// PROYECTO FINAL · SECCIÓN 1910-5472 · GRUPO VI · REDES DE COMPUTADORAS

RESTAURANTE
HJS
RED DE ALTA DISPONIBILIDAD

Diseño, subnetting e implementación de una red multi-sede con 4 locales interconectados mediante Router-on-a-Stick + HSRP LAN/WAN. Bloque raíz 10.25.0.0/22, segmentación VLSM por VLAN, 24 VLANs activas y 24 rutas estáticas en el Router Matriz.

4
Sedes
24
Rutas Estáticas
/22
Bloque Raíz
24
VLANs Totales
HSRP
LAN + WAN
3.9
Índice GPA
ROUTER MATRIZ Router1Matriz ● HUB CENTRAL SwitchMatriz 2960-24TT SEDE CENTRAL 10.25.0.x · 6 VLANs R1/R2Central · SwitchCentral WAN: 10.25.3.192/29 VIP:.193 R1:.194 R2:.195 LOCAL SUR 10.25.3.x · 6 VLANs R1/R2-Sur · SwitchSurLan 10.25.3.216/29 VIP:.217 R1:.218 PC18-23 LOCAL SANTIAGO 10.25.1.x · 6 VLANs R1/R2-Santiago · SwSantiago 10.25.3.200/29 VIP:.201 R1:.202 PC6-11 LOCAL NORTE 10.25.2.x · 6 VLANs R1-Norte / R2-Norte · SwNorte 10.25.3.208/29 VIP:.209 R1:.210 PC12-17 PC14-16 PC0-5 WAN RESERVADO 10.25.3.192/27 → 4× /29 VIP .1 · R1 .2 · R2 .3 · Matriz .4 LEYENDA Enlace WAN /29 Enlace LAN / trunk Router 2901 (R1/R2) Switch 2960-24TT
SC
STEVEN CAPELLÁN SUÁREZ // KROKO
INGENIERÍA EN CIBERSEGURIDAD · PROYECTO FINAL · LOCAL SUR
MÓDULO 01

ARQUITECTURA VLSM — SUBNETTING

El bloque raíz 10.25.0.0/22 (~1022 hosts) se divide entre las 4 sedes usando VLSM: cada VLAN recibe la máscara mínima que cubre sus hosts requeridos + las 3 IPs reservadas (.1 VIP, .2 R1, .3 R2). El bloque 10.25.3.192/27 está reservado exclusivamente para los 4 enlaces WAN, cada uno con una subred /29 (6 hosts útiles).

ENLACES WAN — 10.25.3.192/27 → 4× /29

SedeRed WAN /29VIP HSRP (.1)R1 (.2)R2 (.3)Router Matriz (.4)
Sede Central10.25.3.192/2910.25.3.19310.25.3.19410.25.3.19510.25.3.196
Local Santiago10.25.3.200/2910.25.3.20110.25.3.20210.25.3.20310.25.3.204
Local Norte10.25.3.208/2910.25.3.20910.25.3.21010.25.3.21110.25.3.212
Local Sur10.25.3.216/2910.25.3.21710.25.3.21810.25.3.21910.25.3.220

SUBREDES LAN POR VLAN (VLSM)

CENTRAL
SANTIAGO
NORTE
SUR ★
VLANNombreRed / MáscaraVIP HSRPR1R2Rango DHCPHosts
20Contabilidad10.25.0.0/2710.25.0.110.25.0.210.25.0.310.25.0.4–3018 req.
10Gerencia10.25.0.32/2710.25.0.3310.25.0.3410.25.0.3510.25.0.36–6215 req.
40Compras10.25.0.64/2710.25.0.6510.25.0.6610.25.0.6710.25.0.68–9415 req.
30Recursos Humanos10.25.0.96/2810.25.0.9710.25.0.9810.25.0.9910.25.0.100–11012 req.
50IT10.25.0.112/2810.25.0.11310.25.0.11410.25.0.11510.25.0.116–12610 req.
60Invitados10.25.0.128/2810.25.0.12910.25.0.13010.25.0.13110.25.0.132–14210 req.
VLANNombreRed / MáscaraVIP HSRPR1R2Rango DHCPHosts
30Salón/Servicio10.25.1.0/2710.25.1.110.25.1.210.25.1.310.25.1.4–3025 req.
60Clientes WiFi10.25.1.32/2710.25.1.3310.25.1.3410.25.1.3510.25.1.36–6225 req.
20Cocina10.25.1.64/2710.25.1.6510.25.1.6610.25.1.6710.25.1.68–9420 req.
40Caja/POS10.25.1.96/2810.25.1.9710.25.1.9810.25.1.9910.25.1.100–11012 req.
10Administración10.25.1.112/2810.25.1.11310.25.1.11410.25.1.11510.25.1.116–12610 req.
50IT10.25.1.128/2810.25.1.12910.25.1.13010.25.1.13110.25.1.132–1426 req.
VLANNombreRed / MáscaraVIP HSRPR1R2Rango DHCPHosts
30Salón/Servicio10.25.2.0/2710.25.2.110.25.2.210.25.2.310.25.2.4–3022 req.
60Clientes WiFi10.25.2.32/2710.25.2.3310.25.2.3410.25.2.3510.25.2.36–6220 req.
20Cocina10.25.2.64/2710.25.2.6510.25.2.6610.25.2.6710.25.2.68–9418 req.
40Caja/POS10.25.2.96/2810.25.2.9710.25.2.9810.25.2.9910.25.2.100–11010 req.
10Administración10.25.2.112/2810.25.2.11310.25.2.11410.25.2.11510.25.2.116–1268 req.
50IT10.25.2.128/2810.25.2.12910.25.2.13010.25.2.13110.25.2.132–1426 req.
VLANNombreRed / MáscaraVIP HSRPR1R2Rango DHCPHosts
30Salón/Servicio10.25.3.0/2710.25.3.110.25.3.210.25.3.310.25.3.4–3020 req.
60Clientes WiFi10.25.3.32/2710.25.3.3310.25.3.3410.25.3.3510.25.3.36–6218 req.
20Cocina10.25.3.64/2710.25.3.6510.25.3.6610.25.3.6710.25.3.68–9415 req.
10Administración10.25.3.96/2810.25.3.9710.25.3.9810.25.3.9910.25.3.100–1108 req.
40Caja/POS10.25.3.112/2810.25.3.11310.25.3.11410.25.3.11510.25.3.116–1268 req.
50IT10.25.3.128/2810.25.3.12910.25.3.13010.25.3.13110.25.3.132–1426 req.
MÓDULO 02

ALTA DISPONIBILIDAD — HSRP LAN + WAN

Cada sede implementa HSRP en dos niveles: en las subinterfaces LAN (una por VLAN, grupo = ID de VLAN) y en la interfaz WAN hacia el Router Matriz (grupo 1). La convención es estricta: .1 = VIP, .2 = R1 (Active, priority 110), .3 = R2 (Standby, priority 90). Si R1 falla, R2 hereda ambas IPs virtuales y la red no experimenta downtime perceptible.

VIRTUAL IP
VIP — HSRP
GATEWAY
x.x.x.1
IP virtual compartida · never fails
HSRP
FAILOVER AUTO
ACTIVE · PRIORITY 110
Router 1
R1
x.x.x.2
preempt habilitado
HELLO 3s
HOLD 10s
STANDBY · PRIORITY 90
Router 2
R2
x.x.x.3
sin preempt
GRUPO LAN = ID VLAN (ej. VLAN 30 → standby group 30) · GRUPO WAN = 1 (fijo por sede)
R1 — HSRP LAN (Router-on-a-Stick) · Ejemplo Local Sur VLAN 30
IOS CLI 
! ── R1-Sur: subinterfaces dot1Q + HSRP LAN ─────────────────────
interface GigabitEthernet0/1.30
 encapsulation dot1Q 30
 ip address 10.25.3.2 255.255.255.224   ! R1 física — .2
 standby 30 ip 10.25.3.1               ! VIP HSRP — gateway de hosts
 standby 30 priority 110               ! Mayor prioridad → ACTIVE
 standby 30 preempt                    ! Recupera rol si vuelve online

interface GigabitEthernet0/1.60
 encapsulation dot1Q 60
 ip address 10.25.3.34 255.255.255.224
 standby 60 ip 10.25.3.33
 standby 60 priority 110
 standby 60 preempt

interface GigabitEthernet0/1.20
 encapsulation dot1Q 20
 ip address 10.25.3.66 255.255.255.224
 standby 20 ip 10.25.3.65
 standby 20 priority 110
 standby 20 preempt
! (Repetir patrón para VLANs 10, 40, 50)

! ── R2-Sur: misma estructura, prioridad 90, sin preempt ─────────
interface GigabitEthernet0/1.30
 encapsulation dot1Q 30
 ip address 10.25.3.3 255.255.255.224   ! R2 física — .3
 standby 30 ip 10.25.3.1               ! Mismo VIP que R1
 standby 30 priority 90                ! Menor → STANDBY (sin preempt)
R1 + R2 — HSRP WAN · Local Sur (10.25.3.216/29)
! ── HSRP en interfaz WAN — garantiza que Matriz alcance la sede ─
! R1-Sur
interface GigabitEthernet0/0
 ip address 10.25.3.218 255.255.255.248  ! R1 WAN física — .2 del /29
 standby 1 ip 10.25.3.217               ! VIP WAN — next-hop del Matriz
 standby 1 priority 110
 standby 1 preempt
 no shutdown

! R2-Sur
interface GigabitEthernet0/0
 ip address 10.25.3.219 255.255.255.248  ! R2 WAN física — .3 del /29
 standby 1 ip 10.25.3.217               ! Mismo VIP WAN
 standby 1 priority 90
 no shutdown

! ── Rutas por defecto en R1 y R2 (next-hop = IP .4 del Matriz) ──
ip route 0.0.0.0 0.0.0.0 10.25.3.220   ! → Router Matriz (.4)
VERIFICACIÓN HSRP — show standby brief
! En R1 (debe mostrar P=Active en todos los grupos):
show standby brief
!                          P indicates configured to preempt.
! Interface   Grp  Pri P State    Active          Standby         VirtualIP
! Gi0/0         1  110 P Active   local           10.25.3.219     10.25.3.217
! Gi0/1.30     30  110 P Active   local           10.25.3.3       10.25.3.1
! Gi0/1.60     60  110 P Active   local           10.25.3.35      10.25.3.33

! En R2 (debe mostrar Standby):
show standby brief
! Gi0/0         1   90   Standby  10.25.3.218     local           10.25.3.217

! ── TEST FAILOVER ──────────────────────────────────────────────
! En R1: apagar interfaz y verificar que R2 tome el rol
interface GigabitEthernet0/0
 shutdown
! Desde PC: ping continuo a la VIP → no debe interrumpirse
! En R2: show standby → debe mostrar Active
MÓDULO 03 — CASO DE ÉXITO

TROUBLESHOOTING — POOLS FANTASMA

Durante la implementación, los hosts de las sedes Norte y Santiago obtenían el gateway .30 en lugar del VIP HSRP correcto. La causa: pools DHCP residuales de configuraciones previas permanecían activos en memoria y respondían antes que los pools correctos.

// SÍNTOMA
Hosts con gateway incorrecto · ping inter-sede falla
Los PCs ejecutaban ipconfig y mostraban default-gateway x.x.x.30. Los pings entre sedes fallaban silenciosamente porque el gateway era inválido — los hosts enviaban tráfico a una IP que ningún router tenía asignada físicamente.
// DIAGNÓSTICO
Identificación de pools activos en memoria
Con show ip dhcp pool se listaron todos los pools y se encontraron entradas fantasma de sesiones anteriores. Estos pools tenían default-router apuntando a .30, correspondiente a un pool de prueba que nunca fue eliminado explícitamente. En IOS, los pools DHCP persisten aunque se reconfigure la interfaz.
// CORRECCIÓN
Eliminación + reconfiguración de pools correctos
Se ejecutó no ip dhcp pool [nombre] para cada pool fantasma identificado, luego clear ip dhcp binding * para forzar que todos los hosts renegocien su IP. Los pools correctos con VIP HSRP como default-router fueron configurados en R1 y R2 de cada sede afectada.
// RESULTADO
Conectividad inter-sede restaurada · 100% success rate
Tras la corrección, todos los hosts obtuvieron el VIP HSRP correcto como gateway. Los pings entre sedes retornaron !!!!! (100%). Lección aplicada: siempre usar no ip dhcp pool explícitamente y verificar con show running-config | section dhcp.
DHCP — DIAGNÓSTICO, CORRECCIÓN Y CONFIGURACIÓN FINAL
! ── PASO 1: DIAGNÓSTICO ──────────────────────────────────────────
show ip dhcp pool             ! Listar todos los pools — buscar fantasmas
show ip dhcp binding          ! Ver asignaciones — detectar gateway .30
show running-config | section dhcp   ! Vista completa DHCP

! ── PASO 2: ELIMINAR POOLS FANTASMA ─────────────────────────────
no ip dhcp pool NOMBRE_FANTASMA_1
no ip dhcp pool NOMBRE_FANTASMA_2
! Reemplazar con los nombres reales detectados en show ip dhcp pool

! ── PASO 3: LIMPIAR BINDINGS ────────────────────────────────────
clear ip dhcp binding *       ! Forza renegociación de todas las IPs

! ── PASO 4: CONFIGURAR POOLS CORRECTOS (R1 y R2 idénticos) ─────
! Excluir IPs reservadas en ambos routers:
ip dhcp excluded-address 10.25.3.1 10.25.3.3    ! VIP + R1 + R2 Sur

ip dhcp pool SUR_V30
 network 10.25.3.0 255.255.255.224
 default-router 10.25.3.1     ! VIP HSRP — nunca el .30
 dns-server 8.8.8.8
 lease 1

ip dhcp pool SUR_V60
 network 10.25.3.32 255.255.255.224
 default-router 10.25.3.33
 dns-server 8.8.8.8
 lease 1

! Pools para Norte (afectado):
ip dhcp pool N_V30
 network 10.25.2.0 255.255.255.224
 default-router 10.25.2.1
 dns-server 8.8.8.8

ip dhcp pool S_V30
 network 10.25.1.0 255.255.255.224
 default-router 10.25.1.1
 dns-server 8.8.8.8

! ── PASO 5: VERIFICACIÓN FINAL ───────────────────────────────────
show ip dhcp pool             ! Solo pools correctos
show running-config | section dhcp   ! Confirmar default-router = VIP
MÓDULO 04

ROUTER MATRIZ — 24 RUTAS ESTÁTICAS

El Router Matriz no tiene HSRP, ni VLANs, ni DHCP. Su función exclusiva es el enrutamiento inter-sede mediante 24 rutas estáticas — una por cada subred de VLAN de cada sede. El next-hop de cada ruta es la IP Virtual HSRP WAN (.1) de la sede destino, lo que garantiza que el failover de R1→R2 sea transparente para el Matriz.

ROUTER MATRIZ — 24 RUTAS ESTÁTICAS COMPLETAS
ip route · next-hop = VIP HSRP WAN 
! ═══════════════════════════════════════════════════════════════
! ROUTER MATRIZ — Router1Matriz
! Next-hop siempre = IP Virtual HSRP WAN (.1) de cada sede
! ═══════════════════════════════════════════════════════════════

! ── SEDE CENTRAL (next-hop: 10.25.3.193) ───────────────────────
ip route 10.25.0.0   255.255.255.224 10.25.3.193   ! VLAN 20 Contabilidad
ip route 10.25.0.32  255.255.255.224 10.25.3.193   ! VLAN 10 Gerencia
ip route 10.25.0.64  255.255.255.224 10.25.3.193   ! VLAN 40 Compras
ip route 10.25.0.96  255.255.255.240 10.25.3.193   ! VLAN 30 RRHH
ip route 10.25.0.112 255.255.255.240 10.25.3.193   ! VLAN 50 IT
ip route 10.25.0.128 255.255.255.240 10.25.3.193   ! VLAN 60 Invitados

! ── LOCAL SANTIAGO (next-hop: 10.25.3.201) ─────────────────────
ip route 10.25.1.0   255.255.255.224 10.25.3.201   ! VLAN 30 Salón
ip route 10.25.1.32  255.255.255.224 10.25.3.201   ! VLAN 60 Clientes WiFi
ip route 10.25.1.64  255.255.255.224 10.25.3.201   ! VLAN 20 Cocina
ip route 10.25.1.96  255.255.255.240 10.25.3.201   ! VLAN 40 Caja/POS
ip route 10.25.1.112 255.255.255.240 10.25.3.201   ! VLAN 10 Administración
ip route 10.25.1.128 255.255.255.240 10.25.3.201   ! VLAN 50 IT

! ── LOCAL NORTE (next-hop: 10.25.3.209) ────────────────────────
ip route 10.25.2.0   255.255.255.224 10.25.3.209   ! VLAN 30 Salón
ip route 10.25.2.32  255.255.255.224 10.25.3.209   ! VLAN 60 Clientes WiFi
ip route 10.25.2.64  255.255.255.224 10.25.3.209   ! VLAN 20 Cocina
ip route 10.25.2.96  255.255.255.240 10.25.3.209   ! VLAN 40 Caja/POS
ip route 10.25.2.112 255.255.255.240 10.25.3.209   ! VLAN 10 Administración
ip route 10.25.2.128 255.255.255.240 10.25.3.209   ! VLAN 50 IT

! ── LOCAL SUR (next-hop: 10.25.3.217) ──────────────────────────
ip route 10.25.3.0   255.255.255.224 10.25.3.217   ! VLAN 30 Salón
ip route 10.25.3.32  255.255.255.224 10.25.3.217   ! VLAN 60 Clientes WiFi
ip route 10.25.3.64  255.255.255.224 10.25.3.217   ! VLAN 20 Cocina
ip route 10.25.3.96  255.255.255.240 10.25.3.217   ! VLAN 10 Administración
ip route 10.25.3.112 255.255.255.240 10.25.3.217   ! VLAN 40 Caja/POS
ip route 10.25.3.128 255.255.255.240 10.25.3.217   ! VLAN 50 IT

! ── VERIFICACIÓN ────────────────────────────────────────────────
! show ip route static   → debe mostrar 24 entradas con "S"
! show ip route summary  → confirmar cantidad total
#DestinoMáscaraNext-Hop (VIP WAN)VLANSede
// SEDE CENTRAL — next-hop 10.25.3.193
110.25.0.0/2710.25.3.193V20Central
210.25.0.32/2710.25.3.193V10Central
310.25.0.64/2710.25.3.193V40Central
410.25.0.96/2810.25.3.193V30Central
510.25.0.112/2810.25.3.193V50Central
610.25.0.128/2810.25.3.193V60Central
// LOCAL SANTIAGO — next-hop 10.25.3.201
710.25.1.0/2710.25.3.201V30Santiago
810.25.1.32/2710.25.3.201V60Santiago
910.25.1.64/2710.25.3.201V20Santiago
1010.25.1.96/2810.25.3.201V40Santiago
1110.25.1.112/2810.25.3.201V10Santiago
1210.25.1.128/2810.25.3.201V50Santiago
// LOCAL NORTE — next-hop 10.25.3.209
1310.25.2.0/2710.25.3.209V30Norte
1410.25.2.32/2710.25.3.209V60Norte
1510.25.2.64/2710.25.3.209V20Norte
1610.25.2.96/2810.25.3.209V40Norte
1710.25.2.112/2810.25.3.209V10Norte
1810.25.2.128/2810.25.3.209V50Norte
// LOCAL SUR ★ — next-hop 10.25.3.217
1910.25.3.0/2710.25.3.217V30Sur ★
2010.25.3.32/2710.25.3.217V60Sur ★
2110.25.3.64/2710.25.3.217V20Sur ★
2210.25.3.96/2810.25.3.217V10Sur ★
2310.25.3.112/2810.25.3.217V40Sur ★
2410.25.3.128/2810.25.3.217V50Sur ★
MÓDULO 05 — RESULTADOS

VERIFICACIÓN — STATUS: SUCCESSFUL

Validación end-to-end con pings entre todas las sedes y VLANs. Verificaciones con show standby brief, show ip route, y prueba de failover apagando R1 con ping continuo activo.

CENTRALSANTIAGO
SUCCESS
Sending 5, 100-byte ICMP
!!!!!
5/5 packets · 100%
CENTRALNORTE
SUCCESS
Sending 5, 100-byte ICMP
!!!!!
5/5 packets · 100%
CENTRALSUR ★
SUCCESS
Sending 5, 100-byte ICMP
!!!!!
5/5 packets · 100%
SANTIAGONORTE
SUCCESS
Sending 5, 100-byte ICMP
!!!!!
5/5 packets · 100%
NORTESUR ★
SUCCESS
Sending 5, 100-byte ICMP
!!!!!
5/5 packets · 100%
SUR ★CENTRAL
SUCCESS
Sending 5, 100-byte ICMP
!!!!!
5/5 packets · 100%
RESULTADO FINAL
MISSION ACCOMPLISHED
6/6
PINGS OK
24
RUTAS ACTIVAS
24
VLANs TOTALES
HSRP
LAN + WAN
MÓDULO 06 — PRESENTACIÓN

ENTREGABLES DEL PROYECTO FINAL

Según el mandato de la Sección 1910-5472, la presentación grupal de 5–8 minutos debe cubrir los siguientes entregables. Cada tarjeta resume qué mostrar y qué comandos ejecutar en vivo.

01
Archivo .PKT
Topología Consolidada
Archivo Packet Tracer con las 4 sedes + Router Matriz. Conectividad end-to-end validada.
  • Sede Central + 3 sucursales integradas
  • Router1Matriz conectado a SwitchMatriz
  • Todos los enlaces trunk configurados
  • Pings inter-VLAN e inter-sede funcionando
02
Tabla LAN
Direccionamiento por VLAN
Por cada sede y VLAN: subred, máscara, VIP HSRP, IP R1, IP R2, rango DHCP.
  • 24 VLANs totales (6 por sede)
  • VLSM aplicado: /27 para grandes, /28 para menores
  • Convención .1/.2/.3 aplicada consistentemente
  • Mostrar: show ip interface brief
03
Tabla WAN
Enlaces /29 por Sede
Bloque 10.25.3.192/27 dividido en 4× /29. VIP WAN, R1, R2 y Matriz por enlace.
  • Central: 10.25.3.192/29 · VIP .193
  • Santiago: 10.25.3.200/29 · VIP .201
  • Norte: 10.25.3.208/29 · VIP .209
  • Sur: 10.25.3.216/29 · VIP .217
04
Rutas Estáticas
Tabla Completa de Routing
24 rutas en Router Matriz. Rutas default en R1 y R2 de cada sede hacia IP .4 del Matriz.
  • Mostrar: show ip route static
  • Confirmar "S" en las 24 entradas
  • R1/R2 cada sede: ip route 0.0.0.0 0.0.0.0 x.x.x.4
  • Mostrar: show ip route summary
05
Presentación 5–8 min
Demo en Vivo + Failover
Topología completa, HSRP LAN/WAN, DHCP, rutas, y prueba de failover con ping continuo.
  • show standby brief → Active/Standby confirmado
  • Shutdown R1 → R2 asume → ping no se interrumpe
  • show ip dhcp binding → gateways correctos
  • Ping end-to-end: PC en Sur → PC en Central
Local Sur
Responsabilidad Individual
Steven Capellán (Kroko) — configuración completa de Local Sur de forma autónoma.
  • 6 VLANs · 10.25.3.x/27 y /28
  • R1-Sur + R2-Sur con HSRP LAN + WAN
  • DHCP idéntico en ambos routers
  • Diagnóstico y corrección de pools fantasma
SC
STEVEN CAPELLÁN SUÁREZ
// KROKO · CIBERSEGURIDAD · LOCAL SUR · SECCIÓN 1910-5472
REDES TCP/IP CISCO IOS VLSM HSRP LAN/WAN TROUBLESHOOTING ROUTER-ON-A-STICK DHCP STATIC ROUTING
3.9
GPA / 4.0
★ TOP STUDENT