Cisco CCNA 200-301 — Guía Práctica de Configuración y Verificación
Material educativo orientado a la práctica. Todos los ejemplos usan el alcance de Cisco CCNA 200-301 y son fáciles de replicar en Cisco Packet Tracer, GNS3, EVE-NG o equipos Cisco reales (IOS / IOS XE).
Direcciones de ejemplo usadas en la guía:
192.168.1.0/24,192.168.10.0/24,192.168.20.0/24(redes LAN)10.0.0.0/30(enlaces punto a punto entre routers)2001:db8::/64(ejemplos IPv6)
1. Network Fundamentals
1.1 Verificación de problemas de interfaz y cableado (colisiones, errores, duplex/speed mismatch)
Objetivo del tema
Aprender a usar comandos de verificación para detectar problemas físicos y de capa 2 en una interfaz: errores, colisiones, y desajustes de dúplex y velocidad entre dos equipos.
Concepto básico
Cuando dos dispositivos conectados no usan la misma velocidad y el mismo modo dúplex, la conexión funciona mal: hay lentitud, errores y colisiones tardías (late collisions). La causa más común es dejar un lado en auto y el otro fijo. No se configura nada nuevo aquí: se trata de leer contadores y detectar la falla.
Topología básica recomendada
Dos switches conectados por un cable, o un switch y un host.
[ SW1 ] Gi0/1 -------- Gi0/1 [ SW2 ]
Conectividad: un único enlace entre SW1 y SW2. El objetivo es revisar el estado del enlace, no enviar tráfico.
Comandos de configuración
Normalmente este tema es de verificación. Si se desea forzar velocidad/dúplex para reproducir o corregir el problema:
Switch SW1
SW1> enable
SW1# configure terminal
SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# speed 100
SW1(config-if)# duplex full
SW1(config-if)# end
Para volver a negociación automática (lo recomendado):
SW1(config-if)# speed auto
SW1(config-if)# duplex auto
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
speed 100 | Fija la velocidad de la interfaz en 100 Mbps |
duplex full | Fija el modo dúplex completo |
speed auto / duplex auto | Devuelve la interfaz a autonegociación (debe coincidir en ambos extremos) |
Comandos de verificación
show interfaces gigabitEthernet 0/1
show interfaces status
show interfaces gigabitEthernet 0/1 counters errors
show interfaces description
Ejemplo básico de prueba
Ejecuta show interfaces gigabitEthernet 0/1 y observa la línea de contadores. Busca:
runts,giants,CRC,input errorscollisions,late collisions- La línea
Full-duplex, 100Mb/s(debe ser igual en ambos extremos)
Resultado esperado
Una interfaz sana muestra line protocol is up, dúplex y velocidad iguales en ambos lados, y contadores de errores/colisiones en 0 o muy bajos.
GigabitEthernet0/1 is up, line protocol is up
Full-duplex, 100Mb/s
0 input errors, 0 CRC, 0 collisions, 0 late collisions
Errores comunes
- Duplex mismatch: un lado en
fully el otro enhalf(o auto que negocia half) → muchaslate collisionsy CRC. - Speed mismatch: velocidades distintas fijadas manualmente → el enlace puede quedar down.
- Interfaz administrativamente apagada (
shutdown) → aparece comoadministratively down. - Cable defectuoso o mal conectado →
line protocol is downy aumento deinput errors.
Resumen rápido
show interfaces ! duplex, velocidad, errores y colisiones
show interfaces status ! estado resumido de todos los puertos
show interfaces counters errors ! errores por interfaz
Recuerda: dúplex y velocidad deben coincidir en ambos extremos. Las late collisions casi siempre indican un duplex mismatch.
1.2 Configurar y verificar direccionamiento IPv4 y subnetting
Objetivo del tema
Asignar direcciones IPv4 correctas a routers y hosts, entender la máscara de subred y verificar la conectividad dentro de la misma red.
Concepto básico
Una dirección IPv4 (ej. 192.168.1.1) identifica al host, y la máscara (ej. 255.255.255.0 = /24) define qué parte es red y qué parte es host. Los dispositivos en la misma subred se comunican directamente; para salir de ella necesitan un gateway.
Topología básica recomendada
Un router y un switch con dos hosts.
[ PC1 ]---[ SW1 ]---[ R1 ] Gi0/0
192.168.1.10 192.168.1.1 (gateway)
[ PC2 ]
192.168.1.11
Conectividad: los hosts están en 192.168.1.0/24 y usan a R1 (192.168.1.1) como gateway.
Comandos de configuración
Router R1
R1> enable
R1# configure terminal
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# end
En los hosts (ejemplo de parámetros):
PC1: IP 192.168.1.10 /24 Gateway 192.168.1.1
PC2: IP 192.168.1.11 /24 Gateway 192.168.1.1
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ip address 192.168.1.1 255.255.255.0 | Asigna IP y máscara a la interfaz del router |
no shutdown | Enciende la interfaz (sin esto queda apagada) |
Recordatorio de subnetting: /24 = 255.255.255.0 (256 direcciones, 254 hosts). /30 = 255.255.255.252 (4 direcciones, 2 hosts útiles, ideal para enlaces entre routers).
Comandos de verificación
show ip interface brief
show running-config interface gigabitEthernet 0/0
show ip route connected
Ejemplo básico de prueba
Desde PC1 hacer ping a PC2 y al gateway:
ping 192.168.1.11
ping 192.168.1.1
Resultado esperado
show ip interface brief muestra la interfaz up/up con su IP. Los ping responden correctamente:
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 192.168.1.1 YES manual up up
Errores comunes
- Máscara incorrecta (ej.
/24en un host y/25en otro) → no se ven entre sí. - Olvidar
no shutdown→ interfazadministratively down. - Gateway mal configurado en el host → falla la salida a otras redes.
- IP duplicada en dos hosts → conflicto de direcciones.
Resumen rápido
ip address <ip> <mascara> ! asignar dirección
no shutdown ! encender la interfaz
show ip interface brief ! verificar IP y estado
1.3 Configurar y verificar direccionamiento IPv6 y prefijo
Objetivo del tema
Asignar direcciones IPv6 a interfaces de router, habilitar el enrutamiento IPv6 y verificar la conectividad usando direcciones link-local y globales.
Concepto básico
IPv6 usa direcciones de 128 bits escritas en hexadecimal (ej. 2001:db8::1/64). Cada interfaz tiene una link-local (empieza con fe80::) generada automáticamente y puede tener una global unicast. El prefijo típico de una LAN es /64.
Topología básica recomendada
Dos routers conectados directamente.
[ R1 ] Gi0/0 -------- Gi0/0 [ R2 ]
2001:db8::1/64 2001:db8::2/64
Comandos de configuración
Router R1
R1(config)# ipv6 unicast-routing
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ipv6 address 2001:db8::1/64
R1(config-if)# no shutdown
Router R2
R2(config)# ipv6 unicast-routing
R2(config)# interface gigabitEthernet 0/0
R2(config-if)# ipv6 address 2001:db8::2/64
R2(config-if)# no shutdown
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ipv6 unicast-routing | Habilita el reenvío de paquetes IPv6 en el router |
ipv6 address 2001:db8::1/64 | Asigna una dirección global con prefijo /64 |
| (link-local) | Se genera sola al activar IPv6; empieza con fe80:: |
Comandos de verificación
show ipv6 interface brief
show ipv6 interface gigabitEthernet 0/0
show ipv6 route
Ejemplo básico de prueba
Desde R1 hacer ping a la global de R2:
ping 2001:db8::2
Resultado esperado
show ipv6 interface brief muestra la link-local (fe80::...) y la global (2001:db8::1), ambas up/up, y el ping responde.
GigabitEthernet0/0 [up/up]
FE80::...
2001:DB8::1
Errores comunes
- Olvidar
ipv6 unicast-routing→ el router no reenvía IPv6 entre redes. - Prefijo incorrecto (usar
/64cuando ambos extremos deben coincidir). - Confundir link-local con global al hacer pruebas.
- Interfaz sin
no shutdown.
Resumen rápido
ipv6 unicast-routing ! activar enrutamiento IPv6
ipv6 address 2001:db8::1/64 ! dirección global
show ipv6 interface brief ! verificar direcciones y estado
1.4 Verificar parámetros IP en sistemas cliente (Windows, macOS, Linux)
Objetivo del tema
Conocer los comandos del sistema operativo del cliente para verificar IP, máscara, gateway y DNS, y diagnosticar conectividad sin entrar a equipos Cisco.
Concepto básico
Los problemas de red muchas veces están en el PC, no en el router. Cada sistema operativo tiene comandos para ver y diagnosticar su configuración IP. Aquí no se configura el router: se verifica el cliente.
Topología básica recomendada
Un host conectado a un switch y a un router (gateway).
[ PC ]---[ SW1 ]---[ R1 ] 192.168.1.1
192.168.1.10
Comandos de configuración
Este tema es de verificación y diagnóstico en el cliente, no de configuración en Cisco. Comandos por sistema operativo:
Windows
ipconfig
ipconfig /all
ping 192.168.1.1
tracert 8.8.8.8
nslookup www.google.com
ipconfig /release
ipconfig /renew
ipconfig /flushdns
macOS
ifconfig
ping 192.168.1.1
traceroute 8.8.8.8
networksetup -getinfo Wi-Fi
Linux
ip address
ip route
ping 192.168.1.1
traceroute 8.8.8.8
cat /etc/resolv.conf
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ipconfig /all (Win) | Muestra IP, máscara, gateway, DNS y MAC |
ip address (Linux) | Muestra las direcciones IP de las interfaces |
ip route (Linux) | Muestra el gateway por defecto |
ping | Verifica conectividad con otro equipo |
tracert/traceroute | Muestra el camino salto por salto |
nslookup | Verifica resolución de nombres (DNS) |
Ejemplo básico de prueba
Verificar gateway y luego salida a Internet:
ping 192.168.1.1 ! gateway local
ping 8.8.8.8 ! conectividad externa (sin DNS)
nslookup www.google.com ! verificar DNS
Resultado esperado
ipconfig /all muestra una IP válida en la subred, el gateway correcto y servidores DNS. El ping al gateway responde y nslookup resuelve nombres.
Errores comunes
- IP
169.254.x.x(APIPA) en Windows → el PC no recibió DHCP. - Gateway vacío o incorrecto → no hay salida a otras redes.
- DNS mal configurado → el ping a IP funciona pero los nombres no resuelven.
- Máscara distinta a la del gateway → host aislado.
Resumen rápido
ipconfig /all (Windows)
ip address / ip route (Linux)
ifconfig (macOS)
ping / nslookup ! conectividad y DNS
1.5 Configurar y verificar VRFs
Objetivo del tema
Separar la tabla de enrutamiento de un router en instancias independientes (VRF) para aislar el tráfico de distintos clientes o áreas usando las mismas interfaces físicas.
Concepto básico
Un VRF (Virtual Routing and Forwarding) crea "routers virtuales" dentro de un mismo router: cada VRF tiene su propia tabla de rutas. Dos interfaces en VRFs distintos no se comunican entre sí aunque estén en el mismo equipo. En CCNA se ve VRF-Lite (sin MPLS).
Topología básica recomendada
Un router con dos interfaces en VRFs distintos.
[ R1 ]
Gi0/0 (VRF AZUL) Gi0/1 (VRF ROJO)
192.168.10.1/24 192.168.20.1/24
Comandos de configuración
Router R1
R1(config)# vrf definition AZUL
R1(config-vrf)# address-family ipv4
R1(config-vrf-af)# exit
R1(config-vrf)# exit
R1(config)# vrf definition ROJO
R1(config-vrf)# address-family ipv4
R1(config-vrf-af)# exit
R1(config-vrf)# exit
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# vrf forwarding AZUL
R1(config-if)# ip address 192.168.10.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# vrf forwarding ROJO
R1(config-if)# ip address 192.168.20.1 255.255.255.0
R1(config-if)# no shutdown
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
vrf definition AZUL | Crea la instancia VRF llamada AZUL |
address-family ipv4 | Habilita IPv4 dentro del VRF |
vrf forwarding AZUL | Asocia la interfaz al VRF (debe ir antes de la IP) |
ip address ... | Asigna la IP dentro del contexto del VRF |
Comandos de verificación
show vrf
show ip route vrf AZUL
show ip interface brief
ping vrf AZUL 192.168.10.10
Ejemplo básico de prueba
Hacer ping dentro de un VRF específico:
ping vrf AZUL 192.168.10.10
ping vrf ROJO 192.168.20.10
Resultado esperado
show vrf lista AZUL y ROJO con sus interfaces. Cada show ip route vrf muestra solo las redes de ese VRF, y el ping funciona dentro del mismo VRF pero no entre VRFs distintos.
Name Default RD Interfaces
AZUL <not set> Gi0/0
ROJO <not set> Gi0/1
Errores comunes
- Asignar la IP antes de
vrf forwarding→ el IOS borra la IP al asociar el VRF. - Olvidar
address-family ipv4. - Hacer ping sin la palabra
vrf NOMBRE→ usa la tabla global y falla. - Esperar comunicación entre VRFs sin enrutamiento adicional.
Resumen rápido
vrf definition NOMBRE / address-family ipv4
vrf forwarding NOMBRE ! en la interfaz, antes de la IP
show vrf
ping vrf NOMBRE <ip>
1.6 Verificar la dirección MAC
Objetivo del tema
Identificar la dirección MAC de las interfaces y consultar la tabla de direcciones MAC de un switch para entender el aprendizaje de capa 2.
Concepto básico
La dirección MAC es un identificador físico de 48 bits (ej. 0050.7966.6800) grabado en cada interfaz. El switch aprende qué MAC está en cada puerto y lo guarda en su tabla MAC, que usa para reenviar tramas solo al puerto correcto.
Topología básica recomendada
Un switch con dos hosts.
[ PC1 ]---Fa0/1---[ SW1 ]---Fa0/2---[ PC2 ]
Comandos de configuración
Tema principalmente de verificación. Opcionalmente, agregar una entrada MAC estática:
Switch SW1
SW1(config)# mac address-table static 0050.7966.6800 vlan 1 interface fastEthernet 0/1
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
show mac address-table | Muestra las MAC aprendidas y su puerto/VLAN |
mac address-table static ... | Fija manualmente una MAC a un puerto (opcional) |
| `show interfaces ... | include address` |
Comandos de verificación
show mac address-table
show mac address-table dynamic
show interfaces fastEthernet 0/1
show interfaces gigabitEthernet 0/0 | include bia
En el host:
ipconfig /all (Windows)
ifconfig (macOS / Linux)
ip link (Linux)
Ejemplo básico de prueba
Generar tráfico (un ping entre PC1 y PC2) y luego revisar la tabla:
show mac address-table
Resultado esperado
La tabla muestra las MAC de PC1 y PC2 asociadas a sus puertos y VLAN, como entradas DYNAMIC:
Vlan Mac Address Type Ports
1 0050.7966.6800 DYNAMIC Fa0/1
1 0050.7966.6801 DYNAMIC Fa0/2
Errores comunes
- Esperar ver una MAC sin que haya pasado tráfico (la tabla aprende al recibir tramas).
- Confundir MAC con IP.
- Buscar la MAC en la VLAN equivocada.
- Una MAC apareciendo en dos puertos (puede indicar bucle de capa 2).
Resumen rápido
show mac address-table ! MAC aprendidas por el switch
show interfaces <int> ! MAC (bia) de la interfaz
ipconfig /all | ifconfig ! MAC en el host
2. Network Access
2.1 Configurar y verificar VLANs (rango normal) en varios switches
Objetivo del tema
Crear VLANs, asignar puertos de acceso (datos y voz), entender la VLAN por defecto y lograr conectividad entre VLANs (InterVLAN).
Concepto básico
Una VLAN divide un switch en redes lógicas separadas. Los puertos de la misma VLAN se comunican entre sí; para comunicar VLANs distintas se necesita un router o switch de capa 3 (InterVLAN routing). La VLAN 1 es la VLAN por defecto y trae todos los puertos de fábrica.
Topología básica recomendada
Dos switches y un router (router-on-a-stick) para InterVLAN.
[ PC1 VLAN10 ]---[ SW1 ]===trunk===[ SW2 ]---[ PC2 VLAN20 ]
|
trunk
|
[ R1 ] Gi0/0.10 y Gi0/0.20
Conectividad: VLAN 10 (192.168.10.0/24) y VLAN 20 (192.168.20.0/24); R1 enruta entre ambas.
Comandos de configuración
Switch SW1 (y similar en SW2)
SW1(config)# vlan 10
SW1(config-vlan)# name DATOS
SW1(config-vlan)# vlan 20
SW1(config-vlan)# name VENTAS
SW1(config-vlan)# exit
SW1(config)# interface fastEthernet 0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10
SW1(config-if)# exit
Puerto de acceso con datos + voz
SW1(config)# interface fastEthernet 0/2
SW1(config-if)# switchport mode access
SW1(config-if)# switchport access vlan 10
SW1(config-if)# switchport voice vlan 150
Router R1 (InterVLAN - router-on-a-stick)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# no shutdown
R1(config-if)# interface gigabitEthernet 0/0.10
R1(config-subif)# encapsulation dot1Q 10
R1(config-subif)# ip address 192.168.10.1 255.255.255.0
R1(config-subif)# interface gigabitEthernet 0/0.20
R1(config-subif)# encapsulation dot1Q 20
R1(config-subif)# ip address 192.168.20.1 255.255.255.0
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
vlan 10 / name DATOS | Crea la VLAN 10 y le pone nombre |
switchport mode access | Define el puerto como de acceso (un solo usuario/VLAN) |
switchport access vlan 10 | Coloca el puerto en la VLAN 10 |
switchport voice vlan 150 | Permite teléfono IP (voz) en VLAN aparte sobre el mismo puerto |
encapsulation dot1Q 10 | Asocia la subinterfaz del router a la VLAN 10 |
Comandos de verificación
show vlan brief
show interfaces fastEthernet 0/1 switchport
show ip interface brief
show ip route
Ejemplo básico de prueba
Ping entre hosts de la misma VLAN y luego entre VLANs distintas:
PC1 (VLAN10) ping 192.168.10.11 ! misma VLAN
PC1 (VLAN10) ping 192.168.20.10 ! otra VLAN (vía R1)
Resultado esperado
show vlan brief muestra las VLANs 10 y 20 con sus puertos asignados. El ping en la misma VLAN funciona; el ping entre VLANs funciona solo si el router-on-a-stick está bien configurado.
VLAN Name Status Ports
10 DATOS active Fa0/1
20 VENTAS active Fa0/3
Errores comunes
- VLAN no creada en uno de los switches.
- Puerto en la VLAN incorrecta.
- Olvidar
encapsulation dot1Qo usar la VLAN equivocada en la subinterfaz. - Gateway del host distinto a la IP de la subinterfaz del router.
- Olvidar
no shutdownen la interfaz física del router.
Resumen rápido
vlan 10 / name DATOS
switchport mode access / switchport access vlan 10
encapsulation dot1Q 10 ! en subinterfaz del router
show vlan brief
2.2 Configurar y verificar conectividad entre switches (trunk, 802.1Q, native VLAN)
Objetivo del tema
Configurar enlaces troncales (trunk) entre switches para transportar varias VLANs por un solo cable usando el estándar 802.1Q, y entender la native VLAN.
Concepto básico
Un trunk transporta tráfico de múltiples VLANs por un mismo enlace, etiquetando cada trama con su VLAN (802.1Q). La native VLAN (por defecto la 1) es la única que viaja sin etiqueta; debe coincidir en ambos extremos.
Topología básica recomendada
Dos switches conectados por un trunk.
[ SW1 ] Gi0/1 ===== trunk 802.1Q ===== Gi0/1 [ SW2 ]
(VLAN 10, 20)
Comandos de configuración
Switch SW1 (igual en SW2)
SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# switchport mode trunk
SW1(config-if)# switchport trunk native vlan 99
SW1(config-if)# switchport trunk allowed vlan 10,20,99
SW1(config-if)# end
En switches que soportan varias encapsulaciones, primero se usa
switchport trunk encapsulation dot1q.
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
switchport mode trunk | Convierte el puerto en troncal |
switchport trunk native vlan 99 | Cambia la VLAN nativa (debe coincidir en ambos lados) |
switchport trunk allowed vlan 10,20,99 | Limita qué VLANs pasan por el trunk |
switchport trunk encapsulation dot1q | Define 802.1Q (solo en switches que lo requieren) |
Comandos de verificación
show interfaces trunk
show interfaces gigabitEthernet 0/1 switchport
show vlan brief
Ejemplo básico de prueba
Verificar que el trunk está activo y que pasan las VLANs deseadas:
show interfaces trunk
Luego, ping entre hosts de la misma VLAN ubicados en switches distintos.
Resultado esperado
show interfaces trunk muestra el puerto en modo trunk, la native VLAN y las VLANs permitidas/activas:
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 99
Port Vlans allowed on trunk
Gi0/1 10,20,99
Errores comunes
- Native VLAN mismatch entre los dos switches (genera advertencias de CDP y problemas).
- Olvidar permitir una VLAN en
allowed vlan. - Un extremo en
accessy el otro entrunk(modo mismatch). - Encapsulación 802.1Q no definida en switches que la requieren.
Resumen rápido
switchport mode trunk
switchport trunk native vlan 99 ! igual en ambos extremos
switchport trunk allowed vlan 10,20,99
show interfaces trunk
2.3 Configurar y verificar protocolos de descubrimiento de capa 2 (CDP y LLDP)
Objetivo del tema
Usar CDP (Cisco) y LLDP (estándar) para descubrir dispositivos vecinos directamente conectados y su información (puerto, plataforma, IP).
Concepto básico
CDP es propietario de Cisco y viene activado por defecto. LLDP es el estándar abierto (sirve con equipos de otras marcas) y suele estar desactivado. Ambos permiten saber qué dispositivo está conectado a cada puerto sin revisar el cableado físico.
Topología básica recomendada
Un router y un switch conectados.
[ R1 ] Gi0/0 -------- Gi0/1 [ SW1 ]
Comandos de configuración
CDP (Router R1 / Switch SW1)
R1(config)# cdp run ! global (activado por defecto)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# cdp enable
LLDP (Router R1 / Switch SW1)
R1(config)# lldp run ! global (desactivado por defecto)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# lldp transmit
R1(config-if)# lldp receive
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
cdp run / no cdp run | Activa/desactiva CDP en todo el equipo |
cdp enable | Activa CDP en una interfaz específica |
lldp run | Activa LLDP globalmente |
lldp transmit / lldp receive | Envía / recibe anuncios LLDP en la interfaz |
Comandos de verificación
show cdp neighbors
show cdp neighbors detail
show lldp neighbors
show lldp neighbors detail
Ejemplo básico de prueba
Desde el switch, ver qué hay conectado:
show cdp neighbors
show lldp neighbors
Resultado esperado
Se listan los vecinos con su nombre, puerto local/remoto y plataforma:
Device ID Local Intrfce Holdtme Capability Platform Port ID
R1 Gig 0/1 150 R ... Gig 0/0
Errores comunes
- Esperar ver vecinos con LLDP sin haberlo activado (
lldp run). - CDP/LLDP desactivado en la interfaz.
- No esperar el tiempo de anuncio (los vecinos tardan en aparecer).
- Pensar que muestran dispositivos no conectados directamente (solo vecinos directos).
Resumen rápido
cdp run / cdp enable ! CDP (Cisco)
lldp run / lldp transmit/receive ! LLDP (estándar)
show cdp neighbors / show lldp neighbors
2.4 Configurar y verificar EtherChannel (capa 2 / capa 3) con LACP
Objetivo del tema
Agrupar varios enlaces físicos en un solo enlace lógico (EtherChannel) para aumentar ancho de banda y redundancia, usando el protocolo LACP.
Concepto básico
EtherChannel combina 2 a 8 enlaces en un canal lógico (Port-channel). LACP (estándar, 802.3ad) negocia el canal con los modos active y passive. Todos los puertos miembros deben tener la misma configuración (velocidad, dúplex, modo y VLANs).
Topología básica recomendada
Dos switches unidos por dos enlaces agrupados.
[ SW1 ] Gi0/1 ====\
==== Port-channel 1 ==== [ SW2 ]
Gi0/2 ====/
Comandos de configuración
Switch SW1 (igual en SW2)
SW1(config)# interface range gigabitEthernet 0/1 - 2
SW1(config-if-range)# channel-group 1 mode active
SW1(config-if-range)# exit
SW1(config)# interface port-channel 1
SW1(config-if)# switchport mode trunk
EtherChannel de capa 3 (opcional)
SW1(config)# interface port-channel 1
SW1(config-if)# no switchport
SW1(config-if)# ip address 10.0.0.1 255.255.255.252
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
channel-group 1 mode active | Agrupa los puertos en el canal 1 usando LACP (active) |
interface port-channel 1 | Configura el enlace lógico resultante |
no switchport | Convierte el Port-channel en capa 3 (enrutado) |
LACP:
activenegocia activamente;passivesolo responde. Al menos un lado debe estar enactive.
Comandos de verificación
show etherchannel summary
show etherchannel port-channel
show interfaces port-channel 1
show running-config interface port-channel 1
Ejemplo básico de prueba
Revisar el estado del canal:
show etherchannel summary
Resultado esperado
El canal aparece como Po1 en estado SU (capa 2, en uso) con sus puertos en P (bundled):
Group Port-channel Protocol Ports
1 Po1(SU) LACP Gi0/1(P) Gi0/2(P)
Errores comunes
- Configuración distinta entre puertos miembros (dúplex, velocidad, VLAN) → el canal no se forma.
- Ambos lados en
passive→ nunca negocia. - Mezclar modos LACP (
active/passive) con PAgP oon→ incompatibles. - Trunk/allowed VLAN distinto entre miembros.
Resumen rápido
channel-group 1 mode active ! LACP
interface port-channel 1
show etherchannel summary ! buscar Po1(SU) y puertos (P)
2.5 Configurar Rapid PVST+ (Spanning Tree Protocol)
Objetivo del tema
Evitar bucles de capa 2 con Rapid PVST+, y entender la elección del switch raíz (root bridge) y los roles de puertos.
Concepto básico
STP evita bucles bloqueando enlaces redundantes. Rapid PVST+ es la versión rápida de Cisco con una instancia por VLAN. El switch con menor prioridad (bridge ID) se convierte en root bridge. Conviene fijar manualmente el root en el switch central.
Topología básica recomendada
Dos switches con enlaces redundantes.
[ SW1 ] ==== enlace 1 ==== [ SW2 ]
==== enlace 2 ====
Comandos de configuración
Switch SW1 (deseado como root)
SW1(config)# spanning-tree mode rapid-pvst
SW1(config)# spanning-tree vlan 10 root primary
SW1(config)# spanning-tree vlan 10 priority 4096
Puertos de acceso a hosts (PortFast + BPDU Guard)
SW1(config)# interface fastEthernet 0/1
SW1(config-if)# spanning-tree portfast
SW1(config-if)# spanning-tree bpduguard enable
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
spanning-tree mode rapid-pvst | Activa Rapid PVST+ |
spanning-tree vlan 10 root primary | Hace a este switch root de la VLAN 10 |
spanning-tree vlan 10 priority 4096 | Fija la prioridad (menor = más probable root) |
spanning-tree portfast | Puerto pasa de inmediato a forwarding (solo puertos de host) |
spanning-tree bpduguard enable | Apaga el puerto si recibe BPDU (protección) |
Comandos de verificación
show spanning-tree
show spanning-tree vlan 10
show spanning-tree root
show spanning-tree summary
Ejemplo básico de prueba
Verificar quién es el root y los roles/estados de puertos:
show spanning-tree vlan 10
Resultado esperado
En el root, show spanning-tree vlan 10 indica This bridge is the root. Los puertos muestran roles (Root/Designated/Altn) y estado FWD o BLK.
VLAN0010
Root ID Priority 4106
This bridge is the root
Errores comunes
- Olvidar
spanning-tree mode rapid-pvst(queda en PVST clásico). - No fijar el root → un switch viejo o inesperado se vuelve root.
- Poner
portfasten un enlace entre switches (puede causar bucles). - Prioridad que no es múltiplo de 4096.
Resumen rápido
spanning-tree mode rapid-pvst
spanning-tree vlan 10 root primary
spanning-tree portfast / bpduguard enable ! solo puertos de host
show spanning-tree vlan 10
2.6 Configurar y verificar el acceso de gestión a dispositivos (Telnet, SSH, HTTP/HTTPS, consola, TACACS+/RADIUS)
Objetivo del tema
Habilitar y asegurar el acceso administrativo a un dispositivo Cisco por consola, Telnet y SSH, y conocer HTTP/HTTPS y AAA externa (TACACS+/RADIUS).
Concepto básico
Un equipo se administra por consola (cable físico) o de forma remota por Telnet (sin cifrar, inseguro) o SSH (cifrado, recomendado). Las líneas VTY controlan el acceso remoto. Para autenticación centralizada se usan servidores TACACS+ o RADIUS.
Topología básica recomendada
Un switch o router con un host administrador.
[ Admin PC ]---[ SW1 / R1 ] (acceso por SSH a la IP de gestión)
Comandos de configuración
Router R1 / Switch SW1 (SSH)
R1(config)# hostname R1
R1(config)# ip domain name ejemplo.local
R1(config)# username admin privilege 15 secret Cisco123
R1(config)# crypto key generate rsa modulus 1024
R1(config)# ip ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exit
R1(config)# enable secret Clave123
Consola y HTTPS
R1(config)# line console 0
R1(config-line)# password ConsolaPass
R1(config-line)# login
R1(config-line)# exit
R1(config)# ip http secure-server ! HTTPS
R1(config)# no ip http server ! desactivar HTTP inseguro
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ip domain name + crypto key generate rsa | Requisitos para generar las llaves SSH |
ip ssh version 2 | Usa la versión segura de SSH |
line vty 0 4 / transport input ssh | Permite acceso remoto solo por SSH |
login local | Autentica con usuarios locales |
enable secret | Protege el modo privilegiado (cifrado) |
ip http secure-server | Habilita administración web por HTTPS |
Comandos de verificación
show ip ssh
show ssh
show running-config | section line vty
show users
show ip http server status
Ejemplo básico de prueba
Desde la PC del admin, conectarse por SSH:
ssh -l admin 192.168.1.1
Resultado esperado
show ip ssh muestra SSH habilitado versión 2.0; la conexión SSH pide usuario/contraseña y entra al equipo. Telnet debe quedar rechazado.
SSH Enabled - version 2.0
Errores comunes
- Generar llaves RSA sin definir
hostnameyip domain nameprimero. - Dejar
transport input telnetoallcuando se quiere solo SSH. - Olvidar
login localo no crear el usuario. - No configurar
enable secret(no se puede entrar a modo privilegiado).
Resumen rápido
ip domain name X / crypto key generate rsa / ip ssh version 2
line vty 0 4 / transport input ssh / login local
username admin secret X / enable secret X
show ip ssh
2.7 Configurar y verificar VTP
Objetivo del tema
Usar VTP para sincronizar la base de datos de VLANs entre varios switches desde un servidor central, reduciendo la configuración manual.
Concepto básico
VTP (VLAN Trunking Protocol) distribuye las VLANs creadas en un switch servidor hacia los clientes del mismo dominio, a través de enlaces trunk. El modo transparent no participa (solo reenvía). El número de revisión más alto gana, lo que puede ser peligroso.
Topología básica recomendada
Dos switches unidos por un trunk.
[ SW1 servidor VTP ] ==== trunk ==== [ SW2 cliente VTP ]
Comandos de configuración
Switch SW1 (servidor)
SW1(config)# vtp domain CCNA
SW1(config)# vtp mode server
SW1(config)# vtp password Cisco123
SW1(config)# vtp version 2
SW1(config)# vlan 10
SW1(config-vlan)# name DATOS
Switch SW2 (cliente)
SW2(config)# vtp domain CCNA
SW2(config)# vtp mode client
SW2(config)# vtp password Cisco123
El enlace entre ambos debe ser trunk para que VTP funcione.
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
vtp domain CCNA | Define el dominio VTP (debe coincidir) |
vtp mode server | El switch puede crear/modificar VLANs y propagarlas |
vtp mode client | Recibe VLANs pero no las puede crear localmente |
vtp mode transparent | No participa; mantiene sus VLANs locales |
vtp password | Protege el dominio (igual en todos) |
Comandos de verificación
show vtp status
show vtp password
show vlan brief
Ejemplo básico de prueba
Crear la VLAN 10 solo en SW1 y comprobar que aparece en SW2:
SW2# show vlan brief
Resultado esperado
show vtp status muestra el dominio, el modo y el número de revisión. La VLAN creada en SW1 aparece automáticamente en SW2.
VTP Operating Mode : Server
VTP Domain Name : CCNA
Configuration Revision : 3
Errores comunes
- Nombre de dominio distinto entre switches.
- El enlace no es trunk → VTP no se propaga.
- Contraseña VTP diferente.
- Conectar un switch con número de revisión alto en modo server/client → borra VLANs de la red (peligro clásico de VTP).
Resumen rápido
vtp domain CCNA / vtp mode server|client / vtp password X
(el enlace debe ser trunk)
show vtp status
3. IP Connectivity
3.1 Interpretar los componentes de la tabla de enrutamiento
Objetivo del tema
Leer e interpretar la salida de show ip route: código de protocolo, prefijo, máscara, next hop, distancia administrativa, métrica y gateway de último recurso.
Concepto básico
La tabla de enrutamiento indica cómo el router alcanza cada red. Cada línea tiene un código (cómo se aprendió la ruta), la red/máscara, el next hop (a quién enviar) y dos números entre corchetes [AD/métrica]: la distancia administrativa (confiabilidad del protocolo) y la métrica (costo dentro del protocolo).
Topología básica recomendada
Dos routers conectados, cada uno con su LAN.
[ LAN1 ]---[ R1 ]---10.0.0.0/30---[ R2 ]---[ LAN2 ]
Comandos de configuración
Tema de interpretación, no de configuración. Se analiza la salida de los comandos de verificación.
Explicación básica de los componentes
Ejemplo de línea:
O 192.168.20.0/24 [110/2] via 10.0.0.2, 00:05:13, GigabitEthernet0/0
| Componente | En el ejemplo | Significado |
|---|---|---|
| Código de protocolo | O | Cómo se aprendió (C=conectada, S=estática, O=OSPF, D=EIGRP, R=RIP) |
| Prefijo (red) | 192.168.20.0 | Red de destino |
| Máscara | /24 | Longitud de prefijo |
| Distancia administrativa | 110 | Confiabilidad del origen (menor = mejor) |
| Métrica | 2 | Costo dentro del protocolo |
| Next hop | via 10.0.0.2 | Siguiente router hacia el destino |
| Interfaz de salida | GigabitEthernet0/0 | Por dónde sale el paquete |
| Gateway of last resort | 0.0.0.0/0 | Ruta por defecto si nada más coincide |
Distancias administrativas típicas: Conectada 0, Estática 1, EIGRP 90, OSPF 110, RIP 120.
Comandos de verificación
show ip route
show ip route 192.168.20.0
show ip route ospf
show ip route static
show ipv6 route
Ejemplo básico de prueba
Mostrar la tabla y localizar el gateway de último recurso:
show ip route
Resultado esperado
Se ve la lista de redes con sus códigos y la línea Gateway of last resort si hay ruta por defecto:
Gateway of last resort is 10.0.0.2 to network 0.0.0.0
C 10.0.0.0/30 is directly connected, GigabitEthernet0/0
O 192.168.20.0/24 [110/2] via 10.0.0.2, GigabitEthernet0/0
Errores comunes
- Confundir distancia administrativa con métrica.
- No encontrar una red porque no hay ruta (ni estática ni dinámica).
- Ignorar el "gateway of last resort" al diagnosticar salida a Internet.
- Confundir ruta conectada (
C) con local (L, la IP exacta del router).
Resumen rápido
show ip route ! [AD/métrica] via next-hop
Códigos: C, L, S, O, D, R
Gateway of last resort = ruta por defecto
3.2 Configurar y verificar enrutamiento estático IPv4 e IPv6
Objetivo del tema
Crear rutas estáticas (por defecto, de red, de host y flotantes) en IPv4 e IPv6 para alcanzar redes remotas sin protocolos dinámicos.
Concepto básico
Una ruta estática se configura a mano indicando la red destino y el next hop. La ruta por defecto (0.0.0.0/0) se usa cuando ninguna otra coincide. Una ruta flotante tiene una distancia administrativa mayor para servir solo de respaldo.
Topología básica recomendada
Dos routers en serie.
[ R1 ]---10.0.0.0/30---[ R2 ]---192.168.20.0/24
Comandos de configuración
Router R1
R1(config)# ip route 192.168.20.0 255.255.255.0 10.0.0.2 ! ruta de red
R1(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.2 ! ruta por defecto
R1(config)# ip route 192.168.20.10 255.255.255.255 10.0.0.2 ! ruta de host
R1(config)# ip route 192.168.20.0 255.255.255.0 10.0.0.6 130 ! ruta flotante (AD 130)
IPv6 (Router R1)
R1(config)# ipv6 unicast-routing
R1(config)# ipv6 route 2001:db8:20::/64 2001:db8::2
R1(config)# ipv6 route ::/0 2001:db8::2 ! por defecto IPv6
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ip route <red> <máscara> <next-hop> | Ruta estática de red |
ip route 0.0.0.0 0.0.0.0 <next-hop> | Ruta por defecto (todo el tráfico desconocido) |
ip route <host> 255.255.255.255 ... | Ruta a un solo host (/32) |
ip route ... 130 | Ruta flotante: AD mayor, solo respaldo |
ipv6 route ::/0 <next-hop> | Ruta por defecto IPv6 |
Comandos de verificación
show ip route static
show ip route
show ipv6 route static
ping 192.168.20.10
Ejemplo básico de prueba
Desde R1, hacer ping a la LAN remota:
ping 192.168.20.10
Resultado esperado
show ip route muestra las rutas con código S (y S* la por defecto). El ping a la red remota responde.
S* 0.0.0.0/0 [1/0] via 10.0.0.2
S 192.168.20.0/24 [1/0] via 10.0.0.2
Errores comunes
- Next hop incorrecto o inalcanzable.
- Máscara equivocada (red en vez de host o viceversa).
- Falta la ruta de regreso en el otro router (el ping va pero no vuelve).
- Olvidar
ipv6 unicast-routingpara IPv6. - AD de la flotante igual o menor que la principal (no actúa como respaldo).
Resumen rápido
ip route <red> <máscara> <next-hop>
ip route 0.0.0.0 0.0.0.0 <next-hop> ! por defecto
ip route ... 130 ! flotante (respaldo)
show ip route static
3.3 Configurar y verificar OSPFv2 de área única
Objetivo del tema
Configurar OSPF en una sola área, formar adyacencias de vecinos, fijar el Router ID y entender las redes punto a punto y broadcast (elección DR/BDR).
Concepto básico
OSPF es un protocolo de estado de enlace que calcula la mejor ruta por costo (basado en ancho de banda). Los routers forman adyacencias con vecinos. En redes broadcast (Ethernet) se elige un DR/BDR; en enlaces punto a punto no. El Router ID identifica a cada router.
Topología básica recomendada
Dos routers conectados, cada uno con su LAN, todo en área 0.
[ LAN1 192.168.10.0/24 ]---[ R1 ]---10.0.0.0/30---[ R2 ]---[ LAN2 192.168.20.0/24 ]
Comandos de configuración
Router R1
R1(config)# router ospf 1
R1(config-router)# router-id 1.1.1.1
R1(config-router)# network 192.168.10.0 0.0.0.255 area 0
R1(config-router)# network 10.0.0.0 0.0.0.3 area 0
R1(config-router)# exit
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip ospf network point-to-point ! opcional en enlace /30
Router R2
R2(config)# router ospf 1
R2(config-router)# router-id 2.2.2.2
R2(config-router)# network 192.168.20.0 0.0.0.255 area 0
R2(config-router)# network 10.0.0.0 0.0.0.3 area 0
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
router ospf 1 | Inicia OSPF con ID de proceso 1 (local) |
router-id 1.1.1.1 | Fija el identificador del router |
network 192.168.10.0 0.0.0.255 area 0 | Anuncia esa red en el área 0 (usa wildcard) |
ip ospf network point-to-point | Evita elección DR/BDR en enlaces punto a punto |
La wildcard es la inversa de la máscara:
/24→0.0.0.255,/30→0.0.0.3.
Comandos de verificación
show ip ospf neighbor
show ip route ospf
show ip ospf interface brief
show ip protocols
Ejemplo básico de prueba
Verificar vecinos y luego conectividad entre LANs:
show ip ospf neighbor
ping 192.168.20.10
Resultado esperado
show ip ospf neighbor muestra el vecino en estado FULL. Las rutas OSPF (O) aparecen en la tabla y el ping entre LANs funciona.
Neighbor ID Pri State Address Interface
2.2.2.2 1 FULL/ - 10.0.0.2 GigabitEthernet0/1
Errores comunes
- Wildcard mal calculada en
network. - Áreas distintas en cada extremo (deben coincidir).
- Vecinos atascados en
EXSTART/EXCHANGEpor MTU mismatch. - Router ID duplicado.
- Distintos
hello/dead timerso máscaras → no forman vecindad.
Resumen rápido
router ospf 1 / router-id X.X.X.X
network <red> <wildcard> area 0
show ip ospf neighbor ! debe verse FULL
3.4 Configurar y verificar EIGRP
Objetivo del tema
Configurar EIGRP para IPv4, formar vecinos y aprender rutas automáticamente entre routers Cisco.
Concepto básico
EIGRP es un protocolo avanzado de Cisco que usa DUAL para calcular rutas rápidamente. Su métrica se basa en ancho de banda y retardo. Los routers en el mismo sistema autónomo (AS) forman vecinos e intercambian rutas. Tiene distancia administrativa 90.
Topología básica recomendada
Dos routers con sus LANs.
[ LAN1 192.168.10.0/24 ]---[ R1 ]---10.0.0.0/30---[ R2 ]---[ LAN2 192.168.20.0/24 ]
Comandos de configuración
Router R1
R1(config)# router eigrp 100
R1(config-router)# no auto-summary
R1(config-router)# network 192.168.10.0 0.0.0.255
R1(config-router)# network 10.0.0.0 0.0.0.3
Router R2
R2(config)# router eigrp 100
R2(config-router)# no auto-summary
R2(config-router)# network 192.168.20.0 0.0.0.255
R2(config-router)# network 10.0.0.0 0.0.0.3
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
router eigrp 100 | Inicia EIGRP en el AS 100 (debe coincidir en todos) |
network 192.168.10.0 0.0.0.255 | Anuncia la red y activa EIGRP en sus interfaces |
no auto-summary | Evita el resumen automático en límites de clase |
Comandos de verificación
show ip eigrp neighbors
show ip route eigrp
show ip protocols
show ip eigrp topology
Ejemplo básico de prueba
Verificar vecinos y conectividad:
show ip eigrp neighbors
ping 192.168.20.10
Resultado esperado
show ip eigrp neighbors lista al vecino. Las rutas EIGRP aparecen con código D y AD 90, y el ping entre LANs responde.
H Address Interface Hold Uptime SRTT
0 10.0.0.2 Gi0/1 12 00:03:45 10
D 192.168.20.0/24 [90/3072] via 10.0.0.2, GigabitEthernet0/1
Errores comunes
- Número de AS distinto entre routers → no forman vecindad.
- Wildcard mal escrita en
network. - Olvidar anunciar el enlace entre routers.
- Resumen automático activado causando rutas inesperadas (usar
no auto-summary).
Resumen rápido
router eigrp 100 (mismo AS) / no auto-summary
network <red> <wildcard>
show ip eigrp neighbors / show ip route eigrp
3.5 Configurar y verificar protocolos de redundancia de primer salto (HSRP)
Objetivo del tema
Proporcionar un gateway redundante con HSRP, de modo que si el router activo falla, otro toma su lugar usando una IP virtual compartida.
Concepto básico
HSRP (protocolo de Cisco) permite que dos routers compartan una IP virtual que los hosts usan como gateway. Uno es Active (reenvía) y otro Standby (respaldo). El de mayor prioridad es Active; con preempt recupera el rol al volver.
Topología básica recomendada
Dos routers como gateways redundantes de una misma LAN.
[ R1 ] Gi0/0 192.168.1.2 \
>-- IP virtual 192.168.1.1 -- [ Hosts ]
[ R2 ] Gi0/0 192.168.1.3 /
Comandos de configuración
Router R1 (activo)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip address 192.168.1.2 255.255.255.0
R1(config-if)# standby 1 ip 192.168.1.1
R1(config-if)# standby 1 priority 110
R1(config-if)# standby 1 preempt
Router R2 (standby)
R2(config)# interface gigabitEthernet 0/0
R2(config-if)# ip address 192.168.1.3 255.255.255.0
R2(config-if)# standby 1 ip 192.168.1.1
R2(config-if)# standby 1 priority 100
R2(config-if)# standby 1 preempt
Los hosts usan
192.168.1.1(la IP virtual) como gateway.
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
standby 1 ip 192.168.1.1 | Define la IP virtual del grupo HSRP 1 |
standby 1 priority 110 | Prioridad (mayor = router activo) |
standby 1 preempt | Permite recuperar el rol activo al volver |
Comandos de verificación
show standby
show standby brief
show ip interface brief
Ejemplo básico de prueba
Verificar roles y luego simular falla (apagar la interfaz de R1) y comprobar que R2 pasa a Active:
show standby brief
Resultado esperado
show standby brief muestra R1 como Active y R2 como Standby, con la misma IP virtual. Al fallar R1, R2 pasa a Active y el gateway sigue respondiendo.
Interface Grp Pri State Active Standby Virtual IP
Gi0/0 1 110 Active local 192.168.1.3 192.168.1.1
Errores comunes
- Número de grupo HSRP distinto en cada router.
- IP virtual diferente entre los routers.
- Olvidar
preempt(el router preferido no recupera el rol activo). - IP virtual igual a una IP real de interfaz.
- Hosts apuntando a la IP real en vez de la virtual.
Resumen rápido
standby 1 ip 192.168.1.1
standby 1 priority 110 / standby 1 preempt
show standby brief ! ver Active / Standby
4. IP Services
4.1 Configurar y verificar NAT de origen interno (estática y con pools)
Objetivo del tema
Traducir direcciones IP privadas a una o varias direcciones públicas usando NAT estático y NAT dinámico con pool (incluyendo PAT/overload).
Concepto básico
NAT permite que hosts con IP privada salgan a Internet usando IP pública. NAT estático: una privada ↔ una pública fija. NAT con pool: varias privadas usan un rango de públicas. PAT (overload): muchas privadas comparten una pública usando puertos.
Topología básica recomendada
Un router de borde entre la LAN privada e Internet.
[ LAN 192.168.1.0/24 ]---Gi0/0 (inside)[ R1 ]Gi0/1 (outside)---[ Internet ]
Comandos de configuración
Definir interfaces inside/outside (R1)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip nat inside
R1(config-if)# interface gigabitEthernet 0/1
R1(config-if)# ip nat outside
NAT estático
R1(config)# ip nat inside source static 192.168.1.10 200.0.0.10
NAT con pool
R1(config)# ip nat pool MIPOOL 200.0.0.1 200.0.0.5 netmask 255.255.255.248
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)# ip nat inside source list 1 pool MIPOOL
PAT (overload, una sola IP pública)
R1(config)# ip nat inside source list 1 interface gigabitEthernet 0/1 overload
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ip nat inside / ip nat outside | Marca interfaz interna (privada) y externa (pública) |
ip nat inside source static ... | Traducción uno a uno fija |
ip nat pool ... | Define el rango de IP públicas |
access-list 1 permit ... | Indica qué IP privadas pueden traducirse |
... pool MIPOOL / ... interface ... overload | Asocia origen privado al pool o a PAT |
Comandos de verificación
show ip nat translations
show ip nat statistics
show running-config | include nat
clear ip nat translation *
Ejemplo básico de prueba
Desde un host interno hacer ping/navegar a una IP externa y revisar las traducciones:
show ip nat translations
Resultado esperado
show ip nat translations muestra el mapeo entre inside local (privada) y inside global (pública):
Pro Inside global Inside local Outside local Outside global
icmp 200.0.0.1:1 192.168.1.10:1 8.8.8.8:1 8.8.8.8:1
Errores comunes
- No marcar
ip nat inside/ip nat outsideen las interfaces. - ACL que no incluye la red privada correcta.
- Olvidar
overloadcuando solo hay una IP pública. - Pool con máscara incorrecta.
Resumen rápido
ip nat inside / ip nat outside
ip nat inside source static <priv> <pub>
ip nat inside source list 1 interface <out> overload ! PAT
show ip nat translations
4.2 Configurar y verificar NTP en modo cliente y servidor
Objetivo del tema
Sincronizar la hora de los dispositivos usando NTP, configurando un router como servidor de tiempo y otro como cliente.
Concepto básico
NTP mantiene la hora exacta en todos los equipos, lo cual es vital para logs, certificados y SSH. Un dispositivo cliente sincroniza su reloj con un servidor NTP. El stratum indica la cercanía a la fuente de tiempo (menor = más preciso).
Topología básica recomendada
Dos routers: uno servidor, otro cliente.
[ R1 servidor NTP ]---10.0.0.0/30---[ R2 cliente NTP ]
Comandos de configuración
Router R1 (servidor)
R1(config)# clock timezone GMT 0
R1# clock set 10:00:00 24 jun 2026
R1(config)# ntp master 3
Router R2 (cliente)
R2(config)# ntp server 10.0.0.1
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
clock set ... | Ajusta manualmente la hora del router |
ntp master 3 | Hace al router fuente de tiempo (stratum 3) |
ntp server 10.0.0.1 | El cliente se sincroniza con ese servidor |
Comandos de verificación
show ntp status
show ntp associations
show clock
Ejemplo básico de prueba
En el cliente, verificar que está sincronizado:
show ntp status
Resultado esperado
show ntp status en R2 muestra Clock is synchronized y la referencia al servidor 10.0.0.1.
Clock is synchronized, stratum 4, reference is 10.0.0.1
Errores comunes
- No hay conectividad IP entre cliente y servidor.
- Apuntar el cliente a una IP del servidor que no responde.
- Esperar sincronización inmediata (NTP tarda unos minutos).
- Zona horaria mal configurada (la hora se ve "corrida").
Resumen rápido
ntp master 3 ! en el servidor
ntp server <ip> ! en el cliente
show ntp status ! debe decir "synchronized"
4.3 Configurar y verificar servidor DHCP y DNS
Objetivo del tema
Configurar un router como servidor DHCP para entregar IP automáticamente a los hosts e indicarles el servidor DNS.
Concepto básico
DHCP asigna automáticamente IP, máscara, gateway y DNS a los hosts. DNS traduce nombres (www.ejemplo.com) a direcciones IP. Se define un pool de direcciones y se excluyen las que ya usan routers/servidores.
Topología básica recomendada
Un router y un switch con hosts.
[ R1 DHCP ] Gi0/0 192.168.1.1 ---[ SW1 ]--- [ PC1 ] [ PC2 ]
Comandos de configuración
Router R1
R1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
R1(config)# ip dhcp pool LAN
R1(dhcp-config)# network 192.168.1.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.1.1
R1(dhcp-config)# dns-server 8.8.8.8
R1(dhcp-config)# domain-name ejemplo.local
R1(dhcp-config)# lease 7
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ip dhcp excluded-address | Reserva IP que DHCP no debe entregar |
ip dhcp pool LAN | Crea el pool de direcciones |
network ... | Rango de red a repartir |
default-router | Gateway que reciben los hosts |
dns-server | Servidor DNS que reciben los hosts |
lease 7 | Duración de la concesión (días) |
Comandos de verificación
show ip dhcp binding
show ip dhcp pool
show running-config | section dhcp
En el host (Windows):
ipconfig /all
ipconfig /renew
Ejemplo básico de prueba
Configurar la PC en "obtener IP automáticamente" y verificar que recibe dirección del rango:
show ip dhcp binding
Resultado esperado
show ip dhcp binding lista las IP entregadas y su MAC. El host muestra una IP del rango con gateway y DNS correctos.
IP address Client-ID/MAC Lease expiration
192.168.1.11 0100.5079.6668.00 Jun 30 2026
Errores comunes
- No excluir la IP del router/gateway → conflicto de direcciones.
default-routerodns-serverincorrectos.- Red del pool distinta a la de la interfaz.
- Host configurado con IP estática en vez de DHCP.
Resumen rápido
ip dhcp excluded-address <rango>
ip dhcp pool LAN / network / default-router / dns-server
show ip dhcp binding
4.4 Configurar y verificar SNMP en operaciones de red
Objetivo del tema
Habilitar SNMP para monitorear los dispositivos desde un servidor de gestión (NMS), de forma básica y segura.
Concepto básico
SNMP permite que un servidor (NMS) consulte el estado de los dispositivos (CPU, interfaces, etc.). La community string funciona como contraseña: RO (solo lectura) o RW (lectura/escritura). SNMPv3 añade autenticación y cifrado.
Topología básica recomendada
Un router/switch y un servidor de gestión.
[ R1 ]---[ SW1 ]---[ Servidor SNMP/NMS 192.168.1.100 ]
Comandos de configuración
SNMPv2c (Router R1)
R1(config)# snmp-server community CCNARO ro
R1(config)# snmp-server location SalaServidores
R1(config)# snmp-server contact [email protected]
R1(config)# snmp-server host 192.168.1.100 version 2c CCNARO
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
snmp-server community CCNARO ro | Crea community de solo lectura |
snmp-server location / contact | Información descriptiva del equipo |
snmp-server host ... version 2c | Define el NMS que recibe traps/consultas |
Comandos de verificación
show snmp
show snmp community
show snmp host
show running-config | include snmp
Ejemplo básico de prueba
Desde el NMS, hacer una consulta SNMP (snmpwalk/snmpget) al router; o en el router revisar contadores:
show snmp
Resultado esperado
show snmp muestra el chassis, contadores de paquetes SNMP y la configuración aplicada; el NMS logra leer datos del equipo.
Chassis: FTX...
0 SNMP packets input
SNMP logging: enabled
Errores comunes
- Usar
RWcuando solo se necesitaRO(riesgo de seguridad). - Community string distinta entre dispositivo y NMS.
- IP del host NMS incorrecta.
- Falta de conectividad IP hacia el NMS.
Resumen rápido
snmp-server community CCNARO ro
snmp-server host <ip-NMS> version 2c CCNARO
show snmp
4.5 Configurar y verificar Syslog (facilities y niveles)
Objetivo del tema
Enviar los mensajes de registro (logs) del dispositivo a un servidor Syslog y entender los niveles de severidad.
Concepto básico
Syslog centraliza los mensajes de eventos del equipo en un servidor. Cada mensaje tiene un nivel de severidad del 0 (emergencias) al 7 (depuración). Al fijar un nivel se reciben ese y todos los más graves.
Topología básica recomendada
Un router/switch y un servidor Syslog.
[ R1 ]---[ SW1 ]---[ Servidor Syslog 192.168.1.200 ]
Comandos de configuración
Router R1
R1(config)# logging host 192.168.1.200
R1(config)# logging trap informational
R1(config)# service timestamps log datetime msec
R1(config)# logging on
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
logging host 192.168.1.200 | Define el servidor Syslog destino |
logging trap informational | Envía mensajes de nivel 6 y más graves |
service timestamps log datetime | Agrega fecha/hora a cada mensaje |
Niveles de severidad (0–7):
| Nivel | Nombre | Significado |
|---|---|---|
| 0 | emergencies | Sistema inutilizable |
| 1 | alerts | Acción inmediata |
| 2 | critical | Condición crítica |
| 3 | errors | Errores |
| 4 | warnings | Advertencias |
| 5 | notifications | Eventos normales importantes |
| 6 | informational | Información |
| 7 | debugging | Depuración |
Comandos de verificación
show logging
show running-config | include logging
Ejemplo básico de prueba
Generar un evento (apagar/encender una interfaz) y verificar que aparece en el log:
show logging
Resultado esperado
show logging muestra el host destino, el nivel configurado y los mensajes recientes con su timestamp.
Trap logging: level informational
Logging to 192.168.1.200
%LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down
Errores comunes
- Servidor Syslog mal definido o inalcanzable.
- Nivel demasiado bajo (no se ve la información deseada) o demasiado alto (exceso de mensajes).
- Sin
service timestamps, los mensajes no tienen hora útil. - Confundir el número de nivel con su nombre.
Resumen rápido
logging host <ip>
logging trap informational ! nivel 0–7
show logging
4.6 Configurar y verificar cliente DHCP y relay
Objetivo del tema
Configurar una interfaz para obtener su IP por DHCP (cliente) y configurar un router como relay para reenviar peticiones DHCP a un servidor en otra red.
Concepto básico
Un cliente DHCP obtiene su IP automáticamente. El DHCP relay (ip helper-address) se usa cuando el servidor DHCP está en otra subred: el router reenvía las peticiones broadcast del cliente al servidor.
Topología básica recomendada
Hosts en una LAN, servidor DHCP en otra, router en medio.
[ PC ]---[ R1 (relay) ] Gi0/0 192.168.1.1 --- Gi0/1 --- [ Servidor DHCP 10.0.0.2 ]
Comandos de configuración
Interfaz como cliente DHCP (R1 hacia ISP, por ejemplo)
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip address dhcp
R1(config-if)# no shutdown
DHCP relay (R1 reenvía a un servidor remoto)
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip helper-address 10.0.0.2
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ip address dhcp | La interfaz obtiene su IP de un servidor DHCP |
ip helper-address 10.0.0.2 | Reenvía las peticiones DHCP de esa LAN al servidor indicado |
Comandos de verificación
show ip interface brief
show dhcp lease
show ip dhcp binding ! en el servidor
show running-config interface gigabitEthernet 0/0
Ejemplo básico de prueba
Conectar un host a la LAN del relay y verificar que recibe IP del servidor remoto:
ipconfig /renew (en el host)
Resultado esperado
La interfaz cliente muestra una IP obtenida por DHCP. Con el relay, los hosts de la LAN reciben IP del servidor remoto y este registra el binding.
GigabitEthernet0/1 10.10.10.5 YES DHCP up up
Errores comunes
- Olvidar
ip helper-addresscuando el servidor está en otra red. - Apuntar el helper a una IP incorrecta.
- Sin ruta de regreso entre el servidor y la LAN del cliente.
- Esperar que el broadcast DHCP cruce el router sin relay.
Resumen rápido
ip address dhcp ! cliente
ip helper-address <ip-srv> ! relay (servidor en otra red)
show ip interface brief
4.7 Configurar y verificar QoS básico (clasificación, marcado, encolado, congestión, policing y shaping)
Objetivo del tema
Comprender y aplicar conceptos básicos de QoS para priorizar tráfico importante (como voz) usando clasificación y marcado con MQC.
Concepto básico
QoS decide qué tráfico tiene prioridad cuando el enlace se congestiona. Pasos clave: clasificar (identificar el tráfico), marcar (etiquetar con DSCP/CoS), encolar (dar prioridad), y controlar la tasa con policing (descarta lo que excede) o shaping (retiene y suaviza). Se configura con MQC: class-map → policy-map → service-policy.
Topología básica recomendada
Un router de salida hacia un enlace WAN.
[ LAN ]---[ R1 ] Gi0/1 (salida con QoS) ---[ WAN ]
Comandos de configuración
Router R1 (clasificar, marcar y dar prioridad a la voz)
R1(config)# class-map match-all VOZ
R1(config-cmap)# match protocol rtp
R1(config-cmap)# exit
R1(config)# policy-map MIQOS
R1(config-pmap)# class VOZ
R1(config-pmap-c)# set dscp ef
R1(config-pmap-c)# priority percent 30
R1(config-pmap-c)# exit
R1(config-pmap)# class class-default
R1(config-pmap-c)# bandwidth percent 50
R1(config-pmap-c)# exit
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# service-policy output MIQOS
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
class-map ... / match ... | Clasifica: identifica qué tráfico es (ej. voz) |
policy-map / class | Define la política y qué hacer con cada clase |
set dscp ef | Marca el tráfico (EF = prioridad de voz) |
priority percent 30 | Cola de baja latencia para voz (encolado) |
bandwidth percent 50 | Garantiza ancho de banda a una clase |
service-policy output MIQOS | Aplica la política a la interfaz de salida |
Policing descarta o remarca el exceso (
police); shaping lo retiene para suavizar (shape average).
Comandos de verificación
show policy-map
show policy-map interface gigabitEthernet 0/1
show class-map
show mls qos ! en switches que lo soporten
Ejemplo básico de prueba
Generar tráfico de voz/datos y revisar los contadores de la política:
show policy-map interface gigabitEthernet 0/1
Resultado esperado
show policy-map interface muestra las clases, paquetes igualados y acciones aplicadas (marcado, prioridad), confirmando que el tráfico de voz se prioriza.
Class-map: VOZ (match-all)
1000 packets
QoS Set: dscp ef
Priority: 30% ...
Errores comunes
- No aplicar la
service-policyen la interfaz, o aplicarla en la dirección equivocada (input/output). - Clasificación que no coincide con el tráfico real.
- Sumar más del 100% de ancho de banda entre clases.
- Confundir policing (descarta) con shaping (retiene).
Resumen rápido
class-map / match ! clasificar
policy-map / set dscp / priority ! marcar y encolar
service-policy output <pol> ! aplicar en interfaz
show policy-map interface
4.8 Configurar y verificar acceso remoto a dispositivos mediante SSH
Objetivo del tema
Habilitar acceso remoto seguro por SSH a un dispositivo Cisco y verificar las sesiones.
Concepto básico
SSH cifra la sesión de administración remota (a diferencia de Telnet). Requiere hostname, dominio, llaves RSA, un usuario local y las líneas VTY configuradas para aceptar solo SSH.
Topología básica recomendada
Un host administrador y el dispositivo a gestionar.
[ Admin PC 192.168.1.50 ]---[ SW1 / R1 192.168.1.1 ]
Comandos de configuración
Router R1 / Switch SW1
R1(config)# hostname R1
R1(config)# ip domain name ejemplo.local
R1(config)# username admin secret Cisco123
R1(config)# crypto key generate rsa modulus 1024
R1(config)# ip ssh version 2
R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
ip domain name + crypto key generate rsa | Requisitos para las llaves SSH |
ip ssh version 2 | Fuerza la versión segura |
transport input ssh | Las líneas VTY solo aceptan SSH (no Telnet) |
login local | Autentica con usuarios locales |
Comandos de verificación
show ip ssh
show ssh
show users
Ejemplo básico de prueba
Desde la PC del admin:
ssh -l admin 192.168.1.1
Resultado esperado
show ip ssh indica SSH habilitado versión 2.0; la sesión SSH conecta pidiendo credenciales, y Telnet queda bloqueado.
SSH Enabled - version 2.0
Errores comunes
- Generar llaves sin
hostname/ip domain name. - Dejar
transport input telnetoall. - No crear el usuario o faltar
login local. - Usar
ip ssh version 1(inseguro).
Resumen rápido
ip domain name X / crypto key generate rsa / ip ssh version 2
line vty 0 4 / transport input ssh / login local
show ip ssh
5. Security Fundamentals
5.1 Configurar y verificar control de acceso al dispositivo con contraseñas locales
Objetivo del tema
Proteger el acceso a un dispositivo Cisco con contraseñas en consola, líneas VTY y modo privilegiado, y cifrarlas correctamente.
Concepto básico
Un dispositivo debe estar protegido en todos sus puntos de acceso: consola (físico), VTY (remoto) y enable (modo privilegiado). Se usa enable secret (cifrado fuerte) y service password-encryption para no dejar contraseñas en texto plano.
Topología básica recomendada
Un solo dispositivo (router o switch) con un administrador.
[ Admin ]---[ R1 / SW1 ]
Comandos de configuración
Router R1 / Switch SW1
R1(config)# enable secret Clave123
R1(config)# username admin secret Cisco123
R1(config)# service password-encryption
R1(config)# line console 0
R1(config-line)# password ConsolaPass
R1(config-line)# login
R1(config-line)# exec-timeout 5 0
R1(config-line)# exit
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
enable secret Clave123 | Protege el modo privilegiado (cifrado MD5) |
username admin secret ... | Crea usuario local cifrado |
service password-encryption | Cifra las contraseñas en texto plano del config |
line console 0 / password / login | Protege el acceso por consola |
login local | Usa la base de usuarios local para autenticar |
exec-timeout 5 0 | Cierra la sesión inactiva tras 5 minutos |
Comandos de verificación
show running-config
show running-config | section line
show users
Ejemplo básico de prueba
Salir y volver a entrar: el dispositivo debe pedir contraseña en consola, usuario/contraseña por SSH y contraseña al usar enable.
exit
Resultado esperado
Las contraseñas aparecen cifradas en el running-config (tipo 5 o 7), y cada punto de acceso solicita autenticación.
enable secret 5 $1$mERr$...
line console 0
password 7 0822455D0A16
Errores comunes
- Usar
enable password(texto plano) en vez deenable secret. - Olvidar
login(la contraseña no se solicita). login localsin haber creado usuarios.- Confiar solo en
service password-encryption(cifrado débil tipo 7).
Resumen rápido
enable secret X
username admin secret X / line vty / login local
line console 0 / password / login
service password-encryption
5.2 Configurar y verificar VPNs IPsec de acceso remoto y site-to-site
Objetivo del tema
Comprender los tipos de VPN IPsec (site-to-site y de acceso remoto) y sus componentes, dentro del alcance conceptual y de verificación que pide CCNA.
Concepto básico
Una VPN crea un túnel seguro sobre una red pública (Internet). IPsec cifra y autentica el tráfico. La site-to-site conecta dos sitios de forma permanente (router a router); la de acceso remoto conecta usuarios individuales (con cliente como AnyConnect) a la red corporativa. En CCNA 200-301 el objetivo es describir estas VPN; la configuración detallada de IPsec corresponde a niveles superiores.
Topología básica recomendada
Dos sitios conectados por Internet (site-to-site).
[ LAN A ]---[ R1 ]====Internet====[ R2 ]---[ LAN B ]
\________ túnel IPsec ________/
Comandos de configuración
En CCNA este tema es principalmente conceptual. A nivel de referencia, una VPN site-to-site IPsec incluye estas piezas (fase 1 / fase 2):
! Fase 1 (IKE/ISAKMP): autenticación y llaves
R1(config)# crypto isakmp policy 10
R1(config)# crypto isakmp key MICLAVE address 200.0.0.2
! Fase 2 (IPsec): cómo se cifra el tráfico
R1(config)# crypto ipsec transform-set TSET esp-aes esp-sha-hmac
! Qué tráfico proteger (ACL) y crypto map aplicado a la interfaz
R1(config)# crypto map MAPA 10 ipsec-isakmp
Explicación básica de los componentes
| Componente | Qué hace |
|---|---|
| IKE / ISAKMP (Fase 1) | Negocia autenticación y un canal seguro inicial |
| Transform-set (Fase 2) | Define el cifrado (AES) e integridad (SHA) del tráfico |
| Crypto ACL | Indica qué tráfico interesante se cifra |
| Crypto map | Une los parámetros y se aplica a la interfaz de salida |
| Acceso remoto | Usuario con cliente VPN (AnyConnect) hacia la red corporativa |
Comandos de verificación
show crypto isakmp sa
show crypto ipsec sa
show crypto session
Ejemplo básico de prueba
Generar tráfico entre las LAN de ambos sitios y verificar que el túnel se establece:
show crypto isakmp sa
Resultado esperado
show crypto isakmp sa muestra el estado QM_IDLE (fase 1 establecida) y show crypto ipsec sa muestra paquetes cifrados/descifrados aumentando.
dst src state conn-id
200.0.0.2 200.0.0.1 QM_IDLE 1001
Errores comunes
- Parámetros de fase 1/2 que no coinciden entre los dos extremos.
- Clave pre-compartida distinta.
- ACL de tráfico interesante mal definida.
- No aplicar el crypto map a la interfaz correcta.
Resumen rápido
VPN site-to-site = router a router (permanente)
VPN acceso remoto = usuario con cliente (AnyConnect)
IPsec = cifrado + autenticación (IKE fase 1 / IPsec fase 2)
show crypto isakmp sa / show crypto ipsec sa
5.3 Configurar y verificar listas de control de acceso (ACL)
Objetivo del tema
Filtrar tráfico con ACL estándar y extendidas, y aplicarlas correctamente a las interfaces para permitir o denegar tráfico.
Concepto básico
Una ACL es una lista de reglas que permiten o deniegan tráfico. Las estándar filtran solo por IP de origen; las extendidas filtran por origen, destino, protocolo y puerto. Se leen de arriba hacia abajo y al final hay un deny implícito.
Topología básica recomendada
Un router que filtra entre dos redes.
[ LAN 192.168.1.0/24 ]---[ R1 ]---[ Servidores 192.168.20.0/24 ]
Comandos de configuración
ACL estándar (R1)
R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group 10 out
ACL extendida con nombre (R1)
R1(config)# ip access-list extended FILTRO
R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 host 192.168.20.10 eq 80
R1(config-ext-nacl)# deny ip any host 192.168.20.10
R1(config-ext-nacl)# permit ip any any
R1(config-ext-nacl)# exit
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group FILTRO in
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
access-list 10 permit ... | Regla estándar (solo origen) |
ip access-list extended FILTRO | ACL extendida con nombre |
permit tcp ... eq 80 | Permite HTTP hacia un servidor |
ip access-group 10 out | Aplica la ACL a la interfaz (in/out) |
Regla práctica: las estándar se aplican cerca del destino; las extendidas, cerca del origen.
Comandos de verificación
show access-lists
show ip access-lists
show running-config | include access
show ip interface gigabitEthernet 0/0
Ejemplo básico de prueba
Probar tráfico permitido y denegado:
ping 192.168.20.10 ! según la ACL puede fallar
telnet 192.168.20.10 80 ! HTTP permitido
Resultado esperado
show access-lists muestra las reglas con contadores de coincidencias. El tráfico permitido pasa y el denegado se bloquea.
Extended IP access list FILTRO
10 permit tcp 192.168.1.0 0.0.0.255 host 192.168.20.10 eq www (25 matches)
20 deny ip any host 192.168.20.10 (3 matches)
Errores comunes
- Olvidar el
denyimplícito al final (bloquea todo lo no permitido). - Aplicar la ACL en la dirección equivocada (
in/out). - Orden incorrecto de las reglas (una regla general antes de una específica).
- Wildcard mal calculada.
- ACL no aplicada a ninguna interfaz.
Resumen rápido
access-list 10 permit <red> <wildcard> ! estándar
ip access-list extended NOMBRE / permit|deny ... ! extendida
ip access-group <id> in|out ! aplicar
show access-lists
5.4 Configurar y verificar seguridad de capa 2 (DHCP snooping, DAI y port security)
Objetivo del tema
Proteger la red de capa 2 contra ataques comunes usando port security, DHCP snooping y Dynamic ARP Inspection (DAI).
Concepto básico
- Port security: limita cuántas y cuáles MAC pueden usar un puerto.
- DHCP snooping: bloquea servidores DHCP falsos permitiendo respuestas solo por puertos trusted.
- DAI: evita ataques de suplantación ARP validando contra la tabla de DHCP snooping.
Topología básica recomendada
Un switch con hosts y un enlace al router/servidor DHCP.
[ PC1 ]---Fa0/1 (untrusted)[ SW1 ] Gi0/1 (trusted)---[ R1 / DHCP ]
Comandos de configuración
Port security (SW1)
SW1(config)# interface fastEthernet 0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport port-security
SW1(config-if)# switchport port-security maximum 2
SW1(config-if)# switchport port-security violation restrict
SW1(config-if)# switchport port-security mac-address sticky
DHCP snooping (SW1)
SW1(config)# ip dhcp snooping
SW1(config)# ip dhcp snooping vlan 10
SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# ip dhcp snooping trust
Dynamic ARP Inspection (SW1)
SW1(config)# ip arp inspection vlan 10
SW1(config)# interface gigabitEthernet 0/1
SW1(config-if)# ip arp inspection trust
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
switchport port-security | Activa seguridad de puerto |
port-security maximum 2 | Máximo de MAC permitidas |
violation restrict | Acción ante violación (descartar y avisar) |
mac-address sticky | Aprende y guarda la MAC automáticamente |
ip dhcp snooping / trust | Activa snooping y marca puertos confiables |
ip arp inspection vlan 10 / trust | Valida ARP en la VLAN; confía en uplinks |
Puertos hacia el servidor DHCP/router deben ser trust; los de usuarios, untrusted.
Comandos de verificación
show port-security
show port-security interface fastEthernet 0/1
show ip dhcp snooping
show ip dhcp snooping binding
show ip arp inspection
Ejemplo básico de prueba
Conectar un segundo dispositivo o un DHCP falso y comprobar que el switch reacciona:
show port-security interface fastEthernet 0/1
Resultado esperado
show port-security muestra el conteo de MAC y violaciones; los puertos no confiables bloquean DHCP/ARP malicioso.
Port Security : Enabled
Maximum MAC Addresses: 2
Violation Mode : Restrict
Security Violation Count : 0
Errores comunes
- Marcar como trust un puerto de usuario (anula la protección).
- Olvidar habilitar snooping por VLAN.
- Port security con
maximummuy bajo que apaga puertos legítimos. - DAI activo sin DHCP snooping (no tiene base para validar).
Resumen rápido
switchport port-security / maximum / violation / sticky
ip dhcp snooping / ip dhcp snooping vlan X / (uplink) trust
ip arp inspection vlan X / (uplink) trust
show port-security / show ip dhcp snooping binding
5.5 Configurar y verificar conceptos de autenticación, autorización y registro (AAA)
Objetivo del tema
Entender y configurar AAA para centralizar el control de acceso con servidores externos (RADIUS/TACACS+) y autenticación local de respaldo.
Concepto básico
AAA son tres funciones: Autenticación (quién eres), Autorización (qué puedes hacer) y Accounting (qué hiciste). Se usa un servidor central RADIUS (estándar, cifra solo la contraseña) o TACACS+ (Cisco, cifra todo y separa funciones). Conviene dejar local como respaldo.
Topología básica recomendada
Un dispositivo de red y un servidor AAA.
[ Admin ]---[ R1 / SW1 ]---[ Servidor AAA (RADIUS/TACACS+) 192.168.1.100 ]
Comandos de configuración
TACACS+ (Router R1)
R1(config)# aaa new-model
R1(config)# tacacs server SRV1
R1(config-server-tacacs)# address ipv4 192.168.1.100
R1(config-server-tacacs)# key Cisco123
R1(config-server-tacacs)# exit
R1(config)# aaa authentication login default group tacacs+ local
R1(config)# aaa authorization exec default group tacacs+ local
R1(config)# aaa accounting exec default start-stop group tacacs+
RADIUS (alternativa)
R1(config)# radius server SRV1
R1(config-radius-server)# address ipv4 192.168.1.100 auth-port 1812 acct-port 1813
R1(config-radius-server)# key Cisco123
R1(config)# aaa authentication login default group radius local
Explicación básica de los comandos
| Comando | Qué hace |
|---|---|
aaa new-model | Activa AAA (requisito para todo lo demás) |
tacacs server / radius server | Define el servidor AAA y su llave |
aaa authentication login default group tacacs+ local | Autentica con el servidor; si no responde, usa local |
aaa authorization exec | Controla qué puede hacer el usuario |
aaa accounting exec | Registra las sesiones |
Comandos de verificación
show running-config | include aaa
show tacacs
show radius server-group all
debug aaa authentication ! solo para diagnóstico
Ejemplo básico de prueba
Iniciar sesión: el dispositivo debe autenticar contra el servidor; si el servidor cae, debe usar la cuenta local de respaldo.
show tacacs
Resultado esperado
La autenticación se valida contra el servidor AAA. Si no hay servidor, la palabra clave local permite entrar con usuarios del equipo.
Tacacs+ Server : 192.168.1.100/49
Socket opens : 3 Socket closes: 3
Errores comunes
- Olvidar
aaa new-model. - No incluir
localcomo respaldo y quedarse fuera si el servidor falla. - Llave (
key) distinta entre el equipo y el servidor. - Confundir RADIUS (UDP 1812/1813) con TACACS+ (TCP 49).
- No tener un usuario local creado para el respaldo.
Resumen rápido
aaa new-model
tacacs/radius server + key
aaa authentication login default group tacacs+ local ! respaldo local
show tacacs / show running-config | include aaa
Cierre de la guía
Esta guía cubre los temas solicitados del examen CCNA 200-301 con un enfoque práctico: cada tema incluye objetivo, concepto, topología, comandos de configuración y verificación, prueba, resultado esperado, errores comunes y un resumen rápido. Todos los ejemplos son replicables en Packet Tracer, GNS3, EVE-NG o equipos Cisco reales.