You are on page 1of 5

CCNA Discovery

Introducción al enrutamiento y la conmutación en la empresa

Práctica de laboratorio 8.4.5: Configuración y verificación de las ACL


para filtrar el tráfico entre VLAN

Dirección IP Contraseña
del gateway Asignaciones Contraseña de enable,
Nombre Dirección IP de predeter- Nombres y números del puerto del secreta de de vty y de
Dispositivo de Host FastEthernet minado de VLAN switch enable consola
Fa0/0: ninguno
Fa0/0.1:
192.168.1.1/24
Fa0/0.2:
Router 1 R1 192.168.2.1/24 class cisco
Fa0/0.3:
192.168.3.1/24
Fa0/0.4:
192.168.4.1/24
VLAN 1 Nativa Fa0/1
Servidores VLAN 10 Fa0/2
Switch 1 S1 192.168.1.2/24 192.168.1.1 class cisco
Usuarios1 de VLAN 20 Fa0/5
Usuarios2 de VLAN 30 Fa0/8
Host 1 H1 192.168.2.10/24 192.168.2.1
Host 2 H2 192.168.3.10/24 192.168.3.1
Host 3 H3 192.168.4.10/24 192.168.4.1

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 5
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

Objetivos
• Configurar las VLAN en un switch.
• Configurar y verificar el enlace troncal.
• Configurar un router para enrutamiento entre VLAN.
• Configurar, aplicar y probar una ACL para filtrar el tráfico entre VLAN.

Información básica / Preparación


Cree una red con un cableado similar al del diagrama. Se puede usar cualquier router que cumpla con los
requisitos de interfaz que se muestran en el diagrama de topología. Por ejemplo, se pueden usar los routers
serie 800, 1600, 1700, 1800, 2500, 2600, 2800 o cualquier combinación de esta clase.
La información en esta práctica de laboratorio se aplica al router 1841. También pueden funcionar otros
routers, aunque la sintaxis de comandos puede variar. Las interfaces pueden variar según el modelo de
router. Por ejemplo, en algunos routers Serial 0 puede ser Serial 0/0 o Serial 0/0/0 y Ethernet 0 puede ser
FastEthernet 0/0. El switch Cisco Catalyst 2960 viene preconfigurado y sólo se le debe asignar información
básica de seguridad antes de conectarlo a una red.
Se necesitan los siguientes recursos:
• Un switch Cisco 2960 o un switch similar
• Un router Cisco 1841 o similar
• Tres PC con Windows, cada una con un programa de emulación de terminal
• Por lo menos un cable conector de consola RJ-45 a DB-9 para configurar el router y el switch
• Cuatro cables de conexión directa Ethernet

NOTA: Asegúrese de que se hayan borrado las configuraciones de inicio del router y del switch. Las
instrucciones para borrar tanto el switch como el router se proporcionan en el Manual del laboratorio, que se
encuentra en la sección Tools del sitio Web Academy Connection.
NOTA: Routers habilitados para SDM: si se borra el archivo startup-config en un router habilitado para
SDM, SDM ya no aparecerá de manera predeterminada cuando se reinicie el router. Será necesario
desarrollar una configuración básica de router con comandos IOS. Los pasos de esta práctica de laboratorio
utilizan comandos IOS y no requieren el uso de SDM. Si desea utilizar SDM, consulte las instrucciones del
Manual del laboratorio, que se encuentra en la sección Tools del sitio Web Academy Connection,
o comuníquese con su instructor si es necesario.

Paso 1: Conectar el equipo


a. Conecte la interfaz Fa0/0 del router 1 al puerto Fa0/1 del switch 1 mediante un cable de conexión
directa.
b. Conecte las PC con cables de consola para realizar configuraciones en el router y el switch.
c. Conecte las PC host con cables de conexión directa a los siguientes puertos de switch:
Host 1 a Fa0/2; Host 2 a Fa0/5; Host 3 a Fa0/8.

Paso 2: Realizar la configuración básica del Router 1

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de 5
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

Paso 3: Configurar R1 para admitir el tráfico entre VLAN


La interfaz FastEthernet 0/0 en R1 se configurará en subinterfaces para enrutar el tráfico desde cada una de
las tres VLAN. Cada dirección IP de subinterfaz se convertirá en el gateway predeterminado para su VLAN
designada.
R1#configure terminal
R1(config)#interface fastethernet 0/0
R1(config-if)#no shutdown
R1(config-if)#interface fastethernet 0/0.1
R1(config-subif)#encapsulation dot1q 1
R1(config-subif)#ip address 192.168.1.1 255.255.255.0
R1(config-subif)#interface fastethernet 0/0.2
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 192.168.2.1 255.255.255.0
R1(config-subif)#interface fastethernet 0/0.3
R1(config-subif)#encapsulation dot1q 20
R1(config-subif)#ip address 192.168.3.1 255.255.255.0
R1(config-subif)#interface fastethernet 0/0.4
R1(config-subif)#encapsulation dot1q 30
R1(config-subif)#ip address 192.168.4.1 255.255.255.0
R1(config-subif)#end
R1#copy running-config startup-config
¿Por qué el comando no shutdown se ejecuta sólo en la interfaz FastEthernet 0/0?
_______________________________________________________________________________
¿Por qué es necesario especificar el tipo de encapsulación en cada subinterfaz?
_______________________________________________________________________________

Paso 4: Realizar la configuración básica del Switch 1

Paso 5: Crear, nombrar y asignar puertos a tres VLAN en S1


Esta red contiene una VLAN para la granja de servidores y dos VLAN para los grupos de usuarios.
¿Por qué conviene ubicar la granja de servidores en una VLAN separada?
_______________________________________________________________________________
a. Introduzca los siguientes comandos para crear las tres VLAN:
S1(config)#vlan 10
S1(config)#name Servers
S1(config)#vlan 20
S1(config)#name Users1
S1(config)#vlan 30
S1(config)#name Users2

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de 5
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

b. Asigne un puerto a cada VLAN, según la tabla de direccionamiento.


S1#configure terminal
S1(config)#interface fastethernet0/2
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 10

S1(config)#interface fastethernet0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 20

S1(config)#interface fastethernet0/8
S1(config-if)#switchport mode access
S1(config-if)#switchport access vlan 30

NOTA: En esta práctica de laboratorio, sólo se asigna una interfaz representativa a cada VLAN.
Cuando asigne múltiples puertos a una VLAN, utilice el parámetro range. Por ejemplo, si asigna
a VLAN 10 los puertos de 0/2 a 0/4, utilice esta secuencia de comandos:
S1(config)#interface range fastethernet 0/2 - 4
S1(config-if-range)#switchport mode access
S1(config-if-range)#switchport access vlan 10

Paso 6: Crear el enlace troncal en S1


Introduzca el siguiente comando para establecer la interfaz Fa0/1 como puerto de enlace troncal:
S1(config)#interface fastethernet 0/1
S1(config-if)#switchport mode trunk
S1(config-if)#end
¿Por qué no es necesario especificar qué protocolo de enlace troncal (dot1q, ISL) se utilizará?
_______________________________________________________________________________

Paso 7: Configurar los hosts


Configure cada host con la correspondiente dirección IP, máscara de subred y gateway predeterminada
según la tabla de direccionamiento.
Predecir: Si las configuraciones son correctas, ¿a qué dispositivos debería poder hacer ping con
éxito un usuario en PC1?
_______________________________________________________________________________

Paso 8: Verificar que la red esté funcionando


a. Desde cada host conectado, haga ping a los otros dos hosts y a cada una de las direcciones IP de la
subinterfaz del router.
¿Ha logrado hacer ping? __________
Si la respuesta es no, resuelva el problema en las configuraciones del router, el switch y el host para
detectar el error.
b. Desde el switch S1, haga ping al gateway predeterminado 192.168.1.1 del router.
¿Ha logrado hacer ping? __________
c. Utilice el comando show ip interfaces brief y verifique el estado de cada interfaz o subinterfaz.
¿Cuál es el estado de las interfaces?

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de 5
CCNA Discovery
Introducción al enrutamiento y la conmutación en la empresa

R1:
FastEthernet 0/0: __________
FastEthernet 0/0.1: __________
FastEthernet 0/0.2: __________
FastEthernet 0/0.3: __________
FastEthernet 0/0.4: __________

S1:
Interfaz VLAN1: __________

d. Haga ping nuevamente hasta que sea exitoso.

Paso 9: Configurar, aplicar y probar una ACL extendida para filtrar el tráfico entre VLAN
Los miembros de los Usuarios1 VLAN no deberían poder llegar a la granja de servidores, pero los miembros
de la otra VLAN deberían poder llegar a cada una de ellas y al router. Los Usuarios1 deberían poder llegar
a las VLAN que no pertenezcan a la granja de servidores.
a. Cree las sentencias de ACL extendida:
R1(config)#access-list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0
0.0.0.255
R1(config)#access-list 100 permit ip any any
R1 tiene una interfaz FastEthernet 0/0 y cuatro subinterfaces. ¿Dónde debería colocarse esta ACL
y en qué dirección? ¿Por qué?
______________________________________________________________________________
b. Aplique la ACL y pruebe haciendo ping desde PC2 a PC1 y a PC3.
Si la ACL funciona correctamente, los pings de PC2 a PC1 deberían fallar. Todos los otros pings
deberían tener éxito. Si los resultados no cumplen con este criterio, resuelva el problema de la
sintaxis y la ubicación de ACL.

Paso 10: Reflexión


a. ¿Por qué conviene realizar y verificar configuraciones básicas y relativas a VLAN antes de crear
y aplicar una ACL?
_______________________________________________________________________________
_______________________________________________________________________________
b. ¿Qué resultados se hubiesen producido si la ACL se hubiese colocado en la subinterfaz
FastEthernet 0/0.3 saliente y la PC2 hubiese hecho ping a PC3?
_______________________________________________________________________________

Todo el contenido es Copyright © 1992–2007 de Cisco Systems, Inc. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de 5