CCNA 200-301
Aca encontratas material de soporte para el Curso de UDEMY
Material CCNA
Acceso a la Red
Entrar al modo privilegiado:
Switch>enable
Entrar al modo de configuración global:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Crear una VLAN con un ID valido:
Switch(config)#vlan 10
Nombrar la VLAN para fácil identificación:
Switch(config-vlan)#name ventas
Asignar una inferface del switch a una VLAN:
Switch(config)#interface fastethernet 0/1
Switch(config)#switchport mode access
Switch(config)#switchport access vlan 10
Validar la configuracion de asignacion de la VLAN con comando show:
Switch#show vlan
Puertos de acceso y puertos con Voice VLAN:
Ingresar al modo configuración global:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Entrar al modo de configuración global:
Switch#configure terminal
Switch(config)#
Seleccionar interface y configurarla en modo acceso:
Switch(config)#interface gigabitEthernet 0/1
Switch(config-if)#switchport mode access
Asignar VLAN de datos:
Switch(config-if)#switchport access vlan vlan-id
De manera opcinal si tienes VLAN de voz, aca la asignar VLAN de voz:
Switch(config-if)#switchport voice vlan vlan-id
Verificación:
En el modo privilegiado, usar el commando:
Switch#show vlan
VLAN Nativa:
Asignar VLAN de datos como vlan nativa:
Switch(config-if)#Switchport trunk native vlan vlan-id (VLAN Datos)
Verificación:
Switch#show vlan
Switch#show vlan brief
Switch#show interfaces gigabitEthernet 0/1 Switchport
Creacion y asignacion de interfaces TRUNKs o troncales
Ingresar al modo configuración global:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Ingresar a la interface deseada:
Switch(config)#Interface fastEthernet 0/24
Habilitar el puerto en modo trunk:
Switch(config-if)#switchport mode trunk
Verificacion. Mostrar las interfaces que estan en modo trunk:
Switch#show interfaces trunk
Verificacion. Mostrar los detalles de una interface especifica:
Switch#show interfaces fastEthernet 0/24 switchport
SVIs
Crear la VLAN:
Ingresar al modo configuración global:
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 100
Switch(config)#vlan 100
Ingresar la primera interface LAN, asignar la IP y activarla:
Switch(config)#interface vlan 100
Switch(config-if)#ip address 10.1.1.254 255.255.255.0
Switch(config)#no shutdown
Ingresar la segunda interface VLAN, asignar la IP y activarla:
Switch(config)#interface vlan 200
Switch(config-if)#ip address 10.2.1.254 255.255.255.0
Switch(config)#no shutdown
CDP
Habilitar CDP en el modo de configuración global:
Switch(config)#cdp run
Verificación:
Switch#show cdp neighbors
Para obtener información más detallada del vecino:
Switch#show cdp neighbors detail
LLDP
Activar LLDP en el modo de configuración global:
Switch(config)#lldp run
Verificación:
Switch#show lldp
Switch#show lldp neighbors
Etherchannel
Se crea una interfaz de tipo port-channel y se asigna un número.
Switch# configure terminal
Switch (config)# interface port-channel 1
Generalmente, en un etherchannel se busca transmitir más de una VLAN, por tanto, los puertos se configuran como trunk, pero es posible también hacerlo como access si así se requiere.
Switch(config)# interface range GigabitEthernet 0/1
Switch(config-if)# Switchport mode trunk
Switch(config-if)# Switchport trunk vlan-id,vlan-id
Se asigna el puerto al port-channel, y el modo.
Podemos configurar Etherchannel de tres formas en Switches Cisco.
Port Aggregation Protocol (PAgP) tiene dos Channel modes y ellos son "Desirable" y "Auto".
Link Aggregation Control Protocol (LACP) tiene dos Channel modes y ellos son "Active" y "Passive".
Manual, tiene solamente el modo: on.
Switch(config-if)# channel-group 1 mode active|passive|on
Verificación:
Switch# show interface port-channel channel-number
Switch# show port-channel summary
Spanning Tree Protocol (STP):
Activar spanning tree:
Switch(config)#spanning-tree mode stp
Comando para configurar el root bridge de forma manual (default: 32768):
Switch(config)#spanning-tree priority priority
Definir costo de spanning tree en las interfaces:
Switch(config)#interface gigabitEthernet 1/1
Switch(config-if)#spanning-tree cost cost
Verificación:
Switch# show spanning-tree
Switch# show spanning-tree brief
PVST
Este es el modo por default de spanning-tree en Switches Cisco.
Switch(config)#spanning-tree mode pvst
Configurar primary y secondary root bridges para cada VLAN:
Switch(config)#spanning-tree vlan vlan-id root primary
Switch(config)#spanning-tree vlan vlan-id root secondary
Verificación:
Switch#show spanning-tree
Switch#show spanning-tree vlan vlan-id
MST
Activar MST.
Switch(config)# spanning-tree mode mst
Configurar parámetros requeridos para MST:
Switch(config)# spanning-tree mst configuration
Nombre de la region MST:
Switch(config-mst)# name name
Número de la revisión, puede ser de 0 a 65535:
Switch(config-mst)# revision 5
Número de la instancia y el rango de VLAN a incluir en la misma:
Switch(config-mst)# instance instance-id vlan vlan-range
Las VLAN que no se incluyan en la instancia creada, pasarán automáticamente a ser parte de la instancia por default (instancia 0).
Conectividad IP
Rutas estáticas
Entrar al modo privilegiado:
Router>enable
Entrar al modo de configuración global:
Router#configure terminal
Router(config)#
Existen dos comandos para crear una ruta estática:
Por IP de próximo salto:
Router(config)#ip route red_destino [máscara] IP_address_próximo_salto [distancia_administrativa]
Por interfaz de salida:
Router(config)#ip route red_destino [máscara] interface_de_salida [distancia_administrativa]
Verificación:
Router#show ip route
OSPF Single Area
Activar OSPF:
Router(config)#router ospf process_ID
El process_ID es significativo solo de forma local, y puede estar entre 1 y 65,535.
Definir las interfaces que van a participar en el proceso OSPF:
Router(config-router)# network IP_network [wildcard mask] area area_number
La wildcard mask es diferente a la máscara de sub-red. La wildcard mask le dice al proceso OSPF la parte de la red que debe coincidir en la interfaz.
El router-ID es un identificador único del router OSPF. A diferencia del ID de proceso, este tiene importancia en toda la red OSPF, no solo de forma local. Se escribe en el mismo formato que las direcciones IPv4. Si no se define manualmente, el router la asignará de forma automática.
Router(config-router)#router-id ip_address_format
Verificación:
Router#show ip protocols
Router#show ip ospf
Router#show ip ospf neighbor
OSPF Multi Area
Activar OSPF:
Router(config)# router ospf process_ID
Definir las interfaces que van a participar en el proceso OSPF. Importante fijar el área donde se encuentra la interfaz:
Router(config-router)# network IP_network [wildcard mask] area area_number
Definir router-ID:
Router(config-router)#router-id ip_address_format
Verificación:
Router#show ip protocols
Router#show ip ospf
Router#show ip ospf neighbor
HSRP
Seleccionar interfaz primaria e interfaz secundaria:
Router(config)#interface Interface-id
Configurar el grupo y la IP primaria o secundaria:
Router(config-if)#standby [group-number] ip [ip-address [secondary]]
Configurar prioridad HSRP, rango de 1 a 255, default es 100, el número más alto representa la mayor prioridad:
Router(config-if)#standby [group-number] priority priority
Cambiar de estado a activo cuando el router tiene una interfaz con una prioridad más alta:
Router(config-if)#standby [group-number] preempt
Verificación:
Router#show standby [interface-id [group]]
VRRP
Seleccionar la interfaz:
Router(config)#interface interface-id
Habilitar VRRP en la interfaz, y establecer prioridad (opcional):
Router(config-if)# vrrp group description text
Router(config-if)# vrrp group priority level
Cambiar de estado a activo cuando el router tiene una interfaz con una prioridad más alta:
Router(config-if)# vrrp group preempt [delay minimum seconds]
Configurar intérvalo entre cada aviso sucesivo del router master. Tiene que ser igual en todos los routers del mismo grupo VRRP:
Router(config-if)# vrrp group timers advertise [sec] interval
Configurar router virtual backup para aprender el tiempo de aviso del router master:
Router(config-if)# vrrp group timers learn
Servicios IP
ACL STANDARD
Configurar ACL. Las ACL estándar usan los números 1 a 99 y 1300 a 1999.:
Router(config)#access-list acl_number permit|deny IP_address wildcard_mask
Si la ACL afecta solo a un host, se puede utilizar el siguiente comando:
Router(config)#access-list acl_number permit|deny host IP_address
Aplicar ACL en la interfaz y el sentido requerido:
Router(config)#interface Interface-id
Router(config-if)#ip access-group acl_number in|out
Verificación:
Router#show ip access-lists
ACL EXTENDED
Configurar ACL extendida.
Router(config)#access-list acl_number permit|deny protocol IP_origen IP_destino
Verificación:
Router#show ip access-lists
ACL NAMED
Puede ser estándar o extendida:
Router(config)#ip access-list standard|extended acl_name
Router(config)#permit|deny protocol [source source-wildcard] {any | host {address | name} {destination [destination-wildcard] {any | host {address | name} [log]
Verificación:
Router#show ip access-lists
Router#show ip access-lists acl_name
NAT STATICO
Configurar manualmente el “mapa” de las direcciones IP a traducir:
Router(config)#ip nat inside source static [inside local ip address] [inside global IP address]
Aplicar en las interfaces según corresponda:
Router(config)#interface Interface-id
Router(config-if)#ip nat inside
Router(config)#interface Interface-id
Router(config-if)#ip nat outside
Verificación:
Router#show ip nat translations
NAT DINAMICO
Primero configurar ACL estándar para definer redes internas locales a traducir:
Router(config)# access-list ACL_Identifier_number permit/deny matching- parameters
Definir pool de IP internas globales:
Router(config)#ip nat pool [Pool Name] [Start IP address] [End IP address] netmask [Subnet mask]
Configurar NAT usando los parámetros definidos anteriormente:
Router(config)#ip nat inside source list [access list name or number] pool [pool name]
Aplicar en las interfaces según corresponda:
Router(config)#interface Interface-id
Router(config-if)#ip nat inside
Router(config)#interface Interface-id
Router(config-if)#ip nat outside
Verificación:
Router#show ip nat translations
Router#show ip access-lists
NTP
Definir zona horaria:
Router(config)#clock timezone name time_zone
Definir servidor NTP:
Router(config)#ntp server server_IP
Verificación:
Router#show clock
Router#show ntp status
DHCP
Nombre del pool de DHCP:
Router(config)#ip dhcp pool POOL_NAME
Definir red:
Router(dhcp-config)#network IP_address Mask
Definir gateway:
Router(dhcp-config)#default-router IP_Gateway
Definir dirección IP del DNS:
Router(dhcp-config)#dns-server IP_DNS
Direcciones IP excluidas del pool de DHCP:
Router(config)#ip dhcp excluded-address IP_address_inicio IP_address_fin
Verificación:
Router#show ip dhcp
DNS
Habilitar la traducción de host a IP (este comando viene habilitado por default):
Router(config)# ip domain-lookup
Configurar la/las direcciones IP de el o los servidores DNS:
Router(config)# ip name-server ip_address
Router(config)# ip name-server ip_address
Verificación:
Router# ping www.yahoo.com
SYSLOG
Configurar IP del servidor:
Router(config)#logging host server_IP
Definir el tipo de logs que se enviarán al servidor:
Router(config)#logging trap severity_level
Verificación:
Router#debug ip protocolo
SSH
Configurar un hostname al router:
Router(config)#hostname Cisco
Configurar un nombre de dominio:
Cisco(config)#ip domain-name cisco.com
Crear un usuario y contraseña:
Cisco(config)#username ccna password cisco123
Generar llave RSA pública y privada:
Cisco(config)#crypto key generate rsa
Habilitar acceso por SSH:
Cisco(config)#line vty 0 10
Cisco(config-line)#login local
Cisco(config-line)#transport input ssh
Habilitar password de modo privilegiado:
Cisco(config)#enable password cisco123
Verificación:
Cisco#show ip ssh
Seguridad
Port security
El puerto debe estar en modo acceso.
Switch(config-if)# Switchport mode access
Activar port-security en el puerto:
Switch(config-if)# Switchport port-security
Máximo número de direcciones MAC seguras (default: 1):
Switch(config-if)# Switchport port-security maximum valor
Acción a tomar en caso de violación de seguridad:
Switch(config-if)# Switchport port-security violation {restrict | shutdown}
Verificación:
Switch#show port-security interface
DHCP snooping
Activar DHCP Snooping:
Switch(config)# ip dhcp snooping
Seleccionar la VLAN que se desea proteger:
Switch(config)#ip dhcp snooping vlan vlan-id
Configurar el trusted port, el puerto que está directamente conectado al servidor DHCP.
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#ip dhcp snooping trust
Verificación:
Switch#show ip dhcp snooping
Dynamic ARP inspection
ARP inspection funciona con la base de datos de DHCP Snooping.
En el caso de que los dos Switches involucrados soporten ARP inspection y DHCP Snooping:
Activar la inspección ARP:
Switch(config)#ip arp inspection vlan vlan-id
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#ip arp inspection trust
Switch(config-if)#end
Verificación:
Switch#show ip arp inspection vlan vlan-id
Switch#show ip dhcp snooping binding
En el caso de que los dos Switches involucrados no soporten ARP inspection o DHCP Snooping:
Switch(config)#arp access-list access-list-name
Asociar manualmente la dirección IP del host a su dirección MAC y guardarla en la base de datos del Switch:
Switch(config-arp-nacl)#permit ip host 1.1.1.1 mac host 0001.0001.0001
Aplicar el filtro a la vlan-id requerida:
Switch(config)#ip arp inspection filter access-list-name vlan vlan-id
Verificación:
Switch#show arp access-list
Switch#show ip arp inspection vlan 1
Switch#show ip arp inspection statistics vlan 1