ubicación de cliente se c onecta al proveedor de servicio a través de uno o más interfaces. El proveedor de se rvicio asocia cada interfaz con la tabla de encaminamiento de una VPN. La tabla de encaminamiento de una VPN es lo que se denomina VRF (VPN routing/forwarding t able). //////////////////////////////////////////////////////////////////////////////// //////////////////////////////////////////////////////////////////////////////// //// \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \ - VRF-Lite es la capacidad que nos provee un router para dividir a este router y su tabla de enrutamiento en múltiples; de ahí su nombre VRF (Virtual Routing and Fo rwarding).en resumen lo que se hace es convertir un router en múltiples routers.. Pero... Que ventajas me puede traer esto? Un ejemplo podría ser en el caso de un proveedor de servicios (ISP) con múltiples cl ientes.Creen ustedes que los diferentes clientes deben de ser accesados por los otros clientes, deben ellos de compartir el medio? Por supuesto que no y VRF Lite nos permitiría esto ya que cada VRF tendrá su propia tabla de enrutamiento y los clientes en diferentes VRF's no podrán accesar otros c lientes en diferentes VRFs. //////////////////////////////////////////////////////////////////////////////// //////////////////////////////////////////////////////////////////////////////// //// Confifuracion de un cisco 800, con VRF SUBINTERFACES Y NAT (INTERNET Y DATOS) *****Crear la vrf (se debe tener en cuenta si es solo solo datos o si es con int ernet), con el fin de que al momento de hacr el las reglas sepamos por donde sal ir*** Router(config)# ip vrf vrf-name (ejm: ip vrf PUNTOA) ===>>>> Enters VRF configur ation mode and assigns a VRFname. Router(config-vrf)# rd 1:1 ===>>> Creates a VPN route distinguisher Router(config-vrf)# route-target both 1:1 Creates a list of import and/or export route target communities for the specified VRF. ejm: ip vrf DATOS rd 1:1 route-target export 1:1 n identificador route-target import 1:1

| |esto va como por defecto, en realidad solo es u |

/// rd 10:10 : Estamos creando un identificador para las rutas en un VRF específic o; El número puede ser al azar. Normalmente se utiliza ASN:Número al azar o Dirección_IP:Número al azar. ////// 2. INGRESAMOS A LA INTERFAZ QUE VAMOS A TRABAJAR

Router(config)#interface fastethernet Nºde slot/Nºde interfaz ****creamos la sub-interfaz ******** Router(config)#interface fastethernet Nºde slot/Nºde interfaz.Nºde subinterfaz Router(config-subif)#description name Router(config-subif)#encapsulation [dot1q|ISL] Nºde vlan Router(config-subif)#ip address direccion IP+mascara Router(config-subif)#exit Router(config)#interface fastethernet Nºde slot/Nºde interfaz Router(config-if)#no shutdown ejem: interface FastEthernet4.1734 description WAN_DATOS encapsulation dot1Q 1734 ip address 20.20.20.30 255.255.255.252 **NOTA: PARA HACER MAS FACIL LA IDENTIFICACION DE LA SUBINTERFAZ Y LA VLAN DE ES A SUBINTERFAZ DE LA CONFIGURA DE ASI (interface FastEthernet4.1734), DONDE EL VA LOR DE 1734 ES EL VALOR DE ESTA VLAN PARA EL EJEMPLO.****** ***** hacemos que esta sub-interfaz se transporte (forwarding) por la vrf creada *********** Router(config)# interface type number (Ejm. interface fastEthernet 0.1)==>>> Spe cifies an interface and enters interface configuration mode. Router(config-subif)# ip vrf forwarding vrf-name (Ejm:ip vrf forwarding DATOS) = =>>> Associates a VRF with an interface or subinterface. Ejm: interface FastEthernet4.1734 description WAN_DATOS encapsulation dot1Q 1734 ip vrf forwarding DATOS ip address 20.20.20.30 255.255.255.252 NOTA **** ip vrf forwarding vrf-name: Este comando asocia a la interface a una t abla de enrutamiento específico (Nota: Este comando remueve la configuración de IP p reviamente configurada en esta interface por ende debes de volver a asignarla). ****nota a todas las interfaces que esten en el puerto hay que darles una decrip cion***** -interface FastEthernet0 description interfaz_lan (este nombre puede ser el que tu quieras) - interface FastEthernet1 description interfaz_lan (este nombre puede ser el que tu quieras) -interface FastEthernet2 description interfaz_lan (este nombre puede ser el que tu quieras) -interface FastEthernet3 description interfaz_lan (este nombre puede ser el que tu quieras)

//////////////////////////////////////////////////////////////////////////////// ///////////////// *******cear VLANS****** creacion de vlan Router# config terminal Router(config)#vlan2 Router(config-vlan)# ip address 10.2.88.2 255.255.255.0 Router(config-vlan)# ip vrf forwarding DATOS Router(config-vlan)#exit interface Vlan1 description LAN ip address 186.46.89.225 255.255.255.248 ! ! interface Vlan2 description LAN_DATOS ip vrf forwarding DATOS ip address 10.2.88.2 255.255.255.0 *****Configuración básica de DHCP y NAT****** \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ Especifique direcciones de IP que el servidor de DHCP no debe asignar a los clie ntes de DHCP . En este ejemplo, estamos excluyendo la dirección de router //////////////////////////////////////////////////////////////////////////////// /////////////// Router(config)# ip dhcp excluded-address low-address[high-address] Ejm: Router(config)# ip dhcp excluded-address 192.168.254.255 ip dhcp excluded-address 192.168.254.0 ip dhcp excluded-address 192.168.254.1 \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\ creando el POOL Crea un conjunto de direcciones en router, al aplicar el comando se ingresa al m odo de configuracion del DHCP-POOL //////////////////////////////////////////////////////////////////////////////// /////////////// ip dhcp pool name Ejm: Router(config)# ip dhcp pool LABORATORIO2 Router(config-dhcp)# ***UNA VES DENTRO DE LA INTERFAZ:****

network-number [mask |prefix-length] Se define la subred, es decir las direcciones IP que se asignaran para el conjun to de direcciones del DHCP_pool Ejm: Router(config-dhcp)# network 192.168.254.0 255.255.255.0 Router(config-dhcp)# otro ejm: Router(config-dhcp)# network 192.168.252.0 255.255.255.0 Router(config-dhcp)# \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\ creando el DEFAULT ROUTER especifica las direcciones POR DEFECTO DEL ROUTER //////////////////////////////////////////////////////////////////////////////// /////////////// default-router address [address2...address8] Ejm: Router(config-dhcp)# default-router 192.168.254.1 Router(config-dhcp)# otro ejm: Router(config-dhcp)# default-router 192.168.252.1 Router(config-dhcp)# \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\ creando el DNS-SERVER especifica las direcciones de DNS-SERVER //////////////////////////////////////////////////////////////////////////////// /////////////// dns-server address [address2...address8] Ejm: Router(config-dhcp)# dns-server 200.107.10.52 200.107.60.58 |||| ESTOS SON LOS D NS QUE SE MANEJAN A NIVEL NACIONAL Router(config-dhcp)# ****CON ESTE COMANDO: show ip dhcp binding proporciona información acerca de las d irecciones de DHCP asignadas actualmente.******* \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ NAT o Network Address Translation (en castellano, Traducción de Direcciones de Red ) La idea es sencilla, hacer que redes de ordenadores utilicen un rango de direcci ones especiales (IPs privadas) y se conecten a Internet usando una única dirección I P (IP pública). Gracias a este parche , las grandes empresas sólo utilizarían una dirección IP y no tantas como máquinas hubiese en dicha empresa //////////////////////////////////////////////////////////////////////////////// //////////////////////////////////////////////////////////////////////////////// /

Antes de que NAT pueda funcionar, se deben especificar cuáles interfaces son inter nas y cuáles son externas Ejm: interface FastEthernet4.576 encapsulation dot1Q 576 ip address 172.16.78.114 255.255.255.252 ip nat outside ip virtual-reassembly in no cdp enable ! interface FastEthernet4.577 encapsulation dot1Q 577 ip vrf forwarding INTERNET2 ip address 172.16.78.118 255.255.255.252 ip nat outside ip virtual-reassembly in no cdp enable ! interface Vlan1 description LAN_CLIENTE ip address 190.214.47.113 255.255.255.252 secondary ip address 192.168.254.1 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1452 ! interface Vlan2 ip address 190.214.47.117 255.255.255.252 secondary ip address 192.168.252.1 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1452 http://www.firewall.cx/cisco-technical-knowledgebase/cisco-routers/260-cisco-rou ter-nat-overload.html http://decimahacking.blogspot.com/2013/07/router-cisco-subinterfaces.html https://learningnetwork.cisco.com/thread/41202 https://learningnetwork.cisco.com/thread/39602 http://www.tek-tips.com/viewthread.cfm?qid=779145 -------- para hacer pruebas ---------ping hacia la puerta de enlace ping hacia google como fuente la ip publica del router ping hacia google como la vlan 1