Instalación
Cableado edificio Palcam
1.Objetivos
- Instalar y configurar una red con packet
tracer.
Esta práctica es
una continuación de la R.TEMA4PAC1. En la misma os piden que toda la
planificación que habéis realizado en la práctica anterior llevarla a la
práctica real utilizando packet tracer.
2. Puntos
importantes:
- De forma jerárquica, deberá haber un router,
que gestiona toda la red. Este deberá ser un Cisco 2600. En el mismo
tendrá toda la configuración para enlazar todas las VLAN que creemos.
Recordar que nosotros configuramos la red local, no tenemos que conectar
el router hacia internet. Esta fuera del alcance de esta asignatura.
- Debajo del router, habrá un switch 2960 o 3560
principal que conectara con el router principal y con todos los switches de
cada una de las secciones que queramos dividir. Entre switch se ubicara el
servidor que contendrá la pagina web que deberán poder acceder desde
cualquier ordenador.
- Cada sección deberá tener un switch 2960 donde
se conectaran todos los ordenadores. Existe la posibilidad de conectar dos
secciones o aulas con un mismo switch, recordad que serán las VLAN quien
realmente harán la separación de secciones y no nosotros físicamente.
- Cada ordenador deberá ir acompañado de un
teléfono IP, y este conectado al switch del aula. El teléfono IP no habrá
de configurarlo.
- Para cada ordenador, switch, router, Punto
Acceso se deberá configurar para que tenga conexión a la red local.
- Cada ordenador estará integrado a una VLAN.
- Las VLAN se deberán poder ver entre ellas a través
de configurar correctamente el router.
- (Opcional) Configurar
las Access List según las especificaciones.
- (Opcional) Configura
VTP según las especificaciones .
- (Opcional) Configurar
la seguridad de los puertos, evitando accesos no autorizados según las
especificaciones.
3. Topología de
Red
Deberéis empezar
la red de esta forma e ir añadiendo para cada switch de aula los ordenadores
que deben ir. Deberéis colocar el cableado de forma adecuada entre switches,
para conseguir la máxima velocidad entre switches. Recordar que cada switch por
defecto tiene solo dos puertos Gigabyte y packet tracer no nos da la
posibilidad de ampliarlo.
Os podéis ayudar
de elementos gráficos para diferenciar las diferentes aulas a la hora de
colocar ordenadores de una aula conectado al switch de otra aula.
4. Especificaciones
4.1. CONFIGURAR VLAN
Configurar las
VLAN en el switch utilizando la interfaz gráfica, recordar que primero hay que
declarar todas las VLAN en todos los switches y después asignar cada puerto su
VLAN correspondiente. Recordar que los puertos que se conectan ordenadores son
de tipo Access y los puertos que se conectan entre switches son de tipo Trunk.
- VLAN 10 à Sección
Atención Personalizada (Aula 01) Ip P.E 192.168.10.1
- VLAN 20 àSección
Representantes (Aula 11) Ip P.E 192.168.20.1
- VLAN 30 à Sección
Operadoras (Aula 12, 13, 14, 15) Ip P.E 192.168.30.1
- VLAN 40 àSección
Dirección (Despachos Directores) Ip P.E 192.168.40.1
- VLAN 50 à Otras
Secciones (Guardia Seguridad, Despachos encargados operadoras, despacho
reuniones informales) Ip P.E 192.168.50.1
El router se
debe de configurar para permitir que todas las VLAN inicialmente se vean entre
ellas. Recordar que debemos de configurarlo a través de comandos. Clicando la
pestaña CLI e introduciendo los siguientes comandos:
Router> enable
Router# configure terminal
Router(config)# interface fastethernet (puerto.Vlan)
0/0.10
Router(config-subif)#
ip address (IP dirección puerta enlace) (mascara de Red)
192.168.10.1 255.255.255.0
Recordar que el
tabulador nos completa las palabras, que “?” no dice que palabras podemos
escribir detrás de un comando y finalmente para volver y paso atrás se utiliza
el comando “exit” para volver al inicio el comando “end”
4.2. CONFIGURAR ACCESS-LIST
Se desea
configurar las siguientes limitaciones:
- Dirección puede acceder a
todos los lados
- Las Operadoras no pueden
acceder al resto de secciones.
- Los Representantes y otras secciones pueden acceder a todas las
secciones excepto dirección.
- La sección personalizada solo puede acceder a la sección de
operadoras.
|
Atención
Personalizada
|
Representantes
|
Operadoras
|
Dirección
|
Otras
Secciones
|
Atención
Personalizada
|
SI
|
NO
|
SI
|
NO
|
NO
|
Representantes
|
SI
|
SI
|
SI
|
NO
|
SI
|
Operadoras
|
NO
|
NO
|
SI
|
NO
|
NO
|
Dirección
|
SI
|
SI
|
SI
|
SI
|
SI
|
Otras
Secciones
|
SI
|
SI
|
SI
|
NO
|
SI
|
Para configurar
una Access list debemos de saber que utilizaremos la extendida. Esta nos
permite denegar el tráfico en nuestro caso teniendo en cuenta la dirección de
origen y la de destino.
Primero hemos de
declarar la Access-list en el router y después aplicara al puerto de entrada de
la VLAN en cuestión.
Paso 1: Configurar una ACL ampliada y nombrada.
En el modo de configuración global, cree una ACL nombrada y ampliada,
denominada EXTEND-1.
R1(config)#ip access-list extended EXTEND-1
Observe que el indicador del router cambia para señalar que ahora se
encuentra en el modo de
configuración de ACL ampliada. Desde este indicador, agregue las sentencias
necesarias para bloquear el tráfico desde la red 192.168.10.0 /24 al host.
Utilice la palabra clave host cuando defina el destino.
(deny/permit)(Ip Red origen)(Wildcard)(Ip Red
Destino)(Wilcard)
R1(config-ext-nacl)#deny ip
192.168.10.0 0.0.0.255 host 192.168.20.1
Recuerde que el comando “deny all” implícito bloquea cualquier otro tráfico
sin la sentencia adicional permit. Agregue la sentencia permit para
asegurarse de que no se bloquee el tráfico restante. Una Wildcard es el inverso
a la máscara de red.
R1(config-ext-nacl)#permit ip any any
La palabra host se refiere si se desea bloquear a un host determinado,
tal como tenéis en el ejemplo y any se refiere a todos.
Paso 2: Aplicar la ACL.
Con las ACL
estándar, lo más conveniente es ubicar a la ACL lo más cerca posible del
destino. Las ACL ampliadas generalmente se ubican cerca del origen. La ACL EXTEND-1
se ubicará en la interfaz serial y filtrará el tráfico saliente.
R1(config)#interface
fastethernet 0/0.10
R1(config-subif)#ip
access-group EXTEND-1 out log
R1(config-subif)#end
R1#copy run
start (Este paso es para guardar
la configuración, se puede hacer por interfaz grafica
Paso 3: Probar la ACL.
Nos permite visualizar las
acces-list que tenemos instaladas en nuestro router
R1#show ip access-list
Extended IP access list EXTEND-1
10 deny ip
192.168.10.0 0.0.0.255 host 192.168.20.1
20 permit ip any
any
4.3. CONFIGURAR VTP
Por último para
evitar tener que configurar todas las VLAN en cada switch, se desea configurar
VTP. Un switch puede coger tres estados, Servidor, cliente o transparente.
Nosotros utilizaremos las dos primeras, asignando el switch principal como VTP
Server y los switch de las aulas como VTP Client.
Configurar VTP Server
S1(config)#vtp mode
server
Modo dispositivo ya es
SERVIDOR VTP.
S1(config)#vtp domain Lab4
Cambiar el nombre del
dominio VTP de NULL a Lab4
S1(config)#vtp password cisco
Configurar la contraseña de la base de datos VLAN del
dispositivo en cisco
Configurar VTP Client
S2(config)#vtp mode
client
Configurar el dispositivo en
modo CLIENTE VTP
S2(config)#vtp domain Lab4
Cambiar el nombre del
dominio VTP de NULL a Lab4
S2(config)#vtp password cisco
Configurar
la contraseña de la base de datos VLAN del dispositivo en cisco
El dominio y la
contraseña tiene que ser la misma para los todos los switches y diferencia entre
mayúsculas y minúsculas.
4.4. CONFIGURAR SEGURIDAD EN PUERTOS
Cada puerto que
no se utilice se desea que este apagado y para cada puerto conectado que se
limite a un máximo de un solo ordenadores. De esta forma evitamos que alguien
pueda acceder a la empresa y conectar su ordenador al cable de red.
S2(config)#interface
fastethernet 0/6
S2(config-if)#switchport
port-security
S2(config-if)#switchport
port-security maximum 1
Cantidad de ordenadores que
se pueden conectar a este puerto
S2(config-if)#switchport port-security mac-address sticky
Guarda la Mac del primer
ordenador que se conecta.
5. ENTREGA
Entregareis en
un CD:
·
Memoria donde habrá todas las configuraciones de
cada uno de los elementos que participan en la red switches, routers, Punto
Acceso… Así como las configuraciones opcionales si se hacen. Utilizar el
comando “show running-config”. No hace falta hacer capturas de pantalla de los
ordenadores.
·
Se deberá incluir el procedimiento detallado de
cómo se ha hecho la práctica. Explicando paso a paso como se ha reliazado la
misma.
·
Fichero Packet tracer, con todo la red local
montada.
o
Se deberá poder hacer ping entre los ordenadores y
entre los ordenadores y el router.
o
Se deberá poder acceder a la página web que tiene
el servidor.
o
Se podrá acceder con un portátil a la red y al
página web
o
(Opcional)Si se implementa alguna Acces-list se
deberá poder comprobar que realmente funciona.
o
(Opcional)Si se implementa VTP, se añadirá una
nueva VLAN y se observara que realmente se actualiza en todos los switches.
o
(Opcional) Si se implementa la seguridad de
puertos, se deberá poder comprobar que realmente funciona.
Cap comentari:
Publica un comentari a l'entrada