8.3.1.2 Packet Tracer: Desafío para la integración de aptitudes de CCNA Respuestas

14/09/2022 CCNA 4 v6.0 Respuestas Leave a comment

Última actualización: septiembre 14, 2022

8.3.1.2 Packet Tracer: Desafío para la integración de aptitudes de CCNA

Nota para el instructor: El color de fuente rojo o las partes resaltadas en gris indican texto que aparece en la copia del instructor solamente.

Topología

Tabla de direccionamiento

Dispositivo Interfaz Dirección IP Máscara de subred
HQ G0/0 10.0.1.1 255.255.255.0
G0/1 192.0.2.1 255.255.255.0
S0/0/0 10.255.255.1 255.255.255.252
S0/0/1 10.255.255.253 255.255.255.252
S0/1/0 209.165.201.1 255.255.255.252
B1 G0/0,10 10.1.10.1 255.255.255.0
G0/0,20 10.1.20.1 255.255.255.0
G0/0,30 10.1.30.1 255.255.255.0
G0/0,99 10.1.99.1 255.255.255.0
S0/0/0 10.255.255.2 255.255.255.252
B1-S2 VLAN 99 10.1.99.22 255.255.255.0

Configuraciones y asignaciones de puertos de VLAN

Número de VLAN Dirección de red Nombre de la VLAN Asignaciones de puertos
10 10.1.10.0/24 Admin. F0/6
20 10.1.20.0/24 Ventas F0/11
30 10.1.30.0/24 Producción F0/16
99 10.1.99.0/24 Gerencia_y_nativa F0/1 a 4
999 N/D BlackHole Puertos no utilizados

Situación

En esta actividad para la integración de aptitudes de CCNA, la empresa XYZ usa una combinación de eBGP y PPP para las conexiones WAN. Otras tecnologías incluyen NAT, DHCP, routing estático y predeterminado, EIGRP para IPv4, routing entre VLAN y configuraciones de VLAN. Las configuraciones de seguridad incluyen SSH, seguridad de puertos, seguridad de switches y listas ACL.

Nota: Solo se puede acceder a HQ, B1, B1-S2 y las PC. La contraseña EXEC del usuario es cisco y la contraseña EXEC privilegiado es class.

Requisitos

PPP

  • Configure el enlace WAN de HQ a Internet con encapsulamiento PPP y autenticación CHAP.
    • Cree un usuario ISP con la contraseña cisco.
  • Configure el enlace WAN de HQ a NewB con encapsulamiento PPP y autenticación PAP.
    • Cree un usuario NewB con la contraseña cisco.

Nota: Packet Tracer no califica ppp pap sent-username. Sin embargo, debe configurarse para que se produzca el enlace entre HQ y NewB.

HQ(config)# interface s0/1/0
HQ(config-if)# encapsulation ppp
HQ(config-if)# ppp authentication chap
HQ(config-if)# exit
HQ(config)# username ISP password cisco
HQ(config)# interface s0/0/1
HQ(config-if)# encapsulation ppp
HQ(config-if)# ppp authentication pap
HQ(config-if)# ppp pap sent-username HQ password cisco
HQ(config-if)# exit
HQ(config)# username NewB password cisco

eBGP

  • Configure eBGP entre HQ e Internet.
    • HQ pertenece a AS 65000.
    • La dirección IP del router BGP en la nube de Internet es 209.165.201.2.
    • Anuncie la red 192.0.2.0/24 a Internet.
HQ(config)# router bgp 65000
HQ(config-router)# neighbor 209.165.201.2 remote-as 65001
HQ(config-router)# network 192.0.2.0 mask 255.255.255.0

NAT

  • Configurar NAT dinámica en HQ
    • Permita que todas las direcciones del espacio de direcciones 10.0.0.0/8 se traduzcan mediante una lista de acceso estándar con nombre NAT.
    • La compañía XYZ posee el espacio de direcciones 209.165.200.240/29. El conjunto, HQ, usa las direcciones .241 a .245 con una máscara /29. Vincule la ACL NAT con el conjunto HQ. Configure PAT.
    • Las conexiones con Internet y HQ-DataCenter son externas a XYZ.
HQ(config)# ip access-list standard NAT
HQ(config-std-nacl)# permit 10.0.0.0 0.255.255.255
HQ(config-std-nacl)# exit
HQ(config)# ip nat pool HQ 209.165.200.241 209.165.200.245 netmask 255.255.255.248
HQ(config)# ip nat inside source list NAT pool HQ overload
HQ(config)# interface s0/1/0
HQ(config-if)# ip nat outside
HQ(config-if)# interface g0/1
HQ(config-if)# ip nat outside
HQ(config-if)# interface s0/0/0
HQ(config-if)# ip nat inside
HQ(config-if)# interface s0/0/1
HQ(config-if)# ip nat inside
HQ(config-if)# interface g0/0
HQ(config-if)# ip nat inside

Routing entre redes VLAN

  • Configure B1 para el routing entre VLAN.
    • Mediante la tabla de direccionamiento para los routers de sucursal, configure y active la interfaz LAN para el routing entre VLAN. La VLAN 99 es la VLAN nativa.
B1(config)# interface g0/0
B1(config-if)# no shutdown
B1(config-if)# interface g0/0.10
B1(config-subif)# encapsulation dot1q 10
B1(config-subif)# ip address 10.1.10.1 255.255.255.0
B1(config-subif)# interface g0/0.20
B1(config-subif)# encapsulation dot1q 20
B1(config-subif)# ip address 10.1.20.1 255.255.255.0
B1(config-subif)# interface g0/0.30
B1(config-subif)# encapsulation dot1q 30
B1(config-subif)# ip address 10.1.30.1 255.255.255.0
B1(config-subif)# interface g0/0.99
B1(config-subif)# encapsulation dot1q 99 native
B1(config-subif)# ip address 10.1.99.1 255.255.255.0

Enrutamiento estático y predeterminado

  • Configure HQ con una ruta estática a la LAN NewB. Use la interfaz de salida como argumento.
  • Configure B1 con una ruta predeterminada a HQ. Utilice la dirección IP del siguiente salto como argumento.
HQ(config)# ip route 10.4.5.0 255.255.255.0 serial 0/0/1

B1(config)# ip route 0.0.0.0 0.0.0.0 10.255.255.1

Routing EIGRP

  • Configure y optimice HQ y B1 con routing EIGRP.
    • Use el sistema autónomo (AS) 100.
    • Deshabilite las actualizaciones de EIGRP en las interfaces adecuadas.
HQ(config)# router eigrp 100
HQ(config-router)# network 10.0.0.0
HQ(config-router)# passive-interface g0/0
HQ(config-router)# passive-interface s0/0/1

B1(config)# router eigrp 100
B1(config-router)# network 10.0.0.0
B1(config-router)# passive-interface g0/0.10
B1(config-router)# passive-interface g0/0.20
B1(config-router)# passive-interface g0/0.30
B1(config-router)# passive-interface g0/0.99

Configuraciones de VLAN y enlaces troncales

Nota: El registro en la consola está desactivado en B1-S2 para que los mensajes de discrepancia de VLAN nativa no interrumpan sus configuraciones. Si prefiere ver los mensajes de la consola, introduzca el comando de configuración global logging console.

  • Configure los enlaces troncales y redes VLAN en B1-S2.
    • Cree y nombre las VLAN que se indican en la tabla de Configuración de VLAN y asignaciones de puertos solo en B1-S2.
    • Configure la interfaz y el gateway predeterminado de la VLAN 99.
    • Active el modo de enlace troncal para F0/1 – F0/4.
    • Asigne las VLAN a los puertos de acceso adecuados.
    • Deshabilite todos los puertos sin utilizar y asigne la VLAN BlackHole.
B1-S2(config)# vlan 10
B1-S2(config-vlan)# name Admin
B1-S2(config-vlan)# vlan 20
B1-S2(config-vlan)# name Sales
B1-S2(config-vlan)# vlan 30
B1-S2(config-vlan)# name Production
B1-S2(config-vlan)# vlan 99
B1-S2(config-vlan)# name Mgmt&Native
B1-S2(config-vlan)# vlan 999
B1-S2(config-vlan)# name BlackHole
B1-S2(config)# interface vlan 99
B1-S2(config-if)# ip address 10.1.99.22 255.255.255.0
B1-S2(config-if)# exit
B1-S2(config)# ip default-gateway 10.1.99.1
B1-S2(config)# interface range f0/1 - 4
B1-S2(config-if-range)# switchport mode trunk
B1-S2(config-if-range)# switchport trunk native vlan 99
B1-S2(config-if-range)# exit
B1-S2(config)# interface f0/6
B1-S2(config-if)# switchport mode access
B1-S2(config-if)# switchport access vlan 10
B1-S2(config-if)# interface f0/11
B1-S2(config-if)# switchport mode access
B1-S2(config-if)# switchport access vlan 20
B1-S2(config-if)# interface f0/16
B1-S2(config-if)# switchport mode access
B1-S2(config-if)# switchport access vlan 30
B1-S2(config-if)# exit
B1-S2(config)# interface range f0/5, f0/7-10, f0/12-15, f0/17-24, g0/1-2
B1-S2(config-if-range)# switchport access vlan 999
B1-S2(config-if-range)# shutdown

Seguridad de puertos

  • Use la siguiente política para establecer la seguridad en los puertos de acceso de B1-S2.
    • Permita que se aprendan dos direcciones MAC en el puerto.
    • Configure las direcciones MAC aprendidas para que se agreguen a la configuración.
    • Configure el puerto para que envíe un mensaje si se produce una violación a la seguridad. El tráfico se permite desde las dos primeras direcciones MAC aprendidas.
B1-S2(config)# interface range f0/6, f0/11, f0/16
B1-S2(config-if-range)# switchport port-security
B1-S2(config-if-range)# switchport port-security maximum 2
B1-S2(config-if-range)# switchport port-security mac-address sticky
B1-S2(config-if-range)# switchport port-security violation restrict

SSH

  • Configure HQ para que use SSH para el acceso remoto.
    • Establezca el módulo en 2048. El nombre de dominio es com.
    • El nombre de usuario es admin y la contraseña es adminonly.
    • Solo se debería permitir SSH en las líneas VTY.
    • Modifique los valores predeterminados de SSH: versión 2; tiempo de espera de 60 segundos; dos reintentos.
HQ(config)# ip domain-name CCNASkills.com
HQ(config)# crypto key generate rsa

HQ(config)# username admin password adminonly
HQ(config)# line vty 0 4
HQ(config-line)# transport input ssh
HQ(config-line)# login local
HQ(config-line)# exit
HQ(config)# ip ssh version 2
HQ(config)# ip ssh time-out 60
HQ(config)# ip ssh authentication-retries 2

DHCP

  • En B1, configure un conjunto DHCP para la VLAN 20 de Ventas con los siguientes requisitos:
    • Excluya las primeras 10 direcciones IP en el rango.
    • El nombre del pool, que distingue mayúsculas de minúsculas, es VLAN20.
    • Incluya el servidor DNS conectado a la LAN de HQ como parte de la configuración DHCP.
  • Configure la PC de Ventas para que use DHCP.
B1(config)# ip dhcp excluded-address 10.1.20.1 10.1.20.10
B1(config)# ip dhcp pool VLAN20
B1(dhcp-config)# network 10.1.20.0 255.255.255.0
B1(dhcp-config)# default-router 10.1.20.1
B1(dhcp-config)# dns-server 10.0.1.4

Click Sales PC > Desktop > IP Configuration
Change to DHCP and verify PC gets addressing information

Política de listas de acceso

  • Dado que HQ está conectado a Internet, configure y aplique una ACL con el nombre HQINBOUND en el siguiente orden:
    • Permita las actualizaciones de BGP entrantes (puerto TCP 179) de cualquier origen a cualquier destino.
    • Permita las solicitudes HTTP de cualquier origen a la red HQ-DataCenter.
    • Permita solo las sesiones TCP establecidas desde Internet.
    • Permita solo las respuestas de ping entrantes desde Internet.
    • Bloquee explícitamente todos los demás accesos entrantes desde Internet.
HQ(config)# ip access-list extended HQINBOUND
HQ(config-ext-nacl)# permit tcp any any eq 179
HQ(config-ext-nacl)# permit tcp any 192.0.2.0 0.0.0.255 eq www
HQ(config-ext-nacl)# permit tcp any any established
HQ(config-ext-nacl)# permit icmp any any echo-reply
HQ(config-ext-nacl)# deny ip any any
HQ(config-ext-nacl)# exit
HQ(config)# interface s0/1/0
HQ(config-if)# ip access-group HQINBOUND in

Conectividad

  • Verifique que la conectividad sea total desde cada PC a pka y www.cisco.pka.
  • El host externo debe poder acceder a la página web en WWW.pka.
  • Todas las pruebas de la situación 0 deberían producir resultados correctos.

Icono
8.3.1.2 Packet Tracer - Desafío para la integración de aptitudes de CCNA.pka
1 archivo(s) 860.86 KB
Descargar

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax