Referencia Redes - Routing & Switching | Guía de comandos Cisco IOS

Referencia Redes - Routing & Switching

HTML autocontenido con comandos Cisco IOS explicados, orientado a Packet Tracer y laboratorios CCNA 1/2. Incluye una guía rápida para saber dónde va cada IP, qué se configura en switches 2960 y qué se configura en routers.

VLAN 10/20/30/50/99SVI de administraciónTroncales 802.1QRouter-on-a-stickRutas estáticasPort-security

0. Criterio rápido: dónde va cada cosa

Switch capa 2, por ejemplo 2960

Crea VLAN.
Asigna puertos access a VLAN.
Configura trunks entre switches o hacia router.
Solo lleva una IP de administración en una SVI.

Router o switch capa 3

Tiene las puertas de enlace de cada VLAN.
Enruta entre redes distintas.
Lleva subinterfaces si se usa router-on-a-stick.
Lleva rutas estáticas o dinámicas.

Host / PC

IP dentro de su red.
Máscara correcta.
Gateway = IP del router o SVI capa 3 de su VLAN.
DNS si procede.

Regla práctica: en un switch 2960 no se configuran las puertas de enlace de VLAN 10, 20 o 30. En el 2960 se configura como máximo una SVI para administrar el switch, por ejemplo VLAN 30 si ADMIN es también la VLAN de gestión.

VLAN	Red ejemplo	Uso	Gateway típico	Dónde se configura el gateway
10 - A	10.0.10.0/24	Usuarios A	10.0.10.1	Router / switch capa 3
20 - B	10.0.20.0/24	Usuarios B	10.0.20.1	Router / switch capa 3
30 - ADMIN / MGMT	10.0.30.0/24	Administración y gestión del switch	10.0.30.1	Router / switch capa 3
50 - NATIVA	Sin hosts	Tráfico no etiquetado en trunks	No se usa	No debe tener gateway de usuarios
99 - BLACK	Sin hosts	Puertos no usados apagados	No se usa	No debe tener gateway

1. IOS Cisco y modos de trabajo

Modo	Prompt	Entrada	Salida
EXEC usuario	`Switch>`	Inicial	`exit`
EXEC privilegiado	`Switch#`	`enable`	`disable`
Configuración global	`Switch(config)#`	`configure terminal`	`end` / Ctrl+Z
Interfaz	`Switch(config-if)#`	`interface f0/1`	`exit`
Línea consola/VTY	`Switch(config-line)#`	`line console 0` / `line vty 0 15`	`exit`

enable
configure terminal
hostname S1
no ip domain-lookup
end
copy running-config startup-config

Ayuda: ? muestra opciones contextuales, Tab autocompleta, show ? lista variantes de show.

2. Configuración básica común

2.1 Hostname, contraseñas, banner y cifrado

enable
configure terminal
hostname S1
no ip domain-lookup
service password-encryption
enable secret class
banner motd #SOLO ACCESO AUTORIZADO#
line console 0
 password cisco
 login
 logging synchronous
 exec-timeout 5 0
 exit
line vty 0 15
 password cisco
 login
 exec-timeout 5 0
 exit
end
copy running-config startup-config

Comando	Para qué sirve
`hostname`	Identifica el equipo en la CLI y en el diagrama.
`no ip domain-lookup`	Evita que un comando mal escrito se intente resolver por DNS.
`enable secret`	Protege el modo EXEC privilegiado con contraseña cifrada.
`service password-encryption`	Cifra contraseñas de texto claro en la configuración. Es cifrado débil, pero evita exposición directa.
`logging synchronous`	Evita que mensajes del sistema corten el comando que se está escribiendo.

2.2 SSH recomendado

configure terminal
ip domain-name ccna-lab.local
username admin privilege 15 secret adminpass
crypto key generate rsa modulus 1024
ip ssh version 2
ip ssh time-out 75
ip ssh authentication-retries 2
line vty 0 15
 transport input ssh
 login local
 exit
end

Telnet: solo para prácticas concretas. SSH cifra autenticación y comandos; Telnet envía información en claro.

2.3 SVI de administración en switch 2960

configure terminal
vlan 30
 name ADMIN_MGMT
exit
interface vlan 30
 ip address 10.0.30.2 255.255.255.0
 no shutdown
exit
ip default-gateway 10.0.30.1
end
show ip interface brief

Importante: ip default-gateway en un switch capa 2 solo sirve para que el propio switch pueda ser administrado desde otra red. No enruta tráfico de usuarios.

3. Direccionamiento IPv4, privadas y VLSM

Bloque privado	Rango	Uso
`10.0.0.0/8`	10.0.0.0 - 10.255.255.255	Redes internas grandes.
`172.16.0.0/12`	172.16.0.0 - 172.31.255.255	Redes internas medianas.
`192.168.0.0/16`	192.168.0.0 - 192.168.255.255	LAN pequeñas.

Fórmulas

Necesito	Fórmula	Ejemplo
Subredes	`2^n`	3 bits prestados = 8 subredes.
Hosts útiles	`2^h - 2`	/27 deja 5 bits host: 32 - 2 = 30 hosts.
Número mágico	`256 - valor_octeto_máscara`	/26 = 255.255.255.192; salto = 64.

Calculadora rápida IPv4

4. Switching, VLAN, access y trunks

4.1 Crear VLAN

configure terminal
vlan 10
 name A
vlan 20
 name B
vlan 30
 name ADMIN_MGMT
vlan 50
 name NATIVE_UNUSED
vlan 99
 name BLACK
end
show vlan brief

4.2 Puerto access para un PC

configure terminal
interface f0/1
 description PC VLAN 10
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 no shutdown
end
show vlan brief

4.3 Rango de puertos access

configure terminal
interface range f0/1-10
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
 no shutdown
end

4.4 Trunk entre switches o hacia router

configure terminal
interface f0/24
 description TRUNK hacia SW2/R1
 switchport mode trunk
 switchport trunk native vlan 50
 switchport trunk allowed vlan 10,20,30,50
 switchport nonegotiate
 no shutdown
end
show interfaces trunk

Separación recomendada: VLAN 99 BLACK se usa para puertos no utilizados y apagados. VLAN 50 NATIVA se usa solo como VLAN nativa del trunk; no debe tener hosts.

Ambos extremos del trunk deben coincidir: VLAN nativa y VLAN permitidas. Si un lado tiene nativa 50 y el otro nativa 1, aparecerán errores de native VLAN mismatch.

4.5 VLAN de voz

configure terminal
vlan 20
 name DATOS
vlan 150
 name VOZ
interface f0/10
 switchport mode access
 switchport access vlan 20
 switchport voice vlan 150
 spanning-tree portfast
end

5. Router-on-a-stick

Se usa cuando un router tiene una sola interfaz física hacia el switch y debe enrutar varias VLAN. La interfaz física del router va conectada a un puerto trunk del switch. En el router se crean subinterfaces, una por VLAN, con encapsulación 802.1Q.

PCs VLAN10/20/30 --- SW1 f0/24 === trunk 802.1Q === g0/0 R1 VLAN 10 -> g0/0.10 -> 10.0.10.1/24 VLAN 20 -> g0/0.20 -> 10.0.20.1/24 VLAN 30 -> g0/0.30 -> 10.0.30.1/24 (ADMIN/MGMT) VLAN 50 -> g0/0.50 -> nativa, sin IP VLAN 99 -> BLACK, sin hosts

5.1 Switch conectado al router

configure terminal
vlan 10
 name A
vlan 20
 name B
vlan 30
 name ADMIN_MGMT
vlan 50
 name NATIVE_UNUSED
vlan 99
 name BLACK
interface f0/24
 description TRUNK hacia R1 g0/0
 switchport mode trunk
 switchport trunk native vlan 50
 switchport trunk allowed vlan 10,20,30,50
 no shutdown
end
show interfaces trunk

5.2 Router con subinterfaces

configure terminal
interface g0/0
 description Enlace fisico al switch
 no shutdown
exit
interface g0/0.10
 description Gateway VLAN 10 A
 encapsulation dot1Q 10
 ip address 10.0.10.1 255.255.255.0
exit
interface g0/0.20
 description Gateway VLAN 20 B
 encapsulation dot1Q 20
 ip address 10.0.20.1 255.255.255.0
exit
interface g0/0.30
 description Gateway VLAN 30 ADMIN
 encapsulation dot1Q 30
 ip address 10.0.30.1 255.255.255.0
exit
interface g0/0.50
 description VLAN NATIVA sin hosts
 encapsulation dot1Q 50 native
 no ip address
end
show ip interface brief

Gateway de cada PC: PC VLAN 10 -> 10.0.10.1; PC VLAN 20 -> 10.0.20.1; PC VLAN 30/ADMIN -> 10.0.30.1. VLAN 50 NATIVA y VLAN 99 BLACK no tienen hosts.

6. Routing estático

Un router aprende redes remotas manualmente mediante rutas estáticas o automáticamente mediante protocolos de routing. Las rutas estáticas son adecuadas en redes pequeñas, redes de conexión única, rutas por defecto y rutas de respaldo.

6.1 Ruta estática de siguiente salto

configure terminal
ip route RED_REMOTA MASCARA SIGUIENTE_SALTO
! ejemplo:
ip route 192.168.20.0 255.255.255.0 10.0.12.2
end
show ip route

6.2 Ruta por interfaz de salida

configure terminal
ip route RED_REMOTA MASCARA INTERFAZ_SALIDA
! ejemplo:
ip route 192.168.30.0 255.255.255.0 s0/0/0
end

6.3 Ruta totalmente especificada

configure terminal
ip route RED_REMOTA MASCARA INTERFAZ_SALIDA SIGUIENTE_SALTO
! ejemplo:
ip route 192.168.40.0 255.255.255.0 s0/0/0 10.0.12.2
end

6.4 Ruta predeterminada

configure terminal
ip route 0.0.0.0 0.0.0.0 SIGUIENTE_SALTO
! ejemplo hacia ISP:
ip route 0.0.0.0 0.0.0.0 203.0.113.1
end
show ip route | include 0.0.0.0

6.5 Ruta flotante

configure terminal
! Ruta principal, AD por defecto = 1
ip route 10.10.10.0 255.255.255.0 192.168.12.2
! Ruta de respaldo con distancia administrativa mayor
ip route 10.10.10.0 255.255.255.0 192.168.13.2 5
end
show ip route
traceroute 10.10.10.10

7. Seguridad de switch

7.1 Apagar puertos no usados y mandarlos a VLAN negra

configure terminal
vlan 99
 name BLACK
interface range f0/2-23
 description PUERTO NO USADO
 switchport mode access
 switchport access vlan 99
 shutdown
end

7.2 Port-security básico

configure terminal
interface f0/1
 switchport mode access
 switchport access vlan 10
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown
end
show port-security
show port-security interface f0/1
show port-security address

Modo violación	Acción	Uso típico
`protect`	Descarta tráfico desconocido sin avisar.	Laboratorios donde no se quiere tumbar el puerto.
`restrict`	Descarta, registra y aumenta contador.	Buen compromiso para pruebas.
`shutdown`	Pone el puerto en err-disabled.	Máxima protección. Es el modo por defecto.

7.3 Recuperar puerto err-disabled

configure terminal
interface f0/1
 shutdown
 no shutdown
end
show interfaces status

8. Comandos de verificación y diagnóstico

Comando	Equipo	Comprueba
`show running-config`	Router/Switch	Configuración activa en RAM.
`show startup-config`	Router/Switch	Configuración guardada en NVRAM.
`show ip interface brief`	Router/Switch	IP y estado rápido de interfaces.
`show vlan brief`	Switch	VLAN existentes y puertos asignados.
`show interfaces trunk`	Switch	Trunks, VLAN nativa y VLAN permitidas.
`show mac address-table`	Switch	MAC aprendidas por VLAN/puerto.
`show ip route`	Router	Tabla de routing.
`ping IP`	Todos	Conectividad básica.
`traceroute IP`	Router/Switch capa 3	Camino seguido por los paquetes.

Orden recomendado de avería: cableado/puerto up -> IP/máscara/gateway -> VLAN access -> trunk -> gateway en router -> rutas -> ACL/seguridad.

9. Anexos guiaburros por escenario

Cada anexo está pensado para copiar, pegar y adaptar nombres de interfaz/IP. Sustituye f0/24, g0/0 y las IP por las de tu topología.

Anexo A - Switch nuevo con administración por VLAN 30

Limpiar si procede

enable
delete vlan.dat
erase startup-config
reload

Base

enable
configure terminal
hostname SW1
no ip domain-lookup
service password-encryption
enable secret class
banner motd #SOLO ACCESO AUTORIZADO#

Crear VLAN de gestión y SVI

vlan 30
 name ADMIN_MGMT
exit
interface vlan 30
 ip address 10.0.30.2 255.255.255.0
 no shutdown
exit
ip default-gateway 10.0.30.1

Consola, SSH y guardar

line console 0
 password cisco
 login
 logging synchronous
 exit
ip domain-name lab.local
username admin privilege 15 secret adminpass
crypto key generate rsa modulus 1024
ip ssh version 2
line vty 0 15
 transport input ssh
 login local
end
copy running-config startup-config

Anexo B - Un switch con VLAN 10, 20, 30, nativa 50 y BLACK 99

Crear VLAN

enable
configure terminal
vlan 10
 name A
vlan 20
 name B
vlan 30
 name ADMIN_MGMT
vlan 50
 name NATIVE_UNUSED
vlan 99
 name BLACK
exit

Asignar puertos

interface range f0/1-8
 switchport mode access
 switchport access vlan 10
 spanning-tree portfast
exit
interface range f0/9-16
 switchport mode access
 switchport access vlan 20
 spanning-tree portfast
exit
interface range f0/17-20
 switchport mode access
 switchport access vlan 30
 spanning-tree portfast
exit

Verificar

end
show vlan brief
show mac address-table
copy running-config startup-config

Anexo C - Dos switches unidos por trunk con nativa 50

En ambos switches

configure terminal
vlan 10
 name A
vlan 20
 name B
vlan 30
 name ADMIN_MGMT
vlan 50
 name NATIVE_UNUSED
vlan 99
 name BLACK
interface f0/24
 description TRUNK ENTRE SWITCHES
 switchport mode trunk
 switchport trunk native vlan 50
 switchport trunk allowed vlan 10,20,30,50
 switchport nonegotiate
 no shutdown
end
show interfaces trunk

Verificación cruzada

show vlan brief
show interfaces trunk
show mac address-table dynamic
ping IP_DEL_OTRO_SWITCH_EN_VLAN_30

Anexo D - Router-on-a-stick completo con VLAN 10/20/30/50/99

SW1

enable
configure terminal
hostname SW1
vlan 10
 name A
vlan 20
 name B
vlan 30
 name ADMIN_MGMT
vlan 50
 name NATIVE_UNUSED
vlan 99
 name BLACK
interface range f0/1-8
 switchport mode access
 switchport access vlan 10
exit
interface range f0/9-16
 switchport mode access
 switchport access vlan 20
exit
interface range f0/17-20
 switchport mode access
 switchport access vlan 30
exit
interface f0/24
 description TRUNK hacia R1
 switchport mode trunk
 switchport trunk native vlan 50
 switchport trunk allowed vlan 10,20,30,50
 no shutdown
end
show interfaces trunk

R1

enable
configure terminal
hostname R1
interface g0/0
 no shutdown
exit
interface g0/0.10
 encapsulation dot1Q 10
 ip address 10.0.10.1 255.255.255.0
exit
interface g0/0.20
 encapsulation dot1Q 20
 ip address 10.0.20.1 255.255.255.0
exit
interface g0/0.30
 encapsulation dot1Q 30
 ip address 10.0.30.1 255.255.255.0
exit
interface g0/0.50
 encapsulation dot1Q 50 native
 no ip address
end
show ip interface brief

PCs

PC	IP	Máscara	Gateway
PC VLAN10	10.0.10.10	255.255.255.0	10.0.10.1
PC VLAN20	10.0.20.10	255.255.255.0	10.0.20.1
PC VLAN30	10.0.30.10	255.255.255.0	10.0.30.1

Anexo E - Red con dos routers y rutas estáticas

LAN R1 192.168.10.0/24 -- R1 s0/0/0 10.0.12.1/30 === 10.0.12.2/30 R2 -- LAN R2 192.168.20.0/24

R1

configure terminal
interface g0/0
 ip address 192.168.10.1 255.255.255.0
 no shutdown
exit
interface s0/0/0
 ip address 10.0.12.1 255.255.255.252
 no shutdown
exit
ip route 192.168.20.0 255.255.255.0 10.0.12.2
end
show ip route
ping 192.168.20.1

R2

configure terminal
interface g0/0
 ip address 192.168.20.1 255.255.255.0
 no shutdown
exit
interface s0/0/0
 ip address 10.0.12.2 255.255.255.252
 no shutdown
exit
ip route 192.168.10.0 255.255.255.0 10.0.12.1
end
show ip route
ping 192.168.10.1

Anexo F - Router de borde con ruta por defecto

configure terminal
interface g0/0
 description LAN interna
 ip address 192.168.1.1 255.255.255.0
 no shutdown
exit
interface s0/0/0
 description Salida ISP
 ip address 203.0.113.2 255.255.255.252
 no shutdown
exit
ip route 0.0.0.0 0.0.0.0 203.0.113.1
end
show ip route
traceroute 8.8.8.8

Anexo G - Asegurar puertos de acceso

configure terminal
interface range f0/1-20
 switchport mode access
 spanning-tree portfast
 switchport port-security
 switchport port-security maximum 1
 switchport port-security mac-address sticky
 switchport port-security violation shutdown
exit
interface range f0/21-24
 switchport mode access
 switchport access vlan 99
 shutdown
end
show port-security
show port-security address

Anexo H - Checklist de averías frecuentes

Síntoma	Revisar	Comando
PC no comunica ni en su VLAN	Puerto access, VLAN creada, cable up.	`show vlan brief`, `show interfaces status`
VLAN funciona en SW1 pero no en SW2	Trunk y VLAN permitidas.	`show interfaces trunk`
Entre VLAN no hay ping	Gateway en router, trunk al router, IP de PCs.	`show ip interface brief`, `show interfaces trunk`
Switch no responde por SSH	SVI, gateway, VTY, claves RSA.	`show ip interface brief`, `show running-config \| section line vty`
Ruta remota no llega	Rutas de ida y vuelta.	`show ip route`, `traceroute`

10. Plantillas rápidas

Plantilla switch 2960

enable
configure terminal
hostname SWX
no ip domain-lookup
service password-encryption
enable secret class
vlan 30
 name ADMIN_MGMT
interface vlan 30
 ip address X.X.X.X M.M.M.M
 no shutdown
exit
ip default-gateway G.G.G.G
line console 0
 password cisco
 login
 logging synchronous
exit
line vty 0 15
 login local
 transport input ssh
exit
end
copy running-config startup-config

Plantilla router

enable
configure terminal
hostname RX
no ip domain-lookup
service password-encryption
enable secret class
interface g0/0
 description LAN
 ip address X.X.X.1 255.255.255.0
 no shutdown
exit
interface s0/0/0
 description WAN
 ip address Y.Y.Y.1 255.255.255.252
 no shutdown
exit
ip route RED MASCARA NEXT-HOP
end
copy running-config startup-config