ESPECIAL EXAMEN
En el examen de Cisco os encontraréis escenarios parecidos a los que muestro aquí. Os dejo un enlace con todos los laboratorios en GNS3 ya montados con la configuración básica. Recordad que para que funcione tendréis que tener la IOS ya configurada en GNS3. Si no sabéis cómo hacerlo, podéis encontrar la imagen y una guía aquí.
1. ESCENARIO VTP (Packet Tracer)
La empresa X está añadiendo MLS. La tarea es configurar los switches de distribución y acceso. Hay que configurar VTP para que se traspase la información del switch de distribución (server) al de acceso (client). Hay que configurar enrutamiento entre vlans en el MLS.
Entramos en el MLS y creamos el dominio VTP y las vlans. Hay que crear las "vlan" y las "interface vlan".
MLS(config)#vtp domain CCNPLAB
MLS(config)#vtp mode server
MLS(config)#vlan 10
MLS(config)#vlan 100
MLS(config)#interface vlan 10
MLS(config-if)#ip add 172.16.10.1 255.255.255.0
MLS(config-if)#no sh
MLS(config-if)#interface vlan 100
MLS(config-if)#ip add 172.16.100.1 255.255.255.0
MLS(config-if)#no sh
Importante habilitar el enrutamiento:
MLS(config)#ip routing
Configuramos la interface Fa0/1 como trunk y salvamos.
MLS(config)#int fa0/1
MLS(config-if)#switchport trunk encapsulation dot1q
MLS(config-if)#switchport mode trunk
MLS#copy running-config startup-config
Ahora vamos al switch de acceso:
Configuramos el trunk y lo metemos en el dominio VTP como cliente:
switch0(config)#int fa0/1
switch0(config-if)#switchport mode trunk
switch0(config)#vtp mode client
switch0(config)#vtp domain CCNPLAB
switch0#copy running-config startup-config
Aunque en el examen no te pide que configuremos los puertos de acceso. Nosotros vamos a configurarlo para comprobar conectividad. Por lo tanto:
Switch0#
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 100
switchport mode access
switch0#copy running-config startup-config - importante guardar la configuración
 |
| Comprobad con ping entre los PC's. |
2. ESCENARIO VTP 2 (Packet Tracer)
Se encarga la tarea de configurar un switch nuevo.
1. La red ha sido parcialmente instalada. Hay que habilitar la comunicación entre PC1 y PC2. ¿Qué opción es la correcta para configurar el nuevo switch?
A. vtp domain CCNP
vtp version 1
vtp mode client
interface fa0/10
switchport mode access
switchport acces vlan 100
B. vtp domain CCNPLAB
vtp version 1
vtp mode client
interface fa0/10
switchport mode access
switchport acces vlan 100
C. vtp domain CCNPLAB
vtp version 2
vtp mode server
interface fa0/10
switchport mode access
switchport acces vlan 100
D. vtp domain CCNP
vtp version 2
vtp mode client
interface fa0/10
switchport mode access
switchport acces vlan 100
E. vtp domain CCNPLAB
vtp version 2
vtp mode client
interface fa0/10
switchport mode access
switchport acces vlan 100
Para descubrir que tendríamos que configurar en el switch nuevo, vamos a SW1 o a SW2 y ejecutamos el comando "show vtp status"
 |
| show vtp status |
Sabemos que el SW1 cumple la función de Server, cómo se llama el dominio y la versión de VTP. Podríamos encontrar en el examen otros campos. Con esta información podemos contestar la preguntas siendo la respuestas correcta la E.
2. Qué VLAN se utiliza para enviar tramas sin etiqueta entre los switches SW1 y SW2:
A. 100
B. 10
C. 200
D. 99
E. 1
Para contestar a esta pregunta vamos a SW1 o a SW2 y vemos los interfaces trunk que conectan:
Vemos que la VLAN nativa, que es la que manda las tramas que no tienen etiquta, es la VLAN 99.
3. Fíjate bien enla configuración porque se te ha pedido implmentar una PRIVATE VLAN en el SW4 para un nuevo servidor que se va a instalar. ¿Qué pasos habría que dar?
B. Deshabilitar VTP pruning en SW2, SW4 y "Nuevo_Switch"
C. Deshabilitar VTP pruning solo en "Nuevo_Switch" y SW4
D. Deshabilitar VTP pruning en SW1 enly
E. Deshabilitar VTP pruning en SW2 enly
Para configurar una PRIVATE VLAN el switch tiene que estar en modo "Trasnparent". Para deshabilitar el pruning tenemos que covnertirlo también a trasnparent, por lo tanto esta es la respuesta más correcta.
4. Ahora, imaginemos que en el examen nos ponen el mismo escenario pero con VTP Version 3 (no se puede emular en Packet Tracer).
Te piden que añadas las VLAN 500 y 600 de manera que el SW1 sea el primario para la VLAN 500 y el SW2 sea el primario para la VLAN 600.
B. Configurar VLAN 500 y VLAN 600 solo en SW1
C. Configurar VLAN 500 y VLAN 600 solo en SW2
D. Configurar VLAN 500 y VLAN 600 en SW1 ,SW2 ySW4
E. En SW2; Primero deshabilitar VTP, configurar VLAN 500 y VLAN 600. Después volver a configurar VTP en modo Server
En la version 3 de VTP elimina la posibilidad de que cuando vuelven los switches a ser conectados/encendidos pueden tener una "configuration revision" superior y cambiar la configuración de VTP. En VTP version 3 configuramos el Server Primario y Secundario, así que solo habría que configurarlo en SW1 o SW2. Tendremos que hacer un " show vtp status" en SW1 y SW2 y buscaremos cuál es el primario.
3. ESCENARIO PVST (GNS3)
Hay que añadir el módulo NM-16ESW a todos los equipos, y si queréis cambiad el icono :-)
La empresa X ha implementado una estrucutura de switching. Los objetivos son.
El Coreswitch (SW1) tienen que ser el Root Bridge para la VLAN 20 pero sin embargo lo es el SW2
El tráfico de la vlan 30 entre los switches 2 y 3 tiene que pasar por el enlace Fa0/15, pero pasa por el enlace Fa0/14
El tráfico de la vlan 40 entre los switches 2 y 3 tiene que pasar por el enlace Fa0/14, pero pasa por el enlace Fa0/15
Se han hecho configuraciones previas y tu tarea es solucionar el problema.
Solo tienes acceso completo al SW2 donde se tendrán que implementar las soluciones. A los switches SW1 y SW3 tenemos acceso solo al comando show.
Como solo tenemos acceso al SW2, vamos a ver por qué el SW2 es el Root Bridge para la VLAN 30 y no el SW1 que es cómo se ha diseñado la red.
SW2
show spanning-tree vlan 30 brief
 |
| show spanning-tree brief en SW2 |
Comprobamos que el SW2 es el Bridge y que es porque tiene una prioridad más baja que la default (32678). Como no podemos comprobar cuál tiene configurada el SW1, nosotros configuraremos una muy superior, la más alta de hecho. Recordad que se aumenta en bloques de 4096. La tabla de prioridad STP:
0000 = 0
0001 = 4096 0010 = 8192 0011 = 12288 0100 = 16384 0101 = 20480 0110 = 24576 0111 = 28672 1000 = 32768 default 1001 = 36864 1010 = 40960 1011 = 45056 1100 = 49152 1101 = 53248 1110 = 57344 1111 = 61440 |
SW2(config)#spanning-tree vlan 20 priority 61440
 |
| show spanning-tree brief en SW2 |
Vemos que ha cambiado y el SW2 ya no es el Root Bridge para la VLAN 20
Lo siguiente es solucionar que el tráfico de la VLAN 30 pase por el interface fa0/15 de los switches de distribución SW2 y SW3. Vemos que el puerto Fa0/15 del SW2 está en modo forwarding por lo que está correcto. Pero si vamos al SW3, al que tenemos acceso con el comando show, vemos que el interface Fa0/15 está en blocking (BLK)
 |
| show spanning-tree brief en SW3 |
Entre estos dos equipos cuando se han intercambiado las BPDU's han visto que las recibían por el mismo enlace y la elección de STP ha sido: bridge-id, cost y port- id que consta del número de puerto y de la prioridad de este. Esto último ha sido lo que ha decidido STP y ha puesto, lógicamente, el puerto Fa0/15 del SW3 en blocking por tener una port-id mayor (128.16 + 128)
Para solucionar esto lo que hacemos es bajarle la prioridad al puerto Fa0/15 del SW1 para la VLAN 30. Con esto conseguimos que STP elija el puerto Fa0/14
SW2(config-if)#spanning-tree vlan 30 port-priority 100 - por defecto es 128.
Ahora el puerto Fa0/15 tiene mejor prioridad y si vamos al switch SW3 veremos que el puerto bloqueado es ahora el Fa0/14 consiguiendo así que el tráfico de la VLAN 30 pase por el enlace de las interfaces Fa0/15.
 |
| show spanning-tree brief en SW3 |
Para el siguiente problema nos encontramos el mismo escenario pero al revés. El tráfico tiene que pasar por las interfaces Fa0/14 y está pasando por las fa0/15.
Si hacemos un show en SW2 vemos que aparte del port-id, también el coste puede ser un factor importante a la hora de elegir un camino u otro.
 |
| show spanning-tree brief en SW2 |
Para asegurarnos de que el tráfico pasa por las Fa0/14, le modificamos el coste en SW1. La tabla de costes de STP:
Para añadir el coste lo tenemos que hacer en el interface que reibe la BPDU:
SW2#
SW2#conf t
SW2(config)#int fa0/14
SW2(config-if)#spanning-tree vlan 40 cost 6
Y ahora ya vemos como el Fa0/14 de SW2 ha pasado a forwarding y el Fa0/15 ha blocking.
Guardamos la configuración y hemos acabado.
4. STP
Se va a conectar un switch nuevo a la red. Nuestra tarea es dejarlo preparado para conectarlo más tarde.
La tarea en sí es:
A. Los puertos del fa0/0 al fa0/12 perenecerán a la VLAN 100
B. Los puertos del fa0/12 al fa0/24 perenecerán a la VLAN 200
C. El switch no participa en VTP pero envía su tráfico
D. Todos los puertos Fast Ethernet estarán en modo nontrunking
E. Todos los puertos Fast Ethernet harán la transición de down a up de manera rápida
A.
Switch(config-if-range)#interface range fa0/0 – 12
Switch(config-if-range)#switchport access vlan 100
Switch(config-if-range)#exit
B.
Switch(config-if-range)#interface range fa0/12 – 24
Switch(config-if-range)#switchport access vlan 200
Switch(config-if-range)#exit
C.
Switch(config)#vtp mode transparent
Switch(config)#exit
D y E.
Switch>enable
Switch#configure terminal
Switch(config)#interface range fa0/1 – 24
Switch(config-if-range)#switchport mode access - hacemos los puerto de tipo acceso
Switch(config-if-range)#spanning-tree portfast - portfast hace la transición rápida
Switch#configure terminal
Switch(config)#interface range fa0/1 – 24
Switch(config-if-range)#switchport mode access - hacemos los puerto de tipo acceso
Switch(config-if-range)#spanning-tree portfast - portfast hace la transición rápida
Guardamos y solucionado.
Switch#copy running-config startup-config
5. LACP/STP
Se acaba de añadir el switch 2 a la red. El router está configurado para enrutar el tráfico de los dispositivos que estén conectados tanto al switch 1 como al 2. El switch 1 tiene algo configurado pero habrá que hacer modificaciones. El switch 2 tiene una configuración mínima. Se pide acabar de configurar los switches.
1. En switch 1 no se deberá modificar ni VTP ni STP
2. El swich 1 será el root para las vlan 11,12,13,21,22,23. Las demás vlan estarán por defecto.
3. En el switch 2 :
- Nombre para la VLAN21: Marketing con 2 servidores en los puertos fa0/5 y fa0/6
- Nombre para la VLAN22: Ventas con 2 servidores en los puertos fa0/8 y fa0/9
- Nombre para la VLAN23: Producción con 2 servidores en los puertos fa0/14 y fa0/15
- Los puertos conectados a servidores tendrán una transición de rápida
- El modo de VTP del switch2 tiene que ser el mismo que el del switch1
- El switch2 tiene que operar en el mismo modo STP que switch1
- No se debe configurar routing en el switch2
- Solo la SVI de la VLAN1 será configurada con la ip 192.168.1.100/24
4. En la conexión entre switches:
- Por razones de seguridad las vlan 1, 21,22,23 tendrán que ser etiquetadas cuando atraviesan el link
- El trunk entre los switches 1 y 2 debe utilizar el mayor ancho de banda posible. Será activado con un protocolo estándar y el switch1 será el controlador de este link.
- Limitar la propagación de broadcast innecesario configurando "manual pruning" en el trunk
Lo primero que tenemos que hacer es ver la configuración de los equipos para tener una idea de cómo están.
Si no están creadas las vlan, tendremos que crearlas
Switch1:
switch1(config)#vlan 11
switch1(config-vlan)#exit
Se acaba de añadir el switch 2 a la red. El router está configurado para enrutar el tráfico de los dispositivos que estén conectados tanto al switch 1 como al 2. El switch 1 tiene algo configurado pero habrá que hacer modificaciones. El switch 2 tiene una configuración mínima. Se pide acabar de configurar los switches.
1. En switch 1 no se deberá modificar ni VTP ni STP
2. El swich 1 será el root para las vlan 11,12,13,21,22,23. Las demás vlan estarán por defecto.
3. En el switch 2 :
- Nombre para la VLAN21: Marketing con 2 servidores en los puertos fa0/5 y fa0/6
- Nombre para la VLAN22: Ventas con 2 servidores en los puertos fa0/8 y fa0/9
- Nombre para la VLAN23: Producción con 2 servidores en los puertos fa0/14 y fa0/15
- Los puertos conectados a servidores tendrán una transición de rápida
- El modo de VTP del switch2 tiene que ser el mismo que el del switch1
- El switch2 tiene que operar en el mismo modo STP que switch1
- No se debe configurar routing en el switch2
- Solo la SVI de la VLAN1 será configurada con la ip 192.168.1.100/24
4. En la conexión entre switches:
- Por razones de seguridad las vlan 1, 21,22,23 tendrán que ser etiquetadas cuando atraviesan el link
- El trunk entre los switches 1 y 2 debe utilizar el mayor ancho de banda posible. Será activado con un protocolo estándar y el switch1 será el controlador de este link.
- Limitar la propagación de broadcast innecesario configurando "manual pruning" en el trunk
Lo primero que tenemos que hacer es ver la configuración de los equipos para tener una idea de cómo están.
Si no están creadas las vlan, tendremos que crearlas
Switch1:
switch1(config)#vlan 11
switch1(config-vlan)#exit
switch1(config)#vlan 12
switch1(config-vlan)#exit
switch1(config)#vlan 13
switch1(config-vlan)#exit
switch1(config)#vlan 21
switch1(config-vlan)#exit
switch1(config)#vlan 22
switch1(config-vlan)#exit
switch1(config)#vlan 23
switch1(config-vlan)#exit
Y ahora hacemos que este equipo sea el root de STP para las vlan que nos dice:
switch1(config)#spanning-tree vlan 11 root primary
switch1(config)#spanning-tree vlan 12 root primary
switch1(config)#spanning-tree vlan 13 root primary
switch1(config)#spanning-tree vlan 21 root primary
switch1(config)#spanning-tree vlan 22 root primary
switch1(config)#spanning-tree vlan 23 root primary
Ahora la configuración del switch 2. Configuramos las vlan y las nombramos:
Switch2:
switch1(config)#vlan 21
switch1(config-vlan)#name Marketing
switch1(config-vlan)#exit
switch1(config)#vlan 22
switch1(config-vlan)#name Ventas
switch1(config-vlan)#exit
switch1(config)#vlan 23
switch1(config-vlan)#name Produccion
switch1(config-vlan)#exit
Y asignamos los puertos que nos piden y los hacemos Portfast para mejorar la transición:
Switch2:
interface FastEthernet0/5
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/6
switchport access vlan 21
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/8
switchport access vlan 22
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/9
switchport access vlan 22
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/14
switchport access vlan 23
switchport mode access
spanning-tree portfast
!
interface FastEthernet0/15
switchport access vlan 23
switchport mode access
spanning-tree portfast
!
Ahora para configurar el mod VTP nos vamos al switch1 y vemos que tiene configurado Rapid Spanning-Tree y el modo de VTP es "transparent". Configuramos lo mismo en el switch2:
Switch2#
conf t
vtp mode transparent
!
spanning-tree mode rapid-pvst
Creo que el switch2 que nos añaden en el escenario es un 3500, por lo que puede venir activado el routing. No queda muy claro que hacer. Si dice que no tienen que tener routing, yo lo desactivaría:
switch2(config)#no ip routing
Para configurar la ip en la SVI:
switch2(config)#int vlan 1
switch2(config)#ip add 192.168.1.100 255.255.255.0
Después, para la conexión entre switches, cuando nos dice que tenemos que usar el mayor ancho de banda posibe nos está diciendo en realidad que creemos un Etherchannel. Si miramos la configuración de las interfaces Fa0/2 y 3 en switch2 vemos que están configuradas como puertos de acceso. Quitamos esa configuración y creamos el Etherchannel, que como no nos dicen nada de direcciones ip, asumimos que es un Etherchannel de capa 2.
switch2(config)#interface range fa0/2 – 3
switch2(config-if)#no switchport mode access
switch2(config-if)#no switchport access vlan 98
switch2(config-if)#no switchport mode access
switch2(config-if)#no switchport access vlan 98
switch2(config)#interface range fa0/2 – 3
switch2(config-if)#channel-group 1 mode passive - protocolo estándar
switch2(config-if)#channel-protocol lacp - protocolo estándar
switch2(config-if)#no shutdown
switch2(config-if)#channel-group 1 mode passive - protocolo estándar
switch2(config-if)#channel-protocol lacp - protocolo estándar
switch2(config-if)#no shutdown
Seguidamente hacemos que el Etherchannel sea un puerto TRUNK:
switch2(config-if)#interface port-channel 1
switch2(config-if)#switchport mode trunk
switch2(config-if)#switchport mode trunk
Lo hacemos también en el switch1:
switch1(config)#interface range fa0/2 – 3
switch1(config-if)#no switchport mode access
switch1(config-if)#no switchport access vlan 98
switch1(config-if)#no switchport mode access
switch1(config-if)#no switchport access vlan 98
switch1(config)#interface range fa0/2 – 3
switch1(config-if)#channel-group 1 mode active - protocolo estándar. Active = Rol de Controlador
switch1(config-if)#channel-protocol lacp - protocolo estándar
switch1(config-if)#no shutdown
switch1(config-if)#channel-group 1 mode active - protocolo estándar. Active = Rol de Controlador
switch1(config-if)#channel-protocol lacp - protocolo estándar
switch1(config-if)#no shutdown
switch1(config-if)#interface port-channel 1
switch1(config-if)#switchport mode trunk
switch1(config-if)#switchport mode trunk
Si vemos que tenemos mensaje de "mismatch" de la vlan nativa, tenemos que cambiarla. Si vemos la configuración del switch1, existe la vlan99 y está nombrada como native. Además nos dice que la vlan 1 tiene que llevar etiqueta y si dejamos la vlan 1 por defecto como nativa, es esa la vlan que se utiliza para enviar las tramas sin etiqeuta. Asignamos la vlan 99 como native en los trunks.
switch2(config)#int port-channel 1
Y por último nos pide que eliminemos broadcast innecesario usando pruning manual. Esto en realidad nos dice que permitamos las vlans que tiene el equipo configuradas y con equipos asignados a esas vlan. Por lo tanto, nos pide que permitamos las vlan 21,22 y 23. Hay que hacerlo en ambos.
switch1(config)#interface port-channel 1
switch1(config-if)#switchport trunk allowed vlan 1,21-23
switch1(config-if)#switchport trunk allowed vlan 1,21-23
switch2(config)#interface port-channel 1
switch2(config-if)#switchport trunk allowed vlan 1,21-23
switch2(config-if)#switchport trunk allowed vlan 1,21-23
Guardamos la configuración en ambos switches y finalizado.
6. MLS/EIGRP
Se pide que configures el Switch Multilayer que tiene una configuración parcial. hay que configurar el MLS para que los PC's puedan hacer ping al servidor. el propio MLS también tiene que hacer ping al servidor. No se pueden crear ni eliminar vlans ni trunks ni asignar puertos de acceso. L apolítica de la empresa no permite routing estático o default routing. Las rutas se tienen que aprender con el protocolo EIGRP en el sistema autónomo 650.
No tenemos acceso al router. Está correctamente configurado. No se ha configurado trunking en el router. Las direcciones ip de las interfaces del MLS usarán la ip más baja del rango que les corresponda. Los rangos de las subredes son:
- 172.16.0.0/24
- 192.168.0.0/25
- 192.168.0.128/25
Los PC's están correctamente configurados.
El routing debe habilitarse solo para las subredes que tenemos en el escenario.
Se pide que configures el Switch Multilayer que tiene una configuración parcial. hay que configurar el MLS para que los PC's puedan hacer ping al servidor. el propio MLS también tiene que hacer ping al servidor. No se pueden crear ni eliminar vlans ni trunks ni asignar puertos de acceso. L apolítica de la empresa no permite routing estático o default routing. Las rutas se tienen que aprender con el protocolo EIGRP en el sistema autónomo 650.
No tenemos acceso al router. Está correctamente configurado. No se ha configurado trunking en el router. Las direcciones ip de las interfaces del MLS usarán la ip más baja del rango que les corresponda. Los rangos de las subredes son:
- 172.16.0.0/24
- 192.168.0.0/25
- 192.168.0.128/25
Los PC's están correctamente configurados.
El routing debe habilitarse solo para las subredes que tenemos en el escenario.
La conclusión que sacamos con la descripción del escenario es que entre el switch y el router no hay que montar un trunk. Si no podemos montar un trunk no podremos montar el routing de las vlans del modo "Routing on Stick" porque necesita un trunk. Así que nos están pidiendo que hagamos el routing en el MLS. Para ello recordad que hay que crear las "interface-vlan". Luego hay que configurar EIGRP en el sistema autónomo 650 y propagar las subredes. Probad la conectividad cuando terminéis.
MLS:
Convertimos el puerto que se enfrenta al router en un puerto de capa 3 y le asignamos una ip.
Switch(config)#int fa0/24
Switch(config-if)#no switchport
Switch(config-if)#ip add 172.16.0.1 255.255.255.0
Switch(config-if)#no shutdown
Creamos las interfaces vlan:
Switch(config-if)#int vlan 100
Switch(config-if)#ip add 192.168.0.1 255.255.255.128
Switch(config-if)#no sh
Switch(config-if)#int vlan 200
Switch(config-if)#ip add 192.168.0.129 255.255.255.128
Switch(config-if)#no sh
Switch(config-if)#exit
Habilitamos el routing:
Switch(config)#ip routing
Y configuramos el escenario EIGRP.
Switch(config)#router eigrp 650
Switch(config-router)#net 192.168.0.1 0.0.0.127
Switch(config-router)#no net 192.168.0.1 0.0.0.127
Switch(config-router)#net 192.168.0.0 0.0.0.127
Switch(config-router)#net 192.168.128.0 0.0.0.127
Switch(config-router)#net 172.16.0.0 0.0.0.255
Comprobamos si llegamos al servidor desde los PC's y desde el switch.
7. DOT1X
La empresa X tiene 2 switches. Hay que crear una nueva VLAN, la 20. Por cuestiones de seguridad el acceso a la VLAN 20 está renstringido de la siguiente manera:
– Los puertos de acceso de usuarios conectados al switch1 deben ser autenticados antes de conceder el acceso a la red. Esta autenticación debe ser a través de un servidor Radius:
– Servidor Radius: 172.120.39.46
– Clave del Servidor Radius : ciscolab
– La autenticación debe implementarse lo más cerca posible del PC.
– Los dispositivos de la VLAN 20 están restringidos al rango ip 172.120.40.0/24.
– Paquetes de dispositivos del rango 172.120.40.0/24 deben enviarse sobre la VLAN 20.
– Paquetes desde dispositivos de otro rango deben ser descartados en la VLAN 20.
– Los filtros hay que implementarlos lo más cerca posible del servidor.
– Clave del Servidor Radius : ciscolab
– La autenticación debe implementarse lo más cerca posible del PC.
– Los dispositivos de la VLAN 20 están restringidos al rango ip 172.120.40.0/24.
– Paquetes de dispositivos del rango 172.120.40.0/24 deben enviarse sobre la VLAN 20.
– Paquetes desde dispositivos de otro rango deben ser descartados en la VLAN 20.
– Los filtros hay que implementarlos lo más cerca posible del servidor.
El Servidor Radius será implementado más tarde. Se pide dejar los switches preparados para ello.
Desgraciadamente ni con Packet Tracer ni con GNS3 podemos emular el escenario completo. Os dejo la resolución:
Switch1:
Habilitamos AAA y definimos el servidor con la clave:
switch1(config)#aaa new-model
switch1(config)#radius-server host 172.120.39.46 key rad123
Le decimos al switch que la autenticación será con Radius:
switch1(config)#aaa authentication dot1x default group radius
Habilitamos globalmente la autenticación en los puertos
switch1(config)#dot1x system-auth-control
Configuramos la interface Fa0/1 para usar la autenticación 802.1x:
switch1(config)#interface fastEthernet 0/1
switch1(config-if)#dot1x port-control auto
Switch2:
Creamos una access-list:
switch2(config)#ip access-list standard 10
switch2(config-std-nacl)#permit 172.120.40.0 0.0.0.255
switch2(config-std-nacl)#exit
Creamos el access-map para el access-list que hemos creado antes:
switch2(config)#vlan access-map FILTROVLAN 10
swtich2(config-access-map)#match ip address 10
swtich2(config-access-map)#action forward
switch2(config-access-map)#exit
switch2(config)#vlan access-map FILTROVLAN 20
switch2(config-access-map)#action drop
switch2(config-access-map)#exit
Aplicamos el "vlan-map" a la vlan:
switch2(config)#vlan filter FILTROVLAN vlan-list 20
Guardamos y solucionado.
switch2#copy running-config startup-config
8. HSRP
Nos presentan un escenario. Podemos entrar en los equipos a ver la configuración y nos hacen preguntas.
1. ¿Qué porcentaje del tráfico de la red 192.168.10.0 sale por R1?
A. R1-50 %, R2-50%
B. R1-100%
C. R1-0%
D. R2-100%
D. R2-100%
Nos vamos a R1 y vemos en el grupo HSRP que R1 es el Active, por lo tanto todo el tráfico sale por él.
2. Si el interface e0/0 de R1 se cae y luego se recupera, ¿cuál de estas frases es verdad respecto a la prioridad en el grupo HSRP?
A. La interface bajará 40 puntos la prioridad del grupo 1
B. La interface bajará 60 puntos la prioridad del grupo 1
C. La interface incrementara la actual prioridad 40 puntos en el grupo 1.
D. La interface incrementara la actual prioridad 60 puntos en el grupo 1.
E. La interface pondrá la prioridad por defecto, es decir, 100, para el grupo 1
B. La interface bajará 60 puntos la prioridad del grupo 1
C. La interface incrementara la actual prioridad 40 puntos en el grupo 1.
D. La interface incrementara la actual prioridad 60 puntos en el grupo 1.
E. La interface pondrá la prioridad por defecto, es decir, 100, para el grupo 1
Vemos que el tracking nos dice que la bajará 40. Pero la clave de la preguntas es que cae y "recupera". Cuando cae baja 40, y cuando recupera, vuelve a añadir.
3. ¿Qué está causando que en el grupo 2 de HSRP tanto R1 como R2 están en modo active?
A. La autenticación HSRP no está configurada
B. Los paqeutes hello de HSRP están bloqueados
C. Los "timers" de HSRP son incorrectos en unos de los 2
D. El número de grupo es incorrecto en unos de los 2
E. Las prioridades del grupo HSRP son diferentes
E. Las prioridades del grupo HSRP son diferentes
Si nos fijamos en la configuración de las interfaces en cada uno de ellos veremos que en R1 falta por configurar la parte de autenticación:
R2#sh run int e0/1
Building
configuration...
Current
configuration : 237 bytes
!
interface
Ethernet0/1
ip address 192.168.20.2 255.255.255.0
full-duplex
standby 2 ip 192.168.20.254
standby 2 priority 130
standby 2 preempt delay reload 180
standby
2 authentication ciscolab
standby 2 track 1 decrement 40
end
|
R1#sh run int e0/1
Building
configuration...
Current
configuration : 110 bytes
!
interface
Ethernet0/1
ip address 192.168.20.1 255.255.255.0
full-duplex
standby 2 ip 192.168.20.254
end
|
4. ¿Cuál es la dirección mac virtual del grupo HSRP 1?
A. 0000.0c07.1111
B. 0000.4444.1001
C. 0000.0c07.ac02
D. 0000.0c07.ac01
E. cc01.1188.0000
Vemos en el show standby la ip creada por el grupo HSRP.
Me podrían ayudar con la configuración del escenario 2? no hay caso que lo puede hacer andar
ResponderEliminar