--- title: Lab de capa 2 author: Taller de diseño de redes universitarias --- Laboratorio de diseño de redes capa 2 ===================================== Introducción ------------ El objetivo de este ejercicio es construir redes de capa 2 utilizando los conceptos explicados en la presentación de diseño. El salón está dividido en 6 grupos, con 7 switches por grupo. Comenzaremos construyendo una red "plana" de campus para demostrar algunos de los conceptos clave de diseño mencionadas en la presentación. Distribución del laboratorio ---------------------------- La distribución de las direcciones IP para las redes de capa 2 de edificio será como sigue: | **Red** | **IPv4** | **IPv6** | |--------------|---------------|----------------------| | *Nucleo* | 172.2X.0.N/16 | 2001:db8:X:0::0:N/64 | | *Edificio 1* | 172.2X.1.N/16 | 2001:db8:X:0::1:N/64 | | *Edificio 2* | 172.2X.2.N/16 | 2001:db8:X:0::2:N/64 | Si tuviéramos más edificios, seguiríamos el mismo esquema. Deberá sustituir la **X** con el número de su grupo! Y deberá sustituir la **N** con la dirección de la interfaz que se le mostrará más adelante. **Nota**: La arquitectura general y el plan completo de direcciones se puede encontrar en [IP Address Plan](ip_address_plan.md.html). El siguiente diagrama muestra la configuración de los equipos y todos los enlaces para cada campus:  La siguiente tabla muestra las conexiones entre cada equipo del campus: | **Equipo** | **Interfaz** | **Equipo remoto** | **Interfaz remota** | |------------------|------------------|-------------------|----------------------| | dist1-bY-campusX | FastEthernet1/12 | edge1-bY-campusX | FastEthernet1/14 | | | FastEthernet1/13 | edge1-bY-campusX | FastEthernet1/15 | | | FastEthernet1/14 | edge2-bY-campusX | FastEthernet1/15 | | core1-campusX | FastEthernet1/0 | bdr1-campusX | FastEthernet0/1 | | | FastEthernet1/1 | dist1-b1-campusX | FastEthernet1/15 | | | FastEthernet1/2 | dist1-b2-campusX | FastEthernet1/15 | | | FastEthernet1/15 | pc1-campusX | | Sustituya la **Y** con el número de su edificio y la **X** con el número de su campus. Acceso al laboratorio --------------------- Los instructores del taller le mostrarán en qué consiste el ambiente del laboratorio. Este se realizará a través de una plataforma virtual, o con switches físicos reales provistos en el salón. Refiérase al documento **correcto** más abajo para la información acerca de cómo acceder a los equipos que se le han asignado: **AMBIENTE VIRTUAL:** [Instrucciones de acceso al ambiente virtual](lab-access.md.html) **HARDWARE FÍSCO:** [Instrucciones de acceso a hardward físico](lab-access-alt.md.html) Configuración básica de los switches ------------------------------------ Nuestra red de edificio consta de un switch de agregación y dos switches de acceso. Cada switch de distribución se conecta al switch central de nuestra red de campus, y sirve como punto de agregación para todos los switches de acceso. Los switches de acceso proporcionan servicio a los usuarios finales. Nombraremos cada switch de acuerdo a la tabla de más arriba: core1-campus1, dist1-b1-campus1, edge2-b1-campus5, etc. Su grupo deberá compartir los siete switches entre todos los miembros del equipo y configurar cada uno usando el ejemplo mostrado abajo. ### Nombre de nodo Deberá poner en sus switches la configuración básica como sigue: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Router> enable Router# config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname dist1-b1-campusX dist1-b1-campusX(config)# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ### Desactive la búsqueda de nombres de dominio Los equipos Cisco siempre intentarán buscar en DNS cualquier nombre de dominio o dirección especificado en la línea de comandos. Puede observar esto al hacer un traceroute en un enrutador sin servidor DNS o con un servidor DNS que no tenga acceso al dominio in-addr.arpa para las direcciones IP en cuestión. Apagaremos esta funcionalidad de momento en los laboratorios para acelerar los traceroutes. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ dist1-b1-campusX(config)# no ip domain lookup ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ### Configure la consola y otros puertos ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ dist1-b1-campusX(config)# line con 0 dist1-b1-campusX(config-line)# transport preferred none dist1-b1-campusX(config-line)# line vty 0 4 dist1-b1-campusX(config-line)# transport preferred none ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ### Nombres de usuario y contraseñas Todos los nombres de usuario deberían ser **cndlab** con el password **lab-PW**. El password de "enable" (el cual da al operador la opción de configuración) tiene que ser **lab-EN**. Por favor, no cambie el nombre de usuario o clave para nada más. Tampoco deje la clave sin configurar (el acceso a los puertos vty no es posible si la clave no está configurada). Para una operación del laboratorio sin problemas es necesario que todos los participantes tengan acceso a todos los equipos. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ dist1-b1-campusX(config)# username cndlab secret lab-PW dist1-b1-campusX(config)# enable secret lab-EN dist1-b1-campusX(config)# service password-encryption ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ La directiva password-encryption del servicio le dice al enrutador que encripte todas las contraseñas almacenadas en la configuración del enrutador (aparte de habilitar el secreto que ya está cifrado). **Nota A**: Existe la tentación de tener simplemente un nombre de usuario de cisco y contraseña de cisco como una solución perezosa al problema de nombre de usuario/contraseña. Bajo ninguna circunstancia ningún operador de proveedor de servicios debe usar contraseñas fácilmente adivinables como éstas en su red operativa en produccion. **IMPORTANTE: Esta frase no se puede enfatizar lo suficiente. Es bastante común que los atacantes accedan a redes simplemente porque los operadores han utilizado contraseñas familiares o fáciles.** **Nota B**: para las versiones de IOS anteriores a 12.3, el par de (nombre de usuario)/secreto no estaba disponible, y los operadores tendrían que configurar el (nombre de usuario)/contraseña en su lugar. ** NO ** utilizar la combinación de (nombre de usuario)/contraseña, ni la directiva "*enable password*" - estos usan el cifrado de tipo 7 que no es seguro en absoluto, mientras que el "*secret*" utiliza un cifrado más seguro basado en md5 ### Habilitación del acceso de inicio de sesión para otras máquinas Con el fin de permitirle hacer telnet en su enrutador en futuros módulos de este taller, debe configurar una contraseña para todas las líneas de terminales virtuales. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ dist1-b1-campusX(config)# aaa new-model dist1-b1-campusX(config)# aaa authentication login default local dist1-b1-campusX(config)# aaa authentication enable default enable ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Esta serie de comandos le indica al router que busque localmente el inicio de sesión de usuario estándar (el par de contraseña de usuario establecido anteriormente) y habilite localmente la configuracion "secret" para habilitar el inicio de sesión. De forma predeterminada, el inicio de sesión se habilitará en todos los vtys para que otros equipos accedan. Una parte vital de cualquier sistema operacional de Internet es registrar bitacoras. El router mostrará de forma predeterminada los registros del sistema en la consola del enrutador. Sin embargo, esto es indeseable para routers operativos de Internet, ya que la consola es una conexión de 9600 baudios y puede agregar una alta carga al procesador en el momento que se presenta tráfico en la red. Sin embargo, los registros del enrutador también se pueden grabar en un búfer en el enrutador - esto no requiere carga de interrupción y también permite al operador comprobar el historial de los eventos que ocurrieron en el enrutador. En un futuro módulo, el laboratorio configurará el enrutador para enviar los mensajes de registro a un servidor SYSLOG. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ dist1-b1-campusX(config)# no logging console dist1-b1-campusX(config)# logging buffer 8192 debug ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ con esto se deshabilita los registros de consola y en su lugar se guardan todos los registros en un búfer de 8192 bytes en el enrutador. Para ver el contenido de este búfer en cualquier momento, el comando "sh log" debe utilizarse en el símbolo del sistema. ### Guardar la configuración. Con la configuración básica en su lugar, guarde la configuración. Para ello, salga del modo de activación escribiendo "end" o "` `Z", y en el símbolo del sistema escriba "write memory". ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ dist1-b1-campusX(config)# end dist1-b1-campusX# write memory Building configuration... [OK] dist1-b1-campusX# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Se recomienda enfáticamente que guarde la configuración frecuentemente en la NVRAM. De lo contrario, cualquier cambio efectuado en la "running-config" se perderá al reiniciar, o si falla la máquina virtual. Desconéctese del switch escribiendo "exit", y luego vuelva a acceder a éste. Observe cómo ha cambiado la secuencia de "login", pidiendo un "username" y un "password" al usuario. En cada punto de revisión del taller, debería guardar la configuración en la memoria no volátil. Recuerde que si se reinicia el switch, éste regresará a la última configuración guardada en la NVRAM. ### Configuración IP Asigne a cada switch una dirección IPv4 e IPv6 como sigue: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface vlan 1 ip address 172.2X.B.N 255.255.0.0 ipv6 address 2001:db8:X:0::B:N/64 no shutdown end ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sustituya la **X** con el número de su grupo, la **B** con el número de su edificio, y la **N** con la dirección de acuerdo a la siguiente tabla: | **Name** | **IPv4** | **IPv6** | |------------------|------------|-------------------| | core1-campusX | 172.2X.0.1 | 2001:db8:X:0::0:1 | | dist1-b1-campusX | 172.2X.1.2 | 2001:db8:X:0::1:2 | | edge1-b1-campusX | 172.2X.1.3 | 2001:db8:X:0::1:3 | | edge2-b1-campusX | 172.2X.1.4 | 2001:db8:X:0::1:4 | | dist1-b2-campusX | 172.2X.2.2 | 2001:db8:X:0::2:2 | | edge1-b2-campusX | 172.2X.2.3 | 2001:db8:X:0::2:3 | | edge2-b2-campusX | 172.2X.2.4 | 2001:db8:X:0::2:4 | Verifique la conectividad haciendo "ping" a cada switch en el edificio. No siga con el ejercicio a menos que pueda hacer ping desde cada switch hacia todos los demás switches del campus. PISTA: si el ping falla, pero la configuración parece correcta, intente lo siguiente: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ interface vlan 1 shutdown no shutdown end ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ (esto no es normal, y probablemente se deba a algún error en el código IOS) Si aún así no funciona, revise su configuración del switch para ver si tiene algo parecido a lo siguiente: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ mac-address-table static c40d.5eca.0000 interface FastEthernet1/14 vlan 1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Por alguna razón, los switches en raras ocasiones añadirán una MAC estática. Dichas direcciones MAC harán referencia a la interfaz equivocada. Si tiene entradas de ese tipo en su configuración, intente borrarlas poniendo un "no" delante de la línea de configuración en cuestión. Si esto no funciona, pregunte a su instructor. (esto no es normal, y probablemente se deba a algún error en el código IOS)   **Pregunta:** ¿Ha podido hacer ping a todos los switches en la red? Si no, revise la configuración de su switch y la de otros switches también. Cada uno de los 7 switches del campus deberán poder hacer ping entre sí.