Tecnologías WAN

Descripción general

A medida que la empresa crece y ocupa más de un sitio, es necesario interconectar las LAN de las sucursales para formar una red de área amplia (WAN).

Si todo el tráfico de información de una empresa se encuentra dentro de un mismo edificio, una LAN puede cubrir las necesidades de la organización. Los edificios pueden estar interconectados con enlaces de datos de alta velocidad para formar una LAN de campus, en el caso en que los datos tengan que pasar de un edificio a otro en un solo campus. Sin embargo, se necesita una WAN para transportar los datos si es necesario transferirlos a lugares geográficamente distintos.

 

Una WAN es una red de comunicación de datos que opera más allá del alcance geográfico de una LAN.

Una de las diferencias primordiales entre una WAN y una LAN es que una empresa u organización debe suscribirse a un proveedor de servicio WAN externo para utilizar los servicios de red de una operadora de servicios WAN. Una WAN utiliza enlaces de datos suministrados por los servicios de una operadora para acceder a Internet y conectar los sitios de una organización entre sí, con sitios de otras organizaciones, con servicios externos y con usuarios remotos. Las WAN generalmente transportan varios tipos de tráfico, tales como voz, datos y vídeo. Los servicios telefónicos y de datos son los servicios WAN de uso más generalizado.

 

Los dispositivos de las instalaciones del suscriptor se conocen como equipo terminal del abonado (CPE).El suscriptor es dueño de un CPE o alquila un CPE del proveedor de servicios.

 

Las WAN son grupos de LAN conectadas con enlaces de comunicaciones desde un proveedor de servicios. Como los enlaces de comunicaciones no pueden conectarse directamente a la LAN, es necesario identificar las distintas piezas del equipo que realiza las interfaces

 

El enlace de comunicaciones necesita señales en un formato correcto. Para las líneas digitales, se requiere una unidad de servicio de canal (CSU) y una unidad de servicio de datos (DSU). Con frecuencia, las dos se encuentran combinadas en una sola pieza del equipo, llamada CSU/DSU. La CSU/DSU también puede integrarse a la tarjeta de interfaz del router.

 

Si el bucle local es analógico y no digital, requiere de un módem. Los módems transmiten datos a través de las líneas telefónicas de grado de voz, modulando y demodulando la señal. Las señales digitales se superponen en la señal analógica de la voz que se modula para su transmisión. Si se enciende el altavoz del módem interno, la señal modulada se oye como una serie de silbidos. En el destino, las señales analógicas se convierten a su forma digital de nuevo, o se de modulan

Normas WAN

Las WAN utilizan el modelo de referencia OSI, pero se enfocan principalmente en las Capas 1 y 2. Los estándares WAN, por lo general, describen tanto los métodos de envío de la capa física como los requisitos de la capa de enlace de datos, incluyendo el direccionamiento físico, el control de flujo y el encapsulamiento. Hay varias autoridades reconocidas que definen y administran los estándares WAN

Encapsulamiento WAN

Los datos de la capa de red se envían a la capa de enlace de datos para su transmisión en un enlace físico, que normalmente es de punto a punto en una conexión WAN. La capa de enlace de datos crea una trama alrededor de los datos de capa de red de modo que se apliquen los controles y verificaciones necesarios.

Cada tipo de conexión WAN utiliza un protocolo de Capa 2 para encapsular el tráfico mientras atraviesa el enlace WAN. Para asegurarse de que se esté utilizando el protocolo de encapsulamiento correcto, se debe configurar el tipo de encapsulamiento de Capa 2 utilizado en cada interfaz serial del router.

 

El entramado HDLC garantiza una entrega confiable de datos en líneas poco confiables e incluye

Mecanismos de señalización para el control de flujo y errores. La trama siempre comienza y termina con un campo de señaladores de 8 bits

 

El campo de control indica el tipo de trama, que puede ser de información, de supervisión o sin enumerar

Las tramas sin enumerar transportan mensajes de configuración de la línea.

• Las tramas de información transportan datos de la capa de red.

• Las tramas de supervisión controlan el flujo de tramas de información y peticiones de retransmisión de datos si hubiera algún error.

 

Se utilizan varios protocolos de enlace de datos, incluyendo subgrupos y versiones propietarias de HDLC.

Tanto PPP como la versión de Cisco de HDLC tienen un campo extra en el encabezado para identificar el protocolo de capa de red del dato encapsulado.

Conmutación de paquetes y circuitos.

Las redes conmutadas por paquetes se desarrollaron para compensar el gasto de las redes conmutadas por circuitos públicas y suministrar una tecnología WAN más económica.

Cuando un suscriptor realiza una llamada telefónica, el número marcado se utiliza para establecer Switches en las centrales a lo largo de la ruta de la llamada de modo que haya un circuito continuo entre quien hace la llamada y quien recibe la llamada. Debido a la operación de conmutación usada para establecer el circuito, el sistema telefónico se conoce como red conmutada por circuito. Si los módems reemplazan a los teléfonos, entonces el circuito conmutado puede transportar datos de computador.

La conmutación de circuitos establece una conexión dedicada para voz y datos entre el emisor y el receptor.

Antes de que comience la conmutación, es necesario establecer la conexión configurando los switch. El sistema telefónico lleva a cabo esta función, mediante el número marcado. ISDN se usa tanto en las líneas digitales como en las de grado de voz.

Para evitar las demoras asociadas con la configuración de una conexión, los proveedores de servicio telefónico también ofrecen circuitos permanentes. Estas líneas alquiladas o dedicadas ofrecen mayor ancho de banda que el disponible en los circuitos conmutados. Ejemplos de conexiones conmutadas por circuitos

son:

• Sistema de servicio telefónico analógico (POTS)

• Interfaz de acceso básico ISDN (BRI)

• Interfaz de acceso primario ISDN (PRI)

 

Las redes conmutadas por paquetes pueden establecer rutas a través de los switch para realizar conexiones de extremo a extremo particulares. Las rutas establecidas cuando el switch comienza son PVC.

Las rutas establecidas a petición son SVC. Si la ruta no está preestablecida y cada switch la determina para cada paquete, la red se conoce como sin conexión.

 

 

 

 

 

Ejemplos de conexiones conmutadas por paquetes o celdas son:

• Frame Relay

• X.25

• ATM

Las ventajas del módem y las líneas analógicas son simplicidad, disponibilidad y bajo costo de

Implementación. Las desventajas son la baja velocidad en la transmisión de datos y el relativamente largo tiempo de conexión. Los circuitos dedicados que ofrece el sistema de conexión telefónica tendrán poco retardo y fluctuación de fase para el tráfico punto a punto, pero el tráfico de voz o video no funcionará de forma adecuada a las velocidades de bits relativamente bajas.

 

ISDN

Las conexiones internas o troncales de PSTN evolucionaron y pasaron de llevar señales de multiplexión por división de frecuencia, a llevar señales digitales de multiplexión por división de tiempo (TDM). El próximo paso evidente es permitir que el bucle local lleve las señales digitales que resultan en conexiones conmutadas de mayor capacidad.

La red digital de servicios integrados (ISDN) convierte el bucle local en una conexión digital TDM. La conexión utiliza canales portadores de 64 kbps (B) para transportar voz y datos, y una señal, canal delta (D), para la configuración de llamadas y otros propósitos.

 

Línea alquilada

Cuando se requieren conexiones dedicadas permanentes, se utilizan líneas alquiladas con capacidades de hasta 2.5 Gbps

Un enlace punto a punto ofrece rutas de comunicación WAN preestablecidas desde las instalaciones del cliente a través de la red hasta un destino remoto. Las líneas punto a punto se alquilan por lo general a una operadora de servicios de telecomunicaciones y se denominan líneas alquiladas

Las líneas alquiladas se utilizan con mucha frecuencia en la construcción de las WAN y ofrecen una capacidad dedicada permanente. Han sido la conexión tradicional de preferencia aunque presentan varias

Desventajas. El tráfico de WAN es a menudo variable y las líneas alquiladas tienen una capacidad fija. Esto da por resultado que el ancho de banda de la línea rara vez sea el que se necesita.

 

X.25

Debido al costo de las líneas alquiladas, los proveedores de telecomunicaciones introdujeron las redes conmutadas por paquetes utilizando líneas compartidas para reducir los costos. La primera de estas redes conmutadas por paquetes se estandarizó como el grupo de protocolos X.25. X.25 ofrece una capacidad variable y compartida de baja velocidad de transmisión que puede ser conmutada o permanente.

X.25 es un protocolo de capa de red y los suscriptores disponen de una dirección en la red. Los circuitos virtuales se establecen a través de la red con paquetes de petición de llamadas a la dirección destino. Un número de canal identifica la SVC resultante. Los paquetes de datos rotulados con el número del canal se envían a la dirección correspondiente. Varios canales pueden estar activos en una sola conexión.

 

Frame Relay

Con la creciente demanda de mayor ancho de banda y menor latencia en la conmutación de paquetes, los proveedores de comunicaciones introdujeron el Frame Relay. Aunque la configuración de la red parece similar a la de X.25, la velocidad de transmisión de datos disponible es por lo general de hasta 4 Mbps y algunos proveedores ofrecen aún mayores velocidades.

Frame Relay difiere de X.25 en muchos aspectos. El más importante es que es un protocolo mucho más sencillo que funciona a nivel de la capa de enlace de datos y no en la capa de red.

Frame Relay no realiza ningún control de errores o flujo. El resultado de la administración simplificada de las tramas es una reducción en la latencia, y las medidas tomadas para evitar la acumulación de tramas en los switches intermedios ayudan a reducir las fluctuaciones de fase.

Frame Relay ofrece una conectividad permanente, compartida, de ancho de banda mediano, que envía tanto tráfico de voz como de datos. Frame Relay es ideal para conectar las LAN de una empresa. El router de la LAN necesita sólo una interfaz, aun cuando se estén usando varios VC. La línea alquilada corta que va al extremo de la red Frame Relay permite que las conexiones sean económicas entre LAN muy dispersas.

 

ATM

Los proveedores de comunicaciones vieron la necesidad de una tecnología de red compartida permanente que ofreciera muy poca latencia y fluctuación a anchos de banda mucho más altos. Su solución fue el Modo de Transferencia Asíncrona (ATM). ATM tiene una velocidad de transmisión de datos superior a los 155 Mbps. Al igual que las otras tecnologías compartidas, como X.25 y Frame Relay

La tecnología ATM es capaz de transferir voz, video y datos a través de redes privadas y públicas. Tiene una arquitectura basada en celdas más bien que una basada en tramas. Las celdas ATM tienen siempre una longitud fija de 53 bytes. La celda ATM de 53 bytes contiene un encabezado ATM de 5 bytes seguido de 48 bytes de carga ATM. Las celdas pequeñas de longitud fija son adecuadas para la transmisión de tráfico de voz y video porque este tráfico no tolera demoras. El tráfico de video y voz no tiene que esperar que se transmita un paquete de datos más grande.

 

DSL

La tecnología de línea Digital del suscriptor (DSL) es una tecnología de banda ancha que utiliza líneas telefónicas de par trenzado para transportar datos de alto ancho de banda para dar servicio a los suscriptores. El servicio DSL se considera de banda ancha, en contraste con el servicio de banda base típico de las LAN. Banda ancha se refiere a la técnica que utiliza varias frecuencias dentro del mismo medio físico para transmitir datos. El término xDSL se refiere a un número de formas similares, aunque en competencia, de tecnologías DSL:

• DSL Asimétrico (ADSL)

• DSL simétrico (SDSL)

• DSL de alta velocidad de bits (HDSL)

• ISDN (como) DSL (IDSL)

• DSL para consumidores (CDSL), también llamado

 

La tecnología DSL permite que el proveedor de servicios ofrezca a los clientes servicios de red de alta velocidad, utilizando las líneas de cobre de bucle local instaladas. La tecnología DSL permite que la línea de bucle local se utilice para realizar conexiones telefónicas de voz normales y conexiones permanentes para tener conectividad de red al instante.

 

 

ATM (Modo de transferencia asíncrono) es una tecnología de red reciente que, a diferencia de Ethernet, red y FDDI, permite la transferencia simultánea de datos y voz a través de la misma línea.

El ATM fue desarrollado con CNET. Al contrario de las redes sincrónicas (como las redes telefónicas, por ejemplo), en donde los datos se transmiten de manera sincrónica, es decir, el ancho de banda se comparte (multiplexado) entre los usuarios según una desagregación temporaria, una red ATM transfiere datos de manera asíncrona, lo que significa que transmitirá los datos cuando pueda. Mientras que las redes sincrónicas no transmiten nada si el usuario no tiene nada para transmitir, la red ATM usará estos vacíos para transmitir otros datos, ¡lo que garantiza un ancho de banda más óptimo.

Multiplexación temporaria

Además, las redes ATM sólo transmiten paquetes en forma de celdas con una longitud de 53 bytes (5 bytes de encabezado y 48 bytes de datos) e incluyen identificadores que permiten dar a conocer la calidad de servicio (qos), entre otras cosas. La calidad de servicio representa un indicador de prioridad para paquetes que dependen de la velocidad de red actual.

Por lo tanto, ATM posibilita la transferencia de datos a velocidades que van desde 25 Mbps a más de 622 Mbps (incluso se espera que las velocidades alcancen más de 2 Gbps a través de la fibra óptica). Debido a que el hardware necesario para redes ATM es costoso, los operadores de telecomunicaciones las utilizan básicamente para líneas de larga distancia.

La primera referencia del ATM (Asynchronous Transfer Mode) tiene lugar en los años 60 cuando un norteamericano de origen oriental perteneciente a los laboratorio belll describió y patentó un modo de transferencia no síncrono. Sin embargo el ATM no se hizo popular hasta 1988 cuando el  CCITT decidió que sería la tecnología de conmutación  de las futuras redes ISDN en banda ancha (rec I.121). Por un lado los representantes de EEUU y otros países proponían un tamaño de celdas grande de unos Para ello, el equipo detrás del ATM tuvo primero que persuadir a algunos representantes de las redes de comunicaciones que hubieran preferido una simple ampliación de las capacidades de la ISDN  en banda estrecha. Conseguido este primer objetivo y desechando los esquemas de transmisión síncronos, se empezaron a discutir aspectos tales como el tamaño de las celdas.64 bytes. Sin embargo para los representantes de los países europeos el tamaño ideal de las celdas era de 32 bytes(Según Tanenbaum), y señalaban que un tamaño de celda de 64 bytes provocaría retardos inaceptables de hasta 85 ms. Este retardo no permitiría la transmisión de voz con cierto nivel de calidad a la vez que obligaba a instalar canceladores de eco. Después de muchas discusiones y ante la falta de acuerdo, en la reunión del CCITT celebrada  en  ginebra en junio de 1989 se tomó una decisión salomónica: “Ni para unos ni para otros. 48 bytes será el tamaño de la celda”. Para la cabecera se tomó un tamaño de 5  bytes. Un extraño número primo 53 (48+5) sería el tamaño definitivo, en  octetos, de las células ATM. Un número que tuvo la virtud de no satisfacer a nadie, pero que suponía un compromiso de todos los grupos de interés y evitaba una ruptura de consecuencias imprevisibles.

Con esta tecnología, a fin de aprovechar al máximo la capacidad de los sistemas de transmisión, sean estos de cable o radioeléctricos, la información no es transmitida y conmutada a través de canales asignados en permanencia, sino en forma de cortos paquetes (celdas ATM) de longitud constante y que pueden ser enrutadas individualmente mediante el uso de los denominados canales virtuales y trayectos virtuales.

En la Figura 1 se ilustra la forma en que diferentes flujos de información, de características distintas en cuanto a velocidad y formato, son agrupados en el denominado Módulo ATM para ser transportados mediante grandes enlaces de transmisión a velocidades (bit rate) de 155 o 622 Mbit/s  facilitados generalmente por sistemas SDH.

En el terminal transmisor, la información es escrita byte a byte en el campo de información de usuario de la celda y a continuación se le añade la cabecera.

En el extremo distante, el receptor extrae la información, también byte a byte, de las celdas entrantes y de acuerdo con la información de cabecera, la envía donde ésta le indique, pudiendo ser un equipo terminal u otro módulo ATM para ser encaminada a otro destino. En caso de haber más de un camino entre los puntos de origen y destino, no todas las celdas enviadas durante el tiempo de conexión de un usuario serán necesariamente encaminadas por la misma ruta, ya que en ATM todas las conexiones funcionan sobre una base virtual.

Son estructuras de datos de 53 bytes compuestas por dos campos principales:

1. Header, sus 5 bytes tienen tres funciones principales: identificación del canal, información para la detección de errores y si la célula es o no utilizada. Eventualmente puede contener también corrección de errores y un número de secuencia.
2. Payload, tiene 48 bytes fundamentalmente con datos del usuario y protocolos AAL que también son considerados como datos del usuario.

Dos de los conceptos más significativos del ATM, Canales Virtuales y Rutas Virtuales, están materializados en dos identificadores en el header de cada célula (VCI y VPI) ambos determinan el enrutamiento entre nodos. El estándar define el protocolo orientado a conexión que las transmite y dos tipos de formato de celda:

• NNI (Network to Network Interface o interfaz red a red) El cual se refiere a la conexión de Switches ATM en redes privadas
• UNI (User to Network Interface o interfaz usuario a red) este se refiere a la conexión de un Switch ATM de una empresa pública o privada con un terminal ATM de un usuario normal, siendo este último el más utilizado.

Diagrama de una celda UNI 7 4 3 0 GFC VPI VPI VCI PT CLP HEC Payload (48 bytes)

Diagrama de una celda NNI 7 4 3 0 VPI VPI VCI PT CLP HEC Payload (48 bytes)

Campos

• GFC (Control de Flujo Genérico, Generic Flow Control, 4 bits): El estándar originariamente reservó el campo GFC para labores de gestión de tráfico, pero en la práctica no es utilizado. Las celdas NNI lo emplean para extender el campo VPI a 12 BITS.
• VPI (Identificador de Ruta Virtual, Virtual Path Identifier, 8 bits) y VCI (Identificador de Circuito Virtual, Virtual Channel Identifier, 16 bits): Se utilizan para indicar la ruta de destino o final de la célula.
• PT (Tipo de Información de Usuario, Payload type, 3 bits): identifica el tipo de datos de la celda (de datos del usuario o de control).Uno identifica el tipo de carga en el campo de usuario, otro indica si hay congestión en la red y el último es el SDU.
• CLP (Prioridad, Cell Loss Priority, 1 bit): Indica el nivel de prioridad de la celda, si este bit está activo cuando la red ATM esta congestionada la celda puede ser descartada.
• HEC (Corrección de Error de Cabecera, Header Error Correction, 8 bits): contiene un código de detección de error que sólo cubre la cabecera (no la información de usuario), y que permite detectar un buen número de errores múltiples y corregir errores simples.

ATM ofrece un servicio orientado a conexión, en el cual no hay un desorden en la llegada de las celdas al destino. Esto lo hace gracias a los caminos o rutas virtuales (VP) y los canales o circuitos virtuales (VC). Los caminos y canales virtuales tienen el mismo significado que los Virtual Chanel Connection (VCC) en  x.25, que indica el camino fijo que debe seguir la celda. En el caso de ATM, los caminos virtuales (VP), son los caminos que siguen las celdas entre dos enrutadores ATM pero este camino puede tener varios canales virtuales (VC).

En el momento de establecer la comunicación con una calidad de servicio deseada y un destino, se busca el camino virtual que van a seguir todas las celdas. Este camino no cambia durante toda la comunicación, así que si se cae un nodo la comunicación se pierde. Durante la conexión se reservan los recursos necesarios para garantizarle durante toda la sesión la calidad del servicio al usuario.

Cuando una celda llega a un encaminador, éste le cambia el encabezado según la tabla que posee y lo envía al siguiente con un VPI y/o un VCI nuevo.

La ruta inicial de encaminamiento se obtiene, en la mayoría de los casos, a partir de tablas estáticas que residen en los conmutadores. También podemos encontrar tablas dinámicas que se configuran dependiendo del estado de la red al comienzo de la conexión; éste es uno de los puntos donde se ha dejado libertad para los fabricantes. Gran parte del esfuerzo que están haciendo las compañías está dedicado a esta área, puesto que puede ser el punto fundamental que les permita permanecer en el mercado en un futuro.

El Modo de Transferencia Asíncrona fue la apuesta de la industria tradicional de las telecomunicaciones por las comunicaciones de banda ancha. Se planteó como herramienta para la construcción de redes de banda ancha (B-ISDN) basadas en conmutación de paquetes en vez de la tradicional  conmutación de circuitos. El despliegue de la tecnología ATM no ha sido el esperado por sus promotores. Las velocidades para las que estaba pensada (hasta 622 Mbits) han sido rápidamente superadas; no está claro que ATM sea la opción más adecuada para las redes actuales y futuras, de velocidades del orden del  gigabit. ATM se ha encontrado con la competencia de las tecnologías provenientes de la industria de la Informática, que con proyectos tales como la voip parece que ofrecen las mejores perspectivas de futuro.

En la actualidad, ATM es ampliamente utilizado allá donde se necesita dar soporte a velocidades moderadas, como es el caso de la  ADSL, aunque la tendencia es sustituir esta tecnología por otras como  ethernet  que está basada en tramas de datos

CONFIGURACIÓN BÁSICA ROUTER

PROMP COMANDO OBSERVACIÓN

router enable Entrar a modo privilagiado
router# config terminal Entra en Modo Configuración
router(config)# hostanme ROUTER_1 Nombre del Router
ROUTER_1(config)# enable password cisco Habilita Password
ROUTER_1(config)# enable secret class Habilita Palabra Secreta
ROUTER_1(config)# banner motd @ ACCESO RESTRINGIDO ROUTER @ Mensaje del Día
ROUTER_1(config)# service password-encryption Encriptar las Contraseñas
ROUTER_1(config)# line con 0 Entra a la Linea de Configuración del puerto consola
ROUTER_1(config-line)# password cisco Password para el puerto
ROUTER_1(config-line)# login
ROUTER_1(config-line)# line vty 0 15 Acceder a las Lineas Virtuales
ROUTER_1(config-line)# password cisco Password para las Líneas Virtuales
ROUTER_1(config-line)# login Habilita solicitación de Login
ROUTER_1(config-line)# exit Salir

CONFIGURACIÓN FAST ETHERNET 

ROUTER_1(config)# interface fastethernet 0/0 Entra a la Configuración del Puerto FastEthernet
ROUTER_1(config-if)# ip address 172.16.68.1 255.255.254.0 Direccion del Router
ROUTER_1(config-if)# description ***Conectado con la LAN 172.16.68.0 **** Descripción de la Subred
ROUTER_1(config-if)# no shutdown Levantar las Interfaces
ROUTER_1(config-if)# interface serial 0/0/1 Entrando a la configuracion de la Serial
ROUTER_1(config-if)# ip address 172.16.70.1 255.255.255.252 Estable difrección IP de la FastEthernet
ROUTER_1(config-if)# description *Conectado a la SERIAL 0/0/1*Descripción de la Línea
ROUTER_1(config-if)# no shutdown Levanta la FastEthernet
ROUTER_1(config-if)# exit Salir
ROUTER_1(config)# exit Salir
ROUTER_1# copy running-config startup-config Guardar Configuración

CONFIGURACIÓN SERIAL

ROUTER_1(config-if)# interface serial 0/0/0 Configurando el Puerto Serial DCE
ROUTER_1(config-if)# ip address 172.16.70.2 255.255.255.252 IP del Serial
ROUTER_1(config-if)# description ***Conectado con el SERIAL 0/0/0***Descripcion
ROUTER_1(config-if)# clock rate 56000 Reloj solo para DCE sino se pone no se levanta la interfaz

CREACION DE VLAN EN SWITCHES (CAPA DE ACCESO)

SWITCH_1 configure terminal Entrar al modo de configuracion global
SWITCH_1# vlan database Entrar a la Base de Datos de VLAN del dispositivo
SWITCH_1(vlan)# vlan 5 name Alumnos Creación la VLAN 5 llamada ALUMNOS
SWITCH_1(vlan)# vlan 10 name Maestros Creación la VLAN 10 llamada MAESTRO
SWITCH_1# exit
SWITCH_1# configure terminal
SWITCH_1(config-router)# interface fastethernet 0/2 Configurar el Puerto Ethernet 2
SWITCH_1(config-router)# switchport mode access Habilitar el Modo de Acceso
SWITCH_1(config-router)# switchport acces vlan 5 Habilita el Acceso a la VLAN
SWITCH_1(config-router)# exit
SWITCH_1# configure terminal
SWITCH_1(config-router)# interface fastethernet 0/10 Configurar el Puerto Ethernet 1
SWITCH_1(config-router)# switchport mode access Habilitar el Modo de Acceso
SWITCH_1(config-router)# switchport acces vlan 10 Habilita el Acceso a la VLAN 5
SWITCH_1(config-router)# exit
SWITCH_1# exit
SWITCH_1 wr Guarda configuración
SWITCH_1 show vlan Muestra configuración de la VLAN

CREACION DE VLAN EN SWITCHES (CAPA DE ACCESO – Creación de la Troncal)

SWITCH_1 configure terminal Entrar al modo de configuracion global
SWITCH_1# interface fastethernet 0/1 Configurar el Puerto Ethernet 1 (También aplicado para el FE 24 de otro Switch)
SWITCH_1# switchport mode trunk Habilita el Modo Troncal para el Puerto Ethernet 1 (FE 24 de otro Switch)
SWITCH_1# switchport trunk allowed vlan all Habilita todas las VLAN para la troncal
SWITCH_1# exit
SWITCH_1 wr Guarda configuración

CREACION DE VLAN EN SWITCHES (CAPA DE DISTIRBUCIÓN – Creación de la Troncal)

SWITCH_DIST_1 configure terminal Entrar al modo de configuracion global
SWITCH_DIST_1# interface fastethernet 0/1 Configurar el Puerto Ethernet
SWITCH_DIST_1# switchport mode trunk Habilita el Modo Troncal para el Puerto Ethernet 1 (FE 24
SWITCH_DIST_1# switchport trunk allowed vlan all Habilita todas las VLAN para la troncal
SWITCH_DIST_1# exit
SWITCH_DIST_1# interface fastethernet 0/24 Configurar el Puerto Ethernet 1
SWITCH_DIST_1# switchport mode trunk Habilita el Modo Troncal para el Puerto Ethernet 1 (FE 24)SWITCH_DIST_1# switchport trunk allowed vlan all Habilita todas las VLAN para la troncal
SWITCH_DIST_1# exit
SWITCH_DIST_1 wr Guarda la configuración del Dispositivo

CREACION DE VLAN EN SWITCHES (CAPA DE DISTRIBUCIÓN – Habilita Troncal Gigabite o puede ser Fast)

SWITCH_DIST_1 configure terminal Entrar al modo de configuracion global
SWITCH_DIST_1# interface gigabitEthernet 1/1 Entra a la configuración del Puerto Gigabite
SWITCH_DIST_1# switchport mode trunk Habilita el Modo Troncal para el Puerto Ethernet 1 (FE 24)
SWITCH_DIST_1# switchport trunk allowed vlan all Habilita todas las VLAN para la troncal
SWITCH_DIST_1# exit
SWITCH_DIST_1 exit
SWITCH_DIST_1 wr Guarda la configuración del Dispositivo

COMANDOS AVANZADOS

Comandos para configurar un Switch Cisco

Tengo que mencionar que esta es una recopilacion de varios blog’s y espero seguir checando mas y haciendo mas facil su entendimiento.

OSPF

Router(config)#router ospf process-id 
Router(config-router)#network address wildcard-mask area area-id 

Router(config)#interface lookback 0
Router(config-if)#ip address 192.168.3.33 255.255.255.255

Rtr(config-if)# bandwidth 64
Rtr(config-if)# ip ospf cost 1562

Autenticación sin md5
Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area-number authentication 

Autenticación con md5
Router(config-if)#ip ospf message-digest-key key-id encryption-type md5 key 
Router(config-router)#area area-id authentication message-digest 

Router(config-if)#ip ospf hello-interval seconds 
Router(config-if)#ip ospf dead-interval seconds 
debug ip ospf events 

–aumentar la prioridad para elegir un router DR
sw(config)#interface fasethernet 0/0
sw(config-if)#ip osfp priority 50
sw(config-if)#end

EIGRP

Router(config)#router eigrp as-id
Router(config-router)#network 192.168.3.0
Router(config-router)#end
Router# show ip eigrp topology

eigrp log-neighbor-changes 
resumen de rutas: router(config-router)#no auto-summary

Switch

Switch# dir flash:
Switch#show flash
Switch#show vlan

Switch#vlan database 
Switch(vlan)#vlan vlan_number 
Switch(vlan)#exit 
Switch(config)#interface fastethernet 0/9 
Switch(config-if)#switchport access vlan vlan_number 
Switch#vlan database 
Switch(vlan)#no vlan 300 
Switch(config)#interface fastethernet 0/9 
Switch(config-if)#switchport access vlan vlan_number 

Sw1#delete flash:vlan.dat
Sw1#erase startup-config
Sw1#reload

Interface web
Sw1(config)#ip http port 80

Ver la tabla MAC:
Switch#show mac-address-table (? Mas opciones)
Switch#clear mac-address-table 

Asignar una mac estatica 

•Switch(config)#mac-address-table static interface FastEthernet vlan 
•Switch(config)#no mac-address-table static interface FastEthernet vlan 
Seguridad de Puerto

Sw1(config)#interface fastETehernet 0/2
Sw1(config-if)#switchport port-security ?(sale las opciones)

Limitar la cantidad de host por puerto
1900:
Sw1(config)#interface fastETehernet 0/2
Sw1(config-if)#port secure mas-mac-count 1

2950:
Sw1(config)#interface fastETehernet 0/2
Sw1(config-if)#switchport port-security maximum 1

Configuracion del Puerto que se desconecte cuando se produce una violacion de seguridad

Sw(config-if)#switchport port-security violation shutdown

2900xl:
Sw(config-if)#port security action shutdown

Poner Ip a la Vlan1

Catalyst 2950
Sw(config)#interface Vlan1
Sw(config-if)#ip address 192.168.1.2 255.255.255.0
Sw(config-if)#no shutdown

Sw(config)# ip default-gateway 192.168.1.1

Catalyst 1900
Sw(config)#ip address 192.168.1.2 255.255.255.0

Sw(config)# ip default-gateway 192.168.1.1

Archivos de configuracion

Sw# copy running-config startup-config 

1900:
Sw#copy nvram tftp://tftp server ip add/destination_filename

COnfiguracion de la velocidad

Switch(config)#interface fastethernet 0/9
Switch(config-if)#duplex full
Switch(config-if)#speed 100

Crear el trunk del switch

Sw(config)#interface fastethernet 0/1 
Sw(config-if)#swicthport mode trunk
Sw(config-if)#end

2900:
Sw(config)#interface fastethernet 0/1 
Sw(config-if)#swicthport mode trunk
Sw(config-if)#swicthport trunk encapsulation dot1q
Sw(config-if)#end

1900:
Sw(config)#interface fastethernet 0/1 
Sw(config-if)#swicthport mode trunk
Sw(config-if)#swicthport trunk encapsulation dot1q
Sw(config-if)#end

Trunk en el router

Router(config)#interface fastethernet 0/0
Router(config-if)#no shutdown
Router(config-if)#interface fastEthernet 0/0.1
Router(config-subif)#encapsulation dot1q vlan-number
Router(config-subif)#ip address…….

router1#copy running-config tftp 

Quitar un Puerto de una VLAN
Switch(config)#interface fasethernet 0/9
Switch(config-if)#no switchport access vlan 300

Eliminar una vlan

Switch#vlan database 
Switch(vlan)#no vlan 300 

Spanning tree
show spanning-tree

Configuracion de VTP
switch#vlan database
switch#vtp v2-mode

switch(vlan)#vtp domain password

switch#vtp {client | server | transparent}

Copiar el IOS a un server tftp

Sw#copy flash tftp

2900: sw#copy flash:nombre_del_archivo tftp

Copiar IOS desde un Server tftp
Sw#copy TFTP flash

Sw# copy Start tftp

1900: sw#copy nvram tftp://numero-ip/name

Sw#copy tftp startup-config

1900: sw#copy tftp://numero-ip/name nvram

Recuperar el acceso al switch

1. Apagar el switch, Vuelva a encenderlo mientras presiona el boton MODE en la parte delantera del switch. Deje de presionar el boton MODE una vez que se apague el led de STAT
2. introducir los siguientes comandos:
flash_init
load_helper
dir flash:
3. rename flash:config.text flash:config.old 
4. reiniciar el sistema original:
4.1 despues de entrar al switch hacer: rename flash:config.old flash:config.text
4.2 sw#copy flash:config.text system:running-config 
4.3 Cambiar los password

Actualizar el firmware

Sw#show boot (muestra el archive de boteo)

Cambiar el nombre del archivo de la ios,con el commando #rename flash:nombre flash:Nuevo_nombre

Sw(config)#no ip http Server
Sw# delete flash:html/*

Extraer la nueva version del IOS

Sw#archive tar /x tftp://192.168.1.3/nombre_del_archivo.tar flash:
Sw(config)#ip http Server
Sw(config)#boot system flash:nombre.bin

Spanning-Tree

#show spanning-tree brief
Cambiar prioridad: ios 12.0 sw(config)#spanning-tree priority 1
sw(config)#exit

ios 12.1 sw(config)#spanning-tree vlan 1 priority 4096 
sw(config)#exit 

Configurar VLAN

Sw#vlan database
Sw(vlan)#vlan 2 name Logistica
Sw(vlan)#vlan 3 name Licitaciones
Sw(vlan)#end

1900: 
Sw#config terminal
Sw(config)#vlan 2 name VLAN2
Sw(config)#vlan 3 name VLAN3

Configurar puertos en las VLAN

Sw#conf term
Sw(config)#interface fastethernet 0/2 
Sw(config-if)#switchport mode access
Sw(config-if)#switchport access vlan2
Sw(config-if)#end

Elminar el Puerto de la vlan
Sw(config-if)#no switchport access vlan2
Sw(config-if)#end

1900:
Sw#conf term
Sw(config)#interface fastethernet 0/2 
Sw(config-if)#vlan static 2 

Para eliminar un Puerto de la vlan
Sw(config-if)#no vlan-membership 2 

Sw#show vlan 
Sw#show vlan id 2

1900: Show vlan-membership
Show vlan 2 

Eliminar un vlan

Sw#valn database 
Sw(vlan)#no vlan 3
Sw(vlan)# exit

1900: sw(confgi)# interface ethernet 0/7
sw(confgi)#no vlan 3

enlacen troncal ISL

sw(Config.)#interafce fastethernet 0/1
sw(Config-if)#switchport mode trunk
sw(Config-if)#switchport trunk encapsulation isl
sw(Config-if)#end
enlace troncal 802.1q

2950: por defecto dotiq
sw(Config.)#interafce fastethernet 0/1
sw(Config-if)#switchport mode trunk

2900:
sw(Config.)#interafce fastethernet 0/1
sw(Config-if)#switchport mode trunk
sw(Config-if)#switchport trunk encapsulation dot1q

Vtp , servidor y cliente

Sw# Vlan database
Sw(vlan)# vtp server
Sw(vlan)# vtp domain group1
Sw(vlan)# exit

Sw# Vlan database
Sw(vlan)# vtp client
Sw(vlan)# vtp domain group1
Sw(vlan)# exit

Ruteo entre VLAN

Poner el encapsulamiento en las subinterfaces del router

(config-if)#interface fastethernet 0/0.1
(config-subif)#encapsulation dot1q 1 (1 es la vlan a la que esta

Una máscara wildcard se compara con una dirección IP. Los números en binario uno y cero en la máscara, se usan para identificar cómo se deben manejar los bits de la dirección que desea revisar.

 

Qué son las ACL

Las ACL son listas de instrucciones que se aplican a una interfaz del router. Estas listas indican al router qué tipos de paquetes se deben aceptar y qué tipos de paquetes se deben denegar. La aceptación y rechazo se pueden basar en ciertas especificaciones, como dirección origen, dirección destino y número de puerto. Las ACL le permiten administrar el tráfico y examinar paquetes específicos, aplicando la ACL a una interfaz del router.  Cualquier tráfico que pasa por la interfaz debe cumplir ciertas condiciones que forman parte de la ACL.

Las ACL se pueden crear para todos los protocolos enrutados de red, como el Protocolo Internet (IP) y el Intercambio de paquetes de internetwork (IPX), para filtrar los paquetes a medida que pasan por un router. Las ACL se pueden configurar en el router para controlar el acceso a una red o subred. Por ejemplo, en el Distrito Escolar Washington, las ACL se pueden usar para evitar que el tráfico de los estudiantes pueda entrar a la red administrativa.

Las ACL filtran el tráfico de red controlando si los paquetes enrutados se envían o se bloquean en las interfaces del router. El router examina cada paquete para determinar si se debe enviar o descartar, según las condiciones especificadas en la ACL. Entre las condiciones de las ACL se pueden incluir la dirección origen o destino del tráfico, el protocolo de capa superior, u otra información.

Las ACL se deben definir por protocolo. En otras palabras, es necesario definir una ACL para cada protocolo habilitado en una interfaz si desea controlar el flujo de tráfico para esa interfaz. (Observe que algunos protocolos se refieren a las ACL como filtros.) Por ejemplo, si su interfaz de router estuviera configurada para IP, AppleTalk e IPX, sería necesario definir por lo menos tres ACL. Las ACL se pueden utilizar como herramientas para el control de redes, agregando la flexibilidad necesaria para filtrar los paquetes que fluyen hacia adentro y hacia afuera de las interfaces del router.

Estudio guiado de caso

Proyecto Washington: Requisitos de seguridad

El diseño LAN para todas las escuelas del Distrito Escolar Washington requiere que cada escuela tenga dos redes: una para el currículum y la otra para administración. Cada segmento exclusivo de LAN se debe conectar a un puerto Ethernet separado en el router para brindar servicios a esa LAN. Estos routers existen: busque en http://www.cisco.com para más información. Como parte de la solución de seguridad, necesita desarrollar una ACL para el router de acceso al sitio local que deniegue acceso a los usuarios del segmento de LAN del currículum al segmento de LAN administrativo, otorgando al mismo tiempo acceso completo de la LAN administrativa al segmento de LAN del currículum.

Una excepción a esta ACL es que el router debe pasar cualquier tráfico de Sistema de nombres de dominio (DNS) o de correo electrónico al servidor DNS/correo electrónico, que se ubica en el segmento de la LAN de administración. Este es tráfico que se origina en la LAN a la que acceden los estudiantes. Por lo tanto, si un estudiante está navegando en la Web y necesita el servidor DNS para resolver nombres de host, esta ACL permite la resolución de nombres de host. Además, esta ACL permite que los estudiantes envíen y reciban correo electrónico.

Razones para el uso de ACL

Hay muchas razones para crear ACL. Por ejemplo, las ACL se pueden usar para:

Limitar el tráfico de red y mejorar el rendimiento de la red. Por ejemplo, las ACL pueden designar ciertos paquetes para que un router los procese antes de procesar otro tipo de tráfico, según el protocolo. Esto se denomina colocación en cola, que asegura que los routers no procesarán paquetes que no son necesarios. Como resultado, la colocación en cola limita el tráfico de red y reduce la congestión.

Brindar control de flujo de tráfico. Por ejemplo, las ACL pueden restringir o reducir el contenido de las actualizaciones de enrutamiento. Estas restricciones se usan para limitar la propagación de la información acerca de redes específicas por toda la red.

Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo, las ACL pueden permitir que un host acceda a una parte de la red y evitar que otro acceda a la misma área. Al Host A se le permite el acceso a la red de Recursos Humanos, y al Host B se le deniega el acceso a dicha red. Si no se configuran ACL en su router, todos los paquetes que pasan a través del router supuestamente tendrían acceso permitido a todas las partes de la red.

Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del router. Por ejemplo, se puede permitir que se enrute el tráfico de correo electrónico, pero bloquear al mismo tiempo todo el tráfico de telnet.

Estudio guiado de caso

Proyecto Washington: Uso de las ACL

Cuando se usan ACL en los routers de acceso al sitio local, todo el tráfico desde la LAN del currículum se debe prohibir en la LAN de la administración. Se pueden establecer excepciones a este requisito, permitiendo que ciertas aplicaciones, tales como los servicios de correo electrónico o de directorio, pasen libremente porque el riesgo que presentan es mínimo.

Es necesario que en todo el distrito haya acceso al correo electrónico y DNS, y estos tipos de servicios no deben permitir el acceso no autorizado a la red de administración. Todas las ACL creadas deben controlarse en la oficina de distrito, y es necesario revisar las excepciones a las ACL antes de su implementación.

Prueba de paquetes con ACL

El orden en el que se ubican las sentencias de la ACL es importante. Cuando el router está decidiendo si desea enviar o bloquear un paquete, el software del Sistema Operativo de Internetworking de Cisco (IOS) prueba el paquete, verificando si cumple o no cada sentencia de condición, en el orden en que se crearon las sentencias.

Nota:  Una vez que se verifica que existe una coincidencia, no se verifican otras sentencias de condición.

Si se crea una sentencia de condición que permita todo el tráfico, no se verificará ninguna sentencia agregada más adelante. Si necesita sentencias adicionales, en una ACL estándar o extendida se debe eliminar la ACL y volver a crearla con las nuevas sentencias de condiciones. Es por este motivo que es una buena idea editar una configuración de router en un PC con un editor de texto y luego enviarla al router usando el Protocolo de transferencia de archivos trivial (TFTP).

Puede crear una ACL para cada protocolo que desea filtrar para cada interfaz de router. Para algunos protocolos, se crea una ACL para filtrar el tráfico entrante, y otra para filtrar el tráfico saliente.

Funcionamiento de las ACL

Una ACL es un grupo de sentencias que define cómo los paquetes:

Entran a las interfaces de entrada

Se reenvían a través del router

Salen de las interfaces de salida del router

El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o no. Cuando un paquete entra en una interfaz, el router verifica si un paquete es enrutable o puenteable. Ahora, el router verifica si la interfaz de entrada tiene una ACL. Si existe, ahora se verifica si el paquete cumple o no las condiciones de la lista. Si el paquete es permitido, entonces se compara con las entradas de la tabla de enrutamiento para determinar la interfaz destino.

A continuación, el router verifica si la interfaz destino tiene una ACL. Si no la tiene, el paquete puede ser enviado directamente a la interfaz destino; por ejemplo, si usa E0, que no tiene ACL, el paquete usa E0 directamente.

Las sentencias de la ACL operan en orden secuencial lógico. Si se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias de la ACL no se verifican. Si las sentencias de la ACL no se verifican, se impone una sentencia implícita de «denegar cualquiera». Esto significa que, aunque la sentencia «denegar cualquiera» no se vea explícitamente en la última línea de una ACL, está allí.

6.1.5 Diagrama de flujo del proceso de comparación de las ACL

Cuando la primera prueba indica que cumple la condición, a un paquete se le deniega el acceso al destino. Se descarta y se elimina en la papelera de bits, y no se expone a ninguna de las pruebas de la ACL que siguen. Si el paquete no concuerda con las condiciones de la primera prueba, pasa a la siguiente sentencia de la ACL.

Las ACL le permiten controlar lo que los clientes pueden acceder en la red. Las condiciones en un archivo de ACL pueden:

Excluir ciertos hosts para permitir o denegar acceso a parte de su red

Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.

Estudio guiado de caso

Proyecto Washington: Permiso del usuario

Es necesario implementar una política de identificador y contraseña para todos los computadores del distrito. Esta política se debe publicar y aplicar estrictamente. Finalmente, debe asegurarse de que todos los computadores en la red del distrito tengan pleno acceso a Internet.

Tareas de configuración de las ACL

Creación de ACL

En la práctica, los comandos ACL pueden ser largas cadenas de caracteres.  Entre las tareas clave para la creación de ACL que se examinan en esta sección se incluyen las siguientes:

Las ACL se crean utilizando el modo de configuración global.

Al especificar un número ACL del 1 al 99 se instruye al router que debe aceptar las sentencias de las ACL estándar. Al especificar un número ACL del 100 al 199 se instruye al router para aceptar las sentencias de las ACL extendidas.

Se deben seleccionar y ordenar lógicamente las ACL de forma muy cuidadosa. Los protocolos IP permitidos se deben especificar; todos los demás protocolos se deben denegar.

Se deben seleccionar los protocolos IP que se deben verificar; todos los demás protocolos no se verifican. Más adelante en el procedimiento, también se puede especificar un puerto destino opcional para mayor precisión.

Agrupación de ACL en interfaces

Aunque cada protocolo tiene su propio conjunto de tareas específicas y reglas que se requieren para proporcionar filtrado de tráfico, en general la mayoría de los protocolos requieren los dos pasos básicos. El primer paso es crear una definición de ACL, y el segundo es aplicar la ACL a una interfaz.

Las ACL se asignan a una o más interfaces y pueden filtrar el tráfico entrante o saliente, según la configuración. Las ACL salientes son generalmente más eficientes que las entrantes, y por lo tanto siempre se prefieren. Un router con una ACL entrante debe verificar cada paquete para ver si cumple con la condición de la ACL antes de conmutar el paquete a una interfaz saliente.

Asignación de un número único a cada ACL

Al configurar las ACL en un router, se debe identificar cada ACL de forma exclusiva, asignando un número a la ACL del protocolo. Cuando se usa un número para identificar una ACL, el número debe estar dentro del intervalo específico de números que es válido para el protocolo.

Se pueden especificar ACL por números para los protocolos enumerados para la tabla. La tabla también incluye el intervalo de números de ACL que es válido para cada protocolo.

Después de crear una ACL numerada, debe asignarla a una interfaz para poderla usar. Si desea alterar una ACL que contiene sentencias de ACL numeradas, necesita eliminar todas las sentencias en la ACL numerada mediante el comando no access-list list-number.

Diario de ingeniería

Ejemplo de configuración de ACL numerada

Propósito y función de los bits de la máscara wildcard

Una máscara wildcard es una cantidad de 32 bits que se divide en cuatro octetos, en la que cada octeto contiene 8 bits. Un bit de máscara wildcard de 0 significa «verificar el valor de bit correspondiente» y un bit 1 de una máscara wildcard significa «no verificar (ignorar) el valor de bit correspondiente».

Una máscara wildcard se compara con una dirección IP. Los números uno y cero se usan para identificar cómo tratar los bits de la dirección IP correspondientes. Las ACL usan máscaras wildcard para identificar una sola o múltiples direcciones para las pruebas de aprobar o rechazar. El término máscara wildcard es la denominación aplicada al proceso de comparación de bits de máscara y proviene de una analogía con el «wildcard» (comodín) que equivale a cualquier otro naipe en un juego de póquer.

Aunque ambas son cantidades de 32 bits, las máscaras wildcard y las máscaras de subred IP operan de manera diferente. Recuerde que los ceros y unos en una máscara de subred determinan las porciones de red, subred y host de la dirección IP correspondientes. Los ceros y unos en un wildcard, como se ha observado, determinan si los bits correspondientes en la dirección IP se deben verificar o ignorar para los fines de la ACL.

Como hemos visto, los bits de ceros y unos en una máscara wildcard de ACL hacen que la ACL verifique o ignore el bit correspondiente en la dirección IP. En la figura,  se aplica este proceso de máscara wildcard.

Digamos que desea verificar una dirección IP para verificar la existencia de subredes que se pueden permitir o denegar. Supongamos que la dirección IP es una dirección Clase B (es decir, que los primeros dos octetos son el número de red) con 8 bits de división en subredes (el tercer octeto es para las subredes). Es necesario usar bits de máscara wildcard IP para permitir todos los paquetes desde cualquier host en las subredes 172.30.16.0 a 172.30.31.0. La figura muestra un ejemplo de cómo usar la máscara wildcard para hacer esto.

Para empezar, la máscara wildcard verifica los primeros dos octetos (172.30), utilizando los bits de cero correspondientes en la máscara wildcard. Como no interesan las direcciones de host individuales (un identificador de host no tiene .00 al final de la dirección), la máscara wildcard ignora el octeto final, utilizando los bits unos correspondientes en la máscara wildcard.

En el tercer octeto, la máscara wildcard es 15 (00001111), y la dirección IP es 16 (00010000). Los primeros cuatro ceros en la máscara wildcard indican al router que debe comparar los primeros cuatro bits de la dirección IP (0001). Como los últimos cuatro bits se ignoran, todos los números dentro del intervalo de 16 (00010000) a 31 (00011111) coinciden porque comienzan con el patrón 0001. Para los cuatro bits finales (menos significativos) en este octeto, la máscara wildcard ignora el valor porque en estas posiciones, el valor de la dirección puede ser cero o uno binarios, y los bits wildcard correspondientes son unos. En este ejemplo, la dirección 172.30.16.0 con la máscara wildcard 0.0.15.255 coincide con las subredes 172.30.16.0 a 172.30.31.0. La máscara wildcard no coincide con ninguna otra subred.

Comando any

Trabajar con representaciones decimales de bits wildcard binarios puede ser una tarea muy tediosa. Para los usos más comunes de las máscaras wildcard, se pueden usar abreviaturas. Estas abreviaturas reducen la cantidad de cosas que hay que escribir cuando se configuran condiciones de prueba de direcciones. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir cualquier dirección destino. Para indicar cualquier dirección IP, se debe introducir 0.0.0.0; luego, se debe indicar que la ACL debe ignorar (es decir, permitir sin verificar) cualquier valor, la máscara wildcard correspondiente para esta dirección debe ser de todos unos (es decir, 255.255.255.255). Se puede usar la abreviatura any para comunicar la misma condición de prueba al software de ACL Cisco IOS. En lugar de escribir 0.0.0.0 255.255.255.255, se puede usar solamente la palabra any como palabra clave.

Por ejemplo, en lugar de usar esto:

Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255

se puede usar esto:

Router (config) # access-list 1 permit any

Comando host

Otra condición común en la que Cisco IOS permite una abreviatura en la máscara wildcard de ACL es cuando se desea que coincidan todos los bits de una dirección de host IP. Por ejemplo, supongamos que desea especificar que una prueba de ACL debe permitir una dirección de host IP específica. Para indicar una dirección IP de host, debe introducir la dirección completa (por ejemplo: 172.30.16.29); luego, para indicar que la ACL debe verificar todos los bits en la dirección, la máscara wildcard correspondiente para esta dirección debe ser de todos ceros (es decir, 0.0.0.0). Se puede usar la abreviatura host para comunicar la misma condición de prueba al software de ACL Cisco IOS. En el ejemplo, en lugar de escribir 172.30.16.29 0.0.0.0, se puede usar la palabra host frente a la dirección.

Por ejemplo, en lugar de usar esto:

Router (config)# access-list 1 permit 172.30.16.29 0.0.0.0

Se puede usar esto:

Router (config)# access-list 1 permit host 172.30.16.29

ACL estándar

Qué son las ACL estándar

Se deben usar las ACL estándar cuando se desea bloquear todo el tráfico de una red, permitir todo el tráfico desde una red específica o denegar conjuntos de protocolo. Las ACL estándar verifican la dirección origen de los paquetes que se deben enrutar. El resultado permite o deniega el resultado para todo un conjunto de protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los paquetes que vienen de E0 para establecer la dirección origen y protocolo. Si se permiten, los paquetes salen a través de S0, que se agrupa en la ACL. Si no se permite, se descarta.

Escribir un comando de ACL estándar válido utilizando todos los parámetros disponibles

Como hemos aprendido, se usa la versión estándar del comando de configuración global access-list para definir una ACL estándar con un número. Este comando se usa en el modo de comando de configuración global.

La sintaxis completa del comando es

Router(config)# access-list access-list-number {deny | permit} source

[log]

Se usa la forma no de este comando para eliminar una ACL estándar. Esta es la sintaxis:

Router(config)# no access-list access-list-number

La tabla muestra descripciones de los parámetros utilizados en esta sintaxis.

Cómo se verifican las listas de acceso

Se usa el comando EXEC show access-lists para mostrar el contenido de todas las ACL. Además, se usa el comando EXEC show access-lists seguido del nombre o número de una ACL para mostrar el contenido de una ACL. El siguiente ejemplo de una ACL estándar permite el acceso para los hosts en las tres redes especificadas:

access-list 1 permit 192.5.34.0 0.0.0.255

access-list 1 permit 128.88.0.0 0.0.255.255

access-list 1 permit 36.0.0.0 0.255.255.255

! (Nota: cualquier otro acceso está implícitamente denegado)

En el ejemplo, los bits wildcard se aplican a las porciones de host de las direcciones de red. Cualquier host con una dirección origen que no concuerde con las sentencias de la ACL será rechazado. Para especificar un gran número de direcciones individuales con mayor facilidad, se puede omitir el wildcard si se compone de sólo ceros. De esta manera, los siguientes dos comandos de configuración tienen el mismo efecto:

Access-list 2 permit 36.48.0.3

Access-list 2 permit 36.48.0.3 0.0.0.0

El comando ip access-group agrupa una ACL existente a una interfaz. Recuerde que sólo se permite una ACL por puerto por protocolo por dirección. El formato Del comando es:

Router (config-if) #ip access-group access-list-number {in | out}

6.3.4 Qué son las ACL estándar

En este ejemplo, la ACL sólo permite que se envíe el tráfico desde la red origen 172.16.0.0.  El tráfico que no es de 172.16.0.0 se bloquea. El ejemplo muestra cómo la ACL sólo permite que se envíe el tráfico desde la red origen 172.16.0.0 y que se bloquee el que no es de 172.16.0.0.

También se muestra en el ejemplo cómo el comando ip access-group 1 out agrupa la ACL en una interfaz saliente.

<strong>Permitir el tráfico desde la red origen 172.16.0.0</strong>

access-list 1 permit 172.16.0.0 0.0.255.255

(deny any está implícito – no visible en la lista)

(access-list 1 deny 0.0.0.0 255.255.255.255)

interface Ethernet 0

ip access-group 1 out

interface Ethernet 1

Ip access-group 1 out

Escribir una ACL estándar para denegar un host específico

El ejemplo siguiente muestra cómo se designó una ACL para bloquear el tráfico proveniente de una dirección específica, 172.16.4.13, y para permitir que todo el tráfico restante sea enviado en la interfaz Ethernet 0. El primer comando access-list usa el parámetro deny para denegar el tráfico del host identificado. La máscara de dirección 0.0.0.0 en esta línea requiere que en la prueba coincidan todos los bits.

En el segundo comando access-list la combinación de máscara wildcard / dirección IP 0.0.0.0 255.255.255.255 identifica el tráfico de cualquier origen. Esta combinación también se puede escribir utilizando la palabra clave any. Una dirección de sólo ceros indica un valor introducido por el usuario, y sólo unos en la máscara indican que los 32 bits no se verificarán en la dirección origen. Cualquier paquete que no coincida con la primera línea de la ACL coincidirá con la segunda y se enviará.

Denegar un host específico

access-list 1 deny host 172.16.4.13 0.0.0.0

access-list 1 permit 0.0.0.0 255.255.255.255

(deny any implícito)

(access-list 1 deny 0.0.0.0 255.255.255.255)

interface ethernet 0

ip access-group 1 out

<strong>Escribir una ACL estándar para denegar una subred específica</strong>

El ejemplo muestra cómo una ACL está diseñada para bloquear el tráfico desde una subred específica, 172.16.4.0, y para permitir que el resto del tráfico sea enviado.  Observe la máscara wildcard, 0.0.0.255: Los ceros en los primeros tres octetos indican que estos bits se probarán para verificar la existencia de coincidencias, mientras que el último octeto de sólo unos indica una condición de "no importa" para la comparación del último octeto de la dirección IP (la porción del host). Observe también que la abreviatura any ha sido usada para la dirección IP del origen.

Denegar una subred específica

(access-list 1 deny) 172.16.4.0 0.0.0.255

access-list 1 permit any

(deny any implícito)

(access-list 1 deny any)

interface ethernet 0

ip access-group 1 out

Actividad de laboratorio interactiva  (Flash, 514 kB)

Antes de realizar la actividad de laboratorio propiamente dicha, le recomendamos que lleve a cabo esta actividad preparatoria para probar su conocimiento de la sintaxis de comando de las Listas de control de acceso estándar (ACL).

Actividad de laboratorio

En esta práctica de laboratorio se trabaja con Listas de control de acceso estándar (ACL) para regular el tráfico que se permite pasar a través de un router según el origen, ya sea un host específico (normalmente una estación de trabajo o servidor) o una red completa (cualquier host o servidor en esa red).

<strong>ACL extendidas</strong>

<strong>Qué son las ACL extendidas</strong>

Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estándar. Se puede usar una ACL extendida cuando se desea permitir el tráfico de la Web pero denegar el Protocolo de transferencia de archivos (FTP) o telnet desde las redes que no pertenecen a la empresa. Las ACL extendidas verifican las direcciones origen y destino de los paquetes. También pueden verificar protocolos, números de puerto y otros parámetros específicos. Esto ofrece mayor flexibilidad para describir las verificaciones que debe realizar la ACL. Se pueden permitir o denegar paquetes según su origen o destino. Por ejemplo, la ACL extendida puede permitir el tráfico de correo electrónico desde E0 a destinos S0 específicos, denegando al mismo tiempo conexiones remotas o transferencias de archivos.

Supongamos que la interfaz E0 se ha agrupado a una ACL extendida. Esto significa que se utilizaron sentencias precisas y lógicas para crear la ACL. Antes de que un paquete pueda proceder a esta interfaz, es verificado por la ACL asociada con esa interfaz.

De acuerdo con el resultado de las pruebas realizadas por la ACL extendida, el paquete se puede permitir o denegar. Para las listas entrantes, esto significa que los paquetes permitidos seguirán siendo procesados. Para las listas salientes, esto significa que los paquetes permitidos se enviarán directamente a E0. Si los resultados de las pruebas deniegan el permiso, se descarta el paquete. La ACL del router suministra control de firewall para denegar el uso de la interfaz E0. Cuando se descartan paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.

Para una sola ACL, se pueden definir múltiples sentencias. Cada una de estas sentencias debe hacer referencia al mismo nombre o número identificatorio, para relacionar las sentencias a la misma ACL. Se puede establecer cualquier cantidad de sentencias de condición, con la única limitación de la memoria disponible. Por cierto, cuantas más sentencias se establezcan, mayor será la dificultad para comprender y administrar la ACL. Por lo tanto, la documentación de las ACL evita la confusión.

La ACL estándar (numerada del 1 al 99) probablemente no pueda ofrecerle el tipo de control de filtrado de tráfico que se necesita. Las ACL estándar filtran el tráfico según una dirección y máscara origen. Las ACL estándar también pueden permitir o denegar todo el conjunto de protocolos Internet (IP). Puede ser necesario encontrar una forma más precisa de control del tráfico y el acceso.

Para un control más preciso de filtrado de tráfico se usan las ACL extendidas. Las sentencias de las ACL extendidas verifican la dirección origen y destino. Además, al final de la sentencia de la ACL extendida, se obtiene precisión adicional con un campo que especifica el número de puerto de protocolo opcional TCP o del Protocolo de datagrama del usuario (UDP). Estos pueden ser números de puerto conocidos para TCP/IP. Algunos de los números de puerto más comunes aparecen en la figura . Se puede especificar la operación lógica que la ACL extendida efectuará en protocolos específicos. Las ACL extendidas usan un número dentro del intervalo del 100 al 199.

<strong>Parámetros de las ACL extendidas</strong>

<strong> </strong>

La forma completa del comando access-list  es:

Router(config)# access-list access-list-number {permit | deny}

Protocol source

[established]

 

El comando ip access-group   enlaza una ACL extendida existente a una interfaz. Recuerde que sólo se permite una ACL por interfaz, por protocolo por dirección. El formato del comando es:

Router (config-if)# ip access-group access-list-number {in | out}

Actividad de sintaxis interactiva  (Flash, 135 kB)

Utilice esta actividad para poner a prueba su conocimiento de la sintaxis de los parámetros de las Listas de control de acceso (ACL) extendidas

Números de puerto UDP y TCP

Las ACL extendidas que especifican direcciones destino y origen o protocolos específicos deben identificarse con números dentro del intervalo 100 a 199. Las ACL extendidas que incluyen números de puerto de nivel superior TCP o UDP, además de las demás pruebas, también deben identificarse con números dentro de este mismo intervalo. Algunos de los números de puerto reservados UDP y TCP aparecen en la tabla.

Escribir una ACL para denegar FTP en una interfaz Ethernet

La figura  muestra un ejemplo de una ACL extendida que bloquea el tráfico de FTP.

El comando de la interfaz E0 access-group 101 enlaza la ACL 101 a la interfaz saliente E0.

Observe que el bloqueo del puerto 21 evita que se transmitan los comandos FTP, evitando de esta manera las transferencias de archivo FTP. El bloqueo del puerto 20 evita que el tráfico mismo se transmita, pero no bloquea los comandos FTP. Los servidores FTP se pueden configurar fácilmente para funcionar en diferentes puertos. Debe entender que los números de puerto conocidos son simplemente lo que indica su nombre: conocidos. No existen garantías de que los servicios estén presentes en esos puertos, aunque normalmente lo están.

Escribir una ACL que deniegue telnet desde un puerto Ethernet y que permita todo el tráfico restante

El ejemplo en la figura  no permite que el tráfico de Telnet (eq 23) desde 172.16.4.0 se envíe desde la interfaz E0. Se permite todo el tráfico desde cualquier otro origen a cualquier otro destino, según lo indica la palabra clave any. La interfaz E0 está configurada con el comando access-group 101 out; es decir, ACL 101 se encuentra enlazada a la interfaz saliente E0.

Denegar sólo Telnet desde E0, y permitir todo el tráfico restante

access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23

access-list 101 permit ip any any

(deny any implícito)

(access-list 101 deny ip 0.0.0.0 255.255.255.255

0.0.0.0 255.255.255.255)

interface ethernet 0

ip access-group 101 out

ACL nombradas

Configuración de las ACL nombradas

Las ACL nombradas permiten que las ACL IP estándar y extendidas se identifiquen con una cadena alfanumérica (nombre) en lugar de la representación numérica actual (1 a 199). Las ACL nombradas se pueden usar para eliminar entradas individuales de una ACL específica. Esto permite modificar sus ACL sin eliminarlas y luego reconfigurarlas. Se usan las ACL nombradas cuando:

Se desea identificar intuitivamente las ACL utilizando un nombre alfanumérico.

Existen más de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado.

Tenga en cuenta lo siguiente antes de implementar las ACL nombradas:

Las ACL nombradas no son compatibles con las versiones de Cisco IOS anteriores a la versión 11.2.

No se puede usar el mismo nombre para múltiples ACL. Además, las ACL de diferentes tipos no pueden tener el mismo nombre. Por ejemplo, no es válido especificar una ACL estándar llamada Jorge y una ACL extendida con el mismo nombre.

Para nombrar la ACL, se utiliza el siguiente comando:

Router(config)# ip access-list {standard | extended} name

En el modo de configuración de ACL, se especifica una o más condiciones de permitir o denegar. Esto determina si el paquete debe pasar o debe descartarse:

Router(config {std- | ext-}nacl)# deny {source

| any}

o

Router(config {std- | ext-}nacl)# permit {source

| any}.

 

La configuración que aparece en la figura crea una ACL estándar denominada Internetfilter y una ACL extendida denominada marketing_group.

Comando deny

Se utiliza el comando de configuración de ACL deny para establecer condiciones para una ACL nombrada. La sintaxis completa del comando es:

deny {source

| any}

Se usa la forma no de este comando para eliminar una condición de denegar, utilizando la siguiente sintaxis:

no deny {source

| any}

 

El ejemplo que aparece en la figura establece una condición de denegar para una ACL estándar denominada Internetfilter:

6.5.3 Comando permit

Se utiliza el comando de configuración de lista de acceso permit para establecer condiciones para una ACL nombrada estándar. La sintaxis completa del comando es:

permit {source

| any}[log]

Se usa la forma no de este comando para eliminar una condición de una ACL, utilizando la siguiente sintaxis:

no permit {source

| any}

 

Se usa este comando en el modo de configuración de lista de acceso, después del comando ip access-list, para definir las condiciones bajo las cuales un paquete pasa por la ACL.

El ejemplo siguiente es una ACL nombrada estándar denominada Internetfilter:

ip access-list standard Internetfilter

deny 192.5.34.0 0.0.0.255

permit 128.88.0.0 0.0.255.255

permit 36.0.0.0 0.255.255.255

!(Nota: cualquier otro acceso está implícitamente denegado)

En este ejemplo, las sentencias de permitir y denegar no tienen número, y no se elimina la prueba específica de la ACL nombrada:

Router(config {std- | ext-}nacl)# {permit | deny} {ip ACL test conditions}

{permit | deny} {ip ACL test conditions}

no {permit | deny} {ip ACL text conditions}

Este ejemplo activa la ACL nombrada IP en una interfaz:

Router(config-if)# ip access-group {name | 1-199 {in | out}}

En la figura se muestra un ejemplo de resultado de configuración.

Uso de las ACL con protocolos

Protocolos para los cuales se pueden crear las ACL

Las ACL pueden controlar la mayoría de los protocolos en un router Cisco. Se introduce un número en el intervalo de números de protocolo como el primer argumento de la sentencia ACL global. El router identifica cuál es el software de ACL que se debe usar según esta entrada numerada. Muchas ACL son posibles para un protocolo. Se selecciona un número diferente del intervalo de números de protocolo para cada nueva ACL; sin embargo, se puede especificar sólo una ACL por protocolo por interfaz. Para algunos protocolos, se pueden agrupar hasta dos ACL a una interfaz: una ACL entrante y una saliente. Con otros protocolos, se agrupa sólo una ACL, que verifica los paquetes entrantes y salientes. Si la ACL es entrante, cuando el router recibe un paquete, el software Cisco IOS verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software sigue procesando el paquete. Si el paquete se deniega, el software lo descarta colocándolo en la papelera de bits. Si la ACL es saliente, después de recibir y enrutar un paquete a la interfaz saliente, el software verifica las sentencias de condiciones de la ACL para buscar coincidencias. Si el paquete se permite, el software lo transmite. Si el paquete se deniega, el software lo descarta enviándolo a la papelera de bits.

Diario de ingeniería

Nombrar o numerar un protocolo IP

Ubicación de las ACL

Regla: «Se colocan las ACL extendidas lo más cerca posible del origen del tráfico denegado»

Como vimos anteriormente, las ACL se utilizan para controlar el tráfico filtrando paquetes y eliminando el tráfico no deseado en un destino. Según el lugar donde se ubique una sentencia de ACL, se puede reducir el tráfico innecesario. El tráfico que será denegado en un destino remoto no debe usar los recursos de la red en el camino hacia ese destino.

Supongamos que la política de una empresa busca denegar el tráfico de telnet o FTP en el Router A a la LAN Ethernet conmutada en el puerto E1 del Router D. Al mismo tiempo, se debe permitir todo el tráfico restante. Hay varias maneras de cumplir con esta política. El método recomendado usa una ACL extendida. Especifica las direcciones origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los Routers B y C, y no entran al Router D. El tráfico con direcciones diferentes origen y destino todavía puede permitirse.

La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico denegado. Las ACL estándar no especifican direcciones destino, de manera que se debe colocar la ACL estándar lo más cerca posible del destino. Por ejemplo, se debe colocar una ACL estándar o extendida en E0 del Router D para evitar el tráfico desde el Router A.

Uso de las ACL en routers firewall

Se deben utilizar ACL en routers firewall, que a menudo se sitúan entre la red interna y una red externa, como Internet. El router firewall proporciona un punto de aislamiento, de manera que el resto de la estructura interna de la red no se vea afectada. También se pueden usar las ACL en un router situado entre dos partes de la red a fin de controlar el tráfico que entra o sale de una parte específica de la red interna.

Para aprovechar las ventajas de seguridad de las ACL, como mínimo se deben configurar las ACL en los routers fronterizos, que son routers situados en las fronteras de la red. Esto proporciona protección básica con respecto a la red externa, u otra parte menos controlada de la red, para un área más privada de la red. En estos routers fronterizos, se pueden crear ACL para cada protocolo de red configurado en las interfaces del router. Se pueden configurar las ACL para que el tráfico entrante, el tráfico saliente, o ambos, sean filtrados en una interfaz.

Estudio guiado de caso

Proyecto Washington: Implementación de un firewall

La conectividad de Internet que se debe implementar en el Distrito Escolar Washington requiere una doble implementación de firewall, en la que todas las aplicaciones expuestas a Internet deben residir en una red de backbone pública. Es necesario asegurarse de que todas las conexiones iniciadas desde Internet a la red privada de cada escuela sean rechazadas.

Arquitectura de firewall para protección contra los intrusos

Una arquitectura de firewall es una estructura que existe entre usted y el mundo exterior para protegerlo de los intrusos. En la mayoría de los casos, los intrusos vienen de la Internet mundial y de los miles de redes remotas que interconecta. Normalmente, un firewall de red se compone de varias máquinas diferentes.

En esta arquitectura, el router conectado a Internet (es decir, el router exterior) obliga todo el tráfico entrante a pasar por el gateway de la aplicación. El router conectado a la red interna (es decir, el router interior) acepta los paquetes sólo del gateway de aplicación. En efecto, el gateway controla la entrega de servicios basados en red que entran y salen de la red interna. Por ejemplo, sólo ciertos usuarios pueden estar autorizados a comunicarse con Internet, o sólo a ciertas aplicaciones se les puede permitir establecer conexiones entre un host interior y exterior. Si la única aplicación que se permite es el correo electrónico, entonces sólo se permiten paquetes de correo electrónico a través del router. Esto protege el gateway de aplicación y evita que se supere su capacidad con paquetes que de otra manera se descartarían.

Diario de ingeniería

Uso de un router firewall

Verificación de las ACL

Verificación de las ACL e interpretación del resultado

El comando show ip interface muestra información de interfaz IP e indica si se ha establecido alguna ACL. El comando show access-lists muestra el contenido de todas las ACL. Cuando se introduce el nombre o número de una ACL como una opción para este comando, aparece una lista específica.

Verificación de las ACL

Actividad de laboratorio

En esta práctica de laboratorio se trabaja con las ACL extendidas para regular el tráfico que se permite que pase a través del router, según el origen y el tipo de tráfico. Las ACL son una herramienta importante para controlar qué paquetes, y qué tipo de paquetes pueden pasar a través de un router desde una red a otra.

Actividad de laboratorio

Esta práctica de laboratorio es un ejercicio de práctica que simula una situación de la realidad. Se trabaja con múltiples Listas de control de acceso extendidas (ACL) para simular la regulación del tráfico al que se permite pasar a través de múltiples routers a varios servidores e Internet.

Resumen

Ahora que ha completado este capítulo, debe tener un conocimiento sólido sobre los siguientes temas:

Las ACL desempeñan varias funciones en un router Cisco, entre ellas la implementación de procedimientos de seguridad/acceso.

Las ACL se utilizan para controlar y administrar el tráfico.

Para algunos protocolos, se pueden aplicar hasta dos ACL a una interfaz: una ACL entrante y una saliente.

Mediante el uso de las ACL, una vez que un paquete haya sido asociado con una sentencia ACL, se le puede denegar o permitir el uso de la interfaz asociada.

Los bits de máscara wildcard usan el número uno y el número cero para identificar la manera de tratar los bits de dirección IP correspondientes.

Los dos tipos principales de ACL son las ACL estándar y las ACL extendidas.

Las ACL se pueden configurar para todos los protocolos enrutados de red para filtrar estos paquetes de protocolos a medida que los paquetes pasan a través de un router.

Las ACL se utilizan normalmente en los routers firewall, que a menudo se colocan entre la red interna y una red externa, como Internet.

Estudio guiado de caso

Tarea del proyecto del Distrito Escolar Washington: Uso de las ACL

En este capítulo, se han aprendido conceptos y procesos de configuración que lo ayudarán a implementar las ACL. En los capítulos anteriores aprendimos los conceptos referentes a la manera en que el tráfico fluye a través de una LAN; en este capítulo se estudiarán los métodos para controlar el flujo de estos paquetes de tráfico basándose en el direccionamiento de las Capas 2 y 3 y en los servicios de la Capa 4. La Descripción general del TCS establece que cada escuela debe tener dos redes: una para el currículum y la otra para la administración. Cada segmento de LAN único se conecta a un puerto Ethernet separado en el router. Se debe desarrollar una ACL para el router que deniegue el acceso desde la LAN del currículum al segmento de la LAN administrativa, pero que le otorgue a la LAN administrativa acceso completo al segmento de la LAN del currículum. Una excepción a esta ACL es que el router debe entregar cualquier paquete de DNS o de correo electrónico al servidor DNS/correo electrónico, que se ubica en el segmento de la LAN de administración. En respuesta a los requisitos de diseño de red y de seguridad, se necesitan realizar las siguientes tareas:

Se debe documentar por qué se necesitan las ACL y crear un diagrama lógico que describa el efecto general de las ACL en toda la red de distrito.

Se debe documentar qué tipo de ACL se colocará en el potente router (o routers) central(es) de distrito, dónde se colocarán y el motivo de dicha ubicación.

Se debe documentar la secuencia de comandos del router que se requiere para implementar cada ACL en cada una de las interfaces del router de acceso de la escuela local y documentar los cambios que se producen como resultado en la configuración del router.

Se debe documentar el efecto de cada ACL y su relación con el flujo de tráfico a través de las LAN escolares individuales y la red del distrito en general.

Se continúa con las tareas de diseño de las LAN: Diseños de cableado de sitio, diseños de LAN lógica, diseños típicos de MDF e IDF y tablas electrónicas, y una lista de elementos electrónicos de LAN específicos para el sitio

Aplicar los objetivos de aprendizaje del Examen de certificación CCNA a su diseño específico. Esto requiere un párrafo sobre cómo los objetivos de aprendizaje se relacionan con el diseño. Los objetivos de aprendizaje se pueden agrupar con fines de explicación. De esta manera, se estudia para el Examen de certificación CCNA y se trabaja con el estudio de caso al mismo tiempo.

Objetivos de aprendizaje del Examen de certificación CCNA (*** son objetivos explícitos del Examen CCNA; los que no tienen marcas son conocimientos que el examen da por sentados):

Generalidades

Describir qué es una lista de control de acceso.

Describir la función de las listas de control de acceso en los routers.

Describir las razones por las cuales se usan las listas de control de acceso.

Describir cómo se relacionan la segmentación con routers y las listas de control de acceso.

Configurar listas de acceso estándar y extendidas para filtrar el tráfico IP.***

Controlar y verificar las operaciones de la lista de acceso seleccionadas en el router.***

Modelo OSI

Definir en qué capas del modelo OSI funcionan las listas de control de acceso estándar y con qué campos en el encabezado de paquete de datos se relacionan.

Definir en qué capas del modelo OSI funcionan las listas de control de acceso extendidas y con qué campos en el encabezado de paquete de datos se relacionan.

Comandos de configuración básica de los Switch Catalyst 1900 Series y Catalyst 2800 Series. En los ejemplos utilicé un switch 1900, pero también sirve para configurar los switch 2800.

Switch Cisco Catalyst 1900 Series
Switch Cisco Catalyst 1912
Switch Cisco Catalyst 1924
Switch Cisco Catalyst 2800 Series
Switch Cisco Catalyst 2802
Switch Cisco Catalyst 2808
Switch Cisco Catalyst 2822
Switch Cisco Catalyst 2828
Estos modelos en particular, que son bastante viejos, usan “Firmware” como sistema operativo y algunos comandos para su configuración son diferentes al de otras series.
Otro detalle de estos modelos es que solo soportan encapsulación ISL y en el caso de las VLAN’s solo las van a poder manejar con un router que tenga esa encapsulación. Comencemos.

NOMBRAR AL SWITCH

Switch> enable
Switch# configure terminal
Switch(config)# hostname 1900 (nombra al switch)
1900(config)#
CONFIGURAR CONTRASEÑAS «ENABLE SECRET» Y «ENABLE PASSWORD»

1900> enable
1900# configure terminal
1900(config)# enable secret contraseña * (configura contraseña Enable Secret)
1900(config)# enable password level 1-15 contraseña ** (configura contraseñaEnable Password)
1900(config)#

* Se recomienda configurar Enable Secret ya que genera una clave global cifrada en el switch.
** Nivel 1 es una contraseña de modo usuario con diferentes privilegios. Nivel 15 es lacontraseña del modo enable. Estas contraseñas son sin encriptar.
CONFIGURAR DIRECCIÓN IP Y GATEWAY DEL SWITCH

1900> enable
1900# configure terminal
1900(config)# ip address X.X.X.X X.X.X.X (configura la IP del switch)
1900(config)# ip default-gateway X.X.X.X (configura el gateway del switch)
1900(config)#
SUB-MODO DE INTERFACES ETHERNET / FAST ETHERNET

1900> enable
1900# configure terminal
1900(config)# interface ethernet 0/1 a 0/24 (entra al modo de la interface)
1900(config-if)#

1900> enable
1900# configure terminal
1900(config)# interface fastethernet 0/26 ó 0/27 (entra al modo de la interface)
1900(config-if)#
CONFIGURAR MODO VTP

1900> enable
1900# configure terminal
1900(config)# vtp server / client / transparent (designa el modo VTP)
1900(config)# vtp domain nombre (designa nombre de dominio VTP)
1900(config)#
CREAR VLAN’S

1900> enable
1900# configure terminal
1900(config)# vlan X name nombre (crea la vlan número X y la nombra)
1900(config)#
CONFIGURAR UNA INTERFACE COMO TRUNK

1900> enable
1900# configure terminal
1900(config)# interface fastethernet 0/26 ó 0/27 (entrar al modo de la interfaz)
1900(config-if)# trunk on * (habilita la interface como trunk)
1900(config-if)#

* El Catalyst 1900 solo soporta trunking en las interfaces F0/26 y F0/27. El comando «trunk» puede ser on / off / desirable / auto.

CONFIGURACIÓN DE DUPLEXING EN UNA INTERFACE

1900> enable
1900# configure terminal
1900(config)# interface ethernet / fastethernet 0/X (entrar al modo de la interfaz)
1900(config-if)# duplex auto / full / half / full-flow-control (cambia el modo de duplex de la interface)
1900(config-if)#
BORRAR CONFIGURACIÓN DEL SWITCH

1900> enable
1900# delete nvram * (borra la configuración del switch )
1900# delete vtp * (borra las vlan´s configuradas)
1900#

* Para dejar el switch en cero es necesario borrar ambas.

ALGUNOS COMANDOS SHOW

1900#show ip (muestra la dirección IP del switch)
1900#show interface ethernet 0/1 a 0/24 (muestra las estadísticas de la interfaceethernet seleccionada)
1900#show interface fastethernet 0/26 a 0/27 (muestra las estadísticas de lainterface fastethernet seleccionada)
1900#show vlan X (muestra información sobre la vlan seleccionada)
1900#show vlan-membership (muestra todos los puertos y asignaciones de vlan)
1900#show trunk a ó b (muestra la configuración del trunk, el «a» es el F0/26 y el «b» el F0/27)
1900#show trunk a ó b allowed-vlans (muestra las vlans que comparten ese trunk)
1900#show vtp (muestra la configuración vtp)

 

 

Una VLAN (acrónimo de Virtual LAN, ‘Red de Área Local Virtual’) es un método de crear redes lógicamente independientes dentro de una misma red física. Varias VLANs pueden coexistir en un único conmutador  físico o en una única red física. Son útiles para reducir el tamaño del dominio de difusión  y ayudan en la administración de la red separando segmentos lógicos de una red de área local (como departamentos de una empresa) que no deberían intercambiar datos usando la red local (aunque podrían hacerlo a través de un enrutador o un switch capa 3 y 4).

Una VLAN consiste en una red de ordenadores que se comportan como si estuviesen conectados al mismo conmutador, aunque pueden estar en realidad conectados físicamente a diferentes segmento  de una red de área local . Los administradores de red configuran las VLANs mediante software en lugar de hardware, lo que las hace extremadamente flexibles. Una de las mayores ventajas de las VLANs surge cuando se traslada físicamente algún ordenador a otra ubicación: puede permanecer en la misma VLAN sin necesidad de cambiar la configuración IP de la máquina.

 

 

La configuración de rutas estáticas, si bien es un tema bastante simple, siempre trae complicaciones a la hora de implementarlo, sobre todo cuando hay más de 2 routers en la topología.

Las rutas estáticas, a diferencia de las rutas dinámicas que son aprendidas por los routers mediante protocolos de enrutamiento, son asignadas manualmente en el router por el admin para que se produzca el enrutamiento de paquetes a una red destino.

El uso de rutas estáticas es recomendable solo en redes de pequeña envergadura debido a que normalmente los cambios de topología son mínimos y fáciles de administrar. No es recomendable utilizar rutas estáticas en redes medianas o grandes, solo para servicios específicos junto a protocolos de enrutamiento, ya que al no ser escalable un cambio en la topología implicaría modificar manualmente una gran cantidad de rutas estáticas en las tablas de enrutamiento de los dispositivos.

Hasta acá la teoría básica sobre enrutamiento estático. Vayamos a lo práctico.

Las rutas estáticas se configuran mediante el comando ip route, en el modoconfiguración global, utilizando la siguiente sintaxis:

Router(config)# ip route « IP destino + máscara de red destino ó subred destino » « IP del siguiente salto ó interfaz de salida » « distanciaadministrativa »
IP destino + máscara de red o subred destino: La IP específica la red o host que se quiere alcanzar junto con la máscara de red o subred correspondiente.

IP del siguiente salto: Es la IP de la interfaz del router conectado directamente al router donde se está configurando la ruta estática.

Interfaz de salida: Es la interfaz serial del router donde se está configurando la rutaestática. Se utiliza en el caso de desconocer la IP del siguiente salto.

Distancia administrativa: Si no se especifica distancia administrativa, esta tomará el valor por defecto de 1 en la tabla de enrutamiento. El valor puede ser de 1-255, siendo 1 el valor que da más importancia a la ruta.

Supongamos que tenemos la siguiente topología y se nos pide que mediante rutas estáticas se produzca el enrutamiento de paquetes entre las redes 192.168.1.0, 192.168.2.0 y 192.168.3.0.
Comencemos por el RouterA. Para que los paquetes origen de la red 192.168.1.0 sean enrutados hacia la red 192.168.2.0 y 192.168.3.0 tenemos que configurar 2 rutas estáticas hacia esas redes y asignar la IP del siguiente salto. En este caso, la IP delsiguiente salto para las 2 rutas estáticas es la misma.

RouterA(config)# ip route 192.168.2.0 255.255.255.0 10.0.0.1
RouterA(config)# ip route 192.168.3.0 255.255.255.0 10.0.0.1
En el caso del RouterB, para que los paquetes de la red 192.168.2.0 sean enrutados hacia la red 192.168.1.0 y 192.168.3.0, también hay que configurar 2 rutas estáticas pero esta vez la IP del siguiente salto va a ser diferente ya que el enrutamiento se realiza por diferentes interfaces.

RouterB(config)# ip route 192.168.1.0 255.255.255.0 10.0.0.2
RouterB(config)# ip route 192.168.3.0 255.255.255.0 11.0.0.2
La configuracián del RouterC es muy similar a la del RouterA, hay que configurar las 2 rutas estáticas para acceder a la red 192.168.1.0 y 192.168.2.0 utilizando la misma IP delsiguiente salto.

RouterC(config)# ip route 192.168.2.0 255.255.255.0 11.0.0.1
RouterC(config)# ip route 192.168.1.0 255.255.255.0 11.0.0.1
Si solo tenemos como información las IPs de las redes que tenemos que alcanzar y no tenemos la IP del siguiente salto, utilizamos la interfaz de salida del router local para nuestra configuración.

RouterA(config)# ip route 192.168.2.0 255.255.255.0 s0/0
RouterA(config)#ip route 192.168.3.0 255.255.255.0 s0/0

RouterB(config)# ip route 192.168.1.0 255.255.255.0 s0/0
RouterB(config)# ip route 192.168.3.0 255.255.255.0 s0/1

RouterC(config)# ip route 192.168.2.0 255.255.255.0 s0/1
RouterC(config)# ip route 192.168.1.0 255.255.255.0 s0/1

Podemos comprobar la configuración y el funcionamiento de las rutas estáticas mediante el comando ping. Para comprobar la configuración en caso de fallas usar el comandoshow ip route para ver las tablas de enrutamiento. Las marcadas con «C» son las redes directamente conectadas y las marcadas con «S» son las rutas estáticas.

RouterA#show ip route

C 10.0.0.0/8 is directly connected, Serial0/0
C 192.168.1.0/24 is directly connected, FastEthernet0/0
S 192.168.2.0/24 [1/0] via 10.0.0.1
S 192.168.3.0/24 [1/0] via 10.0.0.1

RouterB#show ip route

C 10.0.0.0/8 is directly connected, Serial0/0
C 11.0.0.0/8 is directly connected, Serial0/1
C 192.168.2.0/24 is directly connected, FastEthernet0/0
S 192.168.1.0/24 [1/0] via 10.0.0.2
S 192.168.3.0/24 [1/0] via 11.0.0.2

RouterC#show ip route

C 11.0.0.0/8 is directly connected, Serial0/1
C 192.168.3.0/24 is directly connected, FastEthernet0/0
S 192.168.1.0/24 [1/0] via 11.0.0.1
S 192.168.2.0/24 [1/0] via 11.0.0.1

 

 

 

 

 

 

Configurar un router, al principio, parece una tarea complicada. Con el paso del tiempo, aprendiendo los comandos, sus funciones y configurando, nos vamos a dar cuenta que no lo es para nada, todo lo contrario, termina siendo un proceso simple, mecánico.
Este tutorial solo contiene la configuración básica de un router, la que deberemos realizar siempre, sin importar que protocolos de enrutamiento o servicios configuremos después. Comencemos.

Los routers tienen varios Modos y Submodos de configuración.

Modo Exec Usuario: Este modo solo permite ver información limitada de la configuración del router y no permite modificación alguna de ésta.

Modo Exec Privilegiado: Este modo permite ver en detalle la configuración del router para hacer diagnósticos y pruebas. También permite trabajar con los archivos deconfiguración del router (Flash – NVRAM).

Modo de Configuración Global: Este modo permite la configuración básica de router y permite el acceso a submodos de configuración específicos.
NOMBRAR AL ROUTER

router> enable
router# configure terminal 
router(config)# hostname RouterA (nombra al router como)
RouterA(config)#
CONFIGURAR CONTRASEÑAS «ENABLE SECRET» Y «ENABLE PASSWORD»

RouterA> enable
RouterA# configure terminal 
RouterA(config)# enable secret contraseña * (configura contraseña Enable Secret)
RouterA(config)# enable password contraseña (configura contraseña Enable Password)
RouterA(config)#
* Es recomendable configurar Enable Secret ya que genera una clave global cifrada en el router.

CONFIGURAR CONTRASEÑA DE CONSOLA

RouterA> enable
RouterA# config terminal
RouterA(config)# line con 0 (ingresa a la Consola)
RouterA(config-line)# password contraseña (configura contraseña)
RouterA(config-line)# login (habilita la contraseña)
RouterA(config-line)# exit
RouterA(config)#
CONFIGURAR CONTRASEÑA VTY (TELNET)

RouterA> enable
RouterA# config terminal
RouterA(config)# line vty 0 4 (crea las 5 líneas VTY, pero podría ser una sola. Ej: line vty 0)
RouterA(config-line)# password contraseña (contraseña para las 5 líneas en este caso)
RouterA(config-line)# login (habilita la contraseña)
RouterA(config-line)# exit
RouterA(config)#
CONFIGURAR INTERFACES ETHERNET ó FAST ETHERNET

RouterA> enable
RouterA# config terminal
RouterA(config)# interface fastethernet 0/0 * (ingresa al Submodo deConfiguración de Interfaz)
RouterA(config-if)# ip address 192.168.0.1 255.255.255.0 (configura la IP en la interfaz)
RouterA(config-if)# no shutdown (levanta la interfaz)
RouterA(config-if)# description lan (asigna un nombre a la interfaz)
RouterA(config-if)# exit
RouterA(config)#
* Tener en cuenta que la interfaz puede ser Ethernet o Fast Ethernet y que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router.

CONFIGURAR INTERFACES SERIAL COMO DTE

RouterA> enable
RouterA# config terminal
RouterA(config)# interface serial 0/0 * (ingresa al Submodo de Configuración de Interfaz)
RouterA(config-if)# ip address 10.0.0.1 255.0.0.0 (configura la IP en la interfaz)
RouterA(config-if)# no shutdown (levanta la interfaz)
RouterA(config-if)# description red (asigna un nombre a la interfaz)
RouterA(config-if)# exit
RouterA(config)#
* Tener en cuenta que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router.

CONFIGURAR INTERFACES SERIAL COMO DCE

RouterB> enable
RouterB# config terminal
RouterB(config)# interface serial 0/1 * (ingresa al Submodo de Configuración de Interfaz)
RouterB(config-if)# ip address 10.0.0.2 255.0.0.0 (configura la IP en la interfaz)
RouterB(config-if)# clock rate 56000 (configura la sincronización entre los enlaces)
RouterB(config-if)# no shutdown (levanta la interfaz)
RouterB(config-if)# description red (asigna un nombre a la interfaz)
RouterB(config-if)# exit
RouterB(config)#
* Tener en cuenta que el número de interfaz puede ser 0, 1, 0/0, 0/1, etc. Esto varía según el router.