🖥️ Proyecto Final-Módulo 2

☰ Main Menú

Implementación Avanzada de Redes con VLANs, Enrutamiento y ACLs

📌 Introducción

Este proyecto integrador aplicará los conceptos avanzados de enrutamiento y conmutación para diseñar una red corporativa escalable. Implementarás VLANs, enrutamiento inter-VLAN, OSPF, ACLs y NAT, consolidando todos los conocimientos del módulo.

🔍 Conceptos Necesarios

🔀 Conmutación Avanzada

Configuración de switches, VLANs (Virtual LANs) y trunking (802.1Q) para segmentación lógica de redes.

🛣️ Enrutamiento

🛡️ Seguridad Básica

Listas de Control de Acceso (ACLs) para filtrar tráfico y NAT para traducción de direcciones.

🔧 Administración

Configuración de DHCP, gestión de dispositivos y mantenimiento de equipos de red.

📋 Enunciado del Proyecto

Escenario Corporativo:

Una empresa necesita implementar una red con:

Diagrama de Topología

    [Internet]
       |
    [Router R1] (NAT, ACL)
       |
    [Router R2] (OSPF, Inter-VLAN)
    /   |    \
[SW1] [SW2] [Servidores]
 |       |      |
VLANs  VLANs  (VLAN 30)

🛠️ Resolución Paso a Paso

Paso 1: Configuración de VLANs en Switches

En ambos switches (SW1 y SW2):

Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Gerencia
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Ventas
Switch(config-vlan)# exit
Switch(config)# vlan 30
Switch(config-vlan)# name IT
Switch(config-vlan)# exit

# Asignar puertos a VLANs (ejemplo para SW1)
Switch(config)# interface range fastEthernet 0/1-5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# exit

# Configurar puertos trunk hacia router
Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# exit

📝 Explicación:

  • Creamos las VLANs 10 (Gerencia), 20 (Ventas) y 30 (IT)
  • Asignamos puertos de acceso a cada VLAN según departamento
  • Configuramos puertos trunk (enlace troncal) para transportar múltiples VLANs
  • El comando switchport trunk allowed vlan especifica qué VLANs pueden pasar

Paso 2: Configuración de Router-on-a-Stick (R2)

Configuraremos el router R2 para enrutamiento inter-VLAN:

Router> enable
Router# configure terminal
Router(config)# hostname R2
R2(config)# interface gigabitEthernet 0/0.10
R2(config-subif)# encapsulation dot1Q 10
R2(config-subif)# ip address 192.168.10.1 255.255.255.0
R2(config-subif)# exit

R2(config)# interface gigabitEthernet 0/0.20
R2(config-subif)# encapsulation dot1Q 20
R2(config-subif)# ip address 192.168.20.1 255.255.255.0
R2(config-subif)# exit

R2(config)# interface gigabitEthernet 0/0.30
R2(config-subif)# encapsulation dot1Q 30
R2(config-subif)# ip address 192.168.30.1 255.255.255.0
R2(config-subif)# exit

# Activar interfaz física
R2(config)# interface gigabitEthernet 0/0
R2(config-if)# no shutdown

🔍 Qué estamos haciendo?

  • Creamos subinterfaces para cada VLAN (identificadas por .10, .20, .30)
  • encapsulation dot1Q especifica el tagging VLAN (IEEE 802.1Q)
  • Asignamos direcciones IP que servirán como gateways para cada VLAN
  • Esquema de direccionamiento:
    • VLAN 10: 192.168.10.0/24
    • VLAN 20: 192.168.20.0/24
    • VLAN 30: 192.168.30.0/24

Paso 3: Configuración de OSPF entre Routers

Implementaremos enrutamiento dinámico con OSPF:

En Router R2 (interno):

R2(config)# router ospf 1
R2(config-router)# network 192.168.10.0 0.0.0.255 area 0
R2(config-router)# network 192.168.20.0 0.0.0.255 area 0
R2(config-router)# network 192.168.30.0 0.0.0.255 area 0
R2(config-router)# network 10.0.0.0 0.255.255.255 area 0
R2(config-router)# exit

En Router R1 (borde):

R1(config)# router ospf 1
R1(config-router)# network 10.0.0.0 0.255.255.255 area 0
R1(config-router)# default-information originate
R1(config-router)# exit

# Configurar ruta estática predeterminada hacia Internet
R1(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1

📌 Notas importantes:

  • OSPF Area 0 es el área troncal (backbone)
  • default-information originate comparte la ruta predeterminada con otros routers OSPF
  • La máscara inversa (wildcard) 0.0.0.255 equivale a /24
  • Verificar vecinos OSPF con show ip ospf neighbor

Paso 4: Implementación de ACL y NAT

1. Lista de Control de Acceso (ACL):

# Permitir solo a IT (VLAN 30) acceder a servidores
R2(config)# access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255
R2(config)# access-list 100 deny ip any 192.168.30.0 0.0.0.255
R2(config)# access-list 100 permit ip any any
R2(config)# interface gigabitEthernet 0/0.30
R2(config-subif)# ip access-group 100 in

2. Configuración de NAT en R1:

# Definir red interna
R1(config)# ip access-list standard NAT_INTERNAL
R1(config-std-nacl)# permit 192.168.10.0 0.0.0.255
R1(config-std-nacl)# permit 192.168.20.0 0.0.0.255
R1(config-std-nacl)# permit 192.168.30.0 0.0.0.255
R1(config-std-nacl)# exit

# Configurar NAT sobrecargado (PAT)
R1(config)# ip nat inside source list NAT_INTERNAL interface gigabitEthernet 0/1 overload

# Definir interfaces
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip nat inside
R1(config-if)# exit
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip nat outside

🛡️ Políticas de Seguridad:

  • ACL 100 permite solo a VLAN 30 acceder a los servidores
  • NAT sobrecargado (PAT) permite que múltiples dispositivos compartan una IP pública
  • Verificar NAT con show ip nat translations

Paso 5: Configuración de DHCP

Implementaremos DHCP para asignación automática de IPs:

En Router R2:

# Pool para VLAN 10 (Gerencia)
R2(config)# ip dhcp pool GERENCIA
R2(dhcp-config)# network 192.168.10.0 255.255.255.0
R2(dhcp-config)# default-router 192.168.10.1
R2(dhcp-config)# dns-server 8.8.8.8
R2(dhcp-config)# exit

# Pool para VLAN 20 (Ventas)
R2(config)# ip dhcp pool VENTAS
R2(dhcp-config)# network 192.168.20.0 255.255.255.0
R2(dhcp-config)# default-router 192.168.20.1
R2(dhcp-config)# dns-server 8.8.8.8
R2(dhcp-config)# exit

# Excluir direcciones estáticas
R2(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.10
R2(config)# ip dhcp excluded-address 192.168.20.1 192.168.20.10

💡 Buenas prácticas:

  • Excluir rangos de IPs para dispositivos que necesitan configuración estática
  • Usar diferentes pools para cada VLAN
  • Verificar asignaciones con show ip dhcp binding
  • Para VLAN 30 (IT), considerar IPs estáticas para servidores

Paso 6: Pruebas y Verificación

1. Verificar conectividad básica:

# Desde un PC en VLAN 10
C:\> ping 192.168.20.1  # Gateway de VLAN 20 (debe responder)
C:\> ping 8.8.8.8       # Prueba de acceso a Internet

2. Verificar VLANs y trunking:

Switch# show vlan brief
Switch# show interfaces trunk

3. Verificar enrutamiento OSPF:

Router# show ip route
Router# show ip ospf neighbor

4. Verificar NAT:

R1# show ip nat translations
R1# show ip nat statistics

⚠️ Solución de problemas comunes:

  • VLANs no comunicándose: Verificar trunking y encapsulación dot1Q
  • OSPF no estableciendo vecindad: Verificar que interfaces estén en área 0
  • NAT no funcionando: Verificar interfaces marcadas como inside/outside
  • DHCP no asignando IPs: Verificar que el relay DHCP esté configurado si es necesario

📝 Documentación Final

1. Informe Técnico

2. Presentación

3. Criterios de Evaluación

Criterio Puntaje
Configuración correcta de VLANs y trunking 20%
Implementación de enrutamiento inter-VLAN y OSPF 25%
Configuración de ACLs y NAT 20%
Implementación de DHCP 15%
Pruebas de conectividad y solución de problemas 10%
Documentación profesional 10%

🔗 Recursos Adicionales