CPT TALLER RETO3 – Grupo 4 —

Creamos las VLANs en los switches:

Asignamos puertos truncados en los switches, además de VLAN nativa:

Configuramos las direcciones IP en los routers:

Configuramos OSPF en R1 y R2:

Configuramos la ruta estática por defecto en R2 y R3:

Configuramos NAT en R2

Hacemos PING de prueba de R1 al server:

Configuramos SSH en R1:

Enlace permanente a este artículo: https://asir.maristak.com/?p=5581

VLANS & ROAS

¿Qué es VLAN?

VLAN es una función dentro de la capa 2 del modelo OSI que nos permite dividir una red de manera lógica en subredes más pequeñas. Dependiendo de la configuración, se puede dividir de diferentes maneras. La mayor ventaja que nos ofrece es poder dividir una red sin añadir hardware nuevo a nuestra red efectivamente reduciendo el coste de nuestra red.

Algunas de las características de las VLANs son las siguientes:

  • Nos permite dividir una red utilizando solamente un Switch de capa 2.
  • Mejora la seguridad de nuestra red permitiéndonos limitar la transferencia de datos entre VLANs o redes.
  • Mejora la escalabilidad y flexibilidad de nuestra red.
  • Existe la posibilidad de enrutar diferentes VLANs entre sí (InterVLAN) utilizando routers y “Switchs Multilayer(L3)”.

Cabe mencionar que VLAN solo nos permite dividir redes, y por ende estas no se pueden comunicar entre sí.

Véase un caso hipotético:

Nuestra red tiene 4 departamentos, cada uno con su VLAN propia, y necesitamos intercomunicarlas entre sí. Teniendo en cuenta que no podríamos intercomunicarlas entre sí, esto podría resultar en un inconveniente. Por ello, es común el uso de Routers / Switches L3 para interconectar las diferentes VLANs entre sí. (InterVLAN Routing)

¿Por qué VLAN?

Como bien hemos mencionado anteriormente, gracias a VLAN es posible crear nuevas subredes de forma virtual.

Necesitamos comprender no sólo el funcionamiento de las VLANs, sino también el POR QUÉ las VLANs.

>>>Limitar la carga de tráfico en Switches<<<

Las VLANs se crearon de la necesidad de aislar diferentes dominios broadcast desde un switch sin necesidad de la intervención de un router. Un Router ignora paquetes broadcast, pero antiguamente no eran tan rápidos como los switches, y gracias a la creación de las VLANs se permite una mayor flexibilidad a la hora de configurar la red vs utilizando más hardware

Un Switch L2 es un dispositivo que envía frames Ethernet en una misma red a todos los dispositivos conectados al switch. Esto puede generar problemas cuando tenemos bastantes hosts en una sola red, ya que se generarían más frames broadcast de Ethernet enviando estos a todos los puertos del Switch ralentizando considerablemente nuestra red en algunos casos.

Un ejemplo común es el protocolo ARP. A la hora de comunicar paquetes TCP/IP sobre Ethernet, siempre es necesario en un Switch una dirección MAC asociada con una IP de destino, utilizando el protocolo ARP, que envía paquetes de request a todos los dispositivos hasta que encuentra la dirección IP de destino deseada.

Debido a que la red entera está conectada a un mismo switch, a la hora de enviar información de 192.168.1.2 a 192.168.1.4, necesitaríamos la dirección MAC de 192.168.1.2.  192.168.1.2 envía un paquete broadcast a todas las direcciones de la red, aumentando la carga en el Switch. Normalmente no sería un problema debido al diminuto tamaño de un paquete ARP, pero puede ser algo a tener en cuenta en redes más grandes

Comandos de creación y configuración de VLANs

Primero de todo, revisemos la configuración predeterminada de un Switch:

> VLAN 1 existe por defecto, además de VLANs 1002-1005, utilizadas para Token Ring y FDDI

> Todos los puertos tienen la VLAN 1 asignada

> Todas las interfaces del switch tienen DTP activo en modo acceso

En la siguiente tabla puedes ver los comandos disponibles para comprobar el estado de las VLANs

comando showInformación mostrada
#show vlan [brief]Muestra VLANs presentes y a que puertos de acceso están asignadas
#show interface trunkMuestra información sobre los puertos de truncado 
#show interface <interfaz> switchportMuestra información detallada de cada puerto del switch

Crear VLANs

Para crear una nueva VLAN, puedes utilizar el siguiente comando desde modo config:

(config)#vlan <ID-VLAN>
(config-vlan)#name <NOMBRE-VLAN>

<ID-VLAN> : Número de la VLAN
<NOMBRE-VLAN>: Nombre de la VLAN

El número de la VLAN puede ser entre 2-1001 (1, 1002-1005 son VLANs reservadas) además, el nombre de la VLAN es opcional, en caso de ser omitido sera VLANXXXX segun el numero que hayas elegido.

Incluso puedes crear varias VLANs a la vez con el siguiente comando utilizando el símbolo “-” y en caso de ser una serie no consecutiva puedes usar “,” :

(config)#vlan 10-50
(config)#vlan 10,20-50

En algunos switches antiguos de Cisco no es posible configurar desde modo config, en su lugar utilizando el actualmente obsoleto “vlan database mode” :

#vlan database
(vlan)#vlan <ID-VLAN> name <NOMBRE-VLAN>

Borrar VLANs

Para borrar VLANs puedes utilizar el mismo comando utilizado para revertir configuraciones:

(config)#no vlan <ID-VLAN>

También puedes borrar múltiples VLANs al mismo tiempo utilizando los símbolos anteriormente mencionados:

(config)#no vlan <ID-VLAN> - <ID-VLAN>
(config)#no vlan <ID-VLAN> - <ID-VLAN>

Configuración de puertos del switch

Configurar modo DTP

DTP hace referencia al modo en el que se encuentra el puerto que hemos elegido  Switch, siendo los siguientes los disponibles:

(config-if)#switchport mode {dynamic {auto | desirable} | trunk |access}

Puertos de acceso

Para convertir un puerto en puerto de modo acceso de manera que escuche en una sola VLAN, utilizamos los siguientes comandos:

(config-if)#switchport mode access
(config-if)#switchport access vlan <ID-VLAN>

Además es recomendable desactivar DTP en puertos de acceso:

(config-if)#switchport nonegotiate

Puertos de truncado

Para configurar un puerto en modo truncado que escuche en todas las VLANs, basta con utilizar el siguiente comando:

(config-if)#switchport trunk encapsulation {dot1q | isl}
(config-if)#switchport mode trunk

El comando switchport trunk encapsulation solo es necesario cuando los protocolos 1Q y ISL son soportados por el Switch.

Por defecto los puertos truncados escuchan en todas las VLANs, en caso de querer restringir las VLANs sobre las que escucha, utiliza el siguiente comando:

(config-if)#switchport trunk allowed vlan [add | all | except | remove] <ID-VLAN>

Configuración de VLAN nativa

Es posible configurar la VLAN nativa de un puerto truncado si fuera necesario:

(config-if)#switchport trunk native vlan <ID-VLAN>

InterVLAN Routing

Los routers pueden interconectar VLANs entre sí como anteriormente se ha mencionado, conectándose a un Switch a través de un enlace troncal (Router-on-a-stick).

Aunque solo haya una interfaz del router conectada al Switch, podemos crear subinterfaces para cada VLAN dentro del enlace troncal, permitiéndonos dividir la interfaz física del router a través de VLANs

Ejemplo de InterVLAN con 1 router

Ejemplo de configuración:

Creamos la VLAN10 en el Switch izquierdo y asignamos la VLAN 10 a ambos PCs, además de configurar un puerto de truncado

SWITCH_VLAN10(config)#vlan 10
SWITCH_VLAN10(config-vlan)#exit
SWITCH_VLAN10(config)#interface FastEthernet0/1
SWITCH_VLAN10(config-if)#switchport mode trunk
SWITCH_VLAN10(config-if)#exit
SWITCH_VLAN10(config)#interface range FastEthernet0/2-3
SWITCH_VLAN10(config-if)#switchport mode access
SWITCH_VLAN10(config-if)#switchport access vlan 10

Creamos la VLAN20 en el Switch derecho y asignamos la VLAN 20 a ambos PCs, además de configurar un puerto de truncado

SWITCH_VLAN20(config)#vlan 20
SWITCH_VLAN20(config-vlan)#exit
SWITCH_VLAN20(config)#interface FastEthernet0/1
SWITCH_VLAN20(config-if)#switchport mode trunk
SWITCH_VLAN20(config-if)#exit
SWITCH_VLAN20(config)#interface range FastEthernet0/2-3
SWITCH_VLAN20(config-if)#switchport mode access
SWITCH_VLAN20(config-if)#switchport access vlan 20

Creamos ambas VLANs en el Switch y activamos truncado en los puertos conectados a los Switches y al router

SWITCH_CEMTRAL(config)#vlan 10,20
SWITCH_CENTRAL(config)#interface range FastEthernet0/1-3
SWITCH_CENTRAL(config-if)#switchport mode trunk
SWITCH_CENTRAL(config-if)#exit

En el Router creamos las 2 subinterfaces especificando en qué VLAN debe escuchar cada una

R1(config)#interface GigabitEthernet0/0.10
R1(config-subif)#encapsulation dot1Q 10
R1(config-subif)#ip address 192.168.1.1 255.255.255.0
R1(config-subif)#exit
R1(config-subif)#encapsulation dot1Q 20
R1(config-subif)#ip address 192.168.2.1 255.255.255.0
R1(config-subif)#exit

ACTIVIDADES H5P

Enlace permanente a este artículo: https://asir.maristak.com/?p=5536

AUTENTICACIÓN – NAT – RUTAS ESTATICAS POR DEFECTO

¿Qué es la Autenticación?

Los routers son un blanco fácil para los ataques de red. Para evitar los ataques a los protocolos de routing, se puede configurar la autenticación de OSPF.

OSPF admite tres tipos de autenticación:

  • Null → Este es el método predeterminado y significa que no se usa ninguna autenticación para OSPF.
  • Simple password authentication → Se conoce como autenticación con texto no cifrado, porque la contraseña en la actualización se envía como texto no cifrado a través de la red.
  • MD5 authentication → Se trata del método de autenticación más seguro y recomendado. La autenticación MD5 proporciona mayor seguridad, dado que la contraseña nunca se intercambia entre peers.

Configuraremos la autenticación MD5 ya que es la más segura y recomendada. Y para ello utilizaremos los siguientes comandos:

AUTENTICACIÓN
interface range gigabitEthernet 0/0-1
ip ospf message-digest-key 1 md5 [contraseña]
exit
router ospf 1
area [?] authentication message-digest

Se recomienda que para cada área utilizada una contraseña diferente, para poder tener áreas desmilitarizadas. Por ejemplo, se puede tener un área para los invitados de la empresa.

En el ejercicio planteado anteriormente, con OSPF.

Configuramos la autenticación:

Router 0 :
enable
configure terminal
interface serial 0/0/0
ip ospf message-digest-key 1 md5 asir
exit
interface serial 0/0/0
 ip ospf message-digest-key 1 md5 asir
exit
router ospf 1
area 0 authentication message-digest
Router 1 :
enable
configure terminal
interface serial 0/0/0
ip ospf message-digest-key 1 md5 asir
exit
interface serial 0/0/0
ip ospf message-digest-key 1 md5 asir
exit
router ospf 1
area 0 authentication message-digest
Router 2 :
enable
configure terminal
interface serial 0/0/0
ip ospf message-digest-key 1 md5 asir
exit
interface serial 0/0/0
 ip ospf message-digest-key 1 md5 asir
exit
interface gigabitEthernet 0/0
ip ospf message-digest-key 1 md5 asir
exit
router ospf 1
area 0 authentication message-digest
Router 3 : 
enable
configure terminal
interface range gigabitEthernet 0/0-1
ip ospf message-digest-key 1 md5 asir
exit
router ospf 1
area 0 authentication message-digest
Router 4 :
enable
configure terminal
interface range gigabitEthernet 0/0
ip ospf message-digest-key 1 md5 asir
exit
router ospf 1
area 0 authentication message-digest

¿Qué es NAT?

Network Address Translation (NAT) sirve para traducir las direcciones para que sean posibles las conexiones. Cada uno de los dispositivos que hay conectados en nuestra red tienen una dirección IP única. Esto es necesario para que esté conectado a Internet y el router lo detecte y pueda funcionar con normalidad. El traductor de direcciones de red lo que hace es proporcionar una dirección IP pública a toda esa red y a todo el conjunto de equipos.

Para ello en el router ISP (Router 4) tendremos que indicar que gateway pertenece a la LAN y cual a Internet.

Para ello utilizamos los siguientes comandos en el Router ISP:

NAT
enable
configure terminal
interface gigabitEthernet 0/0
ip nat inside
interface serial 0/0/0
ip nat outside

Para configurar cual es el conjunto que tiene acceso al NAT tenemos que crear una lista de acceso (Access list – ACL)

Pero, ¿qué es un ACL?

Una lista de control de accesos es una serie de instrucciones que controlan que en un router se permita el paso o se bloquee los paquetes IP de datos, que maneja el equipo según la información que se encuentra en el encabezado de los mismos.

Las ACL configuradas realizan las siguientes tareas:

  • Limitan el tráfico de la red para aumentar su rendimiento.
  • Proporcionan un nivel básico de seguridad para el acceso a la red. Las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro lo haga a esa misma área.
  • Filtran el tráfico según su tipo. Una ACL puede permitir el tráfico de correo electrónico, pero bloquear todo el tráfico de redes sociales.
  • Filtran a los hosts para permitirles o negarles a los usuarios el acceso a determinados tipos de archivos.

Los comandos utilizados para configurar el ACL son las siguientes, en el router ISP:

ACCESS CONTROL LIST - ACL
enable
configure terminal
access list 1 permit [idRed] + [Wildcard]
Router 4:
enable
configure terminal
access-list 1 permit 172.31.0.0 0.0.255.255

Después de crear el access-list tendremos que activar NAT con los siguientes comandos:

ACTIVAR NAT
enable
configure terminal
ip nat inside source list 1 interface serial 0/0/0 overload

Ahora mismo si mandamos un paquete de PC0 a PC1, al no conocer el 11.0.0.7, el Router 1 destacaría el paquete.

Para ello le tenemos que enseñar a los router hacia donde está internet, y si el router no conoce una IP, le mandaremos que llegue a Internet.

Para eso utilizaremos las rutas estáticas por defecto pero, ¿que es una Ruta Estática por Defecto?

Una ruta predeterminada se utiliza cuando ninguna otra ruta de la tabla de routing coincide con la dirección IP de destino del paquete. Es decir, si no existe una coincidencia más específica, entonces se utiliza la ruta predeterminada como el gateway de último recurso.

Además una ruta estática por defecto no descarta un paquete y utilizaremos el siguiente comando:

RUTA ESTATICA POR DEFECTO
ip route 0.0.0.0 0.0.0.0 + [Gateway de Salida a Internet]
Router 4:
enable
configure terminal
ip route 0.0.0.0 0.0.0.0 serial 0/0/0

Y para terminar, si queremos que una ruta estática por defecto se distribuya  utilizaremos los siguientes comandos en el router 4:

DISTRIBUIR LAS RUTAS ESTATICAS
enable
configure terminal
router ospf 1
defaul-information originate

Para repasar lo estudiado hasta el momento:

ACTIVIDAD DE VERDADERO O FALSO

ACTIVIDAD DE EMPAREJAR COMANDOS

Enlace permanente a este artículo: https://asir.maristak.com/?p=5283