Comandos CCNA 4


Estos comandos CCNA 4 son los utilizados en la currícula de CISCO “Redes WAN” los cuales son también aplicables a otros ramos de redes.

ENCAPSULACION PPP CHAP

El protocolo punto a punto (PPP) proporciona un método estándar para transportar datagramas multiprotocolo a través de enlaces punto a punto. PPP se compone de tres componentes principales:

  1. Un método para encapsular datagramas multiprotocolo.
  2. Un protocolo de control de enlace (LCP) para establecer, configurar y probar la conexión de enlace de datos.
  3. Una familia de protocolos de control de red (NCP) para establecer y configurar diferentes protocolos de capa de red.

EL protocolo Challenge Handshake Authentication Protocol (CHAP) verifica la identidad del peer mediante una entrada en contacto de tres vías. Éstos son los pasos generales que se realizan en CHAP:

  1. Una vez completada la fase LCP (Link Control Protocol), y negociado CHAP entre ambos dispositivos, el autenticador envía un mensaje de desafío al peer.
  2. El peer responde con un valor calculado mediante una función de hash de una vía (publicación de mensaje 5 (MD5)).
  3. El autenticador verifica la respuesta contra su propio cálculo del valor de troceo esperado. Si los valores coinciden, la autenticación es exitosa. De no ser así, la conexión finaliza.

Este método de autenticación depende de un “secreto” conocido solamente para el autenticador y el peer. El secreto no se envía por el link. Aunque la autenticación sea solamente unidireccional, puede negociar CHAP en ambas direcciones, con la ayuda del mismo secreto establecido para la autenticación recíproca.

El siguiente es un ejemplo de su configuración:

R1(config)#interface Serial0/0/0 (INTERFAZ QUE CORRESPONDA)
R1(config-if)#ip address 30.0.0.9 255.255.255.252 (IP QUE CORRESPONDA)
R1(config-if)#encapsulation ppp (TIPO DE ENCAPSULACION)
R1(config-if)#ppp authentication chap (TIPO DE AUTENTICACION)
R1(config-if)#no shutdownR2(config)#interface Serial0/0/1 (INTERFAZ QUE CORRESPONDA)
R2(config-if)#ip address 30.0.0.10 255.255.255.252 (IP QUE CORRESPONDA)
R2(config-if)#encapsulation ppp (TIPO DE ENCAPSULACION)
R2(config-if)#ppp authentication chap (TIPO DE AUTENTICACION)
R1(config-if)#no shutdown

ENCAPSULACION PPP PAP

El protocolo Password Authentication Protocol (PAP) es un subprotocolo usado por la autenticación del protocolo PPP, validando a un usuario que accede a ciertos recursos. PAP transmite contraseñas en ASCII sin cifrar, por lo que se considera inseguro.

El siguiente es un ejemplo de su configuración:

R1(config)#interface Serial0/0/0 (INTERFAZ QUE CORRESPONDA)
R1(config-if)#ip address 30.0.0.9 255.255.255.252 (IP QUE CORRESPONDA)
R1(config-if)#encapsulation ppp (TIPO DE ENCAPSULACION)
R1(config-if)#ppp authentication pap (TIPO DE AUTENTICACION)
R1(config-if)#ppp pap sent-username R1 password 0 ppp2 (ENVIO DE USUARIO Y PASSWORD DE ESTE ROUTER)
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#username R2 password ppp2 (USUARIO Y PASSWORD ROUTER CONTRARIO)R2(config)#interface Serial0/0/1 (INTERFAZ QUE CORRESPONDA)
R2(config-if)#ip address 30.0.0.10 255.255.255.252 (IP QUE CORRESPONDA)
R2(config-if)#encapsulation ppp (TIPO DE ENCAPSULACION)
R2(config-if)#ppp authentication pap (TIPO DE AUTENTICACION)
R2(config-if)#ppp pap sent-username R2 password 0 ppp2 (ENVIO DE USUARIO Y PASSWORD DE ESTE ROUTER)
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#username R1 password ppp2 (USUARIO Y PASSWORD ROUTER CONTRARIO)

ENCAPSULACION FRAME RELAY

Frame Relay es un protocolo orientado a conexión. Una red Frame Realy está compuesta por nodos que son conmutadores (Switches) y como conmutadores al fin, estos brindan la ventaja que todos los paquetes IP recorren el mismo camino desde el nodo origen hasta el destino.

El siguiente es un ejemplo de su configuración:

R1(config)#interface Serial0/0/0 (INTERFAZ QUE CORRESPONDA)
R1(config-if)#encapsulation frame-relay ietf (TIPO DE ENCAPSULACION)
R1(config-if)#frame-relay lmi-type ansi (TIPO DE LMI)
R1(config-if)#no shutdown
R1(config-if)#exit

R1(config)#interface Serial0/0/0.100 point-to-point (SUBINTERFAZ QUE CORRESPONDA)
R1(config-if)#ip address 10.10.10.1 255.255.255.252 (IP QUE CORRESPONDA)
R1(config-if)#frame-relay interface-dlci 100 (DLCI QUE CORRESPONDA A ESTA SUBINTERFAZ)
R1(config-if)#no shut
R1(config-if)#exitR2(config)#interface Serial0/0/0 (INTERFAZ QUE CORRESPONDA)

R2(config-if)#encapsulation frame-relay ietf (TIPO DE ENCAPSULACION)
R2(config-if)#frame-relay lmi-type ansi (TIPO DE LMI)
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface Serial0/0/0.200 point-to-point (SUBINTERFAZ QUE CORRESPONDA)
R2(config-if)#ip address 10.10.10.2 255.255.255.252 (IP QUE CORRESPONDA)
R2(config-if)#frame-relay interface-dlci 200 (DLCI QUE CORRESPONDA A ESTA SUBINTERFAZ)
R2(config-if)#no shut
R2(config-if)#exit

ACL

Para filtrar el tráfico de la red, las ACL controlan si los paquetes ruteados se reenvían o bloquean
en la interfaz del router. Su router examina cada paquete para determinar si remitir o caer el
paquete basado en los criterios que usted especifica dentro del ACL. Los criterios de ACL
incluyen:

  • Dirección de origen del tráfico.
  • Dirección de destino del tráfico.
  • Protocolo de capa superior.

A continuación algunos ejemplos de 4 tipos de ACL.


ACL STANDARD NUMERADA

R1(config)#access-list 1 permit 192.168.0.1 0.0.0.3 (SE CREA ACCESS LIST Y SU PERMISO)
R1(config)#interface f0/1 (SE INGRESA A LA INTERFAZ DE SALIDA)
R1(config-if)#ip access-group 1 out (SE DEFINE EL ACCESS LIST NUMERADO “1” DE SALIDA)
R1(config-if)#exit

ACL STANDARD NOMBRADA

R1(config)#ip access-list NOMBREDELACL (SE CREA ACCESS LIST)
R1(config-std-nacl)#permit 192.168.0.1 0.0.0.3 (SE DEFINE EL PERMISO)
R1(config-std-nacl)#exit
R1(config)#interface f0/1 (SE INGRESA A LA INTERFAZ DE ENTRADA)
R1(config-if)#ip access-group NOMBREDELACL in (SE DEFINE EL ACCESS LIST NOMBRADO “NOMBREACL” DE ENTRADA)
R1(config-if)#exit

ACL EXTENDIDA NUMERADA

R1(config)#access-list 100 permit tcp 192.168.0.1 0.0.0.15 host 10.0.0.2 eq 80 (SE CREA ACCESS LIST Y SU PERMISO – HACIA EL HOST DE WEB EN ESTE CASO)
R1(config)#interface f0/1 (SE INGRESA A LA INTERFAZ DE ENTRADA)
R1(config-if)#ip access-group 100 in (SE DEFINE EL ACCESS LIST NUMERADO “100” DE ENTRADA)
R1(config-if)#exit

ACL EXTENDIDA NOMBRADA

R1(config)#ip access-list extended NOMBREDELACL (SE CREA ACCESS LIST)
R1(config-std-nacl)#permit tcp 192.168.0.1 0.0.0.3 any eq 80 (SE DEFINE EL PERMISO – A CUALQUIER DESTINO CON PUERTO 80 SEGUN ESTE CASO)
R1(config-std-nacl)#exit
R1(config)#interface f0/1 (SE INGRESA A LA INTERFAZ DE ENTRADA)
R1(config-if)#ip access-group NOMBREDELACL in (SE DEFINE EL ACCESS LIST NOMBRADO “NOMBREACL” DE ENTRADA)
R1(config-if)#exit

SSH

SSH o Security Shell es un interprete de comando seguro y cifra el trafico, haciendo inservible un ataque de sniffing.

SSH provee soporte para autenticacion basada en usuario/contraseña y autenticacion basada en RSA por tal motivo supera a Telnet que envia los paquetes en texto plano.

El siguiente es un ejemplo de su configuración:

Router(config)#hostname R1 (SE ASIGNA NOMBRE AL ROUTER)
R1(config)#ip domain-name duoc.cl (SE INGRESA EL NOMBRE DE DOMINIO)
R1(config)#crypto key generate rsa (SE GENERAN CLAVES RSA Y SE ASIGNAN LOS BITS, EJ. 1024)R1(config)#ip ssh version 2 (SE CAMBIA A LA VERSION 2 DE SSH YA QUE ES MAS SEGURA)
R1(config)#ip ssh time-out 10 (CIERRE DE SESION EN SEGUNDOS, EN ESTE CASO 10)
R1(config)#ip ssh authentication-retries 3 (CANTIDAD DE REINTENTOS DE CLAVE FALLIDA)R1(config)#ip access-list SSH (SE CREA ACL “SSH” PARA QUE 1 SOLO HOST INGRESE POR SSH)
R1(config-std-nacl)#permit host 192.168.0.254 (SE DEFINE EL PERMISO Y EL IP)
R1(config-std-nacl)#exit

R1(config)#line vty 0 4 (SE INGRESA A LA CONFIGURACION DE LAS LINEAS VTY)
R1(config-line)#transport input ssh (SE DEFINE EL PROTOCOLO SSH)
R1(config-line)#login local (SE DEFINE EL LOGIN DESDE UNA BASE DE DATOS LOCAL)
R1(config-line)#ip access-class SSH in (SE DEFINE EL ACL A UTILIZAR, EN ESTE CASO “SSH”)
R1(config-line)#exit

R1(config)#username alumno password cisco (SE DEFINE UN USUARIO “alumno” Y CLAVE “cisco” EN LA BASE DE DATOS LOCAL)
R1(config)#enable secret cisco (SE DEFINE EL PASSWORD MD5)

DHCP

DHCP le permite asignar automáticamente direcciones IP reutilizables a clientes DHCP.

El siguiente es un ejemplo de su configuración:

R1(config)#ip dhcp excluded-address 192.168.0.1 (SE INGRESAN LAS IP ESTATICAS A EXCLUIR DE DHCP)
R1(config)#ip dhcp pool LAN1 (SE CREA UN POOL CONTENEDOR DE UNA RED PARA ASIGNAR IPs DINAMICAS CON DHCP LLAMADO “LAN1”)
R1(dhcp-config)#network 192.168.0.0 255.255.255.0 (SE DEFINE LA RED CON SU NUMERO DE RED Y RESPECTIVA MASCARA)
R1(dhcp-config)#default-router 192.168.0.1 (SE DEFINE EL IP DEL ROUTER)
R1(dhcp-config)#dns-server 10.10.10.2 (SE DEFINE EL IP DEL DNS)
R1(dhcp-config)#exitR2(config)#interface f0/0 (SE INGRESA A LA INTERFAZ QUE ENTRA A LA RED DEL ROUTER QUE NO ES DHCP)
R2(config-if)#ip helper-address 10.0.0.1 (SE INGRESA EL IP DEL INTERFAZ DE SALIDA DEL ROUTER DHCP)
R1(config-if)#exit

NAT

La traducción de direcciones de red, también llamado enmascaramiento de IP o NAT (del inglés Network Address Translation), es un mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes que asignan mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. También es necesario editar los paquetes para permitir la operación de protocolos que incluyen información de direcciones dentro de la conversación del protocolo.

El siguiente es un ejemplo de su configuración:

R2(config)#access-list 10 permit 192.168.0.0 0.0.0.255 (SE CREAR TANTAS ACL COMO SUBREDES SE INCLUYAN)
R2(config)#ip nat inside source list 10 int s0/0/1 overload (SE CONFIGURA NAT CON ACL “10” E INTERFAZ HACIA INTERNET)R2(config)#int f0/0 (SE INGRESA A LA O LAS INTERFACES QUE VAN HACIA LAS REDES INTERNAS)
R2(config-if)#ip nat inside (SE DEFINE INTERFAZ COMO INSIDE)
R2(config-if)#exitR2(config)#int s0/0/1 (SE INGRESA A LA INTERFAZ QUE VA HACIA INTERNET)
R2(config-if)#ip nat outside (SE DEFINE INTERFAZ COMO OUTSIDE)
R2(config-if)#exit