Material de estudio

Material CCNA

Recursos gratuitos para complementar tu preparación para la certificación Cisco CCNA.

Guía de Comandos CCNA

Referencia rápida con todos los comandos esenciales

Descarga acá nuestra guía con todos los comandos de CCNA. Un recurso indispensable para tu estudio y práctica diaria.

Comandos verificados
Referencia rápida
Descarga gratuita
Descargar guía PDF

Archivo PDF · Descarga directa

Guía Práctica de Configuración y Verificación

Cisco CCNA 200-301 · ejemplos replicables en Packet Tracer, GNS3, EVE-NG o equipos reales

Cisco CCNA 200-301 — Guía Práctica de Configuración y Verificación

Material educativo orientado a la práctica. Todos los ejemplos usan el alcance de Cisco CCNA 200-301 y son fáciles de replicar en Cisco Packet Tracer, GNS3, EVE-NG o equipos Cisco reales (IOS / IOS XE).

Direcciones de ejemplo usadas en la guía:

  • 192.168.1.0/24, 192.168.10.0/24, 192.168.20.0/24 (redes LAN)
  • 10.0.0.0/30 (enlaces punto a punto entre routers)
  • 2001:db8::/64 (ejemplos IPv6)

1. Network Fundamentals

1.1 Verificación de problemas de interfaz y cableado (colisiones, errores, duplex/speed mismatch)

Objetivo del tema

Aprender a usar comandos de verificación para detectar problemas físicos y de capa 2 en una interfaz: errores, colisiones, y desajustes de dúplex y velocidad entre dos equipos.

Concepto básico

Cuando dos dispositivos conectados no usan la misma velocidad y el mismo modo dúplex, la conexión funciona mal: hay lentitud, errores y colisiones tardías (late collisions). La causa más común es dejar un lado en auto y el otro fijo. No se configura nada nuevo aquí: se trata de leer contadores y detectar la falla.

Topología básica recomendada

Dos switches conectados por un cable, o un switch y un host.

[ SW1 ] Gi0/1 -------- Gi0/1 [ SW2 ]

Conectividad: un único enlace entre SW1 y SW2. El objetivo es revisar el estado del enlace, no enviar tráfico.

Comandos de configuración

Normalmente este tema es de verificación. Si se desea forzar velocidad/dúplex para reproducir o corregir el problema:

Switch SW1

SW1> enable
SW1# configure terminal
SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# speed 100
SW1(config-if)# duplex full
SW1(config-if)# end

Para volver a negociación automática (lo recomendado):

SW1(config-if)# speed auto
SW1(config-if)# duplex auto

Explicación básica de los comandos

ComandoQué hace
speed 100Fija la velocidad de la interfaz en 100 Mbps
duplex fullFija el modo dúplex completo
speed auto / duplex autoDevuelve la interfaz a autonegociación (debe coincidir en ambos extremos)

Comandos de verificación

show interfaces gigabitEthernet 0/1
show interfaces status
show interfaces gigabitEthernet 0/1 counters errors
show interfaces description

Ejemplo básico de prueba

Ejecuta show interfaces gigabitEthernet 0/1 y observa la línea de contadores. Busca:

  • runts, giants, CRC, input errors
  • collisions, late collisions
  • La línea Full-duplex, 100Mb/s (debe ser igual en ambos extremos)

Resultado esperado

Una interfaz sana muestra line protocol is up, dúplex y velocidad iguales en ambos lados, y contadores de errores/colisiones en 0 o muy bajos.

GigabitEthernet0/1 is up, line protocol is up
  Full-duplex, 100Mb/s
  0 input errors, 0 CRC, 0 collisions, 0 late collisions

Errores comunes

  • Duplex mismatch: un lado en full y el otro en half (o auto que negocia half) → muchas late collisions y CRC.
  • Speed mismatch: velocidades distintas fijadas manualmente → el enlace puede quedar down.
  • Interfaz administrativamente apagada (shutdown) → aparece como administratively down.
  • Cable defectuoso o mal conectado → line protocol is down y aumento de input errors.

Resumen rápido

show interfaces                 ! duplex, velocidad, errores y colisiones
show interfaces status          ! estado resumido de todos los puertos
show interfaces counters errors ! errores por interfaz

Recuerda: dúplex y velocidad deben coincidir en ambos extremos. Las late collisions casi siempre indican un duplex mismatch.


1.2 Configurar y verificar direccionamiento IPv4 y subnetting

Objetivo del tema

Asignar direcciones IPv4 correctas a routers y hosts, entender la máscara de subred y verificar la conectividad dentro de la misma red.

Concepto básico

Una dirección IPv4 (ej. 192.168.1.1) identifica al host, y la máscara (ej. 255.255.255.0 = /24) define qué parte es red y qué parte es host. Los dispositivos en la misma subred se comunican directamente; para salir de ella necesitan un gateway.

Topología básica recomendada

Un router y un switch con dos hosts.

[ PC1 ]---[ SW1 ]---[ R1 ] Gi0/0
192.168.1.10            192.168.1.1 (gateway)
[ PC2 ]
192.168.1.11

Conectividad: los hosts están en 192.168.1.0/24 y usan a R1 (192.168.1.1) como gateway.

Comandos de configuración

Router R1

R1> enable
R1# configure terminal
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# end

En los hosts (ejemplo de parámetros):

PC1: IP 192.168.1.10  /24  Gateway 192.168.1.1
PC2: IP 192.168.1.11  /24  Gateway 192.168.1.1

Explicación básica de los comandos

ComandoQué hace
ip address 192.168.1.1 255.255.255.0Asigna IP y máscara a la interfaz del router
no shutdownEnciende la interfaz (sin esto queda apagada)

Recordatorio de subnetting: /24 = 255.255.255.0 (256 direcciones, 254 hosts). /30 = 255.255.255.252 (4 direcciones, 2 hosts útiles, ideal para enlaces entre routers).

Comandos de verificación

show ip interface brief
show running-config interface gigabitEthernet 0/0
show ip route connected

Ejemplo básico de prueba

Desde PC1 hacer ping a PC2 y al gateway:

ping 192.168.1.11
ping 192.168.1.1

Resultado esperado

show ip interface brief muestra la interfaz up/up con su IP. Los ping responden correctamente:

Interface              IP-Address      OK? Method Status   Protocol
GigabitEthernet0/0     192.168.1.1     YES manual up       up

Errores comunes

  • Máscara incorrecta (ej. /24 en un host y /25 en otro) → no se ven entre sí.
  • Olvidar no shutdown → interfaz administratively down.
  • Gateway mal configurado en el host → falla la salida a otras redes.
  • IP duplicada en dos hosts → conflicto de direcciones.

Resumen rápido

ip address <ip> <mascara>     ! asignar dirección
no shutdown                   ! encender la interfaz
show ip interface brief       ! verificar IP y estado

1.3 Configurar y verificar direccionamiento IPv6 y prefijo

Objetivo del tema

Asignar direcciones IPv6 a interfaces de router, habilitar el enrutamiento IPv6 y verificar la conectividad usando direcciones link-local y globales.

Concepto básico

IPv6 usa direcciones de 128 bits escritas en hexadecimal (ej. 2001:db8::1/64). Cada interfaz tiene una link-local (empieza con fe80::) generada automáticamente y puede tener una global unicast. El prefijo típico de una LAN es /64.

Topología básica recomendada

Dos routers conectados directamente.

[ R1 ] Gi0/0 -------- Gi0/0 [ R2 ]
2001:db8::1/64          2001:db8::2/64

Comandos de configuración

Router R1

R1(config)# ipv6 unicast-routing
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ipv6 address 2001:db8::1/64
R1(config-if)# no shutdown

Router R2

R2(config)# ipv6 unicast-routing
R2(config)# interface gigabitEthernet 0/0
R2(config-if)# ipv6 address 2001:db8::2/64
R2(config-if)# no shutdown

Explicación básica de los comandos

ComandoQué hace
ipv6 unicast-routingHabilita el reenvío de paquetes IPv6 en el router
ipv6 address 2001:db8::1/64Asigna una dirección global con prefijo /64
(link-local)Se genera sola al activar IPv6; empieza con fe80::

Comandos de verificación

show ipv6 interface brief
show ipv6 interface gigabitEthernet 0/0
show ipv6 route

Ejemplo básico de prueba

Desde R1 hacer ping a la global de R2:

ping 2001:db8::2

Resultado esperado

show ipv6 interface brief muestra la link-local (fe80::...) y la global (2001:db8::1), ambas up/up, y el ping responde.

GigabitEthernet0/0     [up/up]
    FE80::...
    2001:DB8::1

Errores comunes

  • Olvidar ipv6 unicast-routing → el router no reenvía IPv6 entre redes.
  • Prefijo incorrecto (usar /64 cuando ambos extremos deben coincidir).
  • Confundir link-local con global al hacer pruebas.
  • Interfaz sin no shutdown.

Resumen rápido

ipv6 unicast-routing               ! activar enrutamiento IPv6
ipv6 address 2001:db8::1/64        ! dirección global
show ipv6 interface brief          ! verificar direcciones y estado

1.4 Verificar parámetros IP en sistemas cliente (Windows, macOS, Linux)

Objetivo del tema

Conocer los comandos del sistema operativo del cliente para verificar IP, máscara, gateway y DNS, y diagnosticar conectividad sin entrar a equipos Cisco.

Concepto básico

Los problemas de red muchas veces están en el PC, no en el router. Cada sistema operativo tiene comandos para ver y diagnosticar su configuración IP. Aquí no se configura el router: se verifica el cliente.

Topología básica recomendada

Un host conectado a un switch y a un router (gateway).

[ PC ]---[ SW1 ]---[ R1 ] 192.168.1.1
192.168.1.10

Comandos de configuración

Este tema es de verificación y diagnóstico en el cliente, no de configuración en Cisco. Comandos por sistema operativo:

Windows

ipconfig
ipconfig /all
ping 192.168.1.1
tracert 8.8.8.8
nslookup www.google.com
ipconfig /release
ipconfig /renew
ipconfig /flushdns

macOS

ifconfig
ping 192.168.1.1
traceroute 8.8.8.8
networksetup -getinfo Wi-Fi

Linux

ip address
ip route
ping 192.168.1.1
traceroute 8.8.8.8
cat /etc/resolv.conf

Explicación básica de los comandos

ComandoQué hace
ipconfig /all (Win)Muestra IP, máscara, gateway, DNS y MAC
ip address (Linux)Muestra las direcciones IP de las interfaces
ip route (Linux)Muestra el gateway por defecto
pingVerifica conectividad con otro equipo
tracert/tracerouteMuestra el camino salto por salto
nslookupVerifica resolución de nombres (DNS)

Ejemplo básico de prueba

Verificar gateway y luego salida a Internet:

ping 192.168.1.1          ! gateway local
ping 8.8.8.8              ! conectividad externa (sin DNS)
nslookup www.google.com  ! verificar DNS

Resultado esperado

ipconfig /all muestra una IP válida en la subred, el gateway correcto y servidores DNS. El ping al gateway responde y nslookup resuelve nombres.

Errores comunes

  • IP 169.254.x.x (APIPA) en Windows → el PC no recibió DHCP.
  • Gateway vacío o incorrecto → no hay salida a otras redes.
  • DNS mal configurado → el ping a IP funciona pero los nombres no resuelven.
  • Máscara distinta a la del gateway → host aislado.

Resumen rápido

ipconfig /all      (Windows)
ip address / ip route (Linux)
ifconfig            (macOS)
ping  /  nslookup   ! conectividad y DNS

1.5 Configurar y verificar VRFs

Objetivo del tema

Separar la tabla de enrutamiento de un router en instancias independientes (VRF) para aislar el tráfico de distintos clientes o áreas usando las mismas interfaces físicas.

Concepto básico

Un VRF (Virtual Routing and Forwarding) crea "routers virtuales" dentro de un mismo router: cada VRF tiene su propia tabla de rutas. Dos interfaces en VRFs distintos no se comunican entre sí aunque estén en el mismo equipo. En CCNA se ve VRF-Lite (sin MPLS).

Topología básica recomendada

Un router con dos interfaces en VRFs distintos.

                 [ R1 ]
   Gi0/0 (VRF AZUL)      Gi0/1 (VRF ROJO)
   192.168.10.1/24       192.168.20.1/24

Comandos de configuración

Router R1

R1(config)# vrf definition AZUL
R1(config-vrf)# address-family ipv4
R1(config-vrf-af)# exit
R1(config-vrf)# exit
R1(config)# vrf definition ROJO
R1(config-vrf)# address-family ipv4
R1(config-vrf-af)# exit
R1(config-vrf)# exit
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# vrf forwarding AZUL
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# vrf forwarding ROJO
R1(config-if)# ip address 192.168.20.1 255.255.255.0
R1(config-if)# no shutdown

Explicación básica de los comandos

ComandoQué hace
vrf definition AZULCrea la instancia VRF llamada AZUL
address-family ipv4Habilita IPv4 dentro del VRF
vrf forwarding AZULAsocia la interfaz al VRF (debe ir antes de la IP)
ip address ...Asigna la IP dentro del contexto del VRF

Comandos de verificación

show vrf
show ip route vrf AZUL
show ip interface brief
ping vrf AZUL 192.168.10.10

Ejemplo básico de prueba

Hacer ping dentro de un VRF específico:

ping vrf AZUL 192.168.10.10
ping vrf ROJO 192.168.20.10

Resultado esperado

show vrf lista AZUL y ROJO con sus interfaces. Cada show ip route vrf muestra solo las redes de ese VRF, y el ping funciona dentro del mismo VRF pero no entre VRFs distintos.

  Name        Default RD   Interfaces
  AZUL        <not set>    Gi0/0
  ROJO        <not set>    Gi0/1

Errores comunes

  • Asignar la IP antes de vrf forwarding → el IOS borra la IP al asociar el VRF.
  • Olvidar address-family ipv4.
  • Hacer ping sin la palabra vrf NOMBRE → usa la tabla global y falla.
  • Esperar comunicación entre VRFs sin enrutamiento adicional.

Resumen rápido

vrf definition NOMBRE / address-family ipv4
vrf forwarding NOMBRE     ! en la interfaz, antes de la IP
show vrf
ping vrf NOMBRE <ip>

1.6 Verificar la dirección MAC

Objetivo del tema

Identificar la dirección MAC de las interfaces y consultar la tabla de direcciones MAC de un switch para entender el aprendizaje de capa 2.

Concepto básico

La dirección MAC es un identificador físico de 48 bits (ej. 0050.7966.6800) grabado en cada interfaz. El switch aprende qué MAC está en cada puerto y lo guarda en su tabla MAC, que usa para reenviar tramas solo al puerto correcto.

Topología básica recomendada

Un switch con dos hosts.

[ PC1 ]---Fa0/1---[ SW1 ]---Fa0/2---[ PC2 ]

Comandos de configuración

Tema principalmente de verificación. Opcionalmente, agregar una entrada MAC estática:

Switch SW1

SW1(config)# mac address-table static 0050.7966.6800 vlan 1 interface fastEthernet 0/1

Explicación básica de los comandos

ComandoQué hace
show mac address-tableMuestra las MAC aprendidas y su puerto/VLAN
mac address-table static ...Fija manualmente una MAC a un puerto (opcional)
`show interfaces ...include address`

Comandos de verificación

show mac address-table
show mac address-table dynamic
show interfaces fastEthernet 0/1
show interfaces gigabitEthernet 0/0 | include bia

En el host:

ipconfig /all        (Windows)
ifconfig             (macOS / Linux)
ip link              (Linux)

Ejemplo básico de prueba

Generar tráfico (un ping entre PC1 y PC2) y luego revisar la tabla:

show mac address-table

Resultado esperado

La tabla muestra las MAC de PC1 y PC2 asociadas a sus puertos y VLAN, como entradas DYNAMIC:

Vlan    Mac Address       Type        Ports
   1    0050.7966.6800    DYNAMIC     Fa0/1
   1    0050.7966.6801    DYNAMIC     Fa0/2

Errores comunes

  • Esperar ver una MAC sin que haya pasado tráfico (la tabla aprende al recibir tramas).
  • Confundir MAC con IP.
  • Buscar la MAC en la VLAN equivocada.
  • Una MAC apareciendo en dos puertos (puede indicar bucle de capa 2).

Resumen rápido

show mac address-table          ! MAC aprendidas por el switch
show interfaces <int>           ! MAC (bia) de la interfaz
ipconfig /all  | ifconfig       ! MAC en el host

2. Network Access

2.1 Configurar y verificar VLANs (rango normal) en varios switches

Objetivo del tema

Crear VLANs, asignar puertos de acceso (datos y voz), entender la VLAN por defecto y lograr conectividad entre VLANs (InterVLAN).

Concepto básico

Una VLAN divide un switch en redes lógicas separadas. Los puertos de la misma VLAN se comunican entre sí; para comunicar VLANs distintas se necesita un router o switch de capa 3 (InterVLAN routing). La VLAN 1 es la VLAN por defecto y trae todos los puertos de fábrica.

Topología básica recomendada

Dos switches y un router (router-on-a-stick) para InterVLAN.

[ PC1 VLAN10 ]---[ SW1 ]===trunk===[ SW2 ]---[ PC2 VLAN20 ]
                    |
                  trunk
                    |
                  [ R1 ] Gi0/0.10 y Gi0/0.20

Conectividad: VLAN 10 (192.168.10.0/24) y VLAN 20 (192.168.20.0/24); R1 enruta entre ambas.

Comandos de configuración

Switch SW1 (y similar en SW2)

SW1(config)# vlan 10
SW1(config-vlan)# name DATOS
SW1(config-vlan)# vlan 20
SW1(config-vlan)# name VENTAS
SW1(config-vlan)# exit
SW1(config)# interface fastEthernet 0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10
SW1(config-if)# exit

Puerto de acceso con datos + voz

SW1(config)# interface fastEthernet 0/2
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10
SW1(config-if)# switchport voice vlan 150

Router R1 (InterVLAN - router-on-a-stick)

R1(config)# interface gigabitEthernet 0/0
R1(config-if)# no shutdown
R1(config-if)# interface gigabitEthernet 0/0.10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ip address 192.168.10.1 255.255.255.0
R1(config-subif)# interface gigabitEthernet 0/0.20
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# ip address 192.168.20.1 255.255.255.0

Explicación básica de los comandos

ComandoQué hace
vlan 10 / name DATOSCrea la VLAN 10 y le pone nombre
switchport mode accessDefine el puerto como de acceso (un solo usuario/VLAN)
switchport access vlan 10Coloca el puerto en la VLAN 10
switchport voice vlan 150Permite teléfono IP (voz) en VLAN aparte sobre el mismo puerto
encapsulation dot1Q 10Asocia la subinterfaz del router a la VLAN 10

Comandos de verificación

show vlan brief
show interfaces fastEthernet 0/1 switchport
show ip interface brief
show ip route

Ejemplo básico de prueba

Ping entre hosts de la misma VLAN y luego entre VLANs distintas:

PC1 (VLAN10) ping 192.168.10.11   ! misma VLAN
PC1 (VLAN10) ping 192.168.20.10   ! otra VLAN (vía R1)

Resultado esperado

show vlan brief muestra las VLANs 10 y 20 con sus puertos asignados. El ping en la misma VLAN funciona; el ping entre VLANs funciona solo si el router-on-a-stick está bien configurado.

VLAN Name      Status    Ports
10   DATOS     active    Fa0/1
20   VENTAS    active    Fa0/3

Errores comunes

  • VLAN no creada en uno de los switches.
  • Puerto en la VLAN incorrecta.
  • Olvidar encapsulation dot1Q o usar la VLAN equivocada en la subinterfaz.
  • Gateway del host distinto a la IP de la subinterfaz del router.
  • Olvidar no shutdown en la interfaz física del router.

Resumen rápido

vlan 10 / name DATOS
switchport mode access / switchport access vlan 10
encapsulation dot1Q 10        ! en subinterfaz del router
show vlan brief

2.2 Configurar y verificar conectividad entre switches (trunk, 802.1Q, native VLAN)

Objetivo del tema

Configurar enlaces troncales (trunk) entre switches para transportar varias VLANs por un solo cable usando el estándar 802.1Q, y entender la native VLAN.

Concepto básico

Un trunk transporta tráfico de múltiples VLANs por un mismo enlace, etiquetando cada trama con su VLAN (802.1Q). La native VLAN (por defecto la 1) es la única que viaja sin etiqueta; debe coincidir en ambos extremos.

Topología básica recomendada

Dos switches conectados por un trunk.

[ SW1 ] Gi0/1 ===== trunk 802.1Q ===== Gi0/1 [ SW2 ]
        (VLAN 10, 20)

Comandos de configuración

Switch SW1 (igual en SW2)

SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk native vlan 99
SW1(config-if)# switchport trunk allowed vlan 10,20,99
SW1(config-if)# end

En switches que soportan varias encapsulaciones, primero se usa switchport trunk encapsulation dot1q.

Explicación básica de los comandos

ComandoQué hace
switchport mode trunkConvierte el puerto en troncal
switchport trunk native vlan 99Cambia la VLAN nativa (debe coincidir en ambos lados)
switchport trunk allowed vlan 10,20,99Limita qué VLANs pasan por el trunk
switchport trunk encapsulation dot1qDefine 802.1Q (solo en switches que lo requieren)

Comandos de verificación

show interfaces trunk
show interfaces gigabitEthernet 0/1 switchport
show vlan brief

Ejemplo básico de prueba

Verificar que el trunk está activo y que pasan las VLANs deseadas:

show interfaces trunk

Luego, ping entre hosts de la misma VLAN ubicados en switches distintos.

Resultado esperado

show interfaces trunk muestra el puerto en modo trunk, la native VLAN y las VLANs permitidas/activas:

Port        Mode    Encapsulation  Status    Native vlan
Gi0/1       on      802.1q         trunking  99
Port        Vlans allowed on trunk
Gi0/1       10,20,99

Errores comunes

  • Native VLAN mismatch entre los dos switches (genera advertencias de CDP y problemas).
  • Olvidar permitir una VLAN en allowed vlan.
  • Un extremo en access y el otro en trunk (modo mismatch).
  • Encapsulación 802.1Q no definida en switches que la requieren.

Resumen rápido

switchport mode trunk
switchport trunk native vlan 99      ! igual en ambos extremos
switchport trunk allowed vlan 10,20,99
show interfaces trunk

2.3 Configurar y verificar protocolos de descubrimiento de capa 2 (CDP y LLDP)

Objetivo del tema

Usar CDP (Cisco) y LLDP (estándar) para descubrir dispositivos vecinos directamente conectados y su información (puerto, plataforma, IP).

Concepto básico

CDP es propietario de Cisco y viene activado por defecto. LLDP es el estándar abierto (sirve con equipos de otras marcas) y suele estar desactivado. Ambos permiten saber qué dispositivo está conectado a cada puerto sin revisar el cableado físico.

Topología básica recomendada

Un router y un switch conectados.

[ R1 ] Gi0/0 -------- Gi0/1 [ SW1 ]

Comandos de configuración

CDP (Router R1 / Switch SW1)

R1(config)# cdp run                 ! global (activado por defecto)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# cdp enable

LLDP (Router R1 / Switch SW1)

R1(config)# lldp run                ! global (desactivado por defecto)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# lldp transmit
R1(config-if)# lldp receive

Explicación básica de los comandos

ComandoQué hace
cdp run / no cdp runActiva/desactiva CDP en todo el equipo
cdp enableActiva CDP en una interfaz específica
lldp runActiva LLDP globalmente
lldp transmit / lldp receiveEnvía / recibe anuncios LLDP en la interfaz

Comandos de verificación

show cdp neighbors
show cdp neighbors detail
show lldp neighbors
show lldp neighbors detail

Ejemplo básico de prueba

Desde el switch, ver qué hay conectado:

show cdp neighbors
show lldp neighbors

Resultado esperado

Se listan los vecinos con su nombre, puerto local/remoto y plataforma:

Device ID   Local Intrfce   Holdtme   Capability  Platform   Port ID
R1          Gig 0/1         150       R           ...        Gig 0/0

Errores comunes

  • Esperar ver vecinos con LLDP sin haberlo activado (lldp run).
  • CDP/LLDP desactivado en la interfaz.
  • No esperar el tiempo de anuncio (los vecinos tardan en aparecer).
  • Pensar que muestran dispositivos no conectados directamente (solo vecinos directos).

Resumen rápido

cdp run / cdp enable          ! CDP (Cisco)
lldp run / lldp transmit/receive  ! LLDP (estándar)
show cdp neighbors  /  show lldp neighbors

2.4 Configurar y verificar EtherChannel (capa 2 / capa 3) con LACP

Objetivo del tema

Agrupar varios enlaces físicos en un solo enlace lógico (EtherChannel) para aumentar ancho de banda y redundancia, usando el protocolo LACP.

Concepto básico

EtherChannel combina 2 a 8 enlaces en un canal lógico (Port-channel). LACP (estándar, 802.3ad) negocia el canal con los modos active y passive. Todos los puertos miembros deben tener la misma configuración (velocidad, dúplex, modo y VLANs).

Topología básica recomendada

Dos switches unidos por dos enlaces agrupados.

[ SW1 ] Gi0/1 ====\
                   ==== Port-channel 1 ==== [ SW2 ]
        Gi0/2 ====/

Comandos de configuración

Switch SW1 (igual en SW2)

SW1(config)# interface range gigabitEthernet 0/1 - 2
SW1(config-if-range)# channel-group 1 mode active
SW1(config-if-range)# exit
SW1(config)# interface port-channel 1
SW1(config-if)# switchport mode trunk

EtherChannel de capa 3 (opcional)

SW1(config)# interface port-channel 1
SW1(config-if)# no switchport
SW1(config-if)# ip address 10.0.0.1 255.255.255.252

Explicación básica de los comandos

ComandoQué hace
channel-group 1 mode activeAgrupa los puertos en el canal 1 usando LACP (active)
interface port-channel 1Configura el enlace lógico resultante
no switchportConvierte el Port-channel en capa 3 (enrutado)

LACP: active negocia activamente; passive solo responde. Al menos un lado debe estar en active.

Comandos de verificación

show etherchannel summary
show etherchannel port-channel
show interfaces port-channel 1
show running-config interface port-channel 1

Ejemplo básico de prueba

Revisar el estado del canal:

show etherchannel summary

Resultado esperado

El canal aparece como Po1 en estado SU (capa 2, en uso) con sus puertos en P (bundled):

Group  Port-channel  Protocol    Ports
1      Po1(SU)        LACP        Gi0/1(P) Gi0/2(P)

Errores comunes

  • Configuración distinta entre puertos miembros (dúplex, velocidad, VLAN) → el canal no se forma.
  • Ambos lados en passive → nunca negocia.
  • Mezclar modos LACP (active/passive) con PAgP o on → incompatibles.
  • Trunk/allowed VLAN distinto entre miembros.

Resumen rápido

channel-group 1 mode active      ! LACP
interface port-channel 1
show etherchannel summary        ! buscar Po1(SU) y puertos (P)

2.5 Configurar Rapid PVST+ (Spanning Tree Protocol)

Objetivo del tema

Evitar bucles de capa 2 con Rapid PVST+, y entender la elección del switch raíz (root bridge) y los roles de puertos.

Concepto básico

STP evita bucles bloqueando enlaces redundantes. Rapid PVST+ es la versión rápida de Cisco con una instancia por VLAN. El switch con menor prioridad (bridge ID) se convierte en root bridge. Conviene fijar manualmente el root en el switch central.

Topología básica recomendada

Dos switches con enlaces redundantes.

[ SW1 ] ==== enlace 1 ==== [ SW2 ]
        ==== enlace 2 ====

Comandos de configuración

Switch SW1 (deseado como root)

SW1(config)# spanning-tree mode rapid-pvst
SW1(config)# spanning-tree vlan 10 root primary
SW1(config)# spanning-tree vlan 10 priority 4096

Puertos de acceso a hosts (PortFast + BPDU Guard)

SW1(config)# interface fastEthernet 0/1
SW1(config-if)# spanning-tree portfast
SW1(config-if)# spanning-tree bpduguard enable

Explicación básica de los comandos

ComandoQué hace
spanning-tree mode rapid-pvstActiva Rapid PVST+
spanning-tree vlan 10 root primaryHace a este switch root de la VLAN 10
spanning-tree vlan 10 priority 4096Fija la prioridad (menor = más probable root)
spanning-tree portfastPuerto pasa de inmediato a forwarding (solo puertos de host)
spanning-tree bpduguard enableApaga el puerto si recibe BPDU (protección)

Comandos de verificación

show spanning-tree
show spanning-tree vlan 10
show spanning-tree root
show spanning-tree summary

Ejemplo básico de prueba

Verificar quién es el root y los roles/estados de puertos:

show spanning-tree vlan 10

Resultado esperado

En el root, show spanning-tree vlan 10 indica This bridge is the root. Los puertos muestran roles (Root/Designated/Altn) y estado FWD o BLK.

VLAN0010
  Root ID  Priority 4106
           This bridge is the root

Errores comunes

  • Olvidar spanning-tree mode rapid-pvst (queda en PVST clásico).
  • No fijar el root → un switch viejo o inesperado se vuelve root.
  • Poner portfast en un enlace entre switches (puede causar bucles).
  • Prioridad que no es múltiplo de 4096.

Resumen rápido

spanning-tree mode rapid-pvst
spanning-tree vlan 10 root primary
spanning-tree portfast / bpduguard enable   ! solo puertos de host
show spanning-tree vlan 10

2.6 Configurar y verificar el acceso de gestión a dispositivos (Telnet, SSH, HTTP/HTTPS, consola, TACACS+/RADIUS)

Objetivo del tema

Habilitar y asegurar el acceso administrativo a un dispositivo Cisco por consola, Telnet y SSH, y conocer HTTP/HTTPS y AAA externa (TACACS+/RADIUS).

Concepto básico

Un equipo se administra por consola (cable físico) o de forma remota por Telnet (sin cifrar, inseguro) o SSH (cifrado, recomendado). Las líneas VTY controlan el acceso remoto. Para autenticación centralizada se usan servidores TACACS+ o RADIUS.

Topología básica recomendada

Un switch o router con un host administrador.

[ Admin PC ]---[ SW1 / R1 ]   (acceso por SSH a la IP de gestión)

Comandos de configuración

Router R1 / Switch SW1 (SSH)

R1(config)# hostname R1
R1(config)# ip domain name ejemplo.local
R1(config)# username admin privilege 15 secret Cisco123
R1(config)# crypto key generate rsa modulus 1024
R1(config)# ip ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exit
R1(config)# enable secret Clave123

Consola y HTTPS

R1(config)# line console 0
R1(config-line)# password ConsolaPass
R1(config-line)# login
R1(config-line)# exit
R1(config)# ip http secure-server      ! HTTPS
R1(config)# no ip http server          ! desactivar HTTP inseguro

Explicación básica de los comandos

ComandoQué hace
ip domain name + crypto key generate rsaRequisitos para generar las llaves SSH
ip ssh version 2Usa la versión segura de SSH
line vty 0 4 / transport input sshPermite acceso remoto solo por SSH
login localAutentica con usuarios locales
enable secretProtege el modo privilegiado (cifrado)
ip http secure-serverHabilita administración web por HTTPS

Comandos de verificación

show ip ssh
show ssh
show running-config | section line vty
show users
show ip http server status

Ejemplo básico de prueba

Desde la PC del admin, conectarse por SSH:

ssh -l admin 192.168.1.1

Resultado esperado

show ip ssh muestra SSH habilitado versión 2.0; la conexión SSH pide usuario/contraseña y entra al equipo. Telnet debe quedar rechazado.

SSH Enabled - version 2.0

Errores comunes

  • Generar llaves RSA sin definir hostname y ip domain name primero.
  • Dejar transport input telnet o all cuando se quiere solo SSH.
  • Olvidar login local o no crear el usuario.
  • No configurar enable secret (no se puede entrar a modo privilegiado).

Resumen rápido

ip domain name X / crypto key generate rsa / ip ssh version 2
line vty 0 4 / transport input ssh / login local
username admin secret X / enable secret X
show ip ssh

2.7 Configurar y verificar VTP

Objetivo del tema

Usar VTP para sincronizar la base de datos de VLANs entre varios switches desde un servidor central, reduciendo la configuración manual.

Concepto básico

VTP (VLAN Trunking Protocol) distribuye las VLANs creadas en un switch servidor hacia los clientes del mismo dominio, a través de enlaces trunk. El modo transparent no participa (solo reenvía). El número de revisión más alto gana, lo que puede ser peligroso.

Topología básica recomendada

Dos switches unidos por un trunk.

[ SW1 servidor VTP ] ==== trunk ==== [ SW2 cliente VTP ]

Comandos de configuración

Switch SW1 (servidor)

SW1(config)# vtp domain CCNA
SW1(config)# vtp mode server
SW1(config)# vtp password Cisco123
SW1(config)# vtp version 2
SW1(config)# vlan 10
SW1(config-vlan)# name DATOS

Switch SW2 (cliente)

SW2(config)# vtp domain CCNA
SW2(config)# vtp mode client
SW2(config)# vtp password Cisco123

El enlace entre ambos debe ser trunk para que VTP funcione.

Explicación básica de los comandos

ComandoQué hace
vtp domain CCNADefine el dominio VTP (debe coincidir)
vtp mode serverEl switch puede crear/modificar VLANs y propagarlas
vtp mode clientRecibe VLANs pero no las puede crear localmente
vtp mode transparentNo participa; mantiene sus VLANs locales
vtp passwordProtege el dominio (igual en todos)

Comandos de verificación

show vtp status
show vtp password
show vlan brief

Ejemplo básico de prueba

Crear la VLAN 10 solo en SW1 y comprobar que aparece en SW2:

SW2# show vlan brief

Resultado esperado

show vtp status muestra el dominio, el modo y el número de revisión. La VLAN creada en SW1 aparece automáticamente en SW2.

VTP Operating Mode      : Server
VTP Domain Name         : CCNA
Configuration Revision  : 3

Errores comunes

  • Nombre de dominio distinto entre switches.
  • El enlace no es trunk → VTP no se propaga.
  • Contraseña VTP diferente.
  • Conectar un switch con número de revisión alto en modo server/client → borra VLANs de la red (peligro clásico de VTP).

Resumen rápido

vtp domain CCNA / vtp mode server|client / vtp password X
(el enlace debe ser trunk)
show vtp status

3. IP Connectivity

3.1 Interpretar los componentes de la tabla de enrutamiento

Objetivo del tema

Leer e interpretar la salida de show ip route: código de protocolo, prefijo, máscara, next hop, distancia administrativa, métrica y gateway de último recurso.

Concepto básico

La tabla de enrutamiento indica cómo el router alcanza cada red. Cada línea tiene un código (cómo se aprendió la ruta), la red/máscara, el next hop (a quién enviar) y dos números entre corchetes [AD/métrica]: la distancia administrativa (confiabilidad del protocolo) y la métrica (costo dentro del protocolo).

Topología básica recomendada

Dos routers conectados, cada uno con su LAN.

[ LAN1 ]---[ R1 ]---10.0.0.0/30---[ R2 ]---[ LAN2 ]

Comandos de configuración

Tema de interpretación, no de configuración. Se analiza la salida de los comandos de verificación.

Explicación básica de los componentes

Ejemplo de línea:

O    192.168.20.0/24 [110/2] via 10.0.0.2, 00:05:13, GigabitEthernet0/0
ComponenteEn el ejemploSignificado
Código de protocoloOCómo se aprendió (C=conectada, S=estática, O=OSPF, D=EIGRP, R=RIP)
Prefijo (red)192.168.20.0Red de destino
Máscara/24Longitud de prefijo
Distancia administrativa110Confiabilidad del origen (menor = mejor)
Métrica2Costo dentro del protocolo
Next hopvia 10.0.0.2Siguiente router hacia el destino
Interfaz de salidaGigabitEthernet0/0Por dónde sale el paquete
Gateway of last resort0.0.0.0/0Ruta por defecto si nada más coincide

Distancias administrativas típicas: Conectada 0, Estática 1, EIGRP 90, OSPF 110, RIP 120.

Comandos de verificación

show ip route
show ip route 192.168.20.0
show ip route ospf
show ip route static
show ipv6 route

Ejemplo básico de prueba

Mostrar la tabla y localizar el gateway de último recurso:

show ip route

Resultado esperado

Se ve la lista de redes con sus códigos y la línea Gateway of last resort si hay ruta por defecto:

Gateway of last resort is 10.0.0.2 to network 0.0.0.0
C    10.0.0.0/30 is directly connected, GigabitEthernet0/0
O    192.168.20.0/24 [110/2] via 10.0.0.2, GigabitEthernet0/0

Errores comunes

  • Confundir distancia administrativa con métrica.
  • No encontrar una red porque no hay ruta (ni estática ni dinámica).
  • Ignorar el "gateway of last resort" al diagnosticar salida a Internet.
  • Confundir ruta conectada (C) con local (L, la IP exacta del router).

Resumen rápido

show ip route          ! [AD/métrica] via next-hop
Códigos: C, L, S, O, D, R
Gateway of last resort = ruta por defecto

3.2 Configurar y verificar enrutamiento estático IPv4 e IPv6

Objetivo del tema

Crear rutas estáticas (por defecto, de red, de host y flotantes) en IPv4 e IPv6 para alcanzar redes remotas sin protocolos dinámicos.

Concepto básico

Una ruta estática se configura a mano indicando la red destino y el next hop. La ruta por defecto (0.0.0.0/0) se usa cuando ninguna otra coincide. Una ruta flotante tiene una distancia administrativa mayor para servir solo de respaldo.

Topología básica recomendada

Dos routers en serie.

[ R1 ]---10.0.0.0/30---[ R2 ]---192.168.20.0/24

Comandos de configuración

Router R1

R1(config)# ip route 192.168.20.0 255.255.255.0 10.0.0.2          ! ruta de red
R1(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2                     ! ruta por defecto
R1(config)# ip route 192.168.20.10 255.255.255.255 10.0.0.2       ! ruta de host
R1(config)# ip route 192.168.20.0 255.255.255.0 10.0.0.6 130      ! ruta flotante (AD 130)

IPv6 (Router R1)

R1(config)# ipv6 unicast-routing
R1(config)# ipv6 route 2001:db8:20::/64 2001:db8::2
R1(config)# ipv6 route ::/0 2001:db8::2                           ! por defecto IPv6

Explicación básica de los comandos

ComandoQué hace
ip route <red> <máscara> <next-hop>Ruta estática de red
ip route 0.0.0.0 0.0.0.0 <next-hop>Ruta por defecto (todo el tráfico desconocido)
ip route <host> 255.255.255.255 ...Ruta a un solo host (/32)
ip route ... 130Ruta flotante: AD mayor, solo respaldo
ipv6 route ::/0 <next-hop>Ruta por defecto IPv6

Comandos de verificación

show ip route static
show ip route
show ipv6 route static
ping 192.168.20.10

Ejemplo básico de prueba

Desde R1, hacer ping a la LAN remota:

ping 192.168.20.10

Resultado esperado

show ip route muestra las rutas con código S (y S* la por defecto). El ping a la red remota responde.

S*   0.0.0.0/0 [1/0] via 10.0.0.2
S    192.168.20.0/24 [1/0] via 10.0.0.2

Errores comunes

  • Next hop incorrecto o inalcanzable.
  • Máscara equivocada (red en vez de host o viceversa).
  • Falta la ruta de regreso en el otro router (el ping va pero no vuelve).
  • Olvidar ipv6 unicast-routing para IPv6.
  • AD de la flotante igual o menor que la principal (no actúa como respaldo).

Resumen rápido

ip route <red> <máscara> <next-hop>
ip route 0.0.0.0 0.0.0.0 <next-hop>     ! por defecto
ip route ... 130                         ! flotante (respaldo)
show ip route static

3.3 Configurar y verificar OSPFv2 de área única

Objetivo del tema

Configurar OSPF en una sola área, formar adyacencias de vecinos, fijar el Router ID y entender las redes punto a punto y broadcast (elección DR/BDR).

Concepto básico

OSPF es un protocolo de estado de enlace que calcula la mejor ruta por costo (basado en ancho de banda). Los routers forman adyacencias con vecinos. En redes broadcast (Ethernet) se elige un DR/BDR; en enlaces punto a punto no. El Router ID identifica a cada router.

Topología básica recomendada

Dos routers conectados, cada uno con su LAN, todo en área 0.

[ LAN1 192.168.10.0/24 ]---[ R1 ]---10.0.0.0/30---[ R2 ]---[ LAN2 192.168.20.0/24 ]

Comandos de configuración

Router R1

R1(config)# router ospf 1
R1(config-router)# router-id 1.1.1.1
R1(config-router)# network 192.168.10.0 0.0.0.255 area 0
R1(config-router)# network 10.0.0.0 0.0.0.3 area 0
R1(config-router)# exit
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip ospf network point-to-point     ! opcional en enlace /30

Router R2

R2(config)# router ospf 1
R2(config-router)# router-id 2.2.2.2
R2(config-router)# network 192.168.20.0 0.0.0.255 area 0
R2(config-router)# network 10.0.0.0 0.0.0.3 area 0

Explicación básica de los comandos

ComandoQué hace
router ospf 1Inicia OSPF con ID de proceso 1 (local)
router-id 1.1.1.1Fija el identificador del router
network 192.168.10.0 0.0.0.255 area 0Anuncia esa red en el área 0 (usa wildcard)
ip ospf network point-to-pointEvita elección DR/BDR en enlaces punto a punto

La wildcard es la inversa de la máscara: /240.0.0.255, /300.0.0.3.

Comandos de verificación

show ip ospf neighbor
show ip route ospf
show ip ospf interface brief
show ip protocols

Ejemplo básico de prueba

Verificar vecinos y luego conectividad entre LANs:

show ip ospf neighbor
ping 192.168.20.10

Resultado esperado

show ip ospf neighbor muestra el vecino en estado FULL. Las rutas OSPF (O) aparecen en la tabla y el ping entre LANs funciona.

Neighbor ID  Pri  State     Address    Interface
2.2.2.2      1    FULL/  -  10.0.0.2   GigabitEthernet0/1

Errores comunes

  • Wildcard mal calculada en network.
  • Áreas distintas en cada extremo (deben coincidir).
  • Vecinos atascados en EXSTART/EXCHANGE por MTU mismatch.
  • Router ID duplicado.
  • Distintos hello/dead timers o máscaras → no forman vecindad.

Resumen rápido

router ospf 1 / router-id X.X.X.X
network <red> <wildcard> area 0
show ip ospf neighbor      ! debe verse FULL

3.4 Configurar y verificar EIGRP

Objetivo del tema

Configurar EIGRP para IPv4, formar vecinos y aprender rutas automáticamente entre routers Cisco.

Concepto básico

EIGRP es un protocolo avanzado de Cisco que usa DUAL para calcular rutas rápidamente. Su métrica se basa en ancho de banda y retardo. Los routers en el mismo sistema autónomo (AS) forman vecinos e intercambian rutas. Tiene distancia administrativa 90.

Topología básica recomendada

Dos routers con sus LANs.

[ LAN1 192.168.10.0/24 ]---[ R1 ]---10.0.0.0/30---[ R2 ]---[ LAN2 192.168.20.0/24 ]

Comandos de configuración

Router R1

R1(config)# router eigrp 100
R1(config-router)# no auto-summary
R1(config-router)# network 192.168.10.0 0.0.0.255
R1(config-router)# network 10.0.0.0 0.0.0.3

Router R2

R2(config)# router eigrp 100
R2(config-router)# no auto-summary
R2(config-router)# network 192.168.20.0 0.0.0.255
R2(config-router)# network 10.0.0.0 0.0.0.3

Explicación básica de los comandos

ComandoQué hace
router eigrp 100Inicia EIGRP en el AS 100 (debe coincidir en todos)
network 192.168.10.0 0.0.0.255Anuncia la red y activa EIGRP en sus interfaces
no auto-summaryEvita el resumen automático en límites de clase

Comandos de verificación

show ip eigrp neighbors
show ip route eigrp
show ip protocols
show ip eigrp topology

Ejemplo básico de prueba

Verificar vecinos y conectividad:

show ip eigrp neighbors
ping 192.168.20.10

Resultado esperado

show ip eigrp neighbors lista al vecino. Las rutas EIGRP aparecen con código D y AD 90, y el ping entre LANs responde.

H   Address     Interface   Hold  Uptime    SRTT
0   10.0.0.2    Gi0/1       12    00:03:45  10
D    192.168.20.0/24 [90/3072] via 10.0.0.2, GigabitEthernet0/1

Errores comunes

  • Número de AS distinto entre routers → no forman vecindad.
  • Wildcard mal escrita en network.
  • Olvidar anunciar el enlace entre routers.
  • Resumen automático activado causando rutas inesperadas (usar no auto-summary).

Resumen rápido

router eigrp 100 (mismo AS) / no auto-summary
network <red> <wildcard>
show ip eigrp neighbors  /  show ip route eigrp

3.5 Configurar y verificar protocolos de redundancia de primer salto (HSRP)

Objetivo del tema

Proporcionar un gateway redundante con HSRP, de modo que si el router activo falla, otro toma su lugar usando una IP virtual compartida.

Concepto básico

HSRP (protocolo de Cisco) permite que dos routers compartan una IP virtual que los hosts usan como gateway. Uno es Active (reenvía) y otro Standby (respaldo). El de mayor prioridad es Active; con preempt recupera el rol al volver.

Topología básica recomendada

Dos routers como gateways redundantes de una misma LAN.

        [ R1 ] Gi0/0 192.168.1.2  \
                                    >-- IP virtual 192.168.1.1 -- [ Hosts ]
        [ R2 ] Gi0/0 192.168.1.3  /

Comandos de configuración

Router R1 (activo)

R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip address 192.168.1.2 255.255.255.0
R1(config-if)# standby 1 ip 192.168.1.1
R1(config-if)# standby 1 priority 110
R1(config-if)# standby 1 preempt

Router R2 (standby)

R2(config)# interface gigabitEthernet 0/0
R2(config-if)# ip address 192.168.1.3 255.255.255.0
R2(config-if)# standby 1 ip 192.168.1.1
R2(config-if)# standby 1 priority 100
R2(config-if)# standby 1 preempt

Los hosts usan 192.168.1.1 (la IP virtual) como gateway.

Explicación básica de los comandos

ComandoQué hace
standby 1 ip 192.168.1.1Define la IP virtual del grupo HSRP 1
standby 1 priority 110Prioridad (mayor = router activo)
standby 1 preemptPermite recuperar el rol activo al volver

Comandos de verificación

show standby
show standby brief
show ip interface brief

Ejemplo básico de prueba

Verificar roles y luego simular falla (apagar la interfaz de R1) y comprobar que R2 pasa a Active:

show standby brief

Resultado esperado

show standby brief muestra R1 como Active y R2 como Standby, con la misma IP virtual. Al fallar R1, R2 pasa a Active y el gateway sigue respondiendo.

Interface Grp  Pri  State    Active        Standby       Virtual IP
Gi0/0     1    110  Active   local         192.168.1.3   192.168.1.1

Errores comunes

  • Número de grupo HSRP distinto en cada router.
  • IP virtual diferente entre los routers.
  • Olvidar preempt (el router preferido no recupera el rol activo).
  • IP virtual igual a una IP real de interfaz.
  • Hosts apuntando a la IP real en vez de la virtual.

Resumen rápido

standby 1 ip 192.168.1.1
standby 1 priority 110 / standby 1 preempt
show standby brief      ! ver Active / Standby

4. IP Services

4.1 Configurar y verificar NAT de origen interno (estática y con pools)

Objetivo del tema

Traducir direcciones IP privadas a una o varias direcciones públicas usando NAT estático y NAT dinámico con pool (incluyendo PAT/overload).

Concepto básico

NAT permite que hosts con IP privada salgan a Internet usando IP pública. NAT estático: una privada ↔ una pública fija. NAT con pool: varias privadas usan un rango de públicas. PAT (overload): muchas privadas comparten una pública usando puertos.

Topología básica recomendada

Un router de borde entre la LAN privada e Internet.

[ LAN 192.168.1.0/24 ]---Gi0/0 (inside)[ R1 ]Gi0/1 (outside)---[ Internet ]

Comandos de configuración

Definir interfaces inside/outside (R1)

R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip nat inside
R1(config-if)# interface gigabitEthernet 0/1
R1(config-if)# ip nat outside

NAT estático

R1(config)# ip nat inside source static 192.168.1.10 200.0.0.10

NAT con pool

R1(config)# ip nat pool MIPOOL 200.0.0.1 200.0.0.5 netmask 255.255.255.248
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)# ip nat inside source list 1 pool MIPOOL

PAT (overload, una sola IP pública)

R1(config)# ip nat inside source list 1 interface gigabitEthernet 0/1 overload

Explicación básica de los comandos

ComandoQué hace
ip nat inside / ip nat outsideMarca interfaz interna (privada) y externa (pública)
ip nat inside source static ...Traducción uno a uno fija
ip nat pool ...Define el rango de IP públicas
access-list 1 permit ...Indica qué IP privadas pueden traducirse
... pool MIPOOL / ... interface ... overloadAsocia origen privado al pool o a PAT

Comandos de verificación

show ip nat translations
show ip nat statistics
show running-config | include nat
clear ip nat translation *

Ejemplo básico de prueba

Desde un host interno hacer ping/navegar a una IP externa y revisar las traducciones:

show ip nat translations

Resultado esperado

show ip nat translations muestra el mapeo entre inside local (privada) y inside global (pública):

Pro Inside global   Inside local     Outside local   Outside global
icmp 200.0.0.1:1    192.168.1.10:1   8.8.8.8:1       8.8.8.8:1

Errores comunes

  • No marcar ip nat inside / ip nat outside en las interfaces.
  • ACL que no incluye la red privada correcta.
  • Olvidar overload cuando solo hay una IP pública.
  • Pool con máscara incorrecta.

Resumen rápido

ip nat inside / ip nat outside
ip nat inside source static <priv> <pub>
ip nat inside source list 1 interface <out> overload   ! PAT
show ip nat translations

4.2 Configurar y verificar NTP en modo cliente y servidor

Objetivo del tema

Sincronizar la hora de los dispositivos usando NTP, configurando un router como servidor de tiempo y otro como cliente.

Concepto básico

NTP mantiene la hora exacta en todos los equipos, lo cual es vital para logs, certificados y SSH. Un dispositivo cliente sincroniza su reloj con un servidor NTP. El stratum indica la cercanía a la fuente de tiempo (menor = más preciso).

Topología básica recomendada

Dos routers: uno servidor, otro cliente.

[ R1 servidor NTP ]---10.0.0.0/30---[ R2 cliente NTP ]

Comandos de configuración

Router R1 (servidor)

R1(config)# clock timezone GMT 0
R1# clock set 10:00:00 24 jun 2026
R1(config)# ntp master 3

Router R2 (cliente)

R2(config)# ntp server 10.0.0.1

Explicación básica de los comandos

ComandoQué hace
clock set ...Ajusta manualmente la hora del router
ntp master 3Hace al router fuente de tiempo (stratum 3)
ntp server 10.0.0.1El cliente se sincroniza con ese servidor

Comandos de verificación

show ntp status
show ntp associations
show clock

Ejemplo básico de prueba

En el cliente, verificar que está sincronizado:

show ntp status

Resultado esperado

show ntp status en R2 muestra Clock is synchronized y la referencia al servidor 10.0.0.1.

Clock is synchronized, stratum 4, reference is 10.0.0.1

Errores comunes

  • No hay conectividad IP entre cliente y servidor.
  • Apuntar el cliente a una IP del servidor que no responde.
  • Esperar sincronización inmediata (NTP tarda unos minutos).
  • Zona horaria mal configurada (la hora se ve "corrida").

Resumen rápido

ntp master 3            ! en el servidor
ntp server <ip>         ! en el cliente
show ntp status         ! debe decir "synchronized"

4.3 Configurar y verificar servidor DHCP y DNS

Objetivo del tema

Configurar un router como servidor DHCP para entregar IP automáticamente a los hosts e indicarles el servidor DNS.

Concepto básico

DHCP asigna automáticamente IP, máscara, gateway y DNS a los hosts. DNS traduce nombres (www.ejemplo.com) a direcciones IP. Se define un pool de direcciones y se excluyen las que ya usan routers/servidores.

Topología básica recomendada

Un router y un switch con hosts.

[ R1 DHCP ] Gi0/0 192.168.1.1 ---[ SW1 ]--- [ PC1 ] [ PC2 ]

Comandos de configuración

Router R1

R1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
R1(config)# ip dhcp pool LAN
R1(dhcp-config)# network 192.168.1.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.1.1
R1(dhcp-config)# dns-server 8.8.8.8
R1(dhcp-config)# domain-name ejemplo.local
R1(dhcp-config)# lease 7

Explicación básica de los comandos

ComandoQué hace
ip dhcp excluded-addressReserva IP que DHCP no debe entregar
ip dhcp pool LANCrea el pool de direcciones
network ...Rango de red a repartir
default-routerGateway que reciben los hosts
dns-serverServidor DNS que reciben los hosts
lease 7Duración de la concesión (días)

Comandos de verificación

show ip dhcp binding
show ip dhcp pool
show running-config | section dhcp

En el host (Windows):

ipconfig /all
ipconfig /renew

Ejemplo básico de prueba

Configurar la PC en "obtener IP automáticamente" y verificar que recibe dirección del rango:

show ip dhcp binding

Resultado esperado

show ip dhcp binding lista las IP entregadas y su MAC. El host muestra una IP del rango con gateway y DNS correctos.

IP address      Client-ID/MAC       Lease expiration
192.168.1.11    0100.5079.6668.00   Jun 30 2026

Errores comunes

  • No excluir la IP del router/gateway → conflicto de direcciones.
  • default-router o dns-server incorrectos.
  • Red del pool distinta a la de la interfaz.
  • Host configurado con IP estática en vez de DHCP.

Resumen rápido

ip dhcp excluded-address <rango>
ip dhcp pool LAN / network / default-router / dns-server
show ip dhcp binding

4.4 Configurar y verificar SNMP en operaciones de red

Objetivo del tema

Habilitar SNMP para monitorear los dispositivos desde un servidor de gestión (NMS), de forma básica y segura.

Concepto básico

SNMP permite que un servidor (NMS) consulte el estado de los dispositivos (CPU, interfaces, etc.). La community string funciona como contraseña: RO (solo lectura) o RW (lectura/escritura). SNMPv3 añade autenticación y cifrado.

Topología básica recomendada

Un router/switch y un servidor de gestión.

[ R1 ]---[ SW1 ]---[ Servidor SNMP/NMS 192.168.1.100 ]

Comandos de configuración

SNMPv2c (Router R1)

R1(config)# snmp-server community CCNARO ro
R1(config)# snmp-server location SalaServidores
R1(config)# snmp-server contact [email protected]
R1(config)# snmp-server host 192.168.1.100 version 2c CCNARO

Explicación básica de los comandos

ComandoQué hace
snmp-server community CCNARO roCrea community de solo lectura
snmp-server location / contactInformación descriptiva del equipo
snmp-server host ... version 2cDefine el NMS que recibe traps/consultas

Comandos de verificación

show snmp
show snmp community
show snmp host
show running-config | include snmp

Ejemplo básico de prueba

Desde el NMS, hacer una consulta SNMP (snmpwalk/snmpget) al router; o en el router revisar contadores:

show snmp

Resultado esperado

show snmp muestra el chassis, contadores de paquetes SNMP y la configuración aplicada; el NMS logra leer datos del equipo.

Chassis: FTX...
0 SNMP packets input
SNMP logging: enabled

Errores comunes

  • Usar RW cuando solo se necesita RO (riesgo de seguridad).
  • Community string distinta entre dispositivo y NMS.
  • IP del host NMS incorrecta.
  • Falta de conectividad IP hacia el NMS.

Resumen rápido

snmp-server community CCNARO ro
snmp-server host <ip-NMS> version 2c CCNARO
show snmp

4.5 Configurar y verificar Syslog (facilities y niveles)

Objetivo del tema

Enviar los mensajes de registro (logs) del dispositivo a un servidor Syslog y entender los niveles de severidad.

Concepto básico

Syslog centraliza los mensajes de eventos del equipo en un servidor. Cada mensaje tiene un nivel de severidad del 0 (emergencias) al 7 (depuración). Al fijar un nivel se reciben ese y todos los más graves.

Topología básica recomendada

Un router/switch y un servidor Syslog.

[ R1 ]---[ SW1 ]---[ Servidor Syslog 192.168.1.200 ]

Comandos de configuración

Router R1

R1(config)# logging host 192.168.1.200
R1(config)# logging trap informational
R1(config)# service timestamps log datetime msec
R1(config)# logging on

Explicación básica de los comandos

ComandoQué hace
logging host 192.168.1.200Define el servidor Syslog destino
logging trap informationalEnvía mensajes de nivel 6 y más graves
service timestamps log datetimeAgrega fecha/hora a cada mensaje

Niveles de severidad (0–7):

NivelNombreSignificado
0emergenciesSistema inutilizable
1alertsAcción inmediata
2criticalCondición crítica
3errorsErrores
4warningsAdvertencias
5notificationsEventos normales importantes
6informationalInformación
7debuggingDepuración

Comandos de verificación

show logging
show running-config | include logging

Ejemplo básico de prueba

Generar un evento (apagar/encender una interfaz) y verificar que aparece en el log:

show logging

Resultado esperado

show logging muestra el host destino, el nivel configurado y los mensajes recientes con su timestamp.

Trap logging: level informational
Logging to 192.168.1.200
%LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down

Errores comunes

  • Servidor Syslog mal definido o inalcanzable.
  • Nivel demasiado bajo (no se ve la información deseada) o demasiado alto (exceso de mensajes).
  • Sin service timestamps, los mensajes no tienen hora útil.
  • Confundir el número de nivel con su nombre.

Resumen rápido

logging host <ip>
logging trap informational        ! nivel 0–7
show logging

4.6 Configurar y verificar cliente DHCP y relay

Objetivo del tema

Configurar una interfaz para obtener su IP por DHCP (cliente) y configurar un router como relay para reenviar peticiones DHCP a un servidor en otra red.

Concepto básico

Un cliente DHCP obtiene su IP automáticamente. El DHCP relay (ip helper-address) se usa cuando el servidor DHCP está en otra subred: el router reenvía las peticiones broadcast del cliente al servidor.

Topología básica recomendada

Hosts en una LAN, servidor DHCP en otra, router en medio.

[ PC ]---[ R1 (relay) ] Gi0/0 192.168.1.1 --- Gi0/1 --- [ Servidor DHCP 10.0.0.2 ]

Comandos de configuración

Interfaz como cliente DHCP (R1 hacia ISP, por ejemplo)

R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip address dhcp
R1(config-if)# no shutdown

DHCP relay (R1 reenvía a un servidor remoto)

R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip helper-address 10.0.0.2

Explicación básica de los comandos

ComandoQué hace
ip address dhcpLa interfaz obtiene su IP de un servidor DHCP
ip helper-address 10.0.0.2Reenvía las peticiones DHCP de esa LAN al servidor indicado

Comandos de verificación

show ip interface brief
show dhcp lease
show ip dhcp binding        ! en el servidor
show running-config interface gigabitEthernet 0/0

Ejemplo básico de prueba

Conectar un host a la LAN del relay y verificar que recibe IP del servidor remoto:

ipconfig /renew     (en el host)

Resultado esperado

La interfaz cliente muestra una IP obtenida por DHCP. Con el relay, los hosts de la LAN reciben IP del servidor remoto y este registra el binding.

GigabitEthernet0/1   10.10.10.5   YES DHCP   up   up

Errores comunes

  • Olvidar ip helper-address cuando el servidor está en otra red.
  • Apuntar el helper a una IP incorrecta.
  • Sin ruta de regreso entre el servidor y la LAN del cliente.
  • Esperar que el broadcast DHCP cruce el router sin relay.

Resumen rápido

ip address dhcp              ! cliente
ip helper-address <ip-srv>  ! relay (servidor en otra red)
show ip interface brief

4.7 Configurar y verificar QoS básico (clasificación, marcado, encolado, congestión, policing y shaping)

Objetivo del tema

Comprender y aplicar conceptos básicos de QoS para priorizar tráfico importante (como voz) usando clasificación y marcado con MQC.

Concepto básico

QoS decide qué tráfico tiene prioridad cuando el enlace se congestiona. Pasos clave: clasificar (identificar el tráfico), marcar (etiquetar con DSCP/CoS), encolar (dar prioridad), y controlar la tasa con policing (descarta lo que excede) o shaping (retiene y suaviza). Se configura con MQC: class-mappolicy-mapservice-policy.

Topología básica recomendada

Un router de salida hacia un enlace WAN.

[ LAN ]---[ R1 ] Gi0/1 (salida con QoS) ---[ WAN ]

Comandos de configuración

Router R1 (clasificar, marcar y dar prioridad a la voz)

R1(config)# class-map match-all VOZ
R1(config-cmap)# match protocol rtp
R1(config-cmap)# exit
R1(config)# policy-map MIQOS
R1(config-pmap)# class VOZ
R1(config-pmap-c)# set dscp ef
R1(config-pmap-c)# priority percent 30
R1(config-pmap-c)# exit
R1(config-pmap)# class class-default
R1(config-pmap-c)# bandwidth percent 50
R1(config-pmap-c)# exit
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# service-policy output MIQOS

Explicación básica de los comandos

ComandoQué hace
class-map ... / match ...Clasifica: identifica qué tráfico es (ej. voz)
policy-map / classDefine la política y qué hacer con cada clase
set dscp efMarca el tráfico (EF = prioridad de voz)
priority percent 30Cola de baja latencia para voz (encolado)
bandwidth percent 50Garantiza ancho de banda a una clase
service-policy output MIQOSAplica la política a la interfaz de salida

Policing descarta o remarca el exceso (police); shaping lo retiene para suavizar (shape average).

Comandos de verificación

show policy-map
show policy-map interface gigabitEthernet 0/1
show class-map
show mls qos        ! en switches que lo soporten

Ejemplo básico de prueba

Generar tráfico de voz/datos y revisar los contadores de la política:

show policy-map interface gigabitEthernet 0/1

Resultado esperado

show policy-map interface muestra las clases, paquetes igualados y acciones aplicadas (marcado, prioridad), confirmando que el tráfico de voz se prioriza.

Class-map: VOZ (match-all)
  1000 packets
  QoS Set: dscp ef
  Priority: 30% ...

Errores comunes

  • No aplicar la service-policy en la interfaz, o aplicarla en la dirección equivocada (input/output).
  • Clasificación que no coincide con el tráfico real.
  • Sumar más del 100% de ancho de banda entre clases.
  • Confundir policing (descarta) con shaping (retiene).

Resumen rápido

class-map / match            ! clasificar
policy-map / set dscp / priority   ! marcar y encolar
service-policy output <pol>  ! aplicar en interfaz
show policy-map interface

4.8 Configurar y verificar acceso remoto a dispositivos mediante SSH

Objetivo del tema

Habilitar acceso remoto seguro por SSH a un dispositivo Cisco y verificar las sesiones.

Concepto básico

SSH cifra la sesión de administración remota (a diferencia de Telnet). Requiere hostname, dominio, llaves RSA, un usuario local y las líneas VTY configuradas para aceptar solo SSH.

Topología básica recomendada

Un host administrador y el dispositivo a gestionar.

[ Admin PC 192.168.1.50 ]---[ SW1 / R1  192.168.1.1 ]

Comandos de configuración

Router R1 / Switch SW1

R1(config)# hostname R1
R1(config)# ip domain name ejemplo.local
R1(config)# username admin secret Cisco123
R1(config)# crypto key generate rsa modulus 1024
R1(config)# ip ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local

Explicación básica de los comandos

ComandoQué hace
ip domain name + crypto key generate rsaRequisitos para las llaves SSH
ip ssh version 2Fuerza la versión segura
transport input sshLas líneas VTY solo aceptan SSH (no Telnet)
login localAutentica con usuarios locales

Comandos de verificación

show ip ssh
show ssh
show users

Ejemplo básico de prueba

Desde la PC del admin:

ssh -l admin 192.168.1.1

Resultado esperado

show ip ssh indica SSH habilitado versión 2.0; la sesión SSH conecta pidiendo credenciales, y Telnet queda bloqueado.

SSH Enabled - version 2.0

Errores comunes

  • Generar llaves sin hostname/ip domain name.
  • Dejar transport input telnet o all.
  • No crear el usuario o faltar login local.
  • Usar ip ssh version 1 (inseguro).

Resumen rápido

ip domain name X / crypto key generate rsa / ip ssh version 2
line vty 0 4 / transport input ssh / login local
show ip ssh

5. Security Fundamentals

5.1 Configurar y verificar control de acceso al dispositivo con contraseñas locales

Objetivo del tema

Proteger el acceso a un dispositivo Cisco con contraseñas en consola, líneas VTY y modo privilegiado, y cifrarlas correctamente.

Concepto básico

Un dispositivo debe estar protegido en todos sus puntos de acceso: consola (físico), VTY (remoto) y enable (modo privilegiado). Se usa enable secret (cifrado fuerte) y service password-encryption para no dejar contraseñas en texto plano.

Topología básica recomendada

Un solo dispositivo (router o switch) con un administrador.

[ Admin ]---[ R1 / SW1 ]

Comandos de configuración

Router R1 / Switch SW1

R1(config)# enable secret Clave123
R1(config)# username admin secret Cisco123
R1(config)# service password-encryption
R1(config)# line console 0
R1(config-line)# password ConsolaPass
R1(config-line)# login
R1(config-line)# exec-timeout 5 0
R1(config-line)# exit
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh

Explicación básica de los comandos

ComandoQué hace
enable secret Clave123Protege el modo privilegiado (cifrado MD5)
username admin secret ...Crea usuario local cifrado
service password-encryptionCifra las contraseñas en texto plano del config
line console 0 / password / loginProtege el acceso por consola
login localUsa la base de usuarios local para autenticar
exec-timeout 5 0Cierra la sesión inactiva tras 5 minutos

Comandos de verificación

show running-config
show running-config | section line
show users

Ejemplo básico de prueba

Salir y volver a entrar: el dispositivo debe pedir contraseña en consola, usuario/contraseña por SSH y contraseña al usar enable.

exit

Resultado esperado

Las contraseñas aparecen cifradas en el running-config (tipo 5 o 7), y cada punto de acceso solicita autenticación.

enable secret 5 $1$mERr$...
line console 0
 password 7 0822455D0A16

Errores comunes

  • Usar enable password (texto plano) en vez de enable secret.
  • Olvidar login (la contraseña no se solicita).
  • login local sin haber creado usuarios.
  • Confiar solo en service password-encryption (cifrado débil tipo 7).

Resumen rápido

enable secret X
username admin secret X / line vty / login local
line console 0 / password / login
service password-encryption

5.2 Configurar y verificar VPNs IPsec de acceso remoto y site-to-site

Objetivo del tema

Comprender los tipos de VPN IPsec (site-to-site y de acceso remoto) y sus componentes, dentro del alcance conceptual y de verificación que pide CCNA.

Concepto básico

Una VPN crea un túnel seguro sobre una red pública (Internet). IPsec cifra y autentica el tráfico. La site-to-site conecta dos sitios de forma permanente (router a router); la de acceso remoto conecta usuarios individuales (con cliente como AnyConnect) a la red corporativa. En CCNA 200-301 el objetivo es describir estas VPN; la configuración detallada de IPsec corresponde a niveles superiores.

Topología básica recomendada

Dos sitios conectados por Internet (site-to-site).

[ LAN A ]---[ R1 ]====Internet====[ R2 ]---[ LAN B ]
            \________ túnel IPsec ________/

Comandos de configuración

En CCNA este tema es principalmente conceptual. A nivel de referencia, una VPN site-to-site IPsec incluye estas piezas (fase 1 / fase 2):

! Fase 1 (IKE/ISAKMP): autenticación y llaves
R1(config)# crypto isakmp policy 10
R1(config)# crypto isakmp key MICLAVE address 200.0.0.2
! Fase 2 (IPsec): cómo se cifra el tráfico
R1(config)# crypto ipsec transform-set TSET esp-aes esp-sha-hmac
! Qué tráfico proteger (ACL) y crypto map aplicado a la interfaz
R1(config)# crypto map MAPA 10 ipsec-isakmp

Explicación básica de los componentes

ComponenteQué hace
IKE / ISAKMP (Fase 1)Negocia autenticación y un canal seguro inicial
Transform-set (Fase 2)Define el cifrado (AES) e integridad (SHA) del tráfico
Crypto ACLIndica qué tráfico interesante se cifra
Crypto mapUne los parámetros y se aplica a la interfaz de salida
Acceso remotoUsuario con cliente VPN (AnyConnect) hacia la red corporativa

Comandos de verificación

show crypto isakmp sa
show crypto ipsec sa
show crypto session

Ejemplo básico de prueba

Generar tráfico entre las LAN de ambos sitios y verificar que el túnel se establece:

show crypto isakmp sa

Resultado esperado

show crypto isakmp sa muestra el estado QM_IDLE (fase 1 establecida) y show crypto ipsec sa muestra paquetes cifrados/descifrados aumentando.

dst          src          state     conn-id
200.0.0.2    200.0.0.1    QM_IDLE   1001

Errores comunes

  • Parámetros de fase 1/2 que no coinciden entre los dos extremos.
  • Clave pre-compartida distinta.
  • ACL de tráfico interesante mal definida.
  • No aplicar el crypto map a la interfaz correcta.

Resumen rápido

VPN site-to-site = router a router (permanente)
VPN acceso remoto = usuario con cliente (AnyConnect)
IPsec = cifrado + autenticación (IKE fase 1 / IPsec fase 2)
show crypto isakmp sa  /  show crypto ipsec sa

5.3 Configurar y verificar listas de control de acceso (ACL)

Objetivo del tema

Filtrar tráfico con ACL estándar y extendidas, y aplicarlas correctamente a las interfaces para permitir o denegar tráfico.

Concepto básico

Una ACL es una lista de reglas que permiten o deniegan tráfico. Las estándar filtran solo por IP de origen; las extendidas filtran por origen, destino, protocolo y puerto. Se leen de arriba hacia abajo y al final hay un deny implícito.

Topología básica recomendada

Un router que filtra entre dos redes.

[ LAN 192.168.1.0/24 ]---[ R1 ]---[ Servidores 192.168.20.0/24 ]

Comandos de configuración

ACL estándar (R1)

R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group 10 out

ACL extendida con nombre (R1)

R1(config)# ip access-list extended FILTRO
R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 host 192.168.20.10 eq 80
R1(config-ext-nacl)# deny ip any host 192.168.20.10
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# exit
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group FILTRO in

Explicación básica de los comandos

ComandoQué hace
access-list 10 permit ...Regla estándar (solo origen)
ip access-list extended FILTROACL extendida con nombre
permit tcp ... eq 80Permite HTTP hacia un servidor
ip access-group 10 outAplica la ACL a la interfaz (in/out)

Regla práctica: las estándar se aplican cerca del destino; las extendidas, cerca del origen.

Comandos de verificación

show access-lists
show ip access-lists
show running-config | include access
show ip interface gigabitEthernet 0/0

Ejemplo básico de prueba

Probar tráfico permitido y denegado:

ping 192.168.20.10            ! según la ACL puede fallar
telnet 192.168.20.10 80       ! HTTP permitido

Resultado esperado

show access-lists muestra las reglas con contadores de coincidencias. El tráfico permitido pasa y el denegado se bloquea.

Extended IP access list FILTRO
  10 permit tcp 192.168.1.0 0.0.0.255 host 192.168.20.10 eq www (25 matches)
  20 deny ip any host 192.168.20.10 (3 matches)

Errores comunes

  • Olvidar el deny implícito al final (bloquea todo lo no permitido).
  • Aplicar la ACL en la dirección equivocada (in/out).
  • Orden incorrecto de las reglas (una regla general antes de una específica).
  • Wildcard mal calculada.
  • ACL no aplicada a ninguna interfaz.

Resumen rápido

access-list 10 permit <red> <wildcard>     ! estándar
ip access-list extended NOMBRE / permit|deny ... ! extendida
ip access-group <id> in|out                ! aplicar
show access-lists

5.4 Configurar y verificar seguridad de capa 2 (DHCP snooping, DAI y port security)

Objetivo del tema

Proteger la red de capa 2 contra ataques comunes usando port security, DHCP snooping y Dynamic ARP Inspection (DAI).

Concepto básico

  • Port security: limita cuántas y cuáles MAC pueden usar un puerto.
  • DHCP snooping: bloquea servidores DHCP falsos permitiendo respuestas solo por puertos trusted.
  • DAI: evita ataques de suplantación ARP validando contra la tabla de DHCP snooping.

Topología básica recomendada

Un switch con hosts y un enlace al router/servidor DHCP.

[ PC1 ]---Fa0/1 (untrusted)[ SW1 ] Gi0/1 (trusted)---[ R1 / DHCP ]

Comandos de configuración

Port security (SW1)

SW1(config)# interface fastEthernet 0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport port-security
SW1(config-if)# switchport port-security maximum 2
SW1(config-if)# switchport port-security violation restrict
SW1(config-if)# switchport port-security mac-address sticky

DHCP snooping (SW1)

SW1(config)# ip dhcp snooping
SW1(config)# ip dhcp snooping vlan 10
SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# ip dhcp snooping trust

Dynamic ARP Inspection (SW1)

SW1(config)# ip arp inspection vlan 10
SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# ip arp inspection trust

Explicación básica de los comandos

ComandoQué hace
switchport port-securityActiva seguridad de puerto
port-security maximum 2Máximo de MAC permitidas
violation restrictAcción ante violación (descartar y avisar)
mac-address stickyAprende y guarda la MAC automáticamente
ip dhcp snooping / trustActiva snooping y marca puertos confiables
ip arp inspection vlan 10 / trustValida ARP en la VLAN; confía en uplinks

Puertos hacia el servidor DHCP/router deben ser trust; los de usuarios, untrusted.

Comandos de verificación

show port-security
show port-security interface fastEthernet 0/1
show ip dhcp snooping
show ip dhcp snooping binding
show ip arp inspection

Ejemplo básico de prueba

Conectar un segundo dispositivo o un DHCP falso y comprobar que el switch reacciona:

show port-security interface fastEthernet 0/1

Resultado esperado

show port-security muestra el conteo de MAC y violaciones; los puertos no confiables bloquean DHCP/ARP malicioso.

Port Security        : Enabled
Maximum MAC Addresses: 2
Violation Mode       : Restrict
Security Violation Count : 0

Errores comunes

  • Marcar como trust un puerto de usuario (anula la protección).
  • Olvidar habilitar snooping por VLAN.
  • Port security con maximum muy bajo que apaga puertos legítimos.
  • DAI activo sin DHCP snooping (no tiene base para validar).

Resumen rápido

switchport port-security / maximum / violation / sticky
ip dhcp snooping / ip dhcp snooping vlan X / (uplink) trust
ip arp inspection vlan X / (uplink) trust
show port-security / show ip dhcp snooping binding

5.5 Configurar y verificar conceptos de autenticación, autorización y registro (AAA)

Objetivo del tema

Entender y configurar AAA para centralizar el control de acceso con servidores externos (RADIUS/TACACS+) y autenticación local de respaldo.

Concepto básico

AAA son tres funciones: Autenticación (quién eres), Autorización (qué puedes hacer) y Accounting (qué hiciste). Se usa un servidor central RADIUS (estándar, cifra solo la contraseña) o TACACS+ (Cisco, cifra todo y separa funciones). Conviene dejar local como respaldo.

Topología básica recomendada

Un dispositivo de red y un servidor AAA.

[ Admin ]---[ R1 / SW1 ]---[ Servidor AAA (RADIUS/TACACS+) 192.168.1.100 ]

Comandos de configuración

TACACS+ (Router R1)

R1(config)# aaa new-model
R1(config)# tacacs server SRV1
R1(config-server-tacacs)# address ipv4 192.168.1.100
R1(config-server-tacacs)# key Cisco123
R1(config-server-tacacs)# exit
R1(config)# aaa authentication login default group tacacs+ local
R1(config)# aaa authorization exec default group tacacs+ local
R1(config)# aaa accounting exec default start-stop group tacacs+

RADIUS (alternativa)

R1(config)# radius server SRV1
R1(config-radius-server)# address ipv4 192.168.1.100 auth-port 1812 acct-port 1813
R1(config-radius-server)# key Cisco123
R1(config)# aaa authentication login default group radius local

Explicación básica de los comandos

ComandoQué hace
aaa new-modelActiva AAA (requisito para todo lo demás)
tacacs server / radius serverDefine el servidor AAA y su llave
aaa authentication login default group tacacs+ localAutentica con el servidor; si no responde, usa local
aaa authorization execControla qué puede hacer el usuario
aaa accounting execRegistra las sesiones

Comandos de verificación

show running-config | include aaa
show tacacs
show radius server-group all
debug aaa authentication      ! solo para diagnóstico

Ejemplo básico de prueba

Iniciar sesión: el dispositivo debe autenticar contra el servidor; si el servidor cae, debe usar la cuenta local de respaldo.

show tacacs

Resultado esperado

La autenticación se valida contra el servidor AAA. Si no hay servidor, la palabra clave local permite entrar con usuarios del equipo.

Tacacs+ Server : 192.168.1.100/49
  Socket opens : 3   Socket closes: 3

Errores comunes

  • Olvidar aaa new-model.
  • No incluir local como respaldo y quedarse fuera si el servidor falla.
  • Llave (key) distinta entre el equipo y el servidor.
  • Confundir RADIUS (UDP 1812/1813) con TACACS+ (TCP 49).
  • No tener un usuario local creado para el respaldo.

Resumen rápido

aaa new-model
tacacs/radius server + key
aaa authentication login default group tacacs+ local   ! respaldo local
show tacacs  /  show running-config | include aaa

Cierre de la guía

Esta guía cubre los temas solicitados del examen CCNA 200-301 con un enfoque práctico: cada tema incluye objetivo, concepto, topología, comandos de configuración y verificación, prueba, resultado esperado, errores comunes y un resumen rápido. Todos los ejemplos son replicables en Packet Tracer, GNS3, EVE-NG o equipos Cisco reales.

¿Quieres ir más allá? Prepárate para la certificación con nuestro curso completo.

Ver curso CCNA en Udemy