¿Tienes que diseñar la red completa de una empresa en Cisco Packet Tracer y no sabes por dónde empezar? Te vas a llevar dos cosas de aquí: la comprensión de cada decisión —por qué separamos los departamentos en VLANs, por qué usamos router-on-a-stick, por qué la VLAN de invitados nunca toca lo interno— y un flujo para generar con NetPilot un archivo .pkt que abre y funciona, para que puedas defender el proyecto, no solo entregarlo.
Qué necesita este proyecto de empresa
Un proyecto de red de empresa en Cisco Packet Tracer casi siempre pide lo mismo: segmentar la oficina por departamentos, dar conectividad interna y salida a internet, y aplicar algo de seguridad. En Packet Tracer eso se traduce en una lista concreta de requisitos.
- Segmentación por departamento. Ventas, RR.HH. y TI, cada uno en su propia VLAN, más una VLAN de invitados/Wi-Fi separada del resto.
- Enlace troncal 802.1Q entre el switch de acceso y el router (o el switch de capa 3) para que las VLANs viajen por un solo cable.
- Enrutamiento inter-VLAN para que los departamentos que deban comunicarse lo hagan, y los que no, queden aislados.
- Servicios de red. DHCP por VLAN para que los equipos reciban IP automáticamente, y un servidor DNS/web en una VLAN de servidores.
- Salida a internet con NAT/PAT hacia un router que simula al ISP.
- Seguridad mínima. Una ACL que impide a los invitados llegar a la red interna, y port security en los puertos de acceso.
La idea de fondo es la que aplican las redes reales: separar para controlar. Cada VLAN es un dominio de difusión propio y una frontera de seguridad. Tener menos de 254 equipos por departamento hace que una /24 por VLAN sea más que suficiente y deje el plan de IP limpio.
La vía rápida: descríbeselo a NetPilot
Antes de cablear nada a mano, deja que la IA arme la base. En NetPilot describes la red en español llano y el agente diseña la topología, escribe la configuración Cisco IOS de cada dispositivo y exporta un .pkt listo para abrir en Cisco Packet Tracer. Por ejemplo:
Diseña la red de una oficina con tres departamentos —Ventas, RR.HH. y TI— cada uno en su propia VLAN, más una VLAN de invitados aislada. Usa router-on-a-stick para el enrutamiento inter-VLAN, DHCP por VLAN, un servidor DNS/web en una VLAN de servidores, NAT/PAT hacia un router ISP, y una ACL que bloquee a los invitados del acceso interno. Plan de IP: 192.168.10.0/24, 192.168.20.0/24, etc. Exporta el .pkt.
NetPilot no solo escupe configuración: te explica cada elección mientras la genera, que es justo lo que necesitas para defender el trabajo. Y el CLI directo siempre está disponible: puedes verificar cada línea de configuración en una CLI real de Cisco IOL en el navegador (con tu propia imagen de Cisco), comprobando que el show vlan brief o el show ip route salen como esperas antes de entregar.
Ese viaje de ida y vuelta con el .pkt —leer el binario, modificarlo y devolver un archivo que Packet Tracer abre— es lo que ChatGPT no puede hacer: solo maneja texto, no toca el formato .pkt. Con la base generada, pasemos a entender el diseño.
El diseño, explicado
Las capas de la topología
La topología tiene tres planos. Un switch de acceso conecta los equipos de cada departamento y etiqueta cada puerto con su VLAN. Un enlace troncal lleva todas las VLANs hacia el router (router-on-a-stick) o un switch de capa 3, que es donde ocurre el enrutamiento inter-VLAN. Y un segundo router hace de ISP, dándonos la salida a internet con NAT.
Separamos acceso y enrutamiento a propósito: el switch trabaja en capa 2 (conmuta dentro de cada VLAN) y el router en capa 3 (decide qué VLAN habla con cuál). Esa división es el corazón del diseño.
Plan de VLANs y direccionamiento
Un buen plan de IP es legible de un vistazo: el número de VLAN coincide con el tercer octeto. Así nadie se pierde.
| Departamento | VLAN | Red | Gateway | Rango DHCP |
|---|---|---|---|---|
| Ventas | 10 | 192.168.10.0/24 | 192.168.10.1 | .10 – .200 |
| RR.HH. | 20 | 192.168.20.0/24 | 192.168.20.1 | .10 – .200 |
| TI | 30 | 192.168.30.0/24 | 192.168.30.1 | .10 – .200 |
| Servidores | 40 | 192.168.40.0/24 | 192.168.40.1 | estática |
| Invitados | 99 | 192.168.99.0/24 | 192.168.99.1 | .10 – .200 |
Las VLANs se crean en el switch y los puertos de acceso se asignan a la suya. NetPilot genera esto, y conviene saber leerlo:
vlan 10
name VENTAS
vlan 20
name RRHH
vlan 30
name TI
vlan 40
name SERVIDORES
vlan 99
name INVITADOS
!
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
!
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,99El puerto troncal (switchport mode trunk) es el único que entiende el etiquetado 802.1Q; los puertos de acceso entregan tramas sin etiqueta al equipo final. Limitar las VLANs permitidas en el trunk es una buena práctica: solo pasa lo que debe pasar.
Enrutamiento inter-VLAN: router-on-a-stick
Con un solo enlace físico al router, creamos una subinterfaz por VLAN y le decimos a cada una que etiquete con encapsulation dot1Q. La IP de la subinterfaz es el gateway de esa VLAN.
interface GigabitEthernet0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.0
!
interface GigabitEthernet0/0.30
encapsulation dot1Q 30
ip address 192.168.30.1 255.255.255.0
!
interface GigabitEthernet0/0.40
encapsulation dot1Q 40
ip address 192.168.40.1 255.255.255.0
!
interface GigabitEthernet0/0.99
encapsulation dot1Q 99
ip address 192.168.99.1 255.255.255.0Aquí está el porqué: el router recibe una trama etiquetada, mira la etiqueta, la entrega a la subinterfaz correspondiente y enruta hacia la VLAN destino. Por eso router-on-a-stick funciona con un solo cable físico — el trunk multiplexa todo el tráfico. Cada VLAN necesita su subinterfaz, incluidas TI (30) y Servidores (40), o el servidor DNS de la VLAN 40 quedaría inalcanzable desde las demás VLANs. Si tu profesor prefiere un switch de capa 3, el equivalente son interfaces VLAN (SVI) con ip routing activado; la lógica es idéntica, solo cambia dónde vive el enrutamiento.
Servicios: DHCP y DNS
No queremos configurar IP a mano en cada PC. Definimos un pool DHCP por VLAN en el router, excluyendo el gateway y el rango estático.
ip dhcp excluded-address 192.168.10.1 192.168.10.9
!
ip dhcp pool VENTAS
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.40.10El default-router es el gateway de la VLAN y el dns-server apunta al servidor en la VLAN 40. El servidor DNS/web va con IP estática porque otros dispositivos necesitan encontrarlo siempre en la misma dirección — un servicio que se mueve no sirve.
Seguridad: ACL y port security
Los invitados deben tener internet pero no la red interna. Una ACL extendida aplicada a la subinterfaz de invitados bloquea el tráfico hacia los rangos privados y deja pasar el resto.
ip access-list extended BLOQUEAR_INVITADOS
permit udp 192.168.99.0 0.0.0.255 host 192.168.40.10 eq 53
deny ip 192.168.99.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 192.168.99.0 0.0.0.255 any
!
interface GigabitEthernet0/0.99
ip access-group BLOQUEAR_INVITADOS inEl orden importa: permitimos primero el DNS (puerto 53) al servidor en la VLAN 40, luego negamos el acceso a cualquier 192.168.x.x interno, y por último permitimos todo lo demás (internet). Sin esa excepción de DNS, los invitados conservarían IP pero perderían la resolución de nombres. Como las ACL se evalúan de arriba abajo y hay un deny implícito al final, sin ese permit los invitados se quedarían sin nada. Para cerrar la capa de acceso, añadimos port security a los puertos de los equipos, limitando cuántas MAC puede aprender cada puerto:
interface FastEthernet0/1
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrictY la salida a internet se resuelve con NAT/PAT en el router hacia el ISP: traducimos las redes internas a la IP pública con ip nat inside/outside y un overload, para que muchos equipos compartan una sola dirección pública.
Detalles de Cisco Packet Tracer a vigilar
Cisco Packet Tracer simula casi todo, pero tiene rarezas que cuestan horas si no las conoces. En este diseño, vigila esto en Packet Tracer:
- El trunk se cae a access. Si un lado queda en
dynamic auto, el enlace no negocia trunk. Fija ambos extremos conswitchport mode trunk. - El router no enruta sin subinterfaz activa. Si la interfaz física del router está
shutdown, las subinterfaces no levantan; hazno shutdownen la físicaGi0/0, no solo en las.10. - DHCP responde por broadcast. Si los pools no entregan IP, confirma que el
default-routerexiste como gateway real en una subinterfaz — el pool sin gateway válido falla en silencio. - El servidor DNS/web debe tener su gateway apuntando a la VLAN 40, o resolverá dentro de su segmento pero no responderá a otras VLANs.
Preguntas frecuentes
¿Cómo separo Ventas, RR.HH. y TI en VLANs distintas en Cisco Packet Tracer?
En Cisco Packet Tracer creas una VLAN por departamento en el switch (vlan 10, vlan 20, vlan 30) y asignas cada puerto de acceso a la suya con switchport access vlan. Después conectas el switch al router por un trunk 802.1Q para que Packet Tracer enrute entre ellas.
¿Necesito un router o me basta un switch de capa 3 para el enrutamiento inter-VLAN?
Cualquiera de los dos funciona: router-on-a-stick usa subinterfaces con encapsulation dot1Q sobre un solo enlace, y un switch de capa 3 usa interfaces VLAN (SVI) con ip routing. Para una oficina pequeña en Cisco Packet Tracer, router-on-a-stick es lo más común en las consignas y lo que mejor enseña el etiquetado 802.1Q.
¿Por qué mi DHCP no asigna IP a los equipos en Packet Tracer?
Casi siempre es porque el pool DHCP no tiene un default-router que coincida con un gateway real en una subinterfaz activa. En Cisco Packet Tracer, revisa que la subinterfaz de esa VLAN tenga IP, que la interfaz física esté con no shutdown, y que excluiste el gateway con ip dhcp excluded-address.
¿Cómo bloqueo a los invitados de la red interna pero les doy internet?
Aplica una ACL extendida en la subinterfaz de la VLAN de invitados que primero niegue el tráfico hacia los rangos internos (192.168.0.0/16) y luego permita el resto. En Cisco Packet Tracer ese orden es crítico: si pones el permit antes que el deny, los invitados llegarían a todo.
¿NetPilot me da el .pkt o solo la configuración en texto?
NetPilot exporta un archivo .pkt real que abres directamente en Cisco Packet Tracer, no solo texto. Esa es la diferencia frente a un chat de texto: NetPilot lee y escribe el binario .pkt, así que recibes el proyecto montado y además la explicación de cada decisión para defenderlo.
Empieza tu proyecto
Ya tienes el mapa completo: VLANs por departamento, trunk 802.1Q, router-on-a-stick, DHCP por VLAN, NAT hacia el ISP y una ACL que aísla a los invitados — y el porqué de cada pieza. Deja que NetPilot genere la base, verifícala en la CLI real y abre el .pkt en Cisco Packet Tracer para terminar de entenderla. Mira más proyectos de Packet Tracer resueltos paso a paso, o pasa por la ayuda para Packet Tracer si te atascas con un dispositivo concreto. Pruébalo gratis en https://app.netpilot.io.