![proporcionando el bit número 193 la temporización y otras funciones.
B8ZS es un mecanismo de codificación de líneas que garantiza la
densidad a través de un enlace al sustituir un código especial siempre
que se envíen 8 ceros consecutivos y posteriormente elimina el código
especial en el extremo final de la conexión.
Router#configure
Router(config)#controller T1 1/0
Router(config-if)#framing esf
Router(config-if)#linecode b8zs
Router(config-if)#pri-group timeslots 1-24
Router(config-if)#Ctrl-Z
SPOOFING
Significa que la interfaz RDSI siempre pretende estar preparada
para enrutar paquetes, aunque es posible que no tenga realizada una
llamada digital válida. La interfaz RDSI engaña al protocolo de
enrutamiento y al resto del software del dispositivo IOS para que crea
que la interfaz está encendida y en funcionamiento(y no está es
spoofing) durante un periodo de tiempo hasta que la llamada no hace
nada.
La interfaz corta entonces la llamada y vuelve al modo spoofing
hasta que necesite realizar otra llamada digital para enrutar datos.
Este mecanismo(fingir que la interfaz está en funcionamiento, realizar
la llamada digital para transferir los datos y luego cortar la llamada
cuando no es necesaria) se denomina Enrutamiento bajo demanda.
RESUMEN DE COMANDOS
Ethernet y Fast Ethernet media-type[ani, 10baseT, mii, 100basex]
Fast Ethernet y Gigabit ethernet full-duplex
Token Ring ring-speed[4|16] Early-toke-ring
X-25 x25 address x121 address x25 ips X25 ops x25win x25 wont
Frame Relay Frame-Relay interface-dlic frame relay lmi-tipe
ATM atm pvc
DSL set bridging set interface(solamente CBOS)
RDSI isdn switch-type isdn spid1 isdn spid2 pri-group timeslots
T1 framing linecode
TCP/IP PROTOCOLO DE CONTROL DE TRANSMISION/PROTOCOLO DE
INTERNET
Protocolo IP enrutado de la capa 3.
Funcionalidad extremo a extremo en la capa 4.
TCP/IP se usa como protocolo de acceso a Internet y para interconectar
dispositivos de redes corporativas.
El conjunto de protocolos TCP no solo incluye especificaciones
de capa 3 y 4, sino también especificaciones para aplicaciones
comunes, como correo electrónico, emulación de terminal y
transferencia de archivos.
Transferencia de archivos: TFTP, FTP, NFS.
Correo electrónico: SMTP
Login remoto: TELNET Y RELOGIN
Administración de red: SNMP
Administración de nombres: DNS
3](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-3-320.jpg)
![registros específicos.
ARIN: American Registry for Internet Numbers www.arin.net
RIPE: Reseaux IP Europeens www.ripe.net
APNIC: Asia Pacific Network Informatión Center www.arnic.net
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
172
Si la red no va a conectarse a Internet o tiene intención de
utilizar técnicas avanzadas de firewall y de conversión de direcciones
de red(NAT) que se encuentran en productos como Cisco Systems Private
Internet Exchange(PIX), es muy recomendable utilizar direcciones IP de
una clase de direcciones que se han designado como direcciones
privadas porque la información acerca de estas redes no la propaga en
Internet ningún ISP o NSP.
El conjunto de direcciones IP privadas se define en la RFC 1918
"Address Allocatión for Private Internets"
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
La forma en que se asigne el espacio depende fundamentalmente
del número de host que vallan ha estar conectados a un segmento dado
de la LAN, del número de segmentos de LAN/WAN que haya en la red y de
la cantidad de espacio de direcciones que haya en la red. Si la red va
a utilizar direcciones IP privadas, la cantidad de espacio de
direcciones disponible no es un problema.
Es conveniente utilizar un esquema de subred eficaz que no sobre
asigne direcciones a segmentos, como interfaces de WAN punto a punto,
independientemente del espacio de direcciones que esté asignado a la
red.
El centro de asistencia técnica(Technical Assistance Center,
TAC) de Cisco Systems ha creado un calculador para el diseño de
subredes IP(IP Subnet Design Calculator) que pueden descargar los
usuarios registrados.
CONFIGURACION DE LA INTERFAZ DE LAN
Algunos dispositivos como los routers, tienen una dirección IP
única en cada uno de los segmentos de LAN vinculados a ellos. Por
consiguiente, el router sabe qué redes están conectadas a cada
interfaz y donde deben enviarse los paquetes para dichas redes.
Algunos dispositivos como los switch y los bridges tienen una
sola dirección IP para todo el sistema. Esta dirección IP se utiliza
exclusivamente para la administración remota y la administración de
red.
Los protocolos WAN no admiten una asignación dinámica de la
dirección de enlace de datos a la dirección IP y requieren la
configuración de las direcciones IP para comunicarse con otras
estaciones a través de una interfaz WAN.
La asignación de direcciones IP tanto a las interfaces LAN como
de WAN se realiza con el subcomando de configuración de Cisco IOS ip
address.
Este comando exige que se introduzcan la dirección IP y la
máscara de red de dicha dirección IP.
Router(config-if)#ip address[dirección IP][máscara de subred]
Es aconsejable reservar algunas direcciones IP del principio o
del final de cada espacio de direcciones de red de la LAN para los
routers y cualesquiera otros dispositivos de la infraestructura de la
red. Tener un grupo coherente de direcciones para varios dispositivos
de red en todos los segmentos de la LAN facilita la solución de
problemas, ya que permite reconocer rápidamente direcciones IP
especificas.
10](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-10-320.jpg)
![Router(config-if)#ip address[dirección IP][máscara de red]
Debe asignar una dirección IP de red a cada una de las conexión
WAN punto a punto(o subinterfaces punto a punto).
Router(config)#interface serial 0.16 point-to-point
Router(config-if)#ip address[dirección IP][máscara de red]
Las interfaces IP no numeradas de WAN punto a punto se
configuran utilizando el subcomando de interfaz ip unnumbered. El
comando requiere que se introduzca un parámetro de interfaz de
referencia para que los protocolos de enrutamiento de IP pueden
utilizar una dirección IP real al ejecutarse a través de la interfaz
no numerada. Esta interfaz puede ser física o una interfaz virtual
como la interfaz loopback.
Ninguno de los dos extremos del enlace WAN puede tener número,
es decir, no es posible asignar una dirección a un extremo y que el
otro no tenga número.
Router(config)#interface serial 1
Router(config-if)#ip unnumbered loopback 0
Las interfaces IP no numeradas tienen dos inconveniente. No es
posible establecer una conexión de un terminal virtual(por ejemplo a
través del protocolo Telnet), directamente con la interfaz serie o
utilizar SNMP para realizar consultas a través de la interfaz serie.
Si la interfaz no numerada aparece en una interfaz de LAN y
dicha interfaz esta apagada o tiene un fallo, es posible que no pueda
tener acceso al dispositivo. Este es el motivo por el que es
aconsejable que las interfaces no numeradas estén referenciadas a
interfaces virtuales, como la interfaz loopback.
DIRECCIONAMIENTO DE LAS INTERFACES DE WAN MULTIPUNTO
Una interfaz WAN multipunto, es aquella en la que se pueden
acceder a varios dispositivos a través de una sola conexión a un medio
WAN. Los elementos que se envían a los interfaces de WAN multipunto no
saben cual es la estación de destino, por lo que hay que asignar
direcciones a las interfaces de WAN multipunto para las comunicaciones
IP. Además las tecnologías WAN multipunto, tienen metodología de
direcciones de enlaces de datos para distinguir las distintas
estaciones de la WAN, por lo que debe haber una asignación de la
dirección IP a la dirección de enlace de datos. La excepción es que
Frame Relay sí tiene un método de asignación dinámico llamado ARP
inverso(Inverse ARP).
Router(config)#int serial 1/1
Router(config-if)#encapsulation Frame-Relay ietf(tipo de
encapsulación)
Router(config-if)#no inverse-arp
Router(config-if)#ip address[dirección IP][mascara de red]
Router(config-if)#Frame-Relay map IP[dirección IP]30 cisco broadcast
Router(config-if)#Frame-Relay map IP[dirección IP]50(50 = DLCI)
broadcast
Router(config-if)#Ctrl+z
El subcomando de interfaz de IOS no inverse-arp desactiva la
función de asignación dinámica ARP inverso.
La palabra clave broadcast del final del comando Frame-Relay map
indica al router que reenvíe las difusiones para esta interfaz a este
circuito virtual específico.
En el ejemplo, se permite que la función ARP inverso realice una
asignación dinámica de las direcciones IP a números DLCI, no habría
necesidad de utilizar los comandos Frame-Relay map. En su lugar la
interfaz envía consultas ARP inverso a todos los circuitos
identificados como activos por parte de la red Frame Relay en esta
interfaz.
11](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-11-320.jpg)
![El resultado de dichas consultas sería que los dispositivos mas
alejados responderían con sus direcciones IP en el circuito virtual
particular y el DLCI en que se realice la consulta.
Nota_
Palabras clave y comandos opcionales.
Al igual que la mayoría de los comandos de software IOS, todos
los comandos de asignación de enlaces de datos a IP tiene palabras
clave opcionales que cambian el comportamiento del circuito virtual o
activan y desactivan características especiales en dicho circuito,
como la compresión.
Explicación completa de todas las palabras clave opcionales ver
www.cisco.com/univercd/home/home.htm
El uso de ARP inverso reduciría el ejemplo anterior a:
Router#configure
Router(config)#interface serial 1/1
Router(config-if)#encapsulation Frame-Relay ietf
Router(config-if)#ip address 131.108.130.1 255.255.255.0
Router(config-if)#Ctrl+Z
La configuración de Frame Relay requiere cierto cuidado. Si se
utiliza ARP inverso para realizar la asignación de direcciones IP a
DLCI, los errores de configuración pueden provocar que circuitos
virtuales inesperados se asignen dinámicamente a dispositivos
desconocidos.
La mezcla de las encapsulaciones del IETF y del "grupo de los
cuatro" de Cisco en la misma interfaz Frame Relay requiere el uso del
comando Frame-Relay map.
El direccionamiento estático de interfaces WAN X-25 se realiza
de forma muy parecida a Frame Relay con el comando static map. Las
direcciones IP de las interfaces X.121 que se utilizan para configurar
los circuitos virtuales entre los sistemas de la red X-25. Cada uno de
los circuitos virtuales se identifican por la dirección X.121 que se
utiliza para configurar la conexión.
Router#configure
Router(config)#interface serial 1/2
Router(config-if)#encapsulation x25
Router(config-if)#x25 address[NNNNNNNN] (dirección X.121)
Router(config-if)#ip address[dirección IP][máscara de subred]
Router(config-if)#x25 map ip[dirección IP][dirección X.121]broadcast
Router(config-if)#x25 map ip[dirección IP][dirección X.121]broadcast
Router(config-if)#x25 map ip[dirección IP][dirección X.121]broadcast
Router(config-if)#Ctrl+Z
Debe introducirse la palabra clave name del comando dialer map
para relacionar correctamente la dirección IP y el número de teléfono
con el sistema remoto. Además la palabra clave name se utiliza como
parte del proceso de autenticación cuando se establece una conexión
con un sistema remoto.
Configuración RDSI acceso básico.
Router#configure
Router(config)#interface bri 0
Router(config-if)#ip address[dirección Ip][mascara de subred]
Router(config-if)#dialer map ip[dirección ip]name[nombre]broadcast[nº
tlfn]
Router(config-if)# dialer map ip[dirección ip]name[nombre]broadcast[nº
RDSI]
Router(config-if)#Ctrl+Z
Al igual que los restantes tipos de interfaces, ATM requiere el
comando ip address básico.
Sin embargo, con las interfaces ATM, el tipo de comando utilizado para
asignar direcciones IP a la capa de enlace de datos depende del tipo
12](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-12-320.jpg)
![de protocolo ATM y del tipo de circuitos virtuales que se hayan
utilizado. Estas son las tres posibles variaciones de protocolos:
Encapsulación Control de enlace lógico/Protocolo de acceso a
subred(Logical Link Control/Subnetwork Access Protocol, LLC/SNAP) con
PVC.
En este modelo, se establece un circuito virtual permanente a
través de la red ATM. Los paquetes se identifican de tal forma que se
sabe que van a destinados a una dirección IP al otro extremo del
circuito virtual específico.
Encapsulación LLC/SNAP con PVC.
En este modelo, los paquetes IP se identifican como si fueran
destinados a una dirección de la capa de enlace ATM definida de manera
estática. Los switch ATM establecen el circuito virtual bajo demanda
cuando el router solicita una conexión a la dirección ATM para una
dirección IP específica.
IP con ARP.
En este modelo, la dirección de la capa de enlace ATM de una
dirección IP específica se introduce dinámicamente por medio de una
estación llamada servidor ARP ATM.
La encapsulación LLC/SNAP con PVC hace uso del subcomando de
configuración de interfaz de IOS map-group y del comando de
configuración global de IOS map-list para asignar las direcciones IP a
PVC específicos.
Router#configure
Router(config)#interface atm 1/0
Router(config-if)#atm pvc 3 0 21 aal5snap
Router(config-if)#atm pvc 5 0 22 aalsnap
Router(config-if)#ip address[dirección IP][máscara de subred]
Router(config-if)#map-group[nombre]
Router(config-if)#map-list[nombre]
Router(config-map-list)#ip[dirección ip]atm-vc[nº]broadcast
Router(config-map-list)# ip[dirección ip]atm-vc[nº]broadcast
Router(config-map-list)#Ctrl+Z
La encapsulación LLC/SNAP con SVC hace uso del subcomando de
configuración de interfaz de IOS map-group y del comando de
configuración global de IOS map-list para asignar las direcciones IP a
las direcciones NSAP que se usan para identificar los dispositivos
remotos de la red ATM.
Router#configure
Router(config)#interface atm 1/0
Router(config-if)#atm nsap[dirección mac]
FE.DCBA.01.987654.3210.ABCD.EF12.3456.7890.1234.12
Router(config-if)#ip address[dirección IP][mascara de subred]
Router(config-if)#map-group[nombre]
Router(config-if)#map-list[nombre]
Router(config-map-list)#ip[dirección ip]atm-nsap A1.9876.AB.123456.
7890.FEDC.BA.1234.5678.ABCD.12
Router(config-map-list)# ip[dirección ip]atm-snap B2.9876.AB.123456.
7890.FEDC.BA.1234.5678.ABCD.12
Router(config-map-list)#Ctrl+Z
La variación clásica de IP con ARP necesita el subcomando ip
address para configurar las direcciones IP de la interfaz. El
subcomando de configuración de interfaz ATM atm arp-server identifica
la dirección del servidor ARP ATM que puede resolver direcciones IP en
direcciones NSAP ATM, lo que es necesario para establecer los
circuitos virtuales.
Interfaz ATM con la variación clásica de IP con ARP.
13](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-13-320.jpg)
![Router#configure
Router(config)#interface atm 1/0
Router(config-if)#atm nsap
FE.DCBA.01.987654.3210.ABCD.EF12.3456.7890.1234.1
Router(config-if)#ip address[dirección IP][máscara de subred]
Router(config-if)#atm arp-server nsap
01.ABCD.22.030000.0000.0000.0000.0000
Router(config-if)#Ctrl+Z
VERIFICACIÓN DE LA CONFIGURACIÓN DE LAS DIRECCIONES IP
La verificación de las direcciones IP y de otros atributos IP
que se hayan asignado a las interfaces puede realizarse a trav és de
uno de los tres comandos ejecutables.
Show interface ofrece información general acerca de cada
interfaz.
Sise introduce una interfaz específica como parámetro para el comando,
solo aparecerá dicha interfaz. Si no se especifica ningún interfaz, se
muestran todos.
Show ip interface ofrece una completa visión de los parámetros
asociados con al configuración IP de una interfaz. Si se proporciona
como parámetro una interfaz sólo aparece la información sobre dicha
interfaz específica. Si no aparece información acerca de todas las
interfaces.
Show ip interface brief permite ver un conciso resumen de la
información IP y del estado de todas las interfaces disponibles en el
dispositivo.
Además de comprobar la configuración IP en la propia interfaz,
se puede ver las asignaciones tanto estáticas como dinámicas WAN
multipunto. Para ello, utilizamos los comandos ejecutables de IOS show
Frame-Relay map, show atm map, show x.25 map y show dialer maps.
Ejemplo:
Router#show Frame-Relay map
Serial0.16(up): point-to-point dlci, dlci 16(0x10, 0x400), broadcast,
status defined, active.
Las máscaras de red se pueden representar tanto en formato
decimal con puntos, como en formato de cómputo de bits.
El comando ejecutable de IOS terminal ip netmask-format decimal
solo surge efecto en la sesión de terminal virtual actual, para
mantener este formato en todas las sesiones de los terminales
virtuales o las consolas, hay que aplicar el subcomando de
configuración de línea de IOS ip netmask-format decimal.
Router#configure
Router(config)#line vty 0 4
Router(config-line)#ip netmask-format decimal
Router(config-line)#Ctrl+Z
14](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-14-320.jpg)
![direcciones IP.
RARP permite que un puesto envíe una petición relativa a su
propia dirección IP enviando su propia dirección MAC de capa 2 a un
servidor RARP.
DCHP es una implementación más moderna de RARP.
CONFIGURACIÓN DE DIRECCIONES IP.
Asignar dirección lógica de red y gateway predeterminada al switch.
Como asignar la dirección lógica de red a una interfaz del router.
Como especificar el formato de mascara de subred.
Como asignar nombres de host a direcciones IP.
Como definir servidores de nombres.
Como obtener una lista de nombres y direcciones de host.
Cuando la mascara de red se muestre en formato hexadecimal
siempre va precedida de 0X y suele ser en sistemas Unix.
255.255.255.0 = 0XFFFFFF00
Para especificar el formato de máscara de red en una sesión de
un router, utilizar el comando:
term ip netmask-format[bicount|decimal|hexadecimal]
Para especificar el formato de máscara de red para una línea
especificada, utilizar el comando:
ip netmask-format[bicount|decimal|hexadecimal]
ASIGANACION DE NOMBRES DE HOST A DIRECCIONES IP.
Para asignar manualmente nombres de host a direcciones, debe
utilizar el comando:
ip host[nombre][número de puerto tcp][dirección ip][dirección ip]
nombre: Es cualquier nombre que describa el destino.
número de puerto tcp: Es el número opcional que identifica el puerto
TCP que debe usarse cuando se emplee el nombre del host con un comando
Telnet O EXEC.
dirección: Es la dirección o direcciones IP donde puede localizar el
dispositivo.
Cada dirección IP puede tener asociado un solo host.
El router puede ser configurado, para registrar los nombres de dominio
(hasta un máximo de 6 routers), este se encargará de gestionar la
cache de nombres (cache que acelera el proceso de convertir nombres a
direcciones).
ip name-server define el host que puede proporciona el servicio de
nombres.
ip domain-lookup activa la traducción de nombres a direcciones en el
router.
DETERMINACIÓN DE ROUTAS IP.
Las rutas se pueden determinar por medio de rutas estáticas o
mediante protocolos de enrutamiento dinámico.
El enrutamiento es el proceso por el cual un elemento pasa de una
ubicación a otra.
Para poder enrutar paquetes de información un router (o
cualquier otro elemento que se encargue de realizar el enrutamiento,
como puestos UNIX encargados de ejecutar el motor de enrutamiento, o
switches de la capa 3) debe conocer lo siguiente:
Dirección de destino: ¿Cuál es el destino del elemento que necesita
ser enrutado?
Fuentes de información: Desde que fuente(otros routers) puede aprender
el router las rutas hasta los destinos especificados.
Rutas posibles: ¿Cuáles son las rutas iniciales posibles hasta los
destinos perseguidos?
Rutas optimas: ¿cuál es la mejor ruta hasta el destino especificado?
16](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-16-320.jpg)
![MANTENIMIENTO Y VERIFICACIÓN DE LA INFORMACIÓN DE
ENRUTAMIENTO.
Una forma de verificar que las rutas hasta los destinos
conocidos son validas y las más actualizadas.
La información de enrutamiento que el router aprende desde sus
fuentes de enrutamiento se colocan en su propia tabla de
enrutamiento. El router se vale de esta tabla para determinar los
puertos de salida que debe utilizar para retransmitir un paquete hasta
su destino. La tabla de enrutamiento es la fuente principal de
información del router acerca de las redes.
Si la red de destino está conectada directamente, el router ya
sabrá el puerto que debe usar para reenviar paquetes.
Si las redes de destino no están conectados directamente, el
router debe aprender y calcular la ruta más óptima a usar para
reenviar paquetes a dichas redes. La tabla de enrutamiento se
constituye usando uno de estos dos métodos:
• Manualmente, por el administrador de la red.
• A través de procesos dinámicos que se ejecutan en la red.
RUTAS ESTÁTICAS
Aprendidas por el router a través del administrador, que
establece dicha ruta manualmente, quien también debe actualizar cuando
tenga lugar un cambio en la topología.
RUTAS DINÁMICAS
Rutas aprendidas automáticamente por el router, una vez que el
administrador ha configurado un protocolo de enrutamiento que permite
el aprendizaje de rutas.
HABILITACIÓN DE RUTAS ESTÁTICAS
Las rutas estáticas se definen administrativamente y establecen
rutas específicas que han de seguir los paquetes para pasar de un
puerto de origen hasta un puerto de destino.
La gateway(puerta de enlace) de ultimo recurso, es la direcci ón
a la que el router debe enviar un paquete destinado a una red que no
aparece en su tabla de enrutamiento.
Las rutas estáticas se utilizan habitualmente en enrutamientos
desde una red hasta una red de conexión única, ya que no existe más
que una ruta de entrada y salida en una red de conexión única,
evitando de este modo la sobrecarga de tráfico que genera un protocolo
de enrutamiento.
La ruta estática se configura para conseguir conectividad con un
enlace de datos que no esté directamente conectado al router. Para
conectividad de extremo a extremo, es necesario configurar la ruta en
ambas direcciones.
Las rutas estáticas permiten la construcción manual de la tabla
de enrutamiento.
El comando ip route configura una ruta estática, los parámetros
del comando definen la ruta estática.
Las entradas creadas en la tabla usando este procedimiento
permanecerán en dicha tabla mientras la ruta siga activa. Con la
opción permanet, la ruta seguirá en la tabla aunque la ruta en
cuestión haya dejado de estar activa.
ip route[red][máscara][dirección ip][interfaz][distancia][permanet]
red: Es la red o subred de destino.
máscara: Es la máscara de subred.
dirección: Es la dirección IP del router del próximo salto.
interfaz: es el nombre de la interfaz que debe usarse para llegar a le
17](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-17-320.jpg)
![Router#configure
Router(config)#ip route[dirección IP de destino][máscara subred de IP
destino][IP del primer salto por el que ha de pasar para ir a la IP de
destino]
Router(config)#Ctrl+Z
Nota_
La especificación de una interfaz como destino para una ruta
estática es uno de los principales errores de configuración que se
realizan al utilizar el comando ip route.
Algunos administradores creen por error que los paquetes se reenv ían
correctamente al siguiente router de la ruta simplemente apuntando la
ruta hacia una interfaz específica.
Los paquetes se reenvían al router del próximo salto solamente si se
específica la dirección IP del mismo o se específica otra ruta de red
que atraviese el router del próximo salto.
Ejemplo de como se específica una interfaz conectada
directamente como destino del comando ip route.
Router#configure
Router(config)#ip route[dirección IP destino][máscara subred][interfaz
conectado directamente]
Router(config)#Ctrl+Z
Cuando se buscan las redes del router y la de destino en la
tabla de enrutamiento el comportamiento predeterminado del router
coincide con la pareja dirección de red/máscara de red más específica
de la clase de red de la dirección IP de destino.
Si el paquete tiene varias rutas para el mismo destino el
paquete se envía por la ruta más específica.
CONFIGURACIÓN DE ENRUTAMIENTO SIN CLASE
Por defecto, el router funciona en modo con clase.
Para que un router funcione sin clase y haga coincidir la direcci ón IP
de destino con la dirección IP de este CIDR, hay que configurar
previamente el comando de configuración global de IOS ip classless.
Router#configure
Router(config)#ip classless
Router(config)#Ctrl+Z
CONFIGURACIÓN DE PROTOCOLOS DE ENRUTAMIENTO DINAMICO.
Los protocolos de enrutamiento dinámico se configuran en un
router para poder describir y administrar dinámicamente las rutas
disponibles en la red.
Para habilitar un protocolo de enrutamiento dinámico, se han de
realizar las siguientes tares:
• Seleccionar un protocolo de enrutamiento.
• Seleccionar las redes IP a enrutar.
También se han de asignar direcciones de red/subred y las
máscaras de subred apropiadas a las distintas interfaces.
El enrutamiento dinámico utiliza difusiones y multidifusiones
para comunicares con otros routers.
El comando router es el encargado de iniciar el proceso de
enrutamiento.
router(config)#[protocolo][palabra_clave]
Protocolo es RIP, IGRP, OSPF o IGRP.
Palabra clave se refiere al sistema autónomo que se usará con los
protocolos que requieran este tipo de sistemas, como IGRP.
Es necesario también el comando network, ya que permite que el
proceso de enrutamiento determine las interfaces que participaran en
el envío y recepción de actualizaciones de enrutamiento. El comando
21](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-21-320.jpg)
![network indica el protocolo de enrutamiento en todas las interfaces,
de un router que tenga direcciones IP dentro del ámbito de redes
especificado.
El comando network permite, además que el router anuncie esa red
a otros routers.
router(config-router)#network[número de red]
Donde el parámetro número de red especifica una red conectada
directamente.
El parámetro número de red para RIP e IGRP debe estar basado en
la clase principal de números de red y no en números de subred o
direcciones individuales. El número de res debe identificar también
una red a la que el router este conectado físicamente.
Una vez el protocolo y elegidas las redes ha anunciar, el router
comienza a aprender dinámicamente las redes y rutas disponibles en la
interconexión de redes.
CONFIGURACIÓN DE LAS RUTAS RESUMEN Y LAS PREDETERMINADAS
Mediante el uso de las rutas resumen y las rutas de red
predeterminadas, los routers pueden obtener información sobre la
disponibilidad. Tanto las rutas resumen como las predeterminadas
proporcionan información adicional de la ruta cuando ninguna de las
rutas coincide específicamente con un dirección IP.
Las rutas resumen proporcionan información de accesibilidad
dentro de un espacio de direcciones determinado. La ruta resumen, que
normalmente sigue a los limites de la red con clase, se suelen
utilizar para proporcionar información predeterminada de accesibilidad
acerca de las subredes que no se encuentran específicamente en la
tablas de enrutamiento, pero que existen en la Intranet.
Si hubiera una ruta resumen en la tabla de enrutamiento, el
paquete se reenviará desde la interfaz hacia el destino de próximo
salto para la ruta resumen.
La ruta resumen suele apuntar a otra ruta de subred de la
Intranet, pero también puede apuntar a una dirección IP específica del
próximo salto. En cualquier caso, el objetivo del router resumen es
dirigir los paquetes hacia otros routers de la Intranet que tengan un
información de enrutamiento más completa. La ruta resumen se puede
configurar utilizando los comandos de configuración global de IOS ip
default-network o ip route.
Si se utiliza el comando ip default-network una subred no
conectada que existe en la Intranet se introduce como parámetro en el
comando. Si se utiliza el comando ip route, la ruta resumen, la
máscara de red y la subred no conectada se introducen como par ámetros
del comando.
Router#configure
Router(config)#ip default-network[dirección IP de la subred no
conectada que se utiliza para la accesibilidad predeterminada]
Router(config)#Ctrl+Z
Router(config)#ip route[dirección IP ruta resumen][máscara][dirección
IP de la subred no conectada que se utiliza para la accesibilidad
predeterminada]
Router(config)# Ctrl+Z
Una vez configurada, la ruta resumen aparece en la tabla de
enrutamiento como la ruta de red menos específica como una máscara de
recuento de bits más pequeña que las restantes rutas de red y de
subred de la tabla.
Nota_
Si la subred conectada se encuentra dentro del mismo espacio de
direcciones de la red con clase de una interfaz conectada directamente
al router, el software IOS sustituye el comando ip default-network por
22](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-22-320.jpg)
![la versión de la ruta resumen del comando ip route.
El concepto básico de la ruta predeterminada es que si un router
no tiene información de enrutamiento específica para un destino,
utilizará la ruta predeterminada a la red específica donde haya
routers con información más completa. Aunque la ruta predeterminada es
parecida a la ruta resumen, se utiliza para distinguir paquetes a
destinos IP que están fuera de la Intranet autónoma y de los límites
de las direcciones con clase de una entidad determinada.
Métodos para configurar una red predeterminada utilizando el
software IOS:
• Configurar una red predeterminada utilizando una ruta externa
conocida dinámicamente.
• Configurar una red predeterminada utilizando una ruta externa
configurada estáticamente.
• Configurar una red predeterminada utilizando la dirección reservada
0.0.0.0.
La principal diferencia entre los distintos métodos de
configuración de redes predeterminadas es si se conoce algún tipo de
información de enrutamiento dinámico de un origen externo, sólo hay
que indicar que una de ellas es la red predeterminada, para lo que se
utiliza el comando de configuración global de IOS ip default-network.
El parámetro de este comando es una ruta que tiene las
siguientes características:
Existe en una tabla de enrutamiento, no esta conectada al router
que se configura y se encuentra fuera del espacio de direcciones con
clase configurado en cualquiera de las interfaces del router.
Router#configure
Router(config)#ip default-network[dirección IP]
Router(config)#Ctrl+Z
Una vez configurado el router muestra que ha aceptado esta red
como predeterminada y que se puede tener acceso a la ruta se ñalándola
como el gateway de último recurso de la salida de show ip route. El
router coloca un asterisco junto a la ruta para indicar que es
candidata para la red predeterminada, ya que se pueden configurar
varias redes predeterminadas.
Si el enrutamiento dinámico no se intercambia con un proveedor
externo, es posible utilizar una ruta estática para apuntar a la
dirección de red externa que se utiliza como predeterminada.
El ultimo método de configuración de redes predeterminadas
implica la instalación de una ruta estática en una dirección de red
especial, a saber 0.0.0.0.
Esta dirección se considera reservada. En los entornos UNIX y
RIP indica la ruta a todos los destinos IP desconocidos.
En el software IOS del router, la dirección de red 0.0.0.0 es la
dirección de red menos especifica. Con su mascara de red implícita de
0.0.0.0, o 0 bits, esta ruta coincide con cualquier destino IP fuera
de las direcciones con clase. Si se configura el comando ip classless,
la ruta coincide con cualquier dirección de los destinos IP
desconocidos tanto dentro como fuera del espacio de direcciones con
clase.
Nota_
Si el comando ip classless no esta configurado y no se conocen
las rutas a los destinos IP de dentro y fuera de la Intranet, hay que
configurar tanto la ruta resumen con clase como la ruta de red
predeterminada. Este requisito se deriva de la asunción de que todos
los routers de una dirección IP con clase tienen un conocimiento
completo de todas las subredes de dicho espacio de direcciones. Cuando
se trabaja en el ip classless mode, la ruta predeterminada simple a la
red 0.0.0.0/0 es suficiente como valor predeterminado tanto para los
23](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-23-320.jpg)
![destinos de las subredes internas como de las redes externas ya que
une todos los destinos IP desconocidos.
Cuando configure una ruta de red predeterminada, siga estas
directrices importantes:
• Si la información de enrutamiento dinámico no se intercambia con
la entidad externa, como un IPS, el uso de una ruta estática a
0.0.0.0/0 suele ser la forma mas fácil de generar una ruta
predeterminada.
• Si la información de enrutamiento dinámico no se intercambia con
uno o varios IPS, el uso del comando ip default-network es la
forma mas apropiada de designar una o varias rutas de red
predeterminadas posibles.
• Es aceptable configurar varios routers en la Intranet con el
comando ip default-network para indicar que una ruta coincida
dinámicamente es la predeterminada. No es apropiado configurar
mas de un router de la Intranet con una ruta predeterminada a
0.0.0.0/0 a menos que dicho router tenga una conexión a Internet
a través de un ISP. Si lo hace puede provocar que los routers
sin conectividad con destinos desconocidos se envíen paquetes a
ellos mismos, con lo que se produce una imposibilidad de acceso.
La excepción es aquellos routers que no intercambian la
información de enrutamiento dinámico o que tienen solamente
conexiones ocasionales con la Intranet a través de medios tales
como RDSI o SVC de Frame Relay.
• Los routers que no intercambian información de enrutamiento
dinámico o que se encuentran en conexiones de acceso telefónico,
como RDSI o SVC de Frame Relay, deben configurarse como una ruta
predeterminada o a 0.0.0.0/0 como ya se ha indicado.
• Si una Intranet no está conectada a ninguna red externa, como
Internet, la configuración de red predeterminada debe colocarse
en uno o varios routers que se encuentren en el núcleo de la red
y que tengan toda la topología de enrutamiento de red de la
Intranet específica.
Sugerencia_
Si una red predeterminada se configura utilizando una ruta
estática a 0.0.0.0/0 y el router funciona en modo IP sin clase a
través del comando ip classless, es muy fácil crear un bucle de
enrutamiento entre un ISP y la red si no están asignadas todas las
direcciones de red. Si dicho bucle se produce en muchos paquetes, el
resultado puede ser un consumo innecesario del ancho de banda de
conexión a Internet y muchas congestiones a causa de que un gran
número de usuarios intentan acceder a Internet.
Para evitar dicho bucle, hay que proporcionar una ruta resumen
del espacio de direcciones de la red que descarte los paquetes
dirigidos a direcciones IP no asignadas del espacio de direcciones de
la red. Para lograrlo defina la interfaz no existente Null0 como
destino de una ruta. Una ruta resumen para la red que descartar ía los
paquetes a los destinos no asignados sería la ruta [dirección
IP][máscara]Null0. Esta ruta se instalaría en el router de conexión a
Internet, que es el ultimo router en recibir los paquetes antes de que
se reenvíen al ISP.
194
ASIGNACION DE UNA RUTA PREDETERMINADA A UNA SUBRED
DESCONOCIDA DE UNA RED CONECTADA DIRECTAMENTE.
Un router asume por omisión que todas las subredes de una red
conectada directamente deben hallarse en la tabla de enrutamiento IP.
24](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-24-320.jpg)
![DISTANCIAS ADMINISTRATIVAS PREDETERMINADAS DEL SOFTWARE IOS
ACTUAL.
La métrica del protocolo de enrutamiento es un número que se
utiliza para clasificar las rutas por preferencia cuando existe m ás de
una ruta al mismo destino.
La métrica suele ser un número compuesto que refleja las
diferencias características de la ruta, como la longitud y el coste de
la ruta. Cada uno de los diferentes protocolos de enrutamiento
dinámico posee un algoritmo diferente para calcular la métrica.
Otra herramienta que le ofrece un vistazo rápido del estado de
la tabla de enrutamiento es el comando ejecutable de IOS show ip mask.
Si se da una dirección de red como parámetro, este comando genera una
lista de las máscaras que se han aplicado a una determinada dirección
de red, así como el número de rutas que tiene cada una de ellas.
Este comando resulta muy practico para identificar los errores
de direccionamiento y los de configuración de rutas estáticas, ya que
resalta las máscaras de red que aparecen de modo inesperado en la
tabla de enrutamiento.
Router#show ip maks[dirección IP]
Una gran mayoría de los protocolos de enrutamiento dinámico
envía actualizaciones automáticamente de la información de
enrutamiento que contienen los routers.
La información incluye actualizaciones para agregar o suprimir
rutas de la tabla de enrutamiento y mantener actualizadas las que se
encuentran en la tabla. No obstante, es posible eliminar una entrada
determinada de la tabla de enrutamiento o todo su contenido
manualmente.
También se puede actualizar una determinada ruta o toda la tabla
de enrutamiento con el propósito de depurarla. Puede utilizar el
comando ejecutable de IOS clear ip route para eliminar una ruta
específica o todo el contenido de la tabla de enrutamiento, o una
pareja de dirección y máscara de red, que logra la eliminación de esa
ruta específicamente.
Se recomienda cautela a la hora de decidir la eliminación de la
tabla de enrutamiento completa. La actualización de la información
contenida en la tabla requiere un tiempo que oscila entre unos
segundos y varios minutos. Durante este intervalo, puede darse una
falta de conexión en los paquetes que progresan por el router y hacia
él por medio de una sesión de terminal virtual. Asimismo, la supresión
del contenido de la tabla puede provocar una utilización excesiva de
la CPU, dependiendo del protocolo de enrutamiento dinámico que esté en
uso y del tamaño de la tabla de enrutamiento.
26](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-26-320.jpg)
![Router#clear ip route*
Router#clear ip route[dirección IP][máscara]
DISTANCIA ADMINISTRATIVA
Es posible utilizar varios protocolos de enrutamiento y rutas
estáticas al mismo tiempo.
Si existen varias fuentes de enrutamiento que proporcionan
información común, se utiliza un valor de distancia administrativa
para valorar la fiabilidad de cada fuente de enrutamiento y averiguar
cual es más digna de confianza.
La especificación de valores administrativos permite al software
IOS discriminar entre distintas fuentes de información de
enrutamiento.
Para cada red aprendida, IOS selecciona la ruta a partir de la
fuente de enrutamiento que tenga menor distancia administrativa.
Una distancia administrativa es un valor entre 0 y 255.
La distancia administrativa menor, tiene una probabilidad mayor
de ser usada.
197
Dentro de un sistema autónomo, la mayoría de los algoritmos de
enrutamiento IGP pueden ser clasificados con alguno de los tipos
siguientes:
PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com
198
VECTOR DE DISTANCIA:
El enrutamiento basado en vector de distancia determina la
dirección (vector) y la distancia a cualquier enlace de la
interconexión. (RIP, IGRP)
ESTADO DE ENLACE:
El sistema de estado de enlace, recrea la topología exacta de
todo el interconexionado de redes para el calculo de rutas.(OSPF,
NLSP)
HÍBRIDO EQUILIBRADO:
El esquema híbrido equilibrado combina aspectos de los
algoritmos de estado de enlace y de vector de distancia. (EIGRP)
PROTOCOLOS DE ENRUTAMIENTO POR VECTOR DE DISTANCIA.
Los algoritmos de enrutamiento basados en vectores, pasan copias
periódicas de una tabla de enrutamiento de un router a otro y acumulan
vectores de distancia. (Distancia es una medida de longitud, mientras
que vector significa una dirección).
Las actualizaciones regulares entre routers comunican los
cambios en la topología.
Cada protocolo de enrutamiento basado en vectores de distancia
27](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-27-320.jpg)
![MÉTRICAS IGRP.
IGRP utiliza una métrica de enrutamiento compuesta.
La ruta que posea la métrica más baja será considerada la ruta
óptima.
Las métricas de IGRP están ponderadas mediante constantes desde
K hasta K5.
Convierten los vectores de métrica IGRP en cantidades
escalables.
Ancho de banda: Valor mínimo de ancho de banda en la ruta.
Retraso: Retraso de interfaz acumulado a lo largo de la ruta.
Fiabilidad: Fiabilidad entre el origen y el destino, determinado por
el intercambio de mensajes de actividad.
Carga: Carga de un enlace entre el origen y el destino, medido en bits
por segundo.
MTU: Valor de la unidad máxima de transmisión de la ruta.
La fiabilidad y la carga no tienen unidades propias y pueden
tomar valores entre 0 y 255. El ancho de banda puede tomar valores que
reflejan velocidades desde 1200 bps hasta 106 bps.
El retraso puede ser cualquier valor entre 1 hasta 2 x 1023
EQUILIBRADO DE CARGA DE COSTE DESIGUAL EN IGRP.
IGRP soporta múltiples rutas entre un origen y un destino, es
posible que dos líneas de igual ancho de banda puedan transportar una
misma trama de tráfico de forma cooperativa, con conmutación
automática a la segunda línea si la primera falla.
El equilibrado de la carga de coste desigual permite distribuir
el trafico entre un máximo de seis rutas de distinto coste, para
conseguir un mayor rendimiento y fiabilidad.
A la hora de implementar el equilibrado de carga de coste
desigual en IGRP se aplican las siguientes reglas generales.
• IGRP puede aceptar hasta seis rutas para una red de destino
dada(cuatro es la especificación predeterminada).
• El router del próximo salto en cualquiera de las rutas debe estar
más próximo al destino que lo está el router local por su mejor
ruta. Esto garantiza la ausencia de bucles de enrutamiento.
• La métrica de la ruta alternativa debe encontrarse en un rango
especifico en relación con la métrica local óptima.
PROCESO DE ENRUTAMIENTO IGRP.
IGRP requiere un número de sistema autónomo. Este número de
sistema autónomo no tiene que estar registrado. Sin embargo, todos los
routers de un sistema autónomo deben usar el mismo número de sistema
autónomo.
router(config-router)#router igrp[sistema autónomo]
router(config-router)#network[número de red ip]
EQUIIBRADO / COMPARTICIÓN DE CARGA EN IGRP
IGRP soporta tanto el equilibrado de carga como la comparici ón
de carga.
Utilizar el comando variance para configurar el equilibrado de
la carga de coste desigual definiendo la diferencia entre la m étrica
óptima y la peor métrica aceptable.
router(config-router)#variance[multiplicador]
Multiplicador especifica el rango de valores de métrica que serán
aceptadas para el equilibrado de la carga.
Puede usar el comando traffic-share[balanced|min] para controlar
la forma en que debe distribuirse el trafico entre rutas de
comparición de carga IGRP.
router(config-router)#traffic-share[balanced|min]
34](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-34-320.jpg)
![de red que están conectadas directamente con el router que se esta
configurando y que deben incluirse en el proceso de enrutamiento IGRP.
En las actualizaciones de enrutamiento sólo se incluyen las interfaces
que tienen direcciones IP en la red identificada.
Router#configure terminal
Router(config)#router igrp [process id]
Router(config-router)#newtwork [dirección IP]
Router(config-router)#Ctrl+Z
CONFIGURACIÓN DEL PROTOCOLO PRIMERO LA RUTA MÁS CORTA
El grupo de trabajo OSPF del IETF diseño el protocolo Primero la
ruta libre más corta(Open Shortest Path First,OSPF) a finales de los
80. Se diseño para cubrir las necesidades de las redes IP, incluyendo
VLSM, autenticación de origen de ruta, convergencia rápida, etiquetado
de rutas conocidas mediante protocolos de enrutamiento externo y
publicaciones de ruta de multidifusión. El protocolo OSPF versión 2,
la implementación más actualizada, aparece especificado en la RFC
1583.
OSPF funciona dividiendo una Intranet o un sistema autónomo en
unidades jerárquicas de menor tamaño. Cada una de estas áreas se
enlaza a un área backbone mediante un router fronterizo. Todos los
paquetes direccionados desde una dirección de una estación de trabajo
de un área a otra de un área diferente atraviesan el área backbone,
independientemente de la existencia de una conexión directa entre las
dos áreas.
Aunque es posible el funcionamiento de una red OSPF únicamente
con el área backbone, OSPF escala bien cuando la red se subdivide en
un número de áreas más pequeñas.
OSPF es un protocolo de enrutamiento por estado de enlace. A
diferencia de RIP e IGRP que publican sus rutas sólo a routers
vecinos, los routers OSPF envían Publicaciones del estado de
enlace(Link-State Advertisment, LSA) a todos los routers
pertenecientes al mismo área jerárquica mediante una multidifusión de
IP. La LSA contiene información sobre las interfaces conectadas, la
métrica utilizada y otros datos adicionales necesarios para calcular
las bases de datos de la ruta y la topología de red. Los routers OSPF
acumulan información sobre el estado de enlace y ejecutan el algoritmo
SPF(que también se conoce con el nombre de su creador, Dijkstra) para
calcular la ruta más corta a cada nodo.
Para determinar que interfaces reciben las publicaciones de
estado de enlace, los routers ejecutan el protocolo OSPF Hello. Los
routers vecinos intercambian mensajes hello para determinar qu é otros
routers existen en una determinada interfaz y sirven como mensajes de
actividad que indican la accesibilidad de dichos routers.
Cuando se detecta un router vecino, se intercambia informaci ón
de topología OSPF.
Cuando los routers están sincronizados, se dice que han formado una
adyacencia.
Las LSA se envían y reciben sólo en adyacencias.
La información de la LSA se transporta en paquetes mediante la
capa de transporte OSPF. La capa de transporte OSPF define un proceso
fiable de publicación, acuse de recibo y petición para garantizar que
la información de la LSA se distribuye adecuadamente a todos los
routers de un área. Existen cuatro tipos de LSA. Los tipos más comunes
son los que publican información sobre los enlaces de red conectados
de un router y los que publican las redes disponibles fuera de las
áreas OSPF.
La métrica de enrutamiento de OSPF se calcula como la suma de
los OSPF a lo largo de la ruta hasta alcanzar una red. El coste OSPF
de un enlace se calcula en base al ancho de banda de la interfaz y es
36](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-36-320.jpg)
![configurable por parte del usuario.
La configuración del proceso de enrutamiento OSPF consiste en
dos pasos: posibilitar que el router ejecute el protocolo OSPF e
identificar las direcciones e interfaces de la red que deben incluirse
en las actualizaciones de enrutamiento y las áreas a las que
pertenecen las interfaces.
Para posibilitar que el router ejecute OSPF, se utiliza el
comando principal de configuración de IOS router ospf. Este comando
requiere como parámetro un número entero, o process-id, en caso de que
se ejecuten varios procesos OSPF en un mismo router. Como en otros
protocolos de enrutamiento, es necesario configurar las interfaces y
direcciones de red que se incluirán en las publicaciones de
enrutamiento OSPF. Además, deben identificarse las áreas OSPF en las
que residen las interfaces.
Utilice el subcomando de configuración de enrutamiento de IOS
network area para identificar las direcciones e interfaces de la red
que quieren incluir en OSPF, así como para identificar las áreas a las
que pertenecen. Este comando adopta dos parámetros. El primer
parámetro es la dirección de red y la máscara wildcard utilizada para
compararla con las direcciones IP asignadas a las interfaces. La
máscara wildcard es un método para igualar direcciones IP o rangos de
éstas. Cuando se aplica la máscara wildcard a la dirección IP de una
interfaz y la dirección de red resultante coincide con la dirección de
la red en el comando network area, la interfaz queda incluida en el
proceso de enrutamiento OSPF para el área especificada. El segundo
parámetro, que se conoce como area id(identificador de área), se
utiliza para identificar el área a la que pertenece la interfaz. El
area id puede ser un número entero o un número decimal con puntos
como, por ejemplo, una dirección IP.
Router#configure terminal
Router(config)#router ospf [process id]
Router(config-router)#newtwork [dirección IP][máscara wildcard][area
id]
Router(config-router)#Ctrl+Z
Como en el caso de los protocolos ya presentados, sólo aquellas
direcciones e interfaces de red que coincidan con las direcciones de
los comandos network area quedan incluidas en las actualizaciones de
enrutamiento OSPF.
OSFF funciona con el principio de que las LSA pueden ser
difundidas a todos los routers de un mismo sistema autónomo. No
obstante, muchos medios WAN(como las líneas serie punto a punto, Frame
Relay punto a punto y Frame Relay multipunto) no son medios de
difusión y no admiten la multidifusión. Sin la capacidad de
multidifundir la información de enrutamiento LSA, el administrador de
la red tendrá que configurar manualmente las relaciones de adyacencia
entre los routers en las interfaces punto a punto y multipunto de la
red. No obstante, se pueden eliminar la necesidad de la configuraci ón
manual de los routers vecinos. Se suelen dar instrucciones a OSPF para
que considere la interfaz punto a punto como un medio de difusi ón y
una interfaz multipunto como una red parcial de difusión. El
subcomando de configuración de IOS ip ospf network controla el tipo de
red a la que OSPF piensa que está conectada la interfaz. Este comando
adopta como parámetro una de las siguientes opciones:
• Broadcast. Considera el medio como uno de difusión, asumiendo
que se pueden transmitir y recibir las multidifusiones.
• Non-broadcast. Considera el medio como un medio de no difusión.
Esta opción requiere que el administrador configure manualmente
las relaciones de adyacencia mediante el subcomando de
configuración de enrutamiento de IOS neighbor.
• Point-to-multipoint. Considera el medio como un medio de
37](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-37-320.jpg)
![difusión parcial. El router del hub(concentrador) de una
topología punto a multipunto posee circuitos virtuales a los
diversos routers que carecen de conexión directa.
Router#configure t
Router(config)#interface serial 0.1 point-to-point
Router(config-int)#ip ospf network broadcast
Router(config-int)#interface serial 1
Router(config-int)#ip ospf network point-to-multipoint
Router(config-int)#Ctrl.+Z
A diferencia de los otros protocolos de enrutamiento IGP, OSPF
no genera una ruta predeterminada cuando se configura con el comando
ip default-network. Para OSPF, el router límite de sistema autónomo
debe estar configurado manualmente para que se le pueda forzar a
generar una ruta predeterminada para el resto del dominio OSPF. El
subcomando de configuración de enrutamiento de IOS ip defaultinformation
originate hace que OSPF genere la ruta predeterminada.
Router#configure t
Router(config)#ip default-network [dirección IP]
Router(config-router)#router ospf 25000
Router(config-router)#ip default-information originate
Router(config-router)#Ctrl.+Z
CONFIGURACIÓN DEL PROTOCOLO DE ENRUTAMIENTO DE GATEWAY
INTERIOR MEJORADO IP DE CISCO.
El protocolo de enrutamiento de gateway interior mejorado
(Enchaced Interior Gateway Routing Protocol, EIGRP) es una versi ón
mejorada del protocolo IGRP original desarrollado por Cisco Systems.
EIGRP mantiene el mismo algoritmo de vector de distancia y la
información de métrica original de IGRP; no obstante, se han mejorado
apreciablemente el tiempo de convergencia y los aspectos relativos a
la capacidad de ampliación. EIGRP ofrece características que no se
encontraban en su antecesor, IGRP como el soporte para VLSM y los
resúmenes de ruta arbitrarios.
Además, EIGRP ofrece características que se encuentran en
protocolos como OSPF, como las actualizaciones increméntales parciales
y un tiempo de convergencia reducido.
EIGRP combina las ventajas de los protocolos de estado de enlace con
las de los protocolos de vector de distancia.
Como en el caso del protocolo IGRP, EIGRP publica la informaci ón
de la tabla de enrutamiento sólo a los routers vecinos.
No obstante, a diferencia de IGRP, estos routers vecinos se
descubren por medio de un protocolo Hello sencillo intercambiado por
los routers que pertenecen a la misma red física. Una vez descubiertos
los routers vecinos, EIGRP utiliza un protocolo de transporte fiable
para garantizar la entrega correcta y ordenada de la informaci ón y las
actualizaciones de la tabla de enrutamiento. Un router hace el
seguimiento de sus propias rutas conectadas y, además, de todas las
rutas publicas de los routers vecinos. Basándose en esta información,
EIGRP puede seleccionar eficaz y rápidamente la ruta de menor coste
hasta un destino y garantizar que la ruta no forma parte de un bucle
de enrutamiento. Al almacenar la información de enrutamiento de los
routers vecinos, el algoritmo puede determinar con mayor rapidez una
ruta de sustitución o un sucesor factible en caso de que haya un fallo
de enlace o cualquier otro evento de modificación de la topología.
El saludo y la información de enrutamiento EIGRP son
transportados mediante el protocolo de transporte EIGRP. El transporte
EIGRP define un protocolo fiable de publicación, acuse de recibo y
petición para garantizar que el saludo y la información de
38](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-38-320.jpg)
![pueden determinar los protocolos que se ejecutan y sus diferentes
atributos. Este comando toma un parámetro opcional con la palabra
clave summary. La versión del comando con summary. La versión del
comando summary ofrece una lista exclusivamente del nombre del
protocolo de enrutamiento y del process-id, si es aplicable.
La versión estándar del comando show ip protocols ofrece una
lista de todos los protocolos de enrutamiento que se ejecutan y de sus
numerosos atributos, como orígenes de actualización de enrutamiento,
aplicación de filtros de distribución de listas, información de
métrica y las redes que se publican.
Los protocolos de enrutamiento complejos, como EIGRP, OSPF y
BGP, proporcionan acceso a muchos atributos, tablas y bases de datos
de información sobre su funcionamiento, configuración y topología.
COMANDOS EJECUTABLES DE IOS PARA EIGRP.
Show ip eigrp interfaces
Muestra información sobre las interfaces configuradas para IP EIGRP:
Show ip eigrp neighbors
Muestra los vecinos descubiertos por IP EIGRP.
Show ip eigrp topology
Muestra el número de paquetes enviados y recibidos por proceso(s) IP
EIGRP.
Show ip ospf
Muestra información general sobre los procesos de enrutamiento OSPF.
Show ip ospf database
Muestra varias listas de información relativa a la base de datos OSPF.
Show ip ospf database network
Muestra la información de enlace de red desde la base de datos de
OSPF.
Show ip ospf database external
Muestra la información de enlace de red externa desde la base de datos
OSPF.
Show ip ospf database database summary
Muestra la información de resumen pertinente a la base de datos OSPF.
Show ip ospf border-routers
Muestra las entradas de la tabla de enrutamiento interna OSPF a
routers fronterizos(Area Border Routers, ARB) y routers límite de
sistema autónomo(Autonomus System Boundary Routers, ASBR).
Show ip ospf interface
Muestra la información específica de la interfaz y relativa a OSPF.
Show ip ospf neighbor
Muestra información de vecinos OSPF.
Comandos ejecutables de IOS para BGP.
Show ip bgp cidr-only
Muestra las rutas BGP que contienen máscaras de red de subred y
superred.
Show ip bgp filter-list número de lista de acceso.
Muestra las rutas que coinciden con la lista de acceso de rutas del
sistema autónomo.
Show ip bgp regexp expression regular
Muestra las rutas que coinciden con la expresión regular específica
introducida en la línea de comandos.
Show ip bgp neighbors[dirección]routers
Muestra las rutas conocidas desde un vecino BGP determinado.
Show ip bgp neighbors[dirección]advertised
Muestra las rutas publicas a un vecino BGP determinado.
Show ip bgp neighbors[dirección]paths
Muestra las rutas publicas a un vecino BGP determinado.
Show ip bgp paths
Muestra todas las rutas BGP de la base de datos BGP.
45](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-45-320.jpg)
![la lista de acceso IP en una interfaz.
Router(config)#access-list[nº de lista de
acceso][permit|deny][condiciones de prueba]
La opción permit significa que al paquete le será permitido
pasar a través de las interfaces que se apliquen en la lista.
La opción deny significa que el router descartará el paquete.
Los últimos parámetros de la instrucción especifican las condiciones
de pruebas.
La prueba puede ser tan simple como comprobar una dirección de
origen individual, la lista puede expandirse para incluir varias
condiciones de prueba.
Router(config)#[protocolo]access-group[nº de lista de acceso][in|out]
Se activa una lista de acceso IP en una interfaz.
Listas de acceso IP Rango numérico identificador
Estándar 1 a 99
Extendida 100 a 199
Con nombre Nombre(Cisco IOS 11.2 y posterior)
Listas de acceso IPX Rango numérico identificador
Estándar 800 a 899
Extendida 900 a 999
Filtros SAP 1000 a 1099
Con nombre Nombre (Cisco IOS 11.2F y posterior)
LISTAS DE ACCESO TCP/IP
Una lista de acceso aplicada a una interfaz hace que el router
busque en la cabecera de la capa 3 y posiblemente en la cabecera de la
capa 4 un paquete del tráfico de la red al que aplicar las condiciones
de prueba.
Las listas de acceso IP estándar verifican sólo la dirección de
origen en la cabecera del paquete(Capa 3).
Las listas de acceso IP extendidas pueden verificar otros muchos
elementos, incluidas opciones de la cabecera del segmento(Capa 4),
como los números de puerto.
Para el filtrado de paquetes TCP/IP, las listas de acceso IP
verifica las cabeceras del paquete y de la capa superior, para
detectar lo siguiente:
• Direcciones IP de origen para listas de acceso estándar. Las listas
de acceso estándar están identificadas por los números entre 1 y 99.
• Direcciones IP de origen y destino, protocolos específicos y
números de puerto TCP y UDP, con listas de acceso extendidas. Las
listas de acceso extendidas están identificadas por los números
entre 10 y 199.
Puede ser necesario probar condiciones para un grupo o rengo de
direcciones IP, o bien para una dirección IP individual.
La comparación de direcciones tiene lugar usando máscaras que actúan a
modo de comodines en las direcciones de la lista de acceso, para
identificar los bits de la dirección IP que han de coincidir
explícitamente y cuales pueden ser ignorados.
El enmascaramiento wildcard para los bits de direcciones IP
utiliza los números 1 y 0 para referirse a los bits de la dirección.
• Un bit de máscara wildcard 0 significa “comprobar el valor
correspondiente”
• Un bit de mascara wildcard 1 significa “No comprobar(ignorar) el
valor del bit correspondiente”
Para los casos más frecuentes de enmascaramiento wildcard se
pueden utilizar abreviaturas.
Host = mascara comodín 0.0.0.0
Any = 0.0.0.0 255.255.255.255
Router(config)#access-list[nº de lista de
49](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-49-320.jpg)
![acceso][permit|deny][dirección de origen][mascara comodín]
• Numero de lista de acceso Identifica la lista a la que pertenece la
entrada. Se trata de un número entre 1 y 99.
• Permit|deny indica si esta entrada permitirá o bloqueará el tráfico
a partir de la dirección especificada.
• Dirección de origen identifica la dirección IP de origen.
• Mascara wildcard identifica los bits del campo de la dirección que
serán comprobados.
La mascara predeterminada es 0.0.0.0(coincidencia de todos los bits).
Router(config)#ip access-group[nº de lista de acceso][in|out]
• Número de lista de acceso indica el número de lista de acceso que
será aplicada a esa interfaz.
• In|out selecciona si la lista de acceso se aplicará como filtro de
entrada o de salida.
Si no se especifica nada, se adoptará la opción out por omisión.
ELIMINAR UNA LISTA DE ACCESO DE UNA INTERFAZ
1. no ip access-group[nº de lista de acceso] en la interfaz
2. no access-list[nº de lista de acceso] comando global
CONTROL DE ACCESO VTY
Líneas de terminal virtual. Existen por omisión, cinco de estas
líneas de terminal virtual numeradas del 0 al 4.
Una lista de acceso extendida para Telnet de salida no impide sesiones
Telnet iniciadas en el router.
El filtrado de Telnet se considera normalmente una función de
lista de acceso IP extendida, debido a que está filtrando un protocolo
de nivel superior.
Se puede crear una lista de acceso estándar donde se identifique la
dirección de origen y se aplica a las líneas vty usando el comando
access-class.
El comando access-class se aplica también a listas IP estándar
para filtrar sesiones Telnet salientes del router mediante l íneas vty.
COMO APLICAR UNA LISTA DE ACCESO ESTÁNDAR A LOS PUERTOS
TELNET.
router(config)#line vty[#|rango vty]
# indica una línea vty especifica a configurar.
Rango-vty indica un rango de líneas vty a las que se aplicará la
configuración.
Utilice el comando access-class para enlazar la lista de acceso
existente a una línea o rango de líneas de terminal.
router(config-line)#access-class[nº de lista de acceso][in|out]
Número de lista de acceso indica el número de la lista de acceso a
vincular a una línea de terminal. Este es un valor decimal entre 1 y
99.
In impide que el router pueda recibir conexiones Telnet desde las
direcciones de origen que aparecen en la lista de acceso.
Out impide que los puertos vty del router pueden iniciar conexiones
Telnet a las direcciones definidas en la lista de acceso est ándar.
Tenga en cuenta que la dirección de origen especificada en la lista de
acceso estándar se considera como una dirección de destino cuando se
usa access-class out.
La denegación implícita a todo se sigue aplicando a la lista de
acceso.
LISTAS DE ACCESO IP EXTENDIDAS
50](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-50-320.jpg)
![Las listas de acceso estándar realizan el filtrado basándose en
una máscara y una dirección de origen.
Este tipo de listas permiten o deniegan el acceso a todo el protocolo
TCP/IP.
Las instrucciones de las listas de acceso IP extendidas permiten
verificar direcciones tanto origen como destino.
Estándar
Filtros basados sólo en una dirección de origen.
Permite o deniega todo el protocolo TCP/IP.
Rango de 1 a 99.
Extendida
Filtros basados en direcciones de origen y destino y números de
puerto de origen y destino.
Especifica un protocolo IP y un número de puerto.
Rango de 100 a 199.
Al final se puede conseguir una mayor precisión en el filtrado
especificando el protocolo y los números de puerto UDP o TCP
opcionales.
Utilizando el protocolo y número de puerto UDP o TCP opcional,
se puede especificar el tipo de operación lógica que la lista de
acceso extendida ha de realizar en los protocolos indicados.
CONFIGURACION DE UNA LISTA DE ACCESO EXTENDIDA.
Agregar una lista de acceso extendida a un router a modo de
filtro de paquetes es una proceso que consta de dos pasos:
En primer lugar, se ha de crear la lista de acceso. A continuaci ón, se
debe aplicar la lista a una interfaz.
Utilice el comando access-list para crear una entrada que
exprese una condición en un filtro complejo:
Router(config)#access-list[nº de lista de
acceso][permit|deny][protocol][dirección de origen][mascara
comodín][puerto del operador][dirección de destino][mascara de
destino][puerto del operador][establisehed][log]
Numero de lista de acceso: identifica la lista mediante un numero
entre 100 y 199.
Permit|deny: indica si la entrada permitirá o bloqueara la dirección
especificada.
Protocolo: puede ser IP, TCP, UDP, ICMP, GRE o IGRP.
Origen y destino: identifican direcciones IP de origen y destino.
Mascara origen y mascara destino: Son las mascaras comodín. Las 0
indican las posiciones que deben coincidir, y los 1 las “que no
importan”.
Puerto del operador: puede ser: lt(menor que)gt(mayor que)eq(igual a)o
neq(distinto que) y un número de puerto de protocolo.
Establisehed Se usa solo para TCP de entrada. Esto permite que él
trafico TCP pase si el paquete utiliza una conexión ya establecida(por
51](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-51-320.jpg)
![ejemplo posee un conjunto de bits ACK)
Log Envía un mensaje de registro a la consola.
El comando ip access-group aplica una lista de acceso extendida
existente a una interfaz. Solo se puede hacer una lista de acceso por
protocolo, dirección e interfaz.
Router(config-if)#ip access-group[nº de lista de acceso][in|out]
Nº de lista de acceso indica el número de la lista de acceso que será
aplicado a ese interfaz.
In|out selecciona si la lista de acceso se aplicará como filtro de
entrada o de salida. Si no se especifica nada se adoptará la opción
out por omisión.
LISTAS DE ACCESO IP CON NOMBRE
Característica que apareció en CISCO IOS 11.2, permite
identificar lista de acceso IP estándar y extendidas mediante cadenas
alfanuméricas(nombres) en lugar de números de 1 a 199.
Con listas de acceso IP numeradas, para modificar una lista
tendría que borrar primero la lista de acceso numerada y volver a
introducirla de nuevo con las correcciones necesarias.
En una lista de acceso numerada no es posible borrar instrucciones
individuales.
Las listas de acceso IP con nombre permiten eliminar entradas
individuales de una lista especifica. El borrado de entradas
individuales permite modificar las listas de acceso sin tener que
eliminarlas y volver a configurarlas desde el principio. Sin embargo
no es posible insertar elementos selectivamente en una lista.
Si se agrega un elemento a la lista, este se coloca al final de
la misma.
No es posible usar el mismo nombre para varias listas de acceso.
Las listas de acceso de diferentes tipos tampoco pueden
compartir nombre.
CREAR Y ACTIVAR UNA LISTA DE ACCESO IP CON NOMBRE
Router(config)#ip access-list[standard|extended][nombre]nombre único
Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba]
Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba]
Router(config-if)#ip access-group[nombre][in|out]
Para eliminar una instrucción individual, anteponga no a la
condición de prueba.
DIRECTRICES PARA LA IMPLEMENTACION DE LISTAS DE ACCESO
ESTANDAR, EXTENDIDAS Y CON NOMBRE.
El orden en el que aparecen las instrucciones en la lista de
acceso es fundamental para un filtrado correcto. La practica
recomendada consiste en crear las listas de acceso en un servidor TFTP
usando un editor de texto y descargarlas después en un router vía
TFTP.
Las listas de acceso se procesan de arriba abajo. Si coloca las
pruebas más especificas y las que se verificaran con mas frecuencia al
comienzo de la lista de acceso, se reducirá la carga de procesamiento.
Solo las listas de acceso con nombre permiten la supresión, aunque no
la alteración del orden de instrucciones individuales en la lista. Si
desea reordenar las instrucciones de una lista de acceso, deber á
eliminar la lista completa y volver a crearla en el orden apropiado o
con las instrucciones correctas.
Todas las listas de acceso terminan con una instrucción
implícita “denegar todo”.
Las listas de acceso extendidas, deben colocarse normalmente lo
52](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-52-320.jpg)
![más cerca posible del origen del trafico que será denegado.
VERIFICACION Y CONTROL DE LISTAS DE ACCESO.
Router#show ip interface[tipo de interfaz][nº de interfaz]verifica si
una lista de acceso esta asociada a un interfaz. Muestra informaci ón
de la interfaz IP.
Router#show access-list muestra contenido de todas las listas de
acceso.
Router#show[protocolo]access-list[nº lista de acceso|nombre]
Las capacidades de filtrado de paquetes de las listas de acceso
IP del software IOS permite las restricción del flujo de paquetes
según los siguientes criterios:
• Dirección IP de origen.
• Dirección IP de origen y destino.
• Tipos de protocolos IP, incluyendo TCP, UDP e ICMP.
• Servicios de protocolo TCP origen y destino, como envío de
correo electrónico y Telnet.
• Servicios de protocolo UDP de origen y destino, como bootp y
NetBIOS datagram.
• Servicios de protocolo ICMP, como Eco ICMP y Puerto inalcanzable
ICMP.
La lista anterior no esta completa. La flexibilidad de las
listas de acceso IP le ofrece al administrador una decisión muy amplia
en cuanto a lo que se filtra y cómo se aplican los filtros. La clave
para comprender las listas de acceso IP en el software IOS reside en
que la tares de filtrado de paquetes está dividida en dos pasos muy
diferentes. En primer lugar, el criterio de filtrado se define
mediante el uso de los comandos access-list e ip access-list. En
segundo lugar, el criterio de filtrado se aplica a las interfaces
elegidas. Ya hemos considerado un método de aplicar el filtrado de
lista de acceso, en conjunción con el comando distribute-list para
filtrar la información de enrutamiento. En los apartados que aparecen
a continuación, nos centraremos en la utilización de las listas de
acceso en conjunción con el comando ip access-group.
DEFINICIÓN DE LAS LISTAS DE ACCESO.
Los criterios de filtrado se definen en una lista de
instrucciones de permiso y denegación que se llama lista de acceso.
Cada línea de esa lista de acceso se contrasta consecutivamente con
las direcciones IP y demás información de un paquete de datos hasta
que hay una coincidencia. Tan pronto como ocurre dicha coincidencia,
se sale de la lista. Este proceso hace que las listas de acceso tengan
una gran dependencia del orden.
Cuando se desarrolló originalmente, el software IOS sólo
disponía de un comando para crear listas de acceso, el comando accesslist.
Mediante el uso de este comando y una serie de rangos relevantes
de números, el administrador de red puede especificar el protocolo de
red para el que se crea la lista.
Un rango numérico 1 a 99 denota una lista de acceso IP estándar
y el rango 900 a 999 denota un filtro de paquetes IPX.
Alegando la necesidad de una mayor flexibilidad y un mayor
número de listas de acceso, los diseñadores del software IOS crearon
versiones del comando access-list para IP e IPX que permiten litas de
acceso con nombre asignado. Puede utilizar una cadena arbitraria de
caracteres en vez de un número para identificar la lista de acceso.
El comando para crear listas de acceso IP con nombre asignado es
ip access-list, también existe el comando ipx access-list para listas
IPX con nombre asignado.
53](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-53-320.jpg)
![Ya sea numerada o con nombre asignado, las listas de acceso IP
pertenecen a una de estas dos categorías: estándar o extendida. Una
lista de acceso IP estándar evalúa sólo la dirección IP de origen de
un paquete, mientras que la lista de acceso extendida puede evaluar
las direcciones IP de origen y destino, el tipo de protocolo IP y los
puertos de origen y de destino de la capa de transporte.
Use el comando de configuración global de IOS access-list para
establecer una lista de acceso numerada.
Como se explicó con anterioridad, el comando access-list toma
como parámetro un número de lista. Las listas de acceso IP estándar se
establecen por un número en el rango 1 a 99. Las listas de acceso IP
extendidas se ven por un número en el rango 100 a 199. Tras el número
de lista de cada línea de la lista de acceso encontrará la palabra
clave permit o deny, seguida de la dirección, la máscara wildcard, el
protocolo y el número de puerto del protocolo que se filtra.
Router#configure t
Router(config)#access-list[número][deny|permit][dirección IP]
Router(config)# access-list[número][deny|permit][dirección IP][máscara
wildcard]
Router(config)#^Z
El orden de las líneas de la lista de acceso determina el
funcionamiento del filtro.
Sugerencia_
Las listas de acceso hacen uso del concepto conocido como
máscara wildcard. Aunque parece similar a la máscara de red, la
máscara wildcard se diferencia en que las posiciones de bit
establecidas a 1 coinciden con cualquier valor. Una máscara wildcard
de 0.0.0.255 coincide con cualquier número en el rango 0 a 255 que
aparezca en el cuarto octeto de una dirección IP. Una máscara wildcard
de 0.0.3.255 coincide con cualquier dirección IP que tenga un 0, 1, ó
3 en el tercer octeto y cualquier número en el cuarto octeto basado en
la computación binaria. Las máscaras wildcard permiten que el
administrador de red especifique rangos de direcciones que entran en
los limites de bit de los números binarios.
Sugerencia_
Todas las listas de acceso tienen un deny implícito al final de
la lista. Esto significa que cualquier paquete que no coincida con el
criterio de filtrado de alguna de las líneas de la lista de acceso
será denegado. Para una mejor resolución de problemas y un mayor
control administrativo de la seguridad de la red, le recomendamos que
ponga un deny explicito al final de la lista con la palabra clave
opcional log. Esta acción hace que los paquetes que no coincidan con
la lista queden registrados como una violación en la consola, o si
tiene activado el registro de sistema(syslogging), en el servidor
syslog. También puede aplicar la palabra clave opcional log a
cualquier línea de la lista de acceso para que el administrador desee
tener información de registro grabada.
Las listas de acceso IP con nombre asignado se crean con el
comando de configuración ip access-list. Este comando toma como
parámetros las palabras clave extended o standard para denotar el tipo
de lista de acceso con nombre asignado que se crea y nombre mismo de
dicha lista.
El comando ip access-list hace que la configuración del software
IOS conmute al submodo de configuración de lista de acceso. Una vez en
el submodo de configuración de lista de acceso, sólo se tienen que
proporcionar los estados permit y deny, junto con la dirección de red
y otros criterios de filtrado. No necesita repetirse el nombre de la
lista de acceso con nombre designado en todas las líneas de la lista.
Ya sean numeradas o con nombre asignado, uno de los desafíos de
54](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-54-320.jpg)
![la gestión de listas de acceso radica en recordar por qué determinados
host, redes o servicios tienen el acceso permitido o denegado. A lo
largo del tiempo, pueden cambiar los administradores de la red que
deben responsabilizarse de mantener las listas de acceso en varios
dispositivos de la red y las razones de determinar entradas de las
listas de acceso pueden olvidarse.
En las primeras versiones del software IOS, la única manera de
documentar la información sobre las listas de acceso(o cualquier
comando de configuración) consistía en agregar comentarios a una copia
del archivo de la configuración de inicio que se almacenaba en el
servidor. Desgraciadamente, dichos comentarios se ignoran cuando el
archivo de configuración se carga en la memoria del router, así que no
existe en la NVRAM o memoria de ejecución.
Las versiones más recientes del software IOS han introducido la
capacidad de agregar comentarios a los comandos de las listas de
acceso numeradas y con nombre asignado.
Para agregar comentarios a las listas de acceso numeradas se usa
la palabra clave remark en lugar de permit o deny tras el comando de
configuración global de IOS access-list y el número de la lista. Los
comentarios se pueden colocar en cualquier lugar de la lista de acceso
y pueden tener una longitud máxima de 100 caracteres.
Router#configure t
Router(config)#access-list [número] remark [comentario]
Router(config)#access-list [número] [permit|deny][protocolo][dirección
origen][dirección destino][condición][protocolo]
Router(config)#^Z
Para agregar comentarios a las listas de acceso con nombre
asignado, se utiliza el comando de submodo de configuración de listas
de acceso IP remark. De igual manera que con los estados permit y
deny que se usan en este subcomando, el comando remark se utiliza
después de entrar en el submodo de configuración de listas de acceso
con el comando ip access-list seguido del nombre de la lista. Como en
el caso de los comentarios de las listas de acceso numeradas, estos
comentarios pueden tener una longitud máxima de 100 caracteres.
APLICACIÓN DE LISTAS DE ACCESO
Una vez definidos los criterios de filtrado de la lista de
acceso, se deben aplicar a una o más interfaces para que se puedan
filtrar los paquetes. La lista de acceso se puede aplicar en direcci ón
entrante o saliente en la interfaz. Cuando una paquete viaja en
dirección entrante, entra en el router desde la interfaz. Cuando
viajen en dirección saliente, abandonan el router y se dirigen a la
interfaz. La lista de acceso se aplica mediante el subcomando de
configuración de interfaz de IOS ip access-group. Este comando toma
como parámetro la palabra clave in u out. Si no se proporciona un
parámetro, se presupone la palabra clave out.
Router#configure t
Router(config)#interface[tipo][número]
Router(config)#ip access-group [número de lista de acceso] [in|out]
Router(config)#^Z
Una vez configuradas, se pueden ver y verificar las listas de
acceso con los comandos ejecutables de IOS show access-list y show ip
access-list. El primer comando muestra todas las listas de acceso
definidas en el router, mientras que el segundo sólo muestra las
listas de acceso IP definidas en el router, mientras que el segundo
sólo muestra las listas de acceso IP definidas en el router, ya sean
numeradas o con nombre asignado. Cada comando puede tomar como
parámetro una lista de acceso numerada o con nombre asignado
específica y sólo se puede visualizar el contenido de esa lista. Si se
proporciona un parámetro, se mostrarán todas las listas.
55](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-55-320.jpg)
![Router#show access-list
Los comandos show access-list y show ip access-list cuentan el
número de coincidencias de cada línea de la lista de acceso y muestra
ese número entre paréntesis. Esta información puede resultar útil para
determinar las líneas de la lista de acceso que están sirviendo al
propósito para el que fueron creadas. También puede ayudar a resolver
problemas y revelar los posibles errores de configuración de las
listas de acceso.
Los contadores de coincidencias de los comandos show access-list
y show ip access-list se pueden reiniciar con el comando ejecutable de
IOS clear ip access-list counters. Este comando toma un parámetro
opcional del número o nombre de una lista de acceso IP en la que
quiera reiniciar los contadores de coincidencias. Si no se especifica
un parámetro, se reinician los contadores de coincidencias de todas
las listas de acceso IP.
Router#clear ip access-list counters [número de lista o nombre]
Es un poco difícil de terminar dónde utilizar las listas de
acceso. Cuando se aplican como filtros de paquetes con el comando ip
access-group, la salida del comando show ip interfaces muestra las
listas de acceso aplicadas y las interfaces en las que se han
aplicado.
Cuando las listas de acceso se aplican como filtros de paquetes
con el comando distribute-list, la salida del comando show ip
protocols indica la aplicación entrante o saliente de los filtros a
los protocolos de enrutamiento específicos. Esta explicación de los
comandos para ver y verificar las listas de acceso no está completa,
porque las listas de acceso funcionan como el activador para muchas de
las funciones de filtrado del software IOS. Cada aplicación específica
de las listas de acceso tiene sus comandos de verificación
correspondientes.
Las capacidades de filtrado de paquetes IP del software Cisco
IOS proporcionan herramientas muy poderosas para limitar el acceso a
los recursos, tanto dentro como fuera de la red de una entidad. No
obstante el diseño de un esquema de protección firewall es una tares
importante y compleja.
CONFIGURACIÓN DE LOS SERVICIOS BÁSICOS DE ACCESO TELEFONICO
POR IP.
El software IOS permite el acceso remoto en los routers y
servidores de acceso. La capacidad de acceso remoto se encuentra
disponible tanto en el acceso telefónico asíncrono mediante módulos de
módems integrados y externos, como a través de RBSI(ISDN). El acceso
remoto ofrece a los usuarios y a los routers remotos la capacidad de
conectarse con servicios de red IP cuando no están conectados
directamente a una red a través de una interfaz de LAN o de WAN.
Hay numerosos productos basados en IOS compatibles con los
servicios de acceso remoto. Estos productos ofrecen muchas opciones de
configuración, tanto en su hardware como en las características del
software IOS.
Para asegurarse de la fiabilidad de la conexión a través de un
servicio de acceso telefónico, como, por ejemplo un módem o RDSI, IP
se transporta en un protocolo de capa de enlace a través del servicio
de acceso telefónico. Hay varios protocolos de la capa de enlace de
datos compatibles con los servicios de acceso telefónico, entre los
que se incluyen PPP, DIC, SLIP(Serial Line IP) y Frame Relay.
La configuración de los servicios de acceso remoto puede
dividirse en tres campos principales:
• La configuración de la línea o la interfaz.
• La configuración de la seguridad.
56](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-56-320.jpg)
![• La configuración del protocolo IP.
CONFIGURACIÓN DE ACCESO TELEFÓNICO ASÍNCRONO
El acceso telefónico asíncrono implica la utilización de módems
analógicos para convertir los datos en cadenas de información que se
puedan trasladar a través de las líneas telefónicas. Estos módems
pueden estar integrados en el producto, como en el caso de servidor de
acceso Cisco AS5200 y el router 3600, o bien conectarse externamente,
como en el caso del servidor de acceso 2511 y el puerto auxiliar de la
mayoría de los routers Cisco.
Hay líneas serie asíncronas físicas conectadas a los módems o
líneas virtuales dentro de los módulos de módems integrados, las
líneas y los módems deben estar correctamente configurados para
asegurar una comunicación adecuada. La velocidad de la línea, el
método de control de flujo, la dirección de la llamada telefónica y el
tipo de módem conectado son algunos de los aspectos más importantes a
configurar.
Para establecer la velocidad a la que el servidor se comunica
con los módems, utilizamos el subcomando de configuración de línea de
IOS speed. El comando toma como parámetro un entero que representa la
velocidad, como número de bits por segundo, a la que transmitir y
recibir. La velocidad debería establecerse a la mayor que admita el
puerto de datos del módem(la mayor velocidad que admite el servidor de
acceso es de 115.200 bps).
A fin de definir el método que se utiliza para controlar el
flujo de información desde el servidor de acceso a los módems,
utilizamos el subcomando de configuración de línea de IOS flowcontrol.
El comando toma como parámetro la palabra clave hardware o software.
Estas palabras clave representan los dos tipos de control de flujo
compatibles. Con velocidades superiores a los 9.600 bps se recomienda
el uso de control de flujo del hardware.
Router#configure t
Router(config)#line[rango de líneas]
Router(config-line)#speed 115200
57](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-57-320.jpg)
![Router(config-line)#flowcontrol [hardware | software]
Router(config-line)#^Z
Una vez seleccionados los métodos de control de la velocidad y
del control de flujo, hay que proporcionarle al servidor de acceso la
información relativa al tipo de módem conectado y a la dirección del
acceso telefónico. La información sobre el tipo de módem facilita la
tarea de configuración de acceso telefónico al eliminar la necesidad
de configurar los valores del módem de forma manual. Además, el
servidor de acceso puede restablecer los valores del módem tras cada
llamada para asegurar el funcionamiento adecuado del conjunto de
accesos telefónicos.
La información relativa a la configuración del acceso telefónico
le dice al servidor de acceso cómo reaccionar a las señales enviadas
por el módem durante el establecimiento de la llamada. El subcomando
de configuración de línea de IOS modem se utiliza para configurar
tanto el tipo de módem conectado como la dirección de acceso
telefónico. Para configurar el tipo de módem utilizamos el comando
modem autoconfigure. Este comando toma como parámetro la palabra clave
discovery o type. La palabra clave discovery le da instrucciones al
servidor al servidor de acceso para que intente determinar el tipo de
módem conectado a fin de seleccionar los valores del mismo. La palabra
clave type, seguida de uno de los tipos de módem predefinidos o
definidos por el usuario, le da instrucciones al servidor de acceso
para que seleccione los valores del módem del tipo con nombre.
El software IOS admite muchos tipos de módems, entre los que se
incluyen U.S Robotics Courier, el U.S Robotics Sportster Y Telebit
T3000. Si no esta definido previamente el tipo, el usuario puede
establecer tipos adicionales y los valores correspondientes mediante
el comando de configuración de IOS modencap. Para establecer la
dirección del acceso telefónico usamos como parámetro las palabras
clave dialin o inout con el comando modem.
Sugerencia_
Aunque las líneas asíncronas se utilicen solamente para dial-in,
le recomendamos que establezca las líneas para operaciones inout
durante la configuración inicial y la resolución de problemas. Esto le
proporciona acceso al terminal virtual a través del protocolo Telnet
directamente a la línea asíncrona para la configuración y la
verificación manual del módem. Este método de acceso virtual se conoce
como Telnet inverso.
Una vez finalizada la configuración de la línea asíncrona, la
seguridad del servidor de acceso es el siguiente paso del proceso de
configuración.
La primera es el proceso de autenticación, el proceso de
identificar quien intenta acceder. La segunda fase es autorizar al
usuario identificado para que realice tareas especificadas o darle al
usuario acceso a servicios específicos. Para los propósitos de acceso
telefónico por IP, introducimos un tipo de autenticación y un tipo de
autorización que hace uso de la información del usuario configurado
localmente.
Estos comandos de autenticación y autorización hacen uso de la
información del usuario configurada localmente. De manera opcional,
podría utilizarse un servidor de acceso como TACACS+ o un RADIUS en
lugar de la información configurada a nivel local.
Para autenticar a los usuarios que intentan acceder a los
servicios de IP a través de PPP, se utiliza el tipo de autenticación
AAA de ppp. Se activa mediante el comando de configuración de IOS aaa
authentication ppp. El comando toma como parámetro un nombre de lista
de autenticación o la palabra clave default y uno o varios métodos de
autenticación, como local o, TACACS+.
58](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-58-320.jpg)
![Una vez identificado el usuario PPP, hay que autorizar a dicho
usuario para que pueda utilizar los servicios de red(uno de los cuales
es PPP). Para autorizar el uso de los servicios de la red, utilizamos
el comando aaa authorization network. Este comando toma como parámetro
uno o varios tipos de autorización.
Router#configure t
Router(config)# aaa authentication default ppp local
Router(config)# aaa authorization network default if-authenticated
Router(config)#^Z
La información de la autenticación para los usuarios PPP se
configura a nivel local, por lo que hay que configurar los nombres de
usuario y las contraseñas reales para autenticación. Esta información
se configura mediante el comando de configuración global de IOS
username. El comando toma como parámetro la identificación del usuario
a utilizar para la autenticación, la palabra clave password y la
contraseña a utilizar para autentificar al usuario. Aunque la
contraseña se escribe en texto perfectamente legible, se convierte en
una cadena cifrada si está activado el cifrado de contraseña.
Router#configure t
Router(config)#username [nombre de usuario]password [clave]
Router(config)# username [nombre de usuario]password [clave]
Router(config)#^Z
El paso final para configurar los servicios de acceso telef ónico
asíncronos de IP es ofrecer la información sobre el protocolo IP que
se usa para establecer y mantener la sesión de acceso telefónico
mediante IP. En vez de introducirse la información sobre el protocolo
IP como subcomando de línea, la información del protocolo se asocia
con el tipo de interfaz que representa la línea asíncrona, igual que
con cualquier otro medio LAN o WAN. Este tipo de interfaz se denomina
interfaz asíncrona, y cada línea asíncrona del servidor de acceso
tiene una interfaz asíncrona correspondiente. La información del
protocolo IP puede introducirse individualmente en cada interfaz
asíncrona en la que pueden ocurrir sesiones de acceso telefónico, o
sólo una vez mediante una interfaz asíncrona colectiva denominada
interfaz asíncrona de grupo.
La interfaz asíncrona de grupo puede utilizarse para simplificar
las tareas de configuración cuando se apliquen los mismos comandos de
configuración a varias interfaces asíncronas. Cuando se utiliza la
interfaz de IOS group-range para identificar qué interfaces asíncronas
individuales deberían incluirse en la estructura del grupo.
La información del protocolo IP que se asigna a las interfaces
asíncronas se divide en tres categorías:
• La configuración de la dirección IP para la interfaz asíncrona.
• La información de la dirección IP que se ofrece a los usuarios
de acceso telefónico.
• La información relativa a cómo debería funcionar IP y PPP en la
interfaz asíncrona.
Empezamos por examinar los comandos de funcionamiento de PPP e
IP. En primer lugar hay que indicarle a la interfaz asíncrona que
utilice PPP como método de encapsulación para los servicios IP. Para
especificar el tipo de encapsulación, utilizamos el comando de
configuración de interfaz de IOS encapsulation. El comando toma como
parámetro una palabra clave(por ejemplo, pppo slip) que defina el tipo
de encapsulación que se utiliza en la interfaz.
Una vez configurado PPP, el administrador de la red tiene la
opción de configurar la línea asíncrona para que funcione solamente
como un puerto de servicios de red de acceso telefónico(es decir, al
usuario sólo se le permite utilizar los servicios de red configurados
en el puerto, como PPP o SLIP) o permitir que el usuario reciba un
indicativo ejecutable en el acceso telefónico y elija manualmente que
59](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-59-320.jpg)
![establecimiento de la llamada. Este método se describe en la RFC
informativa 1877, “PPP Internet Protocol Control Potrocol Extensions
for Name server Addresses”. Aunque no es un estándar este método se ha
instalado profusamente sobre todo en las implementaciones de acceso de
Microsoft.
El servidor de acceso puede admitir también los métodos
descritos en la RFC 1877 para suministrar tanto las direcciones de
nombres de usuario DNS como NetBIOS/WINS. Las implementaciones m ás
antiguas utilizan el comando de configuración global de IOS asyncbootp
para configurar estas opciones. Cuando se configuran las
direcciones IP de los servidores DNS, el comando toma como par ámetro
la palabra clave nbns-server, seguida de una o varias direcciones IP.
Nota_
Aunque proporcionar direcciones de los servidores de nombres DNS
y NetBIOS/WINS tienen poco que ver con BOOTP, se utilizó el comando
async-bootp para activar esta característica en el software IOS
añadiendo extensiones a los comandos del protocolo de negociaci ón SLIP
BOOTP existentes. Este método se eligió en su momento en vez de crear
comandos PPP y mecanismos separados para implementar una RFC no
estándar.
El inconveniente de usar el comando async-bootp para
proporcionar direcciones de los servidores DNS y NetBIOS/WINS es que
dicho comando es de configuración global de IOS. Esto conlleva que las
direcciones configuradas mediante el comando se ofrezcan a todos los
usuarios de acceso telefónico del servidor de acceso, sea cual sea la
interfaz de acceso a la que puedan estar conectados. Ha demostrado
ser un método poco flexible para los administradores de red que desean
admitir varios tipos de conexiones de acceso telefónico o diferentes
clases de usuarios y que desean proporcionar diferentes direcciones de
servidor para dichas conexiones o usuarios. En las versiones m ás
modernas del software IOS, el subcomando de configuración de interfaz
de IOS ppp ipcp le ofrece al administrador de la red un control más
granular de estas opciones por interfaz. Cuando se configuran las
direcciones IP de los servidores DNS, el comando toma como par ámetro
la palabra clave dns, seguida de una o dos direcciones IP.
Router#configure t
Router(config)#interface group-async 1
Router(config-if)#ppp ipcp dns [dirección ip][dirección ip]
Router(config-if)#ppp ipcp wins [dirección ip]
Router(config-if)#^Z
CONEXIONES RDSI(ISDN)
Al igual que el acceso telefónico asíncrono, el acceso
RDSI(ISDN) supone la utilización de la red telefónica pública para
permitir que los usuarios de las estaciones de trabajo remotas accedan
a los servicios de una red cuando no están conectados directamente
mediante una interfaz LAN o de WAN. RDSI se diferencia del acceso
telefónico asíncrono en que las llamadas se transmiten usando señales
digitales síncronas. Los datos se transforman en cadenas de
información digital mediante las interfaces RDSI integradas en el
router o mediante la utilización de dispositivos de conexión externos
RDSI que se denominan adaptadores de terminal (TA).
Los usuarios de las estaciones de trabajo remotas también pueden
usar placas de PC RDSI integradas o TA externas para conectarse con el
servicio RDSI.
Muchas de las tareas de configuración necesarias para configurar
los servicios de acceso telefónico asíncrono por IP se necesitan
también para establecer los servicios de acceso telefónico RDSI por
63](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-63-320.jpg)
![En algunas situaciones, el estado operacional de una interfaz
afecta directamente al router que se elige como router de reenv ío
activo. Esto ocurre en particular cuando cada uno de los routers del
grupo HSRP tiene una ruta de acceso distinta a otras partes de la red.
El software IOS ofrece una característica de HSRP para que un
router pueda ajustarse a la prioridad HSRP de un grupo HSRP de forma
que se pueda convertir en el router de reenvío activo. Esta
funcionalidad, recibe el nombre de seguimiento de interfaces, se
activa con el subcomando de configuración de interfaz de IOS standby
trac. Este comando adopta como parámetro la interfaz a la que se le va
a realizar el seguimiento y opcionalmente, la cantidad que hay que
reducir de la prioridad HSRP en la interfaz configurada. Si no se
especifica ningún valor de reducción de prioridad, el router deduce la
cantidad estándar de diez de la prioridad HSRP.
El funcionamiento de HSRP puede verificarse con el comando
ejecutable de IOS show standby. El comando adopta como parámetro
opcional la interfaz específica en la que se va ha mostrar la
información la información de HSRP. Sin dicho parámetro la información
de HSRP aparece en todas las interfaces.
El comando show standby muestra la información de HSRP, que
incluye el estado de los reenvíos, la prioridad HSRP y las interfaces
a las que realizan seguimientos del router al que se realizan
consultas. También muestra información acerca de la dirección IP de
reserva configurada y las direcciones IP de los posibles routers de
reserva de cada grupo HSRP.
Una de las desventajas del HSRP original era que no permitía al
administrador de red compartir la carga del tráfico que cruza ambos
routers del grupo de reserva. Básicamente, el router de reserva
estaría inactivo a menos que fallará el router de reenvío activo.
Para solucionar este problema, se añadió al software IOS la
capacidad para admitir varios grupos HSRP en la misma interfaz. En la
misma interfaz se pueden crear varios grupos HSRP, cada uno de ellos
con una dirección IP virtual distinta, para respaldarse unos a otros.
Con dos grupos HSRP y dos direcciones IP virtuales definidas, el
administrador de red puede configurar el gateway predeterminado en
algunos de los host con una de las direcciones virtuales de HSRP, y en
los host restantes, con la otra. Aunque no consigue un equilibrado de
la carga exactamente igual, esta configuración comparte la carga entre
los dos routers en lugar de sobrecargar sustancialmente uno de ellos
mientras el otro se queda completamente inactivo.
Mediante la especificación de un número de grupo en todos los
comandos standby, se pueden crear varios grupos HSRP. Por ejemplo,
standby 1 ip address [dirección IP] y standby 1 priority 100
especifican que estos comando HSRP se aplican al grupo de reserva 1.
Los comandos standby 2 ip address [dirección IP] y standby 2 priority
100 especifican que estos comando HSRP se aplican al grupo de reserva
RESUMEN DE COMANDOS EJECUTABLES PARA IP
clear host
Elimina las entradas temporales de la tabla de host IP.
Clear ip access-list counters
Borra el cómputo del número de veces que ha coincidido cada una de las
líneas de una lista de acceso IP.
Clear ip route
Borra toda la tabla de enrutamiento o, si se especifica, una ruta en
particular.
Ping ip-address
Realiza pruebas para determinar si se puede comunicar con la direcci ón
IP que se indica y si ésta responde.
Show {frame-relay | atm | x25 | dialer} map
79](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-79-320.jpg)
![Muestra las asignaciones de direcciones IP a direcciones de enlace de
datos en el tipo de medios de WAN especificado.
Show access-list
Muestra todas las listas de acceso definidas en el router
Show host
Verifica la configuración DNS de un router y muestra una lista de host
que han resuelto sus nombres a direcciones IP.
Show interface[interfaz]
Proporciona información general acerca de una interfaz, incluyendo la
dirección IP y la máscara de red.
Show ip access-list
Muestra todas las listas de acceso IP definidas en el router.
Show ip arp
Muestra todas las direcciones IP que el router ha podido resolver a
direcciones MAC.
Show ip dchp binding
Muestra información acerca de las asignaciones de direcciones de
direcciones del servidor DCHP de IOS.
Show ip dchp conflict
Muestra la información acerca de los conflictos de direcciones IP que
detecta el servidor DCHP de IOS durante el proceso de asignaci ón.
Show ip dchp database
Muestra información acerca de la ubicación y estado de la base de
datos que ha utilizado el servidor DCHP de IOS para registrar las
asociaciones y conflictos de DCHP.
Show ip dchp server statistics
Muestra información sobre el estado y los contadores relacionados con
el funcionamiento del servidor DCHP de IOS.
Show ip interface brief
Muestra un pequeño resumen de la información de las direcciones IP y
el estado de todas las interfaces disponibles en el dispositivo.
Show ip interface[interfaz]
Muestra todos los parámetros asociados con la configuración de una
interfaz IP.
Show ip mask [dirección de red]
Muestra las máscaras de red que se han aplicado a la red designada y
el número de rutas que utiliza cada máscara.
Show ip protocols
Muestra los protocolos de enrutamiento que están ejecutando y varios
de sus atributos. Si se utiliza con la palabra clave summary, muestra
solamente los nombres de los protocolos y los números de los
identificadores de los procesos.
Show ip route
Muestra la tabla de enrutamiento IP del router.
Show ip route connected
Muestra las rutas asociadas con las interfaces del router
operacionales conectadas directamente.
Show ip route[dirección IP]
Muestra la información de enrutamiento de la ruta especificada.
Show ip route static
Muestra las rutas que se derivan de los comandos de rutas de red
configurados manualmente.
Show ip traffic
Presenta las estadísticas globales de funcionamiento de IP en el
router.
Show standby
Muestra información sobre el funcionamiento de HSRP.
Terminal ip netmask-format{decimal | bit-count | hexadecimal}
Especifica el formato de visualización de las máscaras de red que se
van a utilizar durante la sesión de la consola o del terminal virtual
80](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-80-320.jpg)
![existente.
Trace[dirección IP]
Muestra todos los pasos de ruta de acceso a la red por los que viajan
los paquetes para llegar a la dirección IP indicada.
RESUMEN DE COMANDOS DE CONFIGRACIÓN PARA IP
aaa authentication ppp [método de lista]
especifica que ppp debe autenticarse a través del método aaa de la
lista.
aaa authorization network [método]
especifica que los servicios de red deben autenticarse a trav és del
método de aaa de la lista.
access-list
crea una lista de acceso numerada y sus criterios de filtros
asociados.
arp-server
identifica el servidor arp de atm que pueden resolver direcciones ip
en direcciones nsap de atm.
async-bootp dns-server[dirección ip]
especifica direcciones ip de un servidor dns proporcionadas a los
clientes de acceso telefónico durante el establecimiento de llamadas
de forma global.
async-bootp nbns-server[dirección ip]
especifica las direcciones ip de un servidor de nombres netbios/wins
proporcionadas a los clientes de acceso telefónico durante el
establecimiento de llamadas de forma global.
async mode{interactive | dedicated}
especifica el método de interacción del usuario en una interfaz
asíncrona para los usuarios de acceso telefónico.
autoselect ppp
especifica que el proceso de selección automático debe realizarse
durante el proceso de autenticación.
compress
especifica que el algoritmo de compresión debe intentar negociarse
durante la negociación del acceso telefónico por ppp.
default-metric
asigna la métrica de enrutamiento que se va a utilizar durante la
redistribución de rutas entre los protocolos de enrutamiento
dinámicos.
defaul-router[dirección]
define una o varias direcciones ip predeterminadas del router que
ofrece a los clientes dchp el servidor dchp de ios.
dialer-group[entero]
especifica el grupo de marcadores al que pertenece una interfaz y
específica qué lista de marcadores se utiliza para definir el tráfico
de interés.
dialer-list[número de lista]protocol[método de tipo]
Define una lista de marcadores que especifica los protocolos de red y
métodos que se utilizan para definir el tráfico como interesante para
las sesiones de acceso telefónico.
dialer map ip
Asigna una dirección ip al nombre de sistema y al número de teléfono
para las llamadas rdsi.
dialer rotary-group[entero]
Asigna una interfaz rdsi a la estructura del grupo de la interfaz de
quien realiza la llamada.
distribute-list
Aplica una lista de acceso a la tares de filtrar la recepci ón y la
publicación de las rutas de red.
dns-server[dirección]
81](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-81-320.jpg)
![Define una o varias direcciones ip del servidor dns que ofrece a los
clientes dchp el servidor dchp de ios.
domain-name[dominio]
Define un nombre de dominio dns que ofrece a los clientes dchp el
servidor dchp de ios.
flowcontrol{hardware | software}
Especifica el método de control de flujos en una línea asíncrona.
Frame-relay map ip
Asigna una dirección IP a un DLCI Frame Realy
Group-range [principio fin]
Específica que interfaces asíncronas se incluyen en las estructuras de
interfaces del grupo asíncrono.
Ip access-group list{in | out}
Aplica la lista de acceso indicada a la tarea de filtrar paquetes
entrantes o salientes en una interfaz.
Ip access-list{extended | standard}[nombre]
Crea una lista de acceso IP con nombre y sus criterios de filtrado
asociado.
Ip address [dirección ip][máscara de red]
Asigna una dirección IP y una máscara de red a las interfaces de LAN y
de WAN.
Ip classless
Activa el router para que funcione en modo sin clase, en el que las
direcciones IP de destino coinciden con las rutas de la superred y de
los bloques CIDR.
Ip default-information originate
Hace que OSPF genere la ruta predeterminada desde el router l ímite de
sistema autónomo para el resto del dominio OSPF.
Ip default-network[dirección de red]
Configura la dirección de red especificada como red de resumen o
predeterminada.
{no}ip dchp conflict logging
Activa o desactiva el registro de la información de los conflictos de
direcciones por parte del servidor DCHP de IOS.
ip dchp database[dirección URL]
Define la ubicación y método para registrar la información de las
asociaciones y de los conflictos de direcciones por parte del servidor
DCHP de IOS.
ip dchp exclude-address
Especifica una o varias direcciones IP que deben excluirse de las
ofertas de DCHP a los clientes DCHP por parte del cliente DCHP de IOS.
ip dchp poll[nombre]
Crea un conjunto de direcciones DCHP que se puede configurar con otros
subcomandos de configuración DCHP.
ip dchp-server[dirección IP]
Especifica la dirección IP de un servidor DCHP que puede asignar
dinámicamente direcciones IP a los clientes de acceso telefónico.
ip domain-list[nombre]
Establece una lista de nombres de dominios que añadir a los nombres de
host no cualificados.
ip domain-lookup
Activa el DNS.
domain-name[nombre]
Configura el nombre del dominio principal que añadir a los nombres de
host no cualificados.
ip forward-protocol udp type
Controla que tipo de difusiones UDP se reenvían.
ip helper-address[dirección IP]
Reenvía difusiones UDP a la dirección IP especificada.
ip host
82](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-82-320.jpg)
![Configura la asignación estática de un nombre de host a las
direcciones IP.
ip local pool{default | poll-name}[dirección IP de inicio y dirección
IP de final]
Crea un conjunto de direcciones IP para asignar dinámicamente
direcciones IP a los clientes de acceso telefónico.
ip dchp-server[dirección ip]
Configura servidore de nombres DNS.
ip netmask-format{decimal | bit-count | hexidecimal}
Configura el formato de visualización de las máscaras de red que se va
a utilizar durante las sesiones de las consolas o de los terminales
virtuales.
ip ospf network{broadcast | non-broadcast | point-to-multipoint}
Configura el tipo de red(difusión, no difusión o punto a multipunto)
que OSPF cree que está conectada ala interfaz.
ip rip {send | receive} versión
Especifica que versión de RIP se envía y recibe en una interfaz
específica.
ip route 0.0.0.0 0.0.0.0 [dirección ip de destino]
Configura una ruta predeterminada de 0.0.0.0.
ip route [dirección de red][máscara de red][dirección ip de destino]
Configura una ruta estática
ip route [dirección de red][máscara de red][dirección ip de subred]
Configura un ruta resumen, adoptando como parámetros la ruta resumen,
la máscara de red y la subred no conectada.
ip routing
Activa el enrutamiento IP del router.
Ip subnet-zero
Permite asignar una interfaz a la primera subred del conjunto de
direcciones de red(subred cero).
Ip unnumbered [interfaz]
Configura una interfaaz IP de WAN punto a punto no numerada
Map-group
Asigna un grupo de asignación con nombres a una interfaz para que lo
use a la hora de asignar direcciones IP a las direcciones de enlace de
datos ATM en una interfaz.
Map-list
Crea un lista de asignación con nombres para configurar la asignación
de direcciones IP a los PVC o SVC en el direccionamiento ATM.
modem autoconfigure{discover | tipo de módem}
Especifica que un módem conectado a una línea asíncrona debe
configurarse automáticamente por descubrimiento por el uso de los
parámetros del tipo de módem con nombre.
modem {dialin | inout}
Especifica la dirección permitida de las llamadas asíncronas.
neighbor[dirección IP]
Especifica la dirección IP de un router vecino con el que intercambiar
información de enrutamiento dinámico.
neighbor[dirección IP]description
Permite añadir comentarios al comando neighbor de BGP.
neighbor[dirección IP]distribute-list
Permite el filtro de rutas BGP a igual BGP.
neighbor[dirección IP]remote-as asn
Configura el router vecino con la dirección indicada en el sistema
autónomo indicado como igual BGP.
neighbor[dirección IP]update-source[interfaz]
Especifica que la dirección IP de origen para establecer la sesión de
igual BGP debe derivarse de la interfaz con nombre.
netbios-name-server[dirección]
Define una o varias direcciones IP del servidor NetBIOS/WINS que
83](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-83-320.jpg)
![ofrece a los clientes DCHP el servidor DCHP de IOS.
netbios-node-type[tipo]
Define el modo de comportamiento de NetBIOS que ofrece a los clientes
DCHP el servidor DCHP de IOS.
network[dirección de red]
Especifica que las direcciones conectadas que coincidan con la
dirección de red indicada deben incluirse en las publicaciones del
enrutamiento.
network[dirección de red]area [número de área]
Especifica que las interfaces conectadas que coincidan con la
dirección de red indicada deben incluirse en las publicaciones del
enrutamiento OSPF y que las interfaces deben asignarse al área
especificada.
network[número de red][máscara | longitud del prefijo]
Especifica el conjunto de direcciones IP que se ofrecerán a los
clientes DCHP de un conjunto de direcciones DCHP determinado por parte
del servidor DCHP de IOS.
no autosummary
Evita el resumen automatico de direcciones en los limites de la red
con clase y permite la propagación de la información de la subred.
no inverse-arp
Desactiva la función de asignación de la dirección IP a DLCI de Frame
Relay.
passive-interface[interfaz]
Configura el router para escuchar pero no publicar la informaci ón de
enrutamiento en la interfaz indicada.
peer default ip address{pool | dchp | dirección IP}
Especifica el método que se ha utilizado para asignar una dirección IP
a una estación de trabajo cliente de acceso telefónico.
Ppp authentication[método]
Especifica que debe realizarse la autenticación PPP antes de permitir
que den comienzo los servicios de red. Entre el servidor de acceso y
el cliente de acceso telefónico se utiliza el protocolo de
autenticación de nombre.
Ppp ipcp{dns | wins}
Especifica las direcciones IP de los servidores DNS o NetBIOS/WINS que
se proporcionan a los clientes de acceso telefónico durante el
establecimiento de sesiones PPP a través de interfaz.
Ppp multilink
Especifica que debe activarse la multiplexión de canales basada en
software en una interfaz.
Redistribute protocol
Permite la redistribución de rutas desde el protocolo indicado.
Router{rip | igrp | ospf | eigrp |bgp}
Permite al router ejecutar el protocolo de enrutamiento din ámico.
Speed [bits por segundo]
Especifica la velocidad de transmisión de una línea asíncrona.
Stanby ip[dirección ip]
Configura la dirección IP indicada como dirección IP virtual de un
grupo HSRP.
Standby preempt
Hace que un router HSRP de mayor prioridad reanude el reenv ío activo
cuando vuelva a estar disponible.
Standby priority[prioridad]
Asigna un valor de prioridad a un router HSRP para controlar la
selección del router de reenvío principal.
Standby track[interfaz]
Activa el ajuste dinámico de la prioridad HSRP basándose en el estado
operacional de la interfaz especificada.
Standby use-bia
84](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-84-320.jpg)
![Obliga a la dirección IP virtual de HSRP a asociarse con la dirección
MAC impresa en el hardware de una interfaz.
{no}synchronization
Activa o desactiva el requisito de que las rutas se conozcan a trav és
del proceso de enrutamiento de IGP antes de publicarlas a los vecinos
EBGP.
username[nombre][password][palabra]
Define la pareja nombre de usuario local/contraseña que se va a
utilizar para autenticar a los usuarios de acceso telefónico.
versión[versión de RIP]
Especifica la versión de RIP que se utiliza en un router con RIP
activo.
x25 map ip
Asigna una dirección IP a una dirección X.121.
La siguiente tabla define muchos de los elementos sobre los que
se informa cuando se usa el comando show interfaces:
Five-minutes rates(input or output)(Intervalos de cinco
minutos)(entrada o salida)
El promedio de bits y paquetes que pasan por la interfaz cada
segundo, muestreados durante los últimos cinco minutos.
Aborts(Cancelaciones)
Terminación repentina de los paquetes de transmisión de un
mensaje.
Buffer failures(Fallos del buffer)
Paquetes desechados por falta de disponibilidad de memoria b úfer
del enrutador.
BW
Ancho de banda de la interfaz en kilobits por segundo(Kbps).
Esto se puede utilizar como una métrica de protocolo de enrutamiento.
Bytes
Número total de bytes trasmitidos a través de la interfaz.
Carrier transitions(Transacciones de portadora)
Una portadora es la señal electromagnética modulada por las
transmisiones de datos sobre líneas serie(como el sonido que emite el
módem). Las transiciones de portadora son eventos donde se interrumpe
la señal, a menudo cuando se reinicia la NIC remota.
Collisions(Colisiones)
85](https://image.slidesharecdn.com/cisco4-100830024854-phpapp02/85/Cisco4-85-320.jpg)
Cisco4
- 1. SUBCOMANDOS DE CONFIGURACIÓN DE LA INTERFAZ ATM Las interfaces de ATM de Cisco son procesadores dedicados de la interfaz o adaptadores de puerto en una tarjeta VIP. Esto implica que no es necesario especificar el subcomando de interfaz encapsulation para las interfaces ATM. La encapsulación ATM es lo único que admite el hardware. No hay que especificar los circuitos virtuales que existen en una interfaz determinada utilizando el comando de interfaz atm pvc. Ejemplo: Configuración de PVC 1 usando VPI 0 y VCI 100 para un canal virtual AAL 5. Router#configure Router(config)#int atm2/0 Router(config-if)#atm pvc 1 0 100 aal5snap Router(config-if)#Ctrl+Z LINEA DE ABONADO DIGITAL La línea de abonado digital(Digítal subscriber Line, DSL) es una tecnología que se ha generalizado en los últimos años y que tiene capacidad para ofrecer ancho de banda dedicado de alta capacidad a los usuarios finales. DSL emplea una topología de red en estrella, teniendo el centro de la estrella conexiones dedicadas a los nodos hoja con cable de cobre de par trenzado. El ancho de banda entre los nodos hoja y el centro de la estrella puede variar de 64Kbps a 8Mbps, dependiendo de las características del cable de cobre, las interconexiones físicas, la distancia que recorre la señal, las condiciones medioambientales y la tecnología DSL especifica utilizada. Las distancias más cortas, las interconexiones mínimas y el cable de cobre de gran calibre pueden arrojar mayores velocidades de transmisión de datos. La tecnología ADSL proporciona ancho de banda asimétrico entre el centro de la estrella y un nodo hoja, la transmisión de datos desde el centro de la estrella al nodo hoja es más rápida(3 veces más) que la ruta contraria. Un módem ADSL crea tres canales separados: • Canal de flujo ascendente • El canal duplex • Un canal de servicio telefónico básico El equipo de red como los router y los bridges se conectan a los módem ADSL utilizando la tecnología WAN como ATM o Frame Relay. Cada uno de los usuarios finales, o algunas veces cada canal por usuario final, sería para el equipo de red como un circuito virtual separado. En una interfaz WAN de alta velocidad a un módem ADSL, un router puede admitir un gran número de circuitos virtuales y sus correspondientes usuarios. Cisco fabrica una serie de routers, la serie 600 que cuenta con interfaces DSL. Los routers Cisco de la serie 600 pueden actuar como Ethernet para los bridges o routers DSL, o pueden ser módems tanto para conexiones ADSL como SDSL. En este momento, la serie 6000 de Cisco funciona utilizando una variante de IOS denominada Sistema Operativo de banda ancha de Cisco (Cisco Broadband Operating System, CBOS). La configuración de CBOS es diferente que la de IOS pero Cisco tiene previsto cambiar esta interfaz de usuario de CBOS para que sea compatible con el IOS. La combinación de los productos IOS y CBOS permite crear una red con una gran variedad de entornos. RED DIGITAL DE SERVICIOS INTEGRADOS (RDSI) RDSI o ISDN es una tecnología WAN orientada a conexión que usa 1
- 2. la tecnología digital para digitalizar voz, datos, vídeo y otro tipo de información a través de la línea telefónica existente. Los dispositivos que se conectan a la red RDSI son terminales. LOS 2 tipos de terminales son los que comprenden los estándares RDSI, que se denominan equipo del terminal tipo 1 (TE1) y los que preceden a los estándares RDSI, que se denominan equipo de terminal tipo 2 (TE2). TE2 se conecta a la red RDSI usando un adaptador de terminal (terminal adapter, TA). Los TE1 no necesitan TA. RDSI ofrece 2 tipos de servicios: Interfaz de acceso básico, BRI e interfaz de acceso primario, PRI. Un identificador de perfil de servicio (Service Profile Identifier, SPID) es un número que utilizan algunas portadoras telefónicas para definir los servicios disponibles para un dispositivo RDSI. En muchos casos, el número SPID es equivalente del número de teléfono del dispositivo RDSI. El dispositivo RDSI ofrece el SPID al switch RDSI, que permite entonces que el dispositivo acceda a la red para recibir servicio BRI o PRI. Si no se proporciona un SPID valido, muchos switches RDSI no permiten que un dispositivo RDSI realice una llamada a través de la red. SUBCOMANDOS DE CONFIGURACION DE INTERFAZ DE RDSI La configuración de RDSI en los dispositivos Cisco IOS exige que se informe al dispositivo del tipo de switch RDSI al que se encuentra conectado. Este requisito es necesario porque el terminal RDSI necesita comunicarse con cada uno de los switches RDSI de los diferentes fabricantes de manera exclusiva. Es posible encontrar todos los tipos de switch RDSI al que esta conectado el dispositivo IOS que se esté utilizando acudiendo al sistema de ayuda de IOS con el comando de configuración isdn switchtype?. Hace falta que el dispositivo IOS conozca el fabricante de switch RDSI con el que hablará, ya que cada fabricante tienen un protocolo exclusivo para señalización. Si no está configurado el tipo de switch RDSI adecuado, el dispositivo Cisco no puede comunicarse con el switch RDSI de las instalaciones de la portadora telefónica. Para cada una de las interfaces BRI RDSI es necesario especificar los SPID utilizando para ello los subcomandos de interfaz isdn spid1 y isdn spid2. Cada SPID identifica a un canal B exclusivo de switch RDSI. Es necesario especificar los 2 SPID diferentes para una interfaz BRI. Para usar PRI RDSI en un dispositivo Cisco, se necesita una interfaz PRI RDSI, este tipo de interfaz es compatible con los routers y los servidores de acceso de gama alta y media, como por ejemplo, los routers de las series 3600, 4000 y 7000 de Cisco y los servidores de acceso 5300 de Cisco. La PRI se comunica con el switch RDSI a través de un controlador T1. Un controlador T1 es un paquete de software de enlace de datos que maneja la señalización del enlace de datos en la interfaz. Es preciso especificar la información especifica al enlace de datos para el controlador T1, como el método de entramado y el método de codificación de líneas. En el siguiente ejemplo, configuramos un controlador T1 en la interfaz serial1/0 para un entramado de supertramas apiladas(Extended superframe, ESF), codificación de líneas binarias con sustitución de 8 ceros(Binary 8-zero substitución, B8ZS) y una RDSI de acceso principal que usa 24 periodos de tiempo. ESF es un tipo de entramado que se usa en los circuitos T1. Consta de 24 tramas de 192 bits de datos cada una, 2
- 3. proporcionando el bit número 193 la temporización y otras funciones. B8ZS es un mecanismo de codificación de líneas que garantiza la densidad a través de un enlace al sustituir un código especial siempre que se envíen 8 ceros consecutivos y posteriormente elimina el código especial en el extremo final de la conexión. Router#configure Router(config)#controller T1 1/0 Router(config-if)#framing esf Router(config-if)#linecode b8zs Router(config-if)#pri-group timeslots 1-24 Router(config-if)#Ctrl-Z SPOOFING Significa que la interfaz RDSI siempre pretende estar preparada para enrutar paquetes, aunque es posible que no tenga realizada una llamada digital válida. La interfaz RDSI engaña al protocolo de enrutamiento y al resto del software del dispositivo IOS para que crea que la interfaz está encendida y en funcionamiento(y no está es spoofing) durante un periodo de tiempo hasta que la llamada no hace nada. La interfaz corta entonces la llamada y vuelve al modo spoofing hasta que necesite realizar otra llamada digital para enrutar datos. Este mecanismo(fingir que la interfaz está en funcionamiento, realizar la llamada digital para transferir los datos y luego cortar la llamada cuando no es necesaria) se denomina Enrutamiento bajo demanda. RESUMEN DE COMANDOS Ethernet y Fast Ethernet media-type[ani, 10baseT, mii, 100basex] Fast Ethernet y Gigabit ethernet full-duplex Token Ring ring-speed[4|16] Early-toke-ring X-25 x25 address x121 address x25 ips X25 ops x25win x25 wont Frame Relay Frame-Relay interface-dlic frame relay lmi-tipe ATM atm pvc DSL set bridging set interface(solamente CBOS) RDSI isdn switch-type isdn spid1 isdn spid2 pri-group timeslots T1 framing linecode TCP/IP PROTOCOLO DE CONTROL DE TRANSMISION/PROTOCOLO DE INTERNET Protocolo IP enrutado de la capa 3. Funcionalidad extremo a extremo en la capa 4. TCP/IP se usa como protocolo de acceso a Internet y para interconectar dispositivos de redes corporativas. El conjunto de protocolos TCP no solo incluye especificaciones de capa 3 y 4, sino también especificaciones para aplicaciones comunes, como correo electrónico, emulación de terminal y transferencia de archivos. Transferencia de archivos: TFTP, FTP, NFS. Correo electrónico: SMTP Login remoto: TELNET Y RELOGIN Administración de red: SNMP Administración de nombres: DNS 3
- 4. GENERALIDADES DE LA CAPA DE TRANSPORTE Los servicios de transporte permiten que los usuarios puedan segmentar y volver a ensamblar varias aplicaciones de la capa superior en el mismo flujo de datos de la capa de transporte. Este flujo de datos de la capa de transporte proporciona servicios de transporte de extremo a extremo. El flujo de datos de la capa de transporte constituye la conexión lógica entre los puntos finales de la red el host origen o emisor y el host de destino o receptor. La capa de transporte realiza dos funciones: Control de flujo por ventanas deslizantes y fiabilidad obtenida a través de números de secuencia y acuse de recibo. El control de flujo es un mecanismo que permiten a los host en comunicación negociar la cantidad de datos que se transmiten cada vez. La fiabilidad proporciona un mecanismo para garantizar la distribución de cada paquete. En la capa de transporte hay dos protocolos: TCP: Se trata de un protocolo fiable, orientado a conexión. En un entorno orientado a la conexión, se ha de establecer una conexión entre ambos extremos antes de que pueda tener lugar la transferencia de información. TCP es el responsable de la división de los mensajes en segmentos y el reensamblado posterior de los mismos cuando llegan a su destino, volviendo a enviar cualquiera que no haya sido recibido. TCP proporciona un circuito virtual entre las aplicaciones de usuarios finales. UDP (PROTOCOLO DE DATAGRAMA DE USUARIO) Es un protocolo sin conexión ni acuse de recibo. Aunque UDP es el responsable de transmisión de mensajes, no existe verificación de la distribución de segmentos en esta capa. UDP depende de los protocolos de capa superior para conseguir la 4
- 5. debida fiabilidad. Puerto origen: Número de puerto que llama (16 bits). destino: Número del puerto al que se llama (16 bits). Número de secuencia: Número usado para garantizar la corrección en la secuencia de la llegada de datos(32 bits). Número de acuse de recibo: Siguiente octeto TCP esperado(4 bits). Reservado: Fijado en 0(6 bits). Bits de código: Funciones de control, como el establecimiento y la finalización de una sesión(6 bits). Ventana: Número de octetos que el dispositivo espera aceptar (16) bits). Suma de comprobación: Suma de comprobación de cabecera y campos de datos (16 bits). Urgente: Indica el final de los datos urgentes(16 bits). Opciones: Algo ya definido, tamaño máximo del segmento TCP(0 a 32 bits, si hay) 5
- 6. UDP es utilizado por TFTP, SNMP, NFS, DNS. Tanto TCP como UDP utilizan los números de puerto para pasar información a las capas superiores. Los números de puerto se usan para registra las diferentes conversaciones que están teniendo lugar al mismo tiempo en la red. FTP-------------21 Puerto para dialogo para la transferencia de archivos. TELNET----------23 Puerto de conexión remota mediante Telnet. SMTP------------25 Protocolo simple de transferencia de correo. DNS-------------53 Servidor de nombres de dominios. TFTP------------69 SNMP------------161 Usado para recibir peticiones de gestión de red. RIP-------------520 POP3------------110 Servidor de recuperación de correo del PC. NNTP------------119 Acceso a las noticias de red. FTPDATA---------20 Puerto de transferencia de datos para la transferencia de archivos. DISCARD---------9 Descartar el datagrama de usuario/Descarta todos los datos entrantes. CHANGEN---------19 Intercambiar flujos de caracteres. ECHO------------7 UDP/ Eco del datagrama de usuario de vuelta al emisor. FECHA Y HORA----13(Daytime) BooTPS----------67 BooTPC----------68 SunRCP----------111 NTP-------------123 SNMP-trap-------162 A las conversaciones donde no están implicadas aplicaciones con números de puertos bien definidos/conocidos se les asigna números de puerto aleatoriamente elegidos dentro de un rango específico. Estos números de puerto se utilizan como direcciones de origen y destino en el segmento TCP. Los números por debajo de 1024 se consideran puertos bien conocidos. Los números por encima de 1024 se consideran puertos asignados dinámicamente. DNS usa los dos protocolos de transporte, utiliza UDP para la resolución del nombre y TCP para transferencias en la zona del servidor. RFC 1700 define todos los números de puerto bien conocidos para 6
- 7. TCP/IP en www.iana.org Los sistemas finales usan los números de puerto para seleccionar la aplicación apropiada. Los números de puerto de origen son asignados dinámicamente por el host del origen, números por encima de 1023. ESTABLECIMIENTO DE UNA CONEXIÓN TCP. TCP esta orientado a la conexión, por lo que requiere que establezca la conexión antes de que puedan iniciarse la transferencia de datos. Los host deben sincronizar sus números de secuencia inicial(ISN). La sincronización se lleva a cabo mediante un intercambio de segmentos de establecimiento de conexión que transportan un bit de control llamado SYN(de sincronización), y los números de secuencia inicial. La solución requiere un mecanismo apropiado para recoger un número de secuencia inicial y que reciba una confirmación de que la transmisión se ha realizado con éxito, mediante un acuse de recibo(ACK) por parte del otro lado. INTERCAMBIO DE SEÑALES A 3 VIAS Paso-1 El Host A envía al Host B SYN. Mi número de secuencia es 100, el número ACK es 0, el bit ACS no esta establecido. El bit SYN esta establecido. Paso-2 El Host B envía al Host A ACK. Espero ver 101 a continuación, mi número de secuencia es 300, ACK ha sido establecido. El bit SYN del Host B al Host A ha sido establecido. Paso-3 El Host A envía al Host B ACK. Espero ver 301 a continuación, mi número de secuencia es 101, el bit ACK ha sido establecido. El bit SYN ha sido establecido. Es necesario un intercambio de señales de 3 vías, debido a que los números de secuencia no están ligados a ningún reloj global de la 7
- 8. red y los TCP podrían tener diferentes mecanismos para recoger los números de secuencia inicial. El tamaño de ventana determina la cantidad de datos que acepta el puerto receptor de una vez, antes de que vuelva un acuse de recibo. TCP proporciona una secuencia de segmentos con un acuse de recibo de referencia. Cada datagrama es numerado antes de la transmisión. En el puesto receptor, TCP se encarga de volver a ensamblar los segmentos en un mensaje completo. Los segmentos que no son reconocidos dentro de un periodo de tiempo determinado, da lugar a una nueva retransmisión. Si falta un número de secuencia en la serie, se retransmite el segmento correspondiente. CONTROL DE FLUJO PARA TCP/UDP Para gobernar el flujo de datos entre dispositivos, TCP usa un mecanismo de control de flujo. El TCP receptor devuelve una “ventana” al TCP emisor. Esta ventana especifica el número de octetos comenzando por el número de referencia, que el TCP receptor está preparado para recibir en este momento. Los tamaños de la ventana TCP varia durante la vida de una conexión. Cada acuse de recibo contiene un aviso de ventana que indica la cantidad de bytes que el receptor puede aceptar. TCP mantiene también una ventana de control de congestión que suele tener el mismo tamaño que la ventana de receptor, pero que se divide en dos cuando se pierde un segmento. UDP está diseñado para que las aplicaciones proporcionen sus propios procesos de recuperación de errores. Aquí se cambia por velocidad. PRINCIPIOS BÁSICOS DE TCP/IP TCP/IP desarrollado a mediados de los 80 como proyecto de la DARPA(Defense Advanced Research Projects Agency) para proporcionar servicios de comunicación a nivel nacional para las universidades y entidades de investigación, TCP/IP se ha convertido en el estándar de facto de los protocolos para la conexión en red de sistemas computacionales distintos. Es un conjunto de protocolos de comunicación que define la forma de dirigirse a las distintas computadoras de la red, los métodos que se utilizan para pasar la información de una computadora a otra y algunos servicios que se pueden utilizar entre computadoras. El protocolo Internet (IP), el componente de direcciones TCP/IP, funciona en la capa 3 del modelo de referencia OSI. Todas las direcciones que quieren comunicarse con otra tienen una direcci ón IP única. Los 2 protocolos de transporte principales, el protocolo de datagrama de usuario, UCP y el protocolo de control de transmisi ón, TCP están en la capa 4 del modelo de referencia OSI para TCP/IP, los protocolos de transporte son responsables de los mecanismos b ásicos de transferencia, del control de flujos y la comprobación de errores en las comunicaciones entre estaciones. UDP se considera poco fiable, la estación receptora no confirma la recepción de los paquetes. Se considera sin conexión porque no hace falta que ninguna estación remitente avise a la estación receptora de su deseo de formar un canal de comunicaciones sobre el que pasar datos. TCP se considera un protocolo orientado a conexión, ya que la estación remitente debe avisar a la receptora de su deseo de formar el 8
- 9. canal se comunicaciones. Los paquetes se marcaran con números de secuencia y las estaciones remitente y receptora se intercambia acuses de recibo mutuos confirmando la recepción de los paquetes. La dirección IP es una dirección binaria de 32 bits escrita en cuatro grupos de 8 bits llamados octetos. La dirección completa representa los tres componentes del modelo de direcciones IP(es decir, las partes de red, subred y host de la dirección). Cada valor de 8 bits de los octetos pueden adoptar el valor de 0 o de 1. Los 3 componentes describen los distintos niveles de la especifidad de la entidad dentro de un conjunto de sistemas de red. El componente de host es más especifico, ya que describe la dirección de una sola estación de trabajo o servidor. El componente de red es más general, ya que describe la dirección de un conjunto de host dentro de la misma lógica de computadores. El componente de subred se encuentra entre los otros dos componentes. Describe la dirección de un subconjunto de los host dentro de un espacio de direcciones global de la red. La subred se crea "tomando prestada" una parte del componente de host para crear subgrupos de direcciones dentro de la misma red lógica. El componente de subred suele identificar un conjunto de sistemas de un segmento de LAN o de WAN. De izquierda a derecha. La parte de red, la subred y el host. Existen 5 clases de direcciones IP. • Clase A • Clase B • Clase C • Clase D • Clase E Si no hay subredes la dirección nos indica que parte de la dirección de la red que leer como parte de red y que parte hay que leer como parte de host. Algunos dispositivos, como los routers necesitan descifrar esta información para evitar datos al destino apropiado. Sin embargo, si una red tiene subredes, no es posible decir a primera vista que parte de host de la dirección se ha perdido prestada para crear la subred. Para resolver este dilema las direcciones IP tienen una máscara de subred(máscara de red). La máscara de red es un número binario de 32 bits, agrupado en 4 octetos que se expresan en notación decimal. Los bits de la máscara de red tienen un valor 1 en todas las posiciones, a excepción de la parte de host de la dirección IP. Se pueden agrupar varias direcciones IP de red de una clase determinada en lo que se llama una superred o un bloque de enrutamiento entre dominios sin clase(classless interdomain route, CIDR). Algunas de las antiguas redes de clase A se han subdividido y se han otorgado en forma de bloques CIDR más pequeñas. La organización que recibe una asignación de un bloque CIDR es libre de volver a subdividir ese espacio de direcciones de red como subredes dentro de su red lógica o como asignaciones a sus clientes. Mediante la subdivisión de estos antiguos bloques grandes de direcciones de red, se ha podido utilizar un mayor número de direcciones IP de red y se ha ralentizado el agotamiento de las mismas. CONFIGURACIÓN DE DIRECCIONES IP Las direcciones para solicitar un espacio de direcciones IP a los registros se pueden encontrar en cada uno de los sitios web de los 9
- 10. registros específicos. ARIN: American Registry for Internet Numbers www.arin.net RIPE: Reseaux IP Europeens www.ripe.net APNIC: Asia Pacific Network Informatión Center www.arnic.net PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com 172 Si la red no va a conectarse a Internet o tiene intención de utilizar técnicas avanzadas de firewall y de conversión de direcciones de red(NAT) que se encuentran en productos como Cisco Systems Private Internet Exchange(PIX), es muy recomendable utilizar direcciones IP de una clase de direcciones que se han designado como direcciones privadas porque la información acerca de estas redes no la propaga en Internet ningún ISP o NSP. El conjunto de direcciones IP privadas se define en la RFC 1918 "Address Allocatión for Private Internets" 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 La forma en que se asigne el espacio depende fundamentalmente del número de host que vallan ha estar conectados a un segmento dado de la LAN, del número de segmentos de LAN/WAN que haya en la red y de la cantidad de espacio de direcciones que haya en la red. Si la red va a utilizar direcciones IP privadas, la cantidad de espacio de direcciones disponible no es un problema. Es conveniente utilizar un esquema de subred eficaz que no sobre asigne direcciones a segmentos, como interfaces de WAN punto a punto, independientemente del espacio de direcciones que esté asignado a la red. El centro de asistencia técnica(Technical Assistance Center, TAC) de Cisco Systems ha creado un calculador para el diseño de subredes IP(IP Subnet Design Calculator) que pueden descargar los usuarios registrados. CONFIGURACION DE LA INTERFAZ DE LAN Algunos dispositivos como los routers, tienen una dirección IP única en cada uno de los segmentos de LAN vinculados a ellos. Por consiguiente, el router sabe qué redes están conectadas a cada interfaz y donde deben enviarse los paquetes para dichas redes. Algunos dispositivos como los switch y los bridges tienen una sola dirección IP para todo el sistema. Esta dirección IP se utiliza exclusivamente para la administración remota y la administración de red. Los protocolos WAN no admiten una asignación dinámica de la dirección de enlace de datos a la dirección IP y requieren la configuración de las direcciones IP para comunicarse con otras estaciones a través de una interfaz WAN. La asignación de direcciones IP tanto a las interfaces LAN como de WAN se realiza con el subcomando de configuración de Cisco IOS ip address. Este comando exige que se introduzcan la dirección IP y la máscara de red de dicha dirección IP. Router(config-if)#ip address[dirección IP][máscara de subred] Es aconsejable reservar algunas direcciones IP del principio o del final de cada espacio de direcciones de red de la LAN para los routers y cualesquiera otros dispositivos de la infraestructura de la red. Tener un grupo coherente de direcciones para varios dispositivos de red en todos los segmentos de la LAN facilita la solución de problemas, ya que permite reconocer rápidamente direcciones IP especificas. 10
- 11. Router(config-if)#ip address[dirección IP][máscara de red] Debe asignar una dirección IP de red a cada una de las conexión WAN punto a punto(o subinterfaces punto a punto). Router(config)#interface serial 0.16 point-to-point Router(config-if)#ip address[dirección IP][máscara de red] Las interfaces IP no numeradas de WAN punto a punto se configuran utilizando el subcomando de interfaz ip unnumbered. El comando requiere que se introduzca un parámetro de interfaz de referencia para que los protocolos de enrutamiento de IP pueden utilizar una dirección IP real al ejecutarse a través de la interfaz no numerada. Esta interfaz puede ser física o una interfaz virtual como la interfaz loopback. Ninguno de los dos extremos del enlace WAN puede tener número, es decir, no es posible asignar una dirección a un extremo y que el otro no tenga número. Router(config)#interface serial 1 Router(config-if)#ip unnumbered loopback 0 Las interfaces IP no numeradas tienen dos inconveniente. No es posible establecer una conexión de un terminal virtual(por ejemplo a través del protocolo Telnet), directamente con la interfaz serie o utilizar SNMP para realizar consultas a través de la interfaz serie. Si la interfaz no numerada aparece en una interfaz de LAN y dicha interfaz esta apagada o tiene un fallo, es posible que no pueda tener acceso al dispositivo. Este es el motivo por el que es aconsejable que las interfaces no numeradas estén referenciadas a interfaces virtuales, como la interfaz loopback. DIRECCIONAMIENTO DE LAS INTERFACES DE WAN MULTIPUNTO Una interfaz WAN multipunto, es aquella en la que se pueden acceder a varios dispositivos a través de una sola conexión a un medio WAN. Los elementos que se envían a los interfaces de WAN multipunto no saben cual es la estación de destino, por lo que hay que asignar direcciones a las interfaces de WAN multipunto para las comunicaciones IP. Además las tecnologías WAN multipunto, tienen metodología de direcciones de enlaces de datos para distinguir las distintas estaciones de la WAN, por lo que debe haber una asignación de la dirección IP a la dirección de enlace de datos. La excepción es que Frame Relay sí tiene un método de asignación dinámico llamado ARP inverso(Inverse ARP). Router(config)#int serial 1/1 Router(config-if)#encapsulation Frame-Relay ietf(tipo de encapsulación) Router(config-if)#no inverse-arp Router(config-if)#ip address[dirección IP][mascara de red] Router(config-if)#Frame-Relay map IP[dirección IP]30 cisco broadcast Router(config-if)#Frame-Relay map IP[dirección IP]50(50 = DLCI) broadcast Router(config-if)#Ctrl+z El subcomando de interfaz de IOS no inverse-arp desactiva la función de asignación dinámica ARP inverso. La palabra clave broadcast del final del comando Frame-Relay map indica al router que reenvíe las difusiones para esta interfaz a este circuito virtual específico. En el ejemplo, se permite que la función ARP inverso realice una asignación dinámica de las direcciones IP a números DLCI, no habría necesidad de utilizar los comandos Frame-Relay map. En su lugar la interfaz envía consultas ARP inverso a todos los circuitos identificados como activos por parte de la red Frame Relay en esta interfaz. 11
- 12. El resultado de dichas consultas sería que los dispositivos mas alejados responderían con sus direcciones IP en el circuito virtual particular y el DLCI en que se realice la consulta. Nota_ Palabras clave y comandos opcionales. Al igual que la mayoría de los comandos de software IOS, todos los comandos de asignación de enlaces de datos a IP tiene palabras clave opcionales que cambian el comportamiento del circuito virtual o activan y desactivan características especiales en dicho circuito, como la compresión. Explicación completa de todas las palabras clave opcionales ver www.cisco.com/univercd/home/home.htm El uso de ARP inverso reduciría el ejemplo anterior a: Router#configure Router(config)#interface serial 1/1 Router(config-if)#encapsulation Frame-Relay ietf Router(config-if)#ip address 131.108.130.1 255.255.255.0 Router(config-if)#Ctrl+Z La configuración de Frame Relay requiere cierto cuidado. Si se utiliza ARP inverso para realizar la asignación de direcciones IP a DLCI, los errores de configuración pueden provocar que circuitos virtuales inesperados se asignen dinámicamente a dispositivos desconocidos. La mezcla de las encapsulaciones del IETF y del "grupo de los cuatro" de Cisco en la misma interfaz Frame Relay requiere el uso del comando Frame-Relay map. El direccionamiento estático de interfaces WAN X-25 se realiza de forma muy parecida a Frame Relay con el comando static map. Las direcciones IP de las interfaces X.121 que se utilizan para configurar los circuitos virtuales entre los sistemas de la red X-25. Cada uno de los circuitos virtuales se identifican por la dirección X.121 que se utiliza para configurar la conexión. Router#configure Router(config)#interface serial 1/2 Router(config-if)#encapsulation x25 Router(config-if)#x25 address[NNNNNNNN] (dirección X.121) Router(config-if)#ip address[dirección IP][máscara de subred] Router(config-if)#x25 map ip[dirección IP][dirección X.121]broadcast Router(config-if)#x25 map ip[dirección IP][dirección X.121]broadcast Router(config-if)#x25 map ip[dirección IP][dirección X.121]broadcast Router(config-if)#Ctrl+Z Debe introducirse la palabra clave name del comando dialer map para relacionar correctamente la dirección IP y el número de teléfono con el sistema remoto. Además la palabra clave name se utiliza como parte del proceso de autenticación cuando se establece una conexión con un sistema remoto. Configuración RDSI acceso básico. Router#configure Router(config)#interface bri 0 Router(config-if)#ip address[dirección Ip][mascara de subred] Router(config-if)#dialer map ip[dirección ip]name[nombre]broadcast[nº tlfn] Router(config-if)# dialer map ip[dirección ip]name[nombre]broadcast[nº RDSI] Router(config-if)#Ctrl+Z Al igual que los restantes tipos de interfaces, ATM requiere el comando ip address básico. Sin embargo, con las interfaces ATM, el tipo de comando utilizado para asignar direcciones IP a la capa de enlace de datos depende del tipo 12
- 13. de protocolo ATM y del tipo de circuitos virtuales que se hayan utilizado. Estas son las tres posibles variaciones de protocolos: Encapsulación Control de enlace lógico/Protocolo de acceso a subred(Logical Link Control/Subnetwork Access Protocol, LLC/SNAP) con PVC. En este modelo, se establece un circuito virtual permanente a través de la red ATM. Los paquetes se identifican de tal forma que se sabe que van a destinados a una dirección IP al otro extremo del circuito virtual específico. Encapsulación LLC/SNAP con PVC. En este modelo, los paquetes IP se identifican como si fueran destinados a una dirección de la capa de enlace ATM definida de manera estática. Los switch ATM establecen el circuito virtual bajo demanda cuando el router solicita una conexión a la dirección ATM para una dirección IP específica. IP con ARP. En este modelo, la dirección de la capa de enlace ATM de una dirección IP específica se introduce dinámicamente por medio de una estación llamada servidor ARP ATM. La encapsulación LLC/SNAP con PVC hace uso del subcomando de configuración de interfaz de IOS map-group y del comando de configuración global de IOS map-list para asignar las direcciones IP a PVC específicos. Router#configure Router(config)#interface atm 1/0 Router(config-if)#atm pvc 3 0 21 aal5snap Router(config-if)#atm pvc 5 0 22 aalsnap Router(config-if)#ip address[dirección IP][máscara de subred] Router(config-if)#map-group[nombre] Router(config-if)#map-list[nombre] Router(config-map-list)#ip[dirección ip]atm-vc[nº]broadcast Router(config-map-list)# ip[dirección ip]atm-vc[nº]broadcast Router(config-map-list)#Ctrl+Z La encapsulación LLC/SNAP con SVC hace uso del subcomando de configuración de interfaz de IOS map-group y del comando de configuración global de IOS map-list para asignar las direcciones IP a las direcciones NSAP que se usan para identificar los dispositivos remotos de la red ATM. Router#configure Router(config)#interface atm 1/0 Router(config-if)#atm nsap[dirección mac] FE.DCBA.01.987654.3210.ABCD.EF12.3456.7890.1234.12 Router(config-if)#ip address[dirección IP][mascara de subred] Router(config-if)#map-group[nombre] Router(config-if)#map-list[nombre] Router(config-map-list)#ip[dirección ip]atm-nsap A1.9876.AB.123456. 7890.FEDC.BA.1234.5678.ABCD.12 Router(config-map-list)# ip[dirección ip]atm-snap B2.9876.AB.123456. 7890.FEDC.BA.1234.5678.ABCD.12 Router(config-map-list)#Ctrl+Z La variación clásica de IP con ARP necesita el subcomando ip address para configurar las direcciones IP de la interfaz. El subcomando de configuración de interfaz ATM atm arp-server identifica la dirección del servidor ARP ATM que puede resolver direcciones IP en direcciones NSAP ATM, lo que es necesario para establecer los circuitos virtuales. Interfaz ATM con la variación clásica de IP con ARP. 13
- 14. Router#configure Router(config)#interface atm 1/0 Router(config-if)#atm nsap FE.DCBA.01.987654.3210.ABCD.EF12.3456.7890.1234.1 Router(config-if)#ip address[dirección IP][máscara de subred] Router(config-if)#atm arp-server nsap 01.ABCD.22.030000.0000.0000.0000.0000 Router(config-if)#Ctrl+Z VERIFICACIÓN DE LA CONFIGURACIÓN DE LAS DIRECCIONES IP La verificación de las direcciones IP y de otros atributos IP que se hayan asignado a las interfaces puede realizarse a trav és de uno de los tres comandos ejecutables. Show interface ofrece información general acerca de cada interfaz. Sise introduce una interfaz específica como parámetro para el comando, solo aparecerá dicha interfaz. Si no se especifica ningún interfaz, se muestran todos. Show ip interface ofrece una completa visión de los parámetros asociados con al configuración IP de una interfaz. Si se proporciona como parámetro una interfaz sólo aparece la información sobre dicha interfaz específica. Si no aparece información acerca de todas las interfaces. Show ip interface brief permite ver un conciso resumen de la información IP y del estado de todas las interfaces disponibles en el dispositivo. Además de comprobar la configuración IP en la propia interfaz, se puede ver las asignaciones tanto estáticas como dinámicas WAN multipunto. Para ello, utilizamos los comandos ejecutables de IOS show Frame-Relay map, show atm map, show x.25 map y show dialer maps. Ejemplo: Router#show Frame-Relay map Serial0.16(up): point-to-point dlci, dlci 16(0x10, 0x400), broadcast, status defined, active. Las máscaras de red se pueden representar tanto en formato decimal con puntos, como en formato de cómputo de bits. El comando ejecutable de IOS terminal ip netmask-format decimal solo surge efecto en la sesión de terminal virtual actual, para mantener este formato en todas las sesiones de los terminales virtuales o las consolas, hay que aplicar el subcomando de configuración de línea de IOS ip netmask-format decimal. Router#configure Router(config)#line vty 0 4 Router(config-line)#ip netmask-format decimal Router(config-line)#Ctrl+Z 14
- 15. Versión: Número de versión 4 bits Longitud de cabecera: Longitud de cabecera en palabras de 43 bits. Prioridad y tipo de servicio: Como debe ser gestionado el datagrama. Los 3 primeros bits son de prioridad. Longitud total: Longitud total de la cabecera más los datos. Identificación: Valor único del datagrama IP. Flags: Especifica si debe tener lugar la fragmentación. Compensación de fragmentos: Proporciona fragmentación de datagramas que permiten MTU diferidas en Internet. TTL: Tiempo de existencia. Protocolo: protocolo de capa superior (capa 4) que envía el datagrama. Suma de comprobación: Comprobación de la integridad de la cabecera. Dirección IP origen: Dirección IP de origen de 32 bits. Opciones IP: Comprobación de la red, depuración, seguridad y otros. Datos: Datos del protocolo de la capa superior. Números de protocolo en RFC 1700. Números de protocolo ICMP------1 IGRP------9 Ipv6------41 GRE(Encapsulado genérico de enrutamiento)-------7 Intercambio de paquetes entre redes en el Protocolo Internet(IPX en IP)-------111 Protocolo de Tunneling de capa 2 (L”TP)---------115 RARP Protocolo de resolución de direcciones inversas. Se usa por los puestos individuales que no conocen sus propias 15
- 16. direcciones IP. RARP permite que un puesto envíe una petición relativa a su propia dirección IP enviando su propia dirección MAC de capa 2 a un servidor RARP. DCHP es una implementación más moderna de RARP. CONFIGURACIÓN DE DIRECCIONES IP. Asignar dirección lógica de red y gateway predeterminada al switch. Como asignar la dirección lógica de red a una interfaz del router. Como especificar el formato de mascara de subred. Como asignar nombres de host a direcciones IP. Como definir servidores de nombres. Como obtener una lista de nombres y direcciones de host. Cuando la mascara de red se muestre en formato hexadecimal siempre va precedida de 0X y suele ser en sistemas Unix. 255.255.255.0 = 0XFFFFFF00 Para especificar el formato de máscara de red en una sesión de un router, utilizar el comando: term ip netmask-format[bicount|decimal|hexadecimal] Para especificar el formato de máscara de red para una línea especificada, utilizar el comando: ip netmask-format[bicount|decimal|hexadecimal] ASIGANACION DE NOMBRES DE HOST A DIRECCIONES IP. Para asignar manualmente nombres de host a direcciones, debe utilizar el comando: ip host[nombre][número de puerto tcp][dirección ip][dirección ip] nombre: Es cualquier nombre que describa el destino. número de puerto tcp: Es el número opcional que identifica el puerto TCP que debe usarse cuando se emplee el nombre del host con un comando Telnet O EXEC. dirección: Es la dirección o direcciones IP donde puede localizar el dispositivo. Cada dirección IP puede tener asociado un solo host. El router puede ser configurado, para registrar los nombres de dominio (hasta un máximo de 6 routers), este se encargará de gestionar la cache de nombres (cache que acelera el proceso de convertir nombres a direcciones). ip name-server define el host que puede proporciona el servicio de nombres. ip domain-lookup activa la traducción de nombres a direcciones en el router. DETERMINACIÓN DE ROUTAS IP. Las rutas se pueden determinar por medio de rutas estáticas o mediante protocolos de enrutamiento dinámico. El enrutamiento es el proceso por el cual un elemento pasa de una ubicación a otra. Para poder enrutar paquetes de información un router (o cualquier otro elemento que se encargue de realizar el enrutamiento, como puestos UNIX encargados de ejecutar el motor de enrutamiento, o switches de la capa 3) debe conocer lo siguiente: Dirección de destino: ¿Cuál es el destino del elemento que necesita ser enrutado? Fuentes de información: Desde que fuente(otros routers) puede aprender el router las rutas hasta los destinos especificados. Rutas posibles: ¿Cuáles son las rutas iniciales posibles hasta los destinos perseguidos? Rutas optimas: ¿cuál es la mejor ruta hasta el destino especificado? 16
- 17. MANTENIMIENTO Y VERIFICACIÓN DE LA INFORMACIÓN DE ENRUTAMIENTO. Una forma de verificar que las rutas hasta los destinos conocidos son validas y las más actualizadas. La información de enrutamiento que el router aprende desde sus fuentes de enrutamiento se colocan en su propia tabla de enrutamiento. El router se vale de esta tabla para determinar los puertos de salida que debe utilizar para retransmitir un paquete hasta su destino. La tabla de enrutamiento es la fuente principal de información del router acerca de las redes. Si la red de destino está conectada directamente, el router ya sabrá el puerto que debe usar para reenviar paquetes. Si las redes de destino no están conectados directamente, el router debe aprender y calcular la ruta más óptima a usar para reenviar paquetes a dichas redes. La tabla de enrutamiento se constituye usando uno de estos dos métodos: • Manualmente, por el administrador de la red. • A través de procesos dinámicos que se ejecutan en la red. RUTAS ESTÁTICAS Aprendidas por el router a través del administrador, que establece dicha ruta manualmente, quien también debe actualizar cuando tenga lugar un cambio en la topología. RUTAS DINÁMICAS Rutas aprendidas automáticamente por el router, una vez que el administrador ha configurado un protocolo de enrutamiento que permite el aprendizaje de rutas. HABILITACIÓN DE RUTAS ESTÁTICAS Las rutas estáticas se definen administrativamente y establecen rutas específicas que han de seguir los paquetes para pasar de un puerto de origen hasta un puerto de destino. La gateway(puerta de enlace) de ultimo recurso, es la direcci ón a la que el router debe enviar un paquete destinado a una red que no aparece en su tabla de enrutamiento. Las rutas estáticas se utilizan habitualmente en enrutamientos desde una red hasta una red de conexión única, ya que no existe más que una ruta de entrada y salida en una red de conexión única, evitando de este modo la sobrecarga de tráfico que genera un protocolo de enrutamiento. La ruta estática se configura para conseguir conectividad con un enlace de datos que no esté directamente conectado al router. Para conectividad de extremo a extremo, es necesario configurar la ruta en ambas direcciones. Las rutas estáticas permiten la construcción manual de la tabla de enrutamiento. El comando ip route configura una ruta estática, los parámetros del comando definen la ruta estática. Las entradas creadas en la tabla usando este procedimiento permanecerán en dicha tabla mientras la ruta siga activa. Con la opción permanet, la ruta seguirá en la tabla aunque la ruta en cuestión haya dejado de estar activa. ip route[red][máscara][dirección ip][interfaz][distancia][permanet] red: Es la red o subred de destino. máscara: Es la máscara de subred. dirección: Es la dirección IP del router del próximo salto. interfaz: es el nombre de la interfaz que debe usarse para llegar a le 17
- 18. red de destino. distancia: Es un parámetro opcional, que define la distancia administrativa. permanent: un parámetro opcional que especifica que la ruta no debe se eliminada, aunque la interfaz deje de estar activa. Es necesario configurar una ruta estática en sentido inverso para conseguir una comunicación en ambas direcciones. La ruta predeterminada: Es un tipo especial de ruta estática que se utiliza cuando no se conoce una ruta hasta un destino determinado, o cuando no es posible almacenar en la tabla de enrutamiento la información relativa a todas las rutas posibles. APRENDIZAJE DINÁMICO DE RUTAS MEDIANTE PROTOCOLOS DE ENRUTAMIENTO Con rutas estáticas, el administrador a de volver a configurar todos los routers para ajustarlos cuando se produce un cambio en la red. El enrutamiento dinámico se apoyo en un protocolo que se encarga de difundir y recopilar conocimientos. Un protocolo de enrutamiento define el conjunto de reglas que ha de usar el router para comunicarse con los routers vecinos(el protocolo de enrutamiento determina las rutas y mantiene las tablas de enrutamiento). Un protocolo de enrutamiento es un protocolo de capa de red que intercepta los paquetes en tránsito para aprender y mantener la tabla de enrutamiento. En cambio los protocolos enrutados, como TCP/IP e IPX, definen el formato y uso de los campos de un paquete con el fin de proporcionar un mecanismo de transporte para él tráfico entre usuarios. En cuanto el protocolo de enrutamiento determina una ruta valida entre routers, el router puede poner en marcha un protocolo enrutado. Los protocolos de enrutamiento describen las siguiente información: • Como han de comunicarse las actualizaciones. • Que conocimiento ha de comunicarse. • Cuando se ha de comunicar el conocimiento. • Como localizar los destinatarios de las actualizaciones.. Hay dos clases de protocolos de enrutamiento: Protocolos de gateway interior (IGP) Se usan para intercambiar información de enrutamiento dentro de un sistema autónomo. (RIP, IGRP) Protocolos de gateway exterior (EGP) Se usan para intercambiar información de enrutamiento entre sistemas autónomos. (BGP) Un sistema autónomo es u conjunto de redes bajo un dominio administrativo común. Los números de sistemas autónomos en Europa los asigna (RIPENIC) RIPE-NIC = Reseaux IP Europeennes-Network Informatión Center. El uso de números de sistema autónomos asignados por RIPE, solo es necesario si el sistema utiliza algún BGP, o una red publica como Internet. CONFIGURACIÓN DEL ENRUTAMIENTO IP La asignación de una dirección IP única a cada uno de los dispositivos de red, es necesaria pero no suficiente, para permitirles comunicarse entre ellos. Los dispositivos de una red IP tambi én deben 18
- 19. conocer la ruta a otros dispositivos de la misma red autónoma o de Internet para enviar paquetes de datos entre ellos. En lugar de que cada dispositivo de la red tenga una lista completa de los restantes dispositivos y donde se encuentran en la red, el router act úa como una especie de guardia urbano, realizando dos funciones en la red IP. 1º El router recibe paquetes de una estación, determina la ruta óptima al destino y a continuación, coloca el paquete en el siguiente segmento de LAN o de WAN que lleva a ese destino. Este proceso se puede repetir varias veces a medida que un paquete de datos se mueve de un router al siguiente en una intranet compleja o en la propia Internet. Este proceso se describe como enrutamiento o switching de paquetes. 2º Los routers deben saber donde esta la otra red IP y las restantes subredes, ambas dentro de la misma red autónoma y fuera de dicha red(como dentro de Internet). Para determinar donde están las restantes redes, los routers emplean una tabla de enrutamiento, que crean los algoritmos y protocolos de enrutamiento. Los protocolos de enrutamiento pueden ser de naturaleza est ática o dinámica. En los protocolos estáticos, el administrador configura manualmente las tablas de enrutamiento. Los protocolos estáticos no son robustos, ya que no son capaces de reaccionar a los cambios de la red y hay que volver a configurarlos manualmente para cada cambio. Los protocolos dinámicos confían en los routers para revelar información sobre las diferentes redes y subredes con las que están conectados. CONFIGURACIÓN DE LOS COMANDOS DE ENRUTAMIENTO DE IP Para activar el enrutamiento IP se utiliza el comando de configuración global de IOS ip routing. Por defecto, el software IOS está configurado para el enrutamiento IP en dispositivos tales como los routers independientes. Si se ha desactivado el enrutamiento IP en algún dispositivo, hay que volverlo a activar antes de conmutar los paquetes y activar los protocolos de enrutamiento. Por defecto, algunos dispositivos router integrados de Cisco no tienen activado el enrutamiento IP. Hay que utilizar en ellas el comando ip routing para llevar a cabo los procesos de switching de paquetes y de protocolo de enrutamiento. Router#configure Router(config)#ip routing Router(config)#Ctrl+Z Tras activar el enrutamiento IP, se puede crear la tabla de enrutamiento que se va a utilizar para conmutar paquetes. De forma predeterminada, cuando una dirección IP se encuentra configurada en un interfaz y ésta se encuentra en estado operativo, la información de la red para la interfaz se sitúa en la tabla de enrutamiento. Todas las interfaces operativas conectadas al router se sitúan en la tabla de enrutamiento. Si sólo hay un router en la red, éste tiene información sobre todas las redes o subredes diferentes y no hay necesidad de configurar un enrutamiento estático o dinámico. Sólo en el caso de que existan dos o más routers en la red se necesitan entradas de tabla de enrutamiento estáticas o dinámicas. Para ver la tabla de enrutamiento IP se utiliza el comando ejecutable de IOS show ip route. Cuando se introduce el comando sin parámetros, aparece toda la tabla de enrutamiento. Router#show ip route 19
- 20. Codes: C -connected, S -static, I -IGRP, R -RIP, M -movile, B -BGP, D -EIGRP, EX -EIGRP external, O -OSPF, IA -OSPF inter area, N1 -OSPF NSSA external type 1, N2 -OSPF NSSA external type 2, E1 -OSPF external type 1, E2 -OSPF external type 2, E -EGP, i -IS-IS, L1 IS-IS level-1, L2 IS-IS lebel-2, * candidate default, U -per-user static route, o - ODR El comando show ip route es la herramienta clave que se utiliza para determinar la ruta que sigue los paquetes a través de la red. La primera sección de la salida es la leyenda de la primera columna de la propia tabla. Indica de donde se derivó la ruta. El gateway de ultimo recurso es la dirección de red del router al que se deberán enviar los paquetes destinados al exterior de la red cuando no haya ninguna información de enrutamiento específica relativa a cómo llegar al destino. La ultima sección de la salida por pantalla es la propia tabla de enrutamiento. Aparecen todos los números de red asociados con las direcciones IP que se introdujeron en las respectivas interfaces, junto con la máscara de red de computo de bits y el nombre de la interfaz asociada. Es importante darse cuenta de que son las direcciones de red y de subred, no las direcciones IP de cada uno de los dispositivos, las que aparecen en la tabla de enrutamiento. El comando show ip route también tiene parámetros opcionales que se pueden utilizar para solicitar solamente determinados tipos de rutas. Show ip route connected muestra solamente las rutas que se conozcan de interfaces en funcionamiento conectadas directamente. Show ip route static sólo muestra los routers derivados de comandos de ruta de red configurados manualmente. Si se escribe una dirección de red específica como parámetro del comando, sólo aparecerá la información de dicha ruta específica. CONFIGURACION DEL ENRUTAMIENTO ESTÁTICO Situaciones en las que se aconsejan las rutas estáticas: • Un circuito de datos es especialmente poco fiable y deja de funcionar constantemente. En estas circunstancias, un protocolo de enrutamiento dinámico podrá producir demasiada inestabilidad, mientras que las rutas estáticas no cambian. • Existe una sola conexión con un solo ISP. En lugar de conocer todas las rutas globales de Internet, se utiliza una sola ruta estática. • Se puede acceder a una red a través de una conexión de acceso telefónico. Dicha red no puede proporcionar las actualizaciones constantes que requieren un protocolo de enrutamiento dinámico. • Un cliente o cualquier otra red vinculada no desean intercambiar información de enrutamiento dinámico. Se puede utilizar una ruta estática para proporcionar información a cerca de la disponibilidad de dicha red. La configuración de las rutas estáticas se realiza a través del comando de configuración global de IOS ip rute. El comando utiliza varios parámetros, entre los que se incluyen la dirección de red y la máscara de red asociada, así como información acerca del lugar al que deberían enviarse los paquetes destinados para dicha red. La información de destino puede adoptar una de las siguientes formas: • Una dirección IP específica del siguiente router de la ruta. • La dirección de red de otra ruta de la tabla de enrutamiento a la que deben reenviarse los paquetes. Una interfaz conectada directamente en la que se encuentra la red de destino. 20
- 21. Router#configure Router(config)#ip route[dirección IP de destino][máscara subred de IP destino][IP del primer salto por el que ha de pasar para ir a la IP de destino] Router(config)#Ctrl+Z Nota_ La especificación de una interfaz como destino para una ruta estática es uno de los principales errores de configuración que se realizan al utilizar el comando ip route. Algunos administradores creen por error que los paquetes se reenv ían correctamente al siguiente router de la ruta simplemente apuntando la ruta hacia una interfaz específica. Los paquetes se reenvían al router del próximo salto solamente si se específica la dirección IP del mismo o se específica otra ruta de red que atraviese el router del próximo salto. Ejemplo de como se específica una interfaz conectada directamente como destino del comando ip route. Router#configure Router(config)#ip route[dirección IP destino][máscara subred][interfaz conectado directamente] Router(config)#Ctrl+Z Cuando se buscan las redes del router y la de destino en la tabla de enrutamiento el comportamiento predeterminado del router coincide con la pareja dirección de red/máscara de red más específica de la clase de red de la dirección IP de destino. Si el paquete tiene varias rutas para el mismo destino el paquete se envía por la ruta más específica. CONFIGURACIÓN DE ENRUTAMIENTO SIN CLASE Por defecto, el router funciona en modo con clase. Para que un router funcione sin clase y haga coincidir la direcci ón IP de destino con la dirección IP de este CIDR, hay que configurar previamente el comando de configuración global de IOS ip classless. Router#configure Router(config)#ip classless Router(config)#Ctrl+Z CONFIGURACIÓN DE PROTOCOLOS DE ENRUTAMIENTO DINAMICO. Los protocolos de enrutamiento dinámico se configuran en un router para poder describir y administrar dinámicamente las rutas disponibles en la red. Para habilitar un protocolo de enrutamiento dinámico, se han de realizar las siguientes tares: • Seleccionar un protocolo de enrutamiento. • Seleccionar las redes IP a enrutar. También se han de asignar direcciones de red/subred y las máscaras de subred apropiadas a las distintas interfaces. El enrutamiento dinámico utiliza difusiones y multidifusiones para comunicares con otros routers. El comando router es el encargado de iniciar el proceso de enrutamiento. router(config)#[protocolo][palabra_clave] Protocolo es RIP, IGRP, OSPF o IGRP. Palabra clave se refiere al sistema autónomo que se usará con los protocolos que requieran este tipo de sistemas, como IGRP. Es necesario también el comando network, ya que permite que el proceso de enrutamiento determine las interfaces que participaran en el envío y recepción de actualizaciones de enrutamiento. El comando 21
- 22. network indica el protocolo de enrutamiento en todas las interfaces, de un router que tenga direcciones IP dentro del ámbito de redes especificado. El comando network permite, además que el router anuncie esa red a otros routers. router(config-router)#network[número de red] Donde el parámetro número de red especifica una red conectada directamente. El parámetro número de red para RIP e IGRP debe estar basado en la clase principal de números de red y no en números de subred o direcciones individuales. El número de res debe identificar también una red a la que el router este conectado físicamente. Una vez el protocolo y elegidas las redes ha anunciar, el router comienza a aprender dinámicamente las redes y rutas disponibles en la interconexión de redes. CONFIGURACIÓN DE LAS RUTAS RESUMEN Y LAS PREDETERMINADAS Mediante el uso de las rutas resumen y las rutas de red predeterminadas, los routers pueden obtener información sobre la disponibilidad. Tanto las rutas resumen como las predeterminadas proporcionan información adicional de la ruta cuando ninguna de las rutas coincide específicamente con un dirección IP. Las rutas resumen proporcionan información de accesibilidad dentro de un espacio de direcciones determinado. La ruta resumen, que normalmente sigue a los limites de la red con clase, se suelen utilizar para proporcionar información predeterminada de accesibilidad acerca de las subredes que no se encuentran específicamente en la tablas de enrutamiento, pero que existen en la Intranet. Si hubiera una ruta resumen en la tabla de enrutamiento, el paquete se reenviará desde la interfaz hacia el destino de próximo salto para la ruta resumen. La ruta resumen suele apuntar a otra ruta de subred de la Intranet, pero también puede apuntar a una dirección IP específica del próximo salto. En cualquier caso, el objetivo del router resumen es dirigir los paquetes hacia otros routers de la Intranet que tengan un información de enrutamiento más completa. La ruta resumen se puede configurar utilizando los comandos de configuración global de IOS ip default-network o ip route. Si se utiliza el comando ip default-network una subred no conectada que existe en la Intranet se introduce como parámetro en el comando. Si se utiliza el comando ip route, la ruta resumen, la máscara de red y la subred no conectada se introducen como par ámetros del comando. Router#configure Router(config)#ip default-network[dirección IP de la subred no conectada que se utiliza para la accesibilidad predeterminada] Router(config)#Ctrl+Z Router(config)#ip route[dirección IP ruta resumen][máscara][dirección IP de la subred no conectada que se utiliza para la accesibilidad predeterminada] Router(config)# Ctrl+Z Una vez configurada, la ruta resumen aparece en la tabla de enrutamiento como la ruta de red menos específica como una máscara de recuento de bits más pequeña que las restantes rutas de red y de subred de la tabla. Nota_ Si la subred conectada se encuentra dentro del mismo espacio de direcciones de la red con clase de una interfaz conectada directamente al router, el software IOS sustituye el comando ip default-network por 22
- 23. la versión de la ruta resumen del comando ip route. El concepto básico de la ruta predeterminada es que si un router no tiene información de enrutamiento específica para un destino, utilizará la ruta predeterminada a la red específica donde haya routers con información más completa. Aunque la ruta predeterminada es parecida a la ruta resumen, se utiliza para distinguir paquetes a destinos IP que están fuera de la Intranet autónoma y de los límites de las direcciones con clase de una entidad determinada. Métodos para configurar una red predeterminada utilizando el software IOS: • Configurar una red predeterminada utilizando una ruta externa conocida dinámicamente. • Configurar una red predeterminada utilizando una ruta externa configurada estáticamente. • Configurar una red predeterminada utilizando la dirección reservada 0.0.0.0. La principal diferencia entre los distintos métodos de configuración de redes predeterminadas es si se conoce algún tipo de información de enrutamiento dinámico de un origen externo, sólo hay que indicar que una de ellas es la red predeterminada, para lo que se utiliza el comando de configuración global de IOS ip default-network. El parámetro de este comando es una ruta que tiene las siguientes características: Existe en una tabla de enrutamiento, no esta conectada al router que se configura y se encuentra fuera del espacio de direcciones con clase configurado en cualquiera de las interfaces del router. Router#configure Router(config)#ip default-network[dirección IP] Router(config)#Ctrl+Z Una vez configurado el router muestra que ha aceptado esta red como predeterminada y que se puede tener acceso a la ruta se ñalándola como el gateway de último recurso de la salida de show ip route. El router coloca un asterisco junto a la ruta para indicar que es candidata para la red predeterminada, ya que se pueden configurar varias redes predeterminadas. Si el enrutamiento dinámico no se intercambia con un proveedor externo, es posible utilizar una ruta estática para apuntar a la dirección de red externa que se utiliza como predeterminada. El ultimo método de configuración de redes predeterminadas implica la instalación de una ruta estática en una dirección de red especial, a saber 0.0.0.0. Esta dirección se considera reservada. En los entornos UNIX y RIP indica la ruta a todos los destinos IP desconocidos. En el software IOS del router, la dirección de red 0.0.0.0 es la dirección de red menos especifica. Con su mascara de red implícita de 0.0.0.0, o 0 bits, esta ruta coincide con cualquier destino IP fuera de las direcciones con clase. Si se configura el comando ip classless, la ruta coincide con cualquier dirección de los destinos IP desconocidos tanto dentro como fuera del espacio de direcciones con clase. Nota_ Si el comando ip classless no esta configurado y no se conocen las rutas a los destinos IP de dentro y fuera de la Intranet, hay que configurar tanto la ruta resumen con clase como la ruta de red predeterminada. Este requisito se deriva de la asunción de que todos los routers de una dirección IP con clase tienen un conocimiento completo de todas las subredes de dicho espacio de direcciones. Cuando se trabaja en el ip classless mode, la ruta predeterminada simple a la red 0.0.0.0/0 es suficiente como valor predeterminado tanto para los 23
- 24. destinos de las subredes internas como de las redes externas ya que une todos los destinos IP desconocidos. Cuando configure una ruta de red predeterminada, siga estas directrices importantes: • Si la información de enrutamiento dinámico no se intercambia con la entidad externa, como un IPS, el uso de una ruta estática a 0.0.0.0/0 suele ser la forma mas fácil de generar una ruta predeterminada. • Si la información de enrutamiento dinámico no se intercambia con uno o varios IPS, el uso del comando ip default-network es la forma mas apropiada de designar una o varias rutas de red predeterminadas posibles. • Es aceptable configurar varios routers en la Intranet con el comando ip default-network para indicar que una ruta coincida dinámicamente es la predeterminada. No es apropiado configurar mas de un router de la Intranet con una ruta predeterminada a 0.0.0.0/0 a menos que dicho router tenga una conexión a Internet a través de un ISP. Si lo hace puede provocar que los routers sin conectividad con destinos desconocidos se envíen paquetes a ellos mismos, con lo que se produce una imposibilidad de acceso. La excepción es aquellos routers que no intercambian la información de enrutamiento dinámico o que tienen solamente conexiones ocasionales con la Intranet a través de medios tales como RDSI o SVC de Frame Relay. • Los routers que no intercambian información de enrutamiento dinámico o que se encuentran en conexiones de acceso telefónico, como RDSI o SVC de Frame Relay, deben configurarse como una ruta predeterminada o a 0.0.0.0/0 como ya se ha indicado. • Si una Intranet no está conectada a ninguna red externa, como Internet, la configuración de red predeterminada debe colocarse en uno o varios routers que se encuentren en el núcleo de la red y que tengan toda la topología de enrutamiento de red de la Intranet específica. Sugerencia_ Si una red predeterminada se configura utilizando una ruta estática a 0.0.0.0/0 y el router funciona en modo IP sin clase a través del comando ip classless, es muy fácil crear un bucle de enrutamiento entre un ISP y la red si no están asignadas todas las direcciones de red. Si dicho bucle se produce en muchos paquetes, el resultado puede ser un consumo innecesario del ancho de banda de conexión a Internet y muchas congestiones a causa de que un gran número de usuarios intentan acceder a Internet. Para evitar dicho bucle, hay que proporcionar una ruta resumen del espacio de direcciones de la red que descarte los paquetes dirigidos a direcciones IP no asignadas del espacio de direcciones de la red. Para lograrlo defina la interfaz no existente Null0 como destino de una ruta. Una ruta resumen para la red que descartar ía los paquetes a los destinos no asignados sería la ruta [dirección IP][máscara]Null0. Esta ruta se instalaría en el router de conexión a Internet, que es el ultimo router en recibir los paquetes antes de que se reenvíen al ISP. 194 ASIGNACION DE UNA RUTA PREDETERMINADA A UNA SUBRED DESCONOCIDA DE UNA RED CONECTADA DIRECTAMENTE. Un router asume por omisión que todas las subredes de una red conectada directamente deben hallarse en la tabla de enrutamiento IP. 24
- 25. Si se recibe un paquete con una dirección de destino correspondiente a una subred desconocida de alguna red conectada directamente, el router supondrá que dicha subred no existe y descartará el paquete. Este comportamiento se mantiene aunque la tabla de enrutamiento IP contenga una ruta predeterminada. Con ip classless configurada, si se recibe un paquete con una dirección de destino correspondiente a una subred de una red conectada directamente, el router la asignará a la ruta predeterminada y la reenviara al siguiente punto de salto especificado en la ruta predeterminada. no ip classless los paquetes con dirección de destino que apunten a subredes desconocidas de una red conectada directamente son descartados. VERIFICACIÓN DE LA CONFIGURACIÓN DEL ENRUTAMIENTO IP El principal comando para verificar la configuración del enrutamiento IP es el comando ejecutable de IOS show ip route. Es la herramienta que se utiliza para ver el estado de la tabla de enrutamiento IP. Este comando le muestra si las rutas configuradas o que se deben conocer están presentes en el router en el momento actual. La salida del comando, le proporciona la información siguiente: • Una lista de todas las rutas y máscaras de red que hay actualmente en la tabla de enrutamiento. • La dirección IP del siguiente nodo y la interfaz de salida para dichas rutas(en el caso de rutas directamente conectadas, s ólo se ofrece la interfaz de salida). • Si la ruta se conoce dinámicamente, también se refleja el tiempo(en segundos) que la ruta ha estado en la tabla o el tiempo transcurrido desde la última actualización, dependiendo del protocolo de enrutamiento. La distancia administrativa y la métrica del protocolo de enrutamiento de todas las rutas menos las conectadas directamente. La distancia administrativa es el número a la izquierda de la barra que aparece entre corchetes y que sigue a la ruta de red y la mascara de cuenta de bits. L métrica del protocolo de enrutamiento es el número a la derecha de la barra que aparece entre corchetes. La distancia administrativa es un valor numérico que representa la fiabilidad del origen de la actualización del enrutamiento. Cada tipo de ruta y de protocolo de enrutamiento tiene asignado una distancia administrativa determinada. Cuanto más abajo sea dicho valor, más fiable es el origen. DISTANCIA ADMINISTRATIVA Es posible utilizar varios protocolos de enrutamiento y rutas estáticas al mismo tiempo. Si existen varias fuentes de enrutamiento que proporcionan información común, se utiliza un valor de distancia administrativa para valorar la fiabilidad de cada fuente de enrutamiento y averiguar cual es más digna de confianza. La especificación de valores administrativos permite al software IOS discriminar entre distintas fuentes de información de enrutamiento. Para cada red aprendida, IOS selecciona la ruta a partir de la fuente de enrutamiento que tenga menor distancia administrativa. Una distancia administrativa es un valor entre 0 y 255. La distancia administrativa menor, tiene una probabilidad mayor de ser usada. 25
- 26. DISTANCIAS ADMINISTRATIVAS PREDETERMINADAS DEL SOFTWARE IOS ACTUAL. La métrica del protocolo de enrutamiento es un número que se utiliza para clasificar las rutas por preferencia cuando existe m ás de una ruta al mismo destino. La métrica suele ser un número compuesto que refleja las diferencias características de la ruta, como la longitud y el coste de la ruta. Cada uno de los diferentes protocolos de enrutamiento dinámico posee un algoritmo diferente para calcular la métrica. Otra herramienta que le ofrece un vistazo rápido del estado de la tabla de enrutamiento es el comando ejecutable de IOS show ip mask. Si se da una dirección de red como parámetro, este comando genera una lista de las máscaras que se han aplicado a una determinada dirección de red, así como el número de rutas que tiene cada una de ellas. Este comando resulta muy practico para identificar los errores de direccionamiento y los de configuración de rutas estáticas, ya que resalta las máscaras de red que aparecen de modo inesperado en la tabla de enrutamiento. Router#show ip maks[dirección IP] Una gran mayoría de los protocolos de enrutamiento dinámico envía actualizaciones automáticamente de la información de enrutamiento que contienen los routers. La información incluye actualizaciones para agregar o suprimir rutas de la tabla de enrutamiento y mantener actualizadas las que se encuentran en la tabla. No obstante, es posible eliminar una entrada determinada de la tabla de enrutamiento o todo su contenido manualmente. También se puede actualizar una determinada ruta o toda la tabla de enrutamiento con el propósito de depurarla. Puede utilizar el comando ejecutable de IOS clear ip route para eliminar una ruta específica o todo el contenido de la tabla de enrutamiento, o una pareja de dirección y máscara de red, que logra la eliminación de esa ruta específicamente. Se recomienda cautela a la hora de decidir la eliminación de la tabla de enrutamiento completa. La actualización de la información contenida en la tabla requiere un tiempo que oscila entre unos segundos y varios minutos. Durante este intervalo, puede darse una falta de conexión en los paquetes que progresan por el router y hacia él por medio de una sesión de terminal virtual. Asimismo, la supresión del contenido de la tabla puede provocar una utilización excesiva de la CPU, dependiendo del protocolo de enrutamiento dinámico que esté en uso y del tamaño de la tabla de enrutamiento. 26
- 27. Router#clear ip route* Router#clear ip route[dirección IP][máscara] DISTANCIA ADMINISTRATIVA Es posible utilizar varios protocolos de enrutamiento y rutas estáticas al mismo tiempo. Si existen varias fuentes de enrutamiento que proporcionan información común, se utiliza un valor de distancia administrativa para valorar la fiabilidad de cada fuente de enrutamiento y averiguar cual es más digna de confianza. La especificación de valores administrativos permite al software IOS discriminar entre distintas fuentes de información de enrutamiento. Para cada red aprendida, IOS selecciona la ruta a partir de la fuente de enrutamiento que tenga menor distancia administrativa. Una distancia administrativa es un valor entre 0 y 255. La distancia administrativa menor, tiene una probabilidad mayor de ser usada. 197 Dentro de un sistema autónomo, la mayoría de los algoritmos de enrutamiento IGP pueden ser clasificados con alguno de los tipos siguientes: PDF created with FinePrint pdfFactory Pro trial version http://www.fineprint.com 198 VECTOR DE DISTANCIA: El enrutamiento basado en vector de distancia determina la dirección (vector) y la distancia a cualquier enlace de la interconexión. (RIP, IGRP) ESTADO DE ENLACE: El sistema de estado de enlace, recrea la topología exacta de todo el interconexionado de redes para el calculo de rutas.(OSPF, NLSP) HÍBRIDO EQUILIBRADO: El esquema híbrido equilibrado combina aspectos de los algoritmos de estado de enlace y de vector de distancia. (EIGRP) PROTOCOLOS DE ENRUTAMIENTO POR VECTOR DE DISTANCIA. Los algoritmos de enrutamiento basados en vectores, pasan copias periódicas de una tabla de enrutamiento de un router a otro y acumulan vectores de distancia. (Distancia es una medida de longitud, mientras que vector significa una dirección). Las actualizaciones regulares entre routers comunican los cambios en la topología. Cada protocolo de enrutamiento basado en vectores de distancia 27
- 28. utilizan un algoritmo distinto para determinar la ruta optima. El algoritmo genera un número, denominado métrica de ruta, para cada ruta existente a través de la red. Normalmente cuanto menor es este valor, mejor es la ruta. Las métricas pueden calcularse basándose en un sola o en múltiples características de la ruta. LAS MÉTRICAS USADAS HABITUALMENTE POR LOS ROUTERS SON: Número de saltos: Número de routers por los que pasará un paquete. Pulsos: Retraso en un enlace de datos usando pulsos de reloj de PC IBM(msg) Coste: Valor arbitrario, basado generalmente en el ancho de banda, el coste económico u otra medida, que puede ser asignado por un administrador de red. Ancho de banda: Capacidad de datos de un enlace. Por ejemplo, un enlace Ethernet de 10Mb será preferible normalmente a una línea dedicada de 64Kb. Retraso: Cantidad de actividad existente en un recurso de red, como un router o un enlace. Carga: Cantidad de actividad existente en un recurso de red, como un router o un enlace. Fiabilidad: Normalmente, se refiere al valor de errores de bits de cada enlace de red. MTU: Unidad máxima de transmisión. Longitud máxima de trama en octetos que puede ser aceptada por todos los enlaces de la ruta. BUCLE DE ENRUTAMIENTO. Resolución de bucles de enrutamiento. MÉTRICA MÁXIMA: El protocolo de enrutamiento permite la repetición del bucle de enrutamiento hasta que la métrica exceda del valor máximo permitido. HORIZONTE DIVIDIDO: Nunca resulta útil volver a enviar información acerca de una ruta a la dirección de donde ha venido la actualización original. ENVENENAMIENTO DE RUTAS: El router crea una entrada en la tabla donde guarda el estado coherente de la red en tanto que otros routers convergen gradualmente y de forma correcta después de un cambio en la topología. La actualización inversa es una circunstancia especifica esencial del horizonte dividido. El objetivo es asegurarse de que todos los routers del segmento hayan recibido información acerca de la ruta envenenada. TEMPORIZADORES: Los temporizadores hacen que los routers no apliquen ningún cambio que pudiera afectar a las rutas durante un periodo de tiempo determinado. Dicho periodo se calcula generalmente de forma que sea mayor el espacio de tiempo requerido para actualizar toda la red tras un cambio de enrutamiento. 28
- 29. ACTUALIZACIONES DESENCADENADAS: Es una nueva tabla de encaminamiento que se envía de forma inmediata, en respuestas a un cambio. TEMPORIZACIONES Y ACTUALIZACIONES DESENCADENADAS: El temporizador establece que cuando una ruta no es valida no será aceptada una nueva ruta con una métrica igual o peor para el mismo destino en un periodo de tiempo determinado, la actualizaci ón desencadenada tiene tiempo suficiente para propagarse a toda la red. PROTOCOLOS DE ENRUTAMIENTO DE ESTADO DE ENLACE Los protocolos de estado de enlace constituyen tablas de enrutamiento basándose en una base de datos de la topología. Esta base de datos se elabora a partir de paquetes de estado de enlace que se pasan entre todos los routers para describir el estado de una red. El algoritmo de la ruta más corta primero usa la base de datos para construir la tabla de enrutamiento. El algoritmo de la ruta más corta primero usa la base de datos para construir la tabla de enrutamiento. El enrutamiento por estado de enlace, utiliza paquetes de estado de enlace(LSP), una base de datos topología, el algoritmo SPF, el árbol SPF resultantes y por ultimo, una tabla de enrutamiento con las rutas y puertos de cada red. • Los protocolos de estado de enlace solo envían actualizaciones cuando hay cambios en la topología. • Las actualizaciones periódicas son menos frecuentes que en los protocolos por vector de distancia. • Las redes que ejecutan protocolos de enrutamiento por estado de enlace pueden ser segmentadas en distintas áreas jerárquicamente organizadas, limitando así el alcance de los cambios de rutas. • Las redes que ejecutan protocolos de enrutamiento por estado de enlace soportan direccionamiento sin clase. • Las redes con protocolos de enrutamiento por estado de enlace soportan resúmenes. CONFIGURACION DE LOS PROTOCOLOS DE ENRUTAMIENTO IP Diseñar redes que utilicen exclusivamente rutas estáticas, sería tedioso administrarlas y no responderían bien a las interrupciones y a los cambios de topología que suelen suceder con cierta frecuencia. Para responder a estos problemas se desarrollaron los protocolos de enrutamiento dinámico. Los protocolos de enrutamiento dinámico son algoritmos que permiten que los routers publiquen, o anuncien, la existencia de la información de ruta de red IP necesaria para crear la tabla de enrutamiento. Dichos algoritmos también determinan el criterio de selección de la ruta que sigue el paquete cuando se le presenta al router esperando una decisión de switching. Los objetivos del protocolo de enrutamiento consisten en proporcionar al usuario la posibilidad de seleccionar la ruta idónea en la red, reaccionar con rapidez a los cambios de la misma y realizar dichas tareas de la manera más sencilla y con la menor sobrecarga del router posible. Los protocolos de enrutamiento se dividen en dos categorías principales: protocolos de gateway interior(Interior Gateway Protocols, IGP) y protocolos de gateway exterior(Exterior Gateway Protocols, EGP). Los protocolos IGP están diseñados para intercambiar información sobre la red y las subredes entre los routers de un sistema autónomo; es decir, entre routers que ejecutan un protocolo de enrutamiento común en el marco de un dominio administrativo. Los protocolos EGP están diseñados para intercambiar exclusivamente 29
- 30. información sobre la red entre routers que pertenezcan a diferentes sistemas independientes. El protocolo EGP con mayor utilización en la actualidad es el protocolo de gateway fronterizo versión 4(Boarder Gateway Protocol 4, BGP-4). Es el protocolo de enrutamiento predominante utilizado para intercambiar información entre empresas, proveedores de servicios de red en Internet. Entre los protocolos IGP; los dos atributos principales que diferencian uno de otro son la metodología de propagación y el hecho de que sean con o sin clase. Los dos métodos más comunes de propagación son el vector de distancia y el estado de enlace. En el método de vector de distancia, todos los routers envían las tablas de enrutamiento, completa o parcialmente, a los routers vecinos en mensajes de actualización de intervalos de tiempo regulares. S medida que la información de enrutamiento se va repartiendo por la red, los routers pueden calcular la distancia a todas las redes y subredes de la Intranet. Con el método de estado de enlace, cada router envía información de conexión local completa a todos los demás routers de la Intranet. Como cada router recibe toda la información de conexión local , puede crear una imagen completa de la Intranet al ejecutar un complejo algoritmo llamado Primero la ruta más corta(Shortest Path First, SPF) en contraste con la información de conexión. Los protocolos IGP también se diferencian por ser con o sin clase. Los protocolos de enrutamiento con clase no poseen la capacidad de intercambiar información de máscara de red entre los diferentes routers. Por esa razón, estos protocolos deben asumir que se ha aplicado una máscara de red o subred uniforme al espacio de direcciones común de la red. Esta limitación prohíbe el uso de máscaras de subred de longitud variable(VLSM), por lo que la utilización del espacio de direcciones de la red no alcanza un nivel óptimo. Asimismo no se puede pasar entre los routers la información de máscara de red, de manera que la información de las direcciones de red se deben resumir en los limites de las direcciones de red con clase. Los protocolos de enrutamiento con clase son entre otros, el protocolo de información de enrutamiento(Routing Information Protocol, RIP) versión 1 y el protocolo de enrutamiento de gateway interior(Interior Gateway Protocol, IGRP) de Cisco Systems. Los protocolos de enrutamiento sin clase se distinguen de los protocolos con clase por su capacidad para llevar informaci ón de máscara de red junto a la información de ruta de red. Por esa razón, los protocolos sin clase pueden soportar varias máscaras de subred dentro del espacio de direcciones de una red y por ello, pueden implementar VLSM. Al transportar la información de máscara de red, los protocolos sin clase también pueden implementar direccionamiento de superred o bloques CIDR. Además, los protocolos sin clase no requieren el resumen de las subredes en los principales límites de red, que sí necesitan los protocolos con clase(aunque el comportamiento predeterminado sea crear los resúmenes). Se puede propagar información detallada de la subred desde el espacio principal de direcciones de red a otro, porque las máscaras de red proporcionan información específica sobre las subredes disponibles. La capacidad del enrutamiento sin clase para propagar la información de la subred desde un espacio principal de direcciones de la red a otro facilita la utilización de redes no contiguas. La red no contigua ocurre cuando el espacio principal de direcciones de la red se rompe en dos o más partes debido a un segundo espacio de direcciones de la red. Los protocolos de enrutamiento que se consideran sin clase son RIP versión 2, IGRP mejorado(Enchanced IGRP, 30
- 31. EIGRP) de Cisco Systems, IETF Open Shortest Path First(OSPF) y el estándar ISO Intermediate System-to-Intermediate System Interdomain Routing Exchange Protocol(IS-IS). Muchas variables influyen en el proceso de seleccionar un protocolo de enrutamiento dinámico para su uso en una red. • Topología de red. Algunos protocolos de enrutamiento usan una jerarquía lógica para ampliar y distribuir la información de ruta de la red de manera apropiada. Los protocolos del tipo OSPF e IS-IS requieren el establecimiento de un backbone y áreas lógicas. Estos protocolos pueden exigirle que rediseñe la topología de la red física o que cree un diseño inicial de red para que operen con un rendimiento óptimo. • Resumen de ruta y dirección. En una Intranet grande, el beneficio de reducir el número de entradas en la tabla de enrutamiento supone la reducción de la relativa complejidad de la red, así como la reducción de la carga de los routers. La creación de resúmenes requiere que el protocolo de enrutamiento admita VLSM y que posea la capacidad de propagar información de la máscara de red con las rutas de red. Los protocolos sin clase, como OSPF y EIGRP, son muy adecuados para la creación de resúmenes. • Velocidad de convergencia. Uno de los criterios más importantes es la velocidad con la que un protocolo de enrutamiento identifica la ruta que no esta disponible, selecciona una nueva y propaga la información sobre ésta. Si la red admite aplicaciones de importancia crucial, el administrador se inclinará hacia el protocolo de enrutamiento que posea un velocidad de convergencia mayor. • Los protocolos de vector de distancia suelen necesitar más tiempo para converger que los de estado de enlace, porque la información sobre la nueva ruta debe pasar de nodo en nodo a cada uno de los routers sucesivos de la Intranet. Los protocolos RIP versión 1 e IGRP suelen ser más lentos al converger que EIGRP y OSPF. • Criterio de selección de ruta A la hora de determinar el protocolo de enrutamiento dinámico adecuado que se debe implementar, es de vital importancia el papel que desempeñan los atributos de la ruta individual que utiliza el protocolo de enrutamiento para crear la métrica de ruta. Cuando las diferentes rutas de la Intranet se compongan de varios tipos de medios LAN y WAN, puede ser desaconsejable un protocolo que dependa estrictamente del número de saltos de router para determinar la selección de la ruta, como es el caso de RIP. RIP considera que el salto de router en un segmento de Fast Ethernet tiene el mismo coste relativo que un salto de router por un enlace WAN de 56 Kbps. Entre otros, los atributos de ruta de red que utilizan los diferentes protocolos para calcular su métrica son la longitud de ruta, la fiabilidad, el retraso, el ancho de banda y la carga. • Capacidad de ampliación. La relativa capacidad de ampliación del protocolo de enrutamiento es muy importante, dependiendo de los tipos de routers que haya en la Intranet y del tamaño de la misma. Los protocolos de vector de distancia consumen menos ciclos de CPU que los protocolos de estado de enlace con sus complejos algoritmos SPF. Los protocolos de estado de enlace consumen menos ancho de banda LAN y WAN que los protocolos de vector de distancia porque sólo se propaga la información sobre cambios, no la tabla de enrutamiento completa. • Sencillez de implementación. Si la red no es excesivamente 31
- 32. compleja, resulta más sencillo implementar protocolos que no requieren una reestructuración de la red o topologías muy bien organizadas y diseñadas. Por ejemplo RIP, IGRP y EIGRP no requieren mucha planificación ni organización en la topología para que se puedan ejecutar de manera eficaz. OSPF y IS-IS requieren que se hayan pensado muy cuidadosamente la topolog ía de red y los modelos de direccionamiento antes de su implementación. • Seguridad. Si la red intercambia información IGP con un filial o entre las divisiones de la misma empresa, se debería poder autentificar el origen de la información de enrutamiento. Algunos protocolos como OSPF y EIGRP admiten poderosos métodos de autenticación, como la autenticación de claves MD5. La selección de un protocolo de enrutamiento para cualquier red depende mucho de los siguientes factores: • Si se va a agregar un router a la topología de red existente. • El diseño de la red. • La presencia de routers y protocolos de enrutamiento ya existentes. • La experiencia y el grado de familiaridad que tenga el administrador con el enrutamiento TCP/IP. • La necesidad de intercambiar información de enrutamiento con dispositivos de sistemas finales, como un servidor. CONFIGURACIÓN DEL PROTOCOLO DE INFORMACIÓN DE ENRUTAMIENTO. RIP es uno de los protocolos de enrutamiento más antiguos utilizado por dispositivos basados en IP. Su implementación original fue para el protocolo Xerox PUP a principios de los 80. Gano popularidad cuando se distribuyo con UN ÍS como protocolo de enrutamiento para esa implementación TCP/IP. RIP es un protocolo de vector de distancia que utiliza la cuenta de saltos del router como métrica. La cuenta de saltos máxima de RIP es 15. Cualquier ruta que exceda de los 15 saltos se etiqueta como inalcanzable al establecerse la cuenta de saltos en 16. En RIP la información de enrutamiento se propaga de un router a los otros vecinos por medio de una difusión de IP usando el protocolo UDP y el puerto 520. El protocolo RIP versión 1 es un protocolo de enrutamiento con clase que no admite la publicación de la información de la máscara de red. El protocolo RIP versión 2 es un protocolo sin clase que admite CIDR, VLSM, resumen de rutas y seguridad mediante texto simple y autenticación MD5. La configuración del protocolo de enrutamiento RIP consiste en tres pasos básicos: posibilitar que el router ejecute el protocolo RIP, decidir la versión de RIP que se desea ejecutar y configurar las direcciones e interfaces de la red que deben incluirse en las actualizaciones de enrutamiento. Para posibilitar que el router ejecute RIP, se utiliza el comando principal de configuraci ón de IOS router rip. Para seleccionar la versión de RIP que se desea ejecutar, se utiliza el subcomando de configuración de enrutamiento de IOS versión. El comando versión adopta un valor de 1 ó 2 para especificar la versión de RIP que se va a utilizar. Si no se especifica la versi ón, el software IOS adopta como opción predeterminada el envío de RIP versión 1 pero recibe actualizaciones de ambas versiones, 1 y 2. Se pueden especificar las interfaces y las direcciones de red que se deben incluir en las publicaciones de enrutamiento RIP con el subcomando de configuración de enrutamiento de IOS network. Este comando toma como parámetro la dirección de red con clase que se debe 32
- 33. incluir en las actualizaciones de enrutamiento. El comando network debe utilizarse para identificar sólo aquellas direcciones IP de red que están conectadas directamente con el router que se esta configurando y que deben incluirse en el proceso de enrutamiento RIP. En estas actualizaciones de enrutamiento sólo se incluyen las interfaces que tienen direcciones IP en la red identificada. Nota_ Es posible combinar las versiones 1 y 2 de RIP en una misma red, aunque la versión 1 no admite muchas de las funciones de la versión 2. La combinación de ambas versiones puede provocar problemas de interoperabilidad. La omisión de la versión configurada globalmente y la especificación de la versión por interfaz se logra mediante los subcomandos de configuración de interfaz de IOS ip rip send versión e rip recive versión. HABILITACIÓN DE RIP • Es un protocolo de enrutamiento basado en vectores distancia. • Se utiliza el número de saltos como métrica para la selección de rutas. • El número máximo de saltos permitido es 15. • Se difunden actualizaciones de enrutamiento por medio de la tabla de enrutamiento completa cada 30 segundos, por omisión. • RIP puede realizar equilibrado de carga en un máximo de seis rutas de igual coste (la especificación por omisión es de cuatro rutas). • RIP-1 requiere que se use una sola máscara de red para cada número de red de clase principal que es anunciado. La máscara es una máscara de subred de longitud fija. El estándar RIP-1 no contempla actualizaciones desencadenadas. • RIP-2 permiten máscaras de subred de longitud variable(VLSM) en la interconexión. (El estándar RIP-2 permite actualizaciones desencadenadas, a diferencia de RIP-1 La definición del número máximo de rutas paralelas permitidas en la tabla de enrutamiento faculta a RIP para llevar a cabo el equilibrado de carga. El comando maximum-paths habilita el equilibrado de carga. HABILITACIÓN DE IGRP IGRP es un protocolo de enrutamiento basado en vectores de distancia desarrollado por CISCO, sus características son: Escalabilidad mejorada: Enrutamiento en redes más grandes, posee un número máximo predeterminado de 100 saltos, aunque puede ser configurado con hasta 255 saltos. Métrica sofisticada: Métrica compuesta que proporciona una mayor flexibilidad en la selección de rutas. Se usa el retraso de interconexión y el ancho de banda y se pueden incluir otros parámetros como la fiabilidad, la carga y la MTU. Soporte de múltiples rutas: IGRP puede mantener hasta un máximo de seis rutas de coste diferente entre redes de origen y destino. Se pueden usar varias rutas para aumentar el ancho de banda disponible o para conseguir redundancia de rutas. IGRP permite actualizaciones desencadenadas. 33
- 34. MÉTRICAS IGRP. IGRP utiliza una métrica de enrutamiento compuesta. La ruta que posea la métrica más baja será considerada la ruta óptima. Las métricas de IGRP están ponderadas mediante constantes desde K hasta K5. Convierten los vectores de métrica IGRP en cantidades escalables. Ancho de banda: Valor mínimo de ancho de banda en la ruta. Retraso: Retraso de interfaz acumulado a lo largo de la ruta. Fiabilidad: Fiabilidad entre el origen y el destino, determinado por el intercambio de mensajes de actividad. Carga: Carga de un enlace entre el origen y el destino, medido en bits por segundo. MTU: Valor de la unidad máxima de transmisión de la ruta. La fiabilidad y la carga no tienen unidades propias y pueden tomar valores entre 0 y 255. El ancho de banda puede tomar valores que reflejan velocidades desde 1200 bps hasta 106 bps. El retraso puede ser cualquier valor entre 1 hasta 2 x 1023 EQUILIBRADO DE CARGA DE COSTE DESIGUAL EN IGRP. IGRP soporta múltiples rutas entre un origen y un destino, es posible que dos líneas de igual ancho de banda puedan transportar una misma trama de tráfico de forma cooperativa, con conmutación automática a la segunda línea si la primera falla. El equilibrado de la carga de coste desigual permite distribuir el trafico entre un máximo de seis rutas de distinto coste, para conseguir un mayor rendimiento y fiabilidad. A la hora de implementar el equilibrado de carga de coste desigual en IGRP se aplican las siguientes reglas generales. • IGRP puede aceptar hasta seis rutas para una red de destino dada(cuatro es la especificación predeterminada). • El router del próximo salto en cualquiera de las rutas debe estar más próximo al destino que lo está el router local por su mejor ruta. Esto garantiza la ausencia de bucles de enrutamiento. • La métrica de la ruta alternativa debe encontrarse en un rango especifico en relación con la métrica local óptima. PROCESO DE ENRUTAMIENTO IGRP. IGRP requiere un número de sistema autónomo. Este número de sistema autónomo no tiene que estar registrado. Sin embargo, todos los routers de un sistema autónomo deben usar el mismo número de sistema autónomo. router(config-router)#router igrp[sistema autónomo] router(config-router)#network[número de red ip] EQUIIBRADO / COMPARTICIÓN DE CARGA EN IGRP IGRP soporta tanto el equilibrado de carga como la comparici ón de carga. Utilizar el comando variance para configurar el equilibrado de la carga de coste desigual definiendo la diferencia entre la m étrica óptima y la peor métrica aceptable. router(config-router)#variance[multiplicador] Multiplicador especifica el rango de valores de métrica que serán aceptadas para el equilibrado de la carga. Puede usar el comando traffic-share[balanced|min] para controlar la forma en que debe distribuirse el trafico entre rutas de comparición de carga IGRP. router(config-router)#traffic-share[balanced|min] 34
- 35. Balanced = El trafico se distribuye proporcionalmente a las relaciones entre las distintas métricas. Min = Especifica que deben usarse las rutas de coste mínimo. VERIFICACIÓN DE LA INFORMACIÓN DE ENRUTAMIENTO. show ip protocols Incluye sistema autónomo, temporizadores de enrutamiento, redes y distancia administrativa. show ip route Muestra el contenido de la tabla de enrutamiento Ip. debug ip igrp transactions Muestra información de las transacciones entre redes IGRP. debug ip igrp events Muestra resumen de la información de enrutamiento IGRP. CONFIGURACIÓN DEL PROTOCOLO DE ENRUTAMIENTO DE GATEWAY INTERIOR DE CISCO IGRP de Cisco es un protocolo de vector de distancia mejorado que fue desarrollado por Cisco Systems e mediados de los 80. Fue diseñado para corregir algunos de los defectos de RIP y para proporcionar un mejor soporte para redes grande con enlaces de diferentes anchos de banda. IGRP calcula su métrica en base a diferentes atributos de ruta de red que pueden configurar el usuario, como el retraso de res, ancho de banda y el retraso basados en la velocidad y capacidad relativas de la interfaz. Los atributos de carga y fiabilidad se calculan seg ún el rendimiento de la interfaz en la gestión de tráfico real de la red, aunque no están activados de manera predeterminada para las decisiones de enrutamienro de Cisco IOS. Como RIP, IGRP utiliza publicaciones IP para comunicar la información de enrutamiento a los routers vecinos. No obstante, IGRP está designado como su propio protocolo de capa de transporte. No depende de UDP o TCP para comunicar la información de la ruta de red.(Como IGRP no tiene mecanismos de retroalimentación, funciona de una manera similar a UDP). IGRP ofrece tres importantes mejoras sobre el protocolo RIP. En primer lugar, la métrica de IGRP puede admitir una red con un número máximo de 255 saltos de router. En segundo lugar, la métrica de IGRP puede distinguir entre los diferentes tipos de medios de conexi ón y los costes asociados a cada uno de ellos. En tercer lugar, IGRP ofrece una convergencia de funcionalidad envían la información sobre cambios en la red a medida que está disponible, en vez de esperar a las horas programadas con regularidad para la actualización. La configuración del proceso de enrutamiento IGRP consiste en dos pasos: posibilitar que el router ejecute el protocolo IGRP e identificar las direcciones e interfaces de la red que deben incluirse en las actualizaciones de enrutamiento. Para posibilitar que el router ejecute IGRP se utiliza el comando principal de configuraci ón de IOS router igrp. Este comando requiere un parámetro que se conoce como process-id(identificador de proceso). El process-id puede ser un número entero del 1 al 65535 para distinguirlos. Se pueden ejecutar varios procesos IGRP en un router que interconecte dos divisiones de una compañía que quieran mantener una administración de red independiente entre sí. Todos los routers de una división deben compartir el mismo process-id con los otros routers de la división. Se puede especificar las interfaces y las direcciones de red que se deben incluir en las publicaciones de enrutamiento IGRP con el subcomando de configuración de enrutamiento de IOS network. Este comando toma como un parámetro la dirección de red con clase que se debe incluir en las actualizaciones de enrutamiento. El comando network debe utilizarse para identificar sólo aquellas direcciones IP 35
- 36. de red que están conectadas directamente con el router que se esta configurando y que deben incluirse en el proceso de enrutamiento IGRP. En las actualizaciones de enrutamiento sólo se incluyen las interfaces que tienen direcciones IP en la red identificada. Router#configure terminal Router(config)#router igrp [process id] Router(config-router)#newtwork [dirección IP] Router(config-router)#Ctrl+Z CONFIGURACIÓN DEL PROTOCOLO PRIMERO LA RUTA MÁS CORTA El grupo de trabajo OSPF del IETF diseño el protocolo Primero la ruta libre más corta(Open Shortest Path First,OSPF) a finales de los 80. Se diseño para cubrir las necesidades de las redes IP, incluyendo VLSM, autenticación de origen de ruta, convergencia rápida, etiquetado de rutas conocidas mediante protocolos de enrutamiento externo y publicaciones de ruta de multidifusión. El protocolo OSPF versión 2, la implementación más actualizada, aparece especificado en la RFC 1583. OSPF funciona dividiendo una Intranet o un sistema autónomo en unidades jerárquicas de menor tamaño. Cada una de estas áreas se enlaza a un área backbone mediante un router fronterizo. Todos los paquetes direccionados desde una dirección de una estación de trabajo de un área a otra de un área diferente atraviesan el área backbone, independientemente de la existencia de una conexión directa entre las dos áreas. Aunque es posible el funcionamiento de una red OSPF únicamente con el área backbone, OSPF escala bien cuando la red se subdivide en un número de áreas más pequeñas. OSPF es un protocolo de enrutamiento por estado de enlace. A diferencia de RIP e IGRP que publican sus rutas sólo a routers vecinos, los routers OSPF envían Publicaciones del estado de enlace(Link-State Advertisment, LSA) a todos los routers pertenecientes al mismo área jerárquica mediante una multidifusión de IP. La LSA contiene información sobre las interfaces conectadas, la métrica utilizada y otros datos adicionales necesarios para calcular las bases de datos de la ruta y la topología de red. Los routers OSPF acumulan información sobre el estado de enlace y ejecutan el algoritmo SPF(que también se conoce con el nombre de su creador, Dijkstra) para calcular la ruta más corta a cada nodo. Para determinar que interfaces reciben las publicaciones de estado de enlace, los routers ejecutan el protocolo OSPF Hello. Los routers vecinos intercambian mensajes hello para determinar qu é otros routers existen en una determinada interfaz y sirven como mensajes de actividad que indican la accesibilidad de dichos routers. Cuando se detecta un router vecino, se intercambia informaci ón de topología OSPF. Cuando los routers están sincronizados, se dice que han formado una adyacencia. Las LSA se envían y reciben sólo en adyacencias. La información de la LSA se transporta en paquetes mediante la capa de transporte OSPF. La capa de transporte OSPF define un proceso fiable de publicación, acuse de recibo y petición para garantizar que la información de la LSA se distribuye adecuadamente a todos los routers de un área. Existen cuatro tipos de LSA. Los tipos más comunes son los que publican información sobre los enlaces de red conectados de un router y los que publican las redes disponibles fuera de las áreas OSPF. La métrica de enrutamiento de OSPF se calcula como la suma de los OSPF a lo largo de la ruta hasta alcanzar una red. El coste OSPF de un enlace se calcula en base al ancho de banda de la interfaz y es 36
- 37. configurable por parte del usuario. La configuración del proceso de enrutamiento OSPF consiste en dos pasos: posibilitar que el router ejecute el protocolo OSPF e identificar las direcciones e interfaces de la red que deben incluirse en las actualizaciones de enrutamiento y las áreas a las que pertenecen las interfaces. Para posibilitar que el router ejecute OSPF, se utiliza el comando principal de configuración de IOS router ospf. Este comando requiere como parámetro un número entero, o process-id, en caso de que se ejecuten varios procesos OSPF en un mismo router. Como en otros protocolos de enrutamiento, es necesario configurar las interfaces y direcciones de red que se incluirán en las publicaciones de enrutamiento OSPF. Además, deben identificarse las áreas OSPF en las que residen las interfaces. Utilice el subcomando de configuración de enrutamiento de IOS network area para identificar las direcciones e interfaces de la red que quieren incluir en OSPF, así como para identificar las áreas a las que pertenecen. Este comando adopta dos parámetros. El primer parámetro es la dirección de red y la máscara wildcard utilizada para compararla con las direcciones IP asignadas a las interfaces. La máscara wildcard es un método para igualar direcciones IP o rangos de éstas. Cuando se aplica la máscara wildcard a la dirección IP de una interfaz y la dirección de red resultante coincide con la dirección de la red en el comando network area, la interfaz queda incluida en el proceso de enrutamiento OSPF para el área especificada. El segundo parámetro, que se conoce como area id(identificador de área), se utiliza para identificar el área a la que pertenece la interfaz. El area id puede ser un número entero o un número decimal con puntos como, por ejemplo, una dirección IP. Router#configure terminal Router(config)#router ospf [process id] Router(config-router)#newtwork [dirección IP][máscara wildcard][area id] Router(config-router)#Ctrl+Z Como en el caso de los protocolos ya presentados, sólo aquellas direcciones e interfaces de red que coincidan con las direcciones de los comandos network area quedan incluidas en las actualizaciones de enrutamiento OSPF. OSFF funciona con el principio de que las LSA pueden ser difundidas a todos los routers de un mismo sistema autónomo. No obstante, muchos medios WAN(como las líneas serie punto a punto, Frame Relay punto a punto y Frame Relay multipunto) no son medios de difusión y no admiten la multidifusión. Sin la capacidad de multidifundir la información de enrutamiento LSA, el administrador de la red tendrá que configurar manualmente las relaciones de adyacencia entre los routers en las interfaces punto a punto y multipunto de la red. No obstante, se pueden eliminar la necesidad de la configuraci ón manual de los routers vecinos. Se suelen dar instrucciones a OSPF para que considere la interfaz punto a punto como un medio de difusi ón y una interfaz multipunto como una red parcial de difusión. El subcomando de configuración de IOS ip ospf network controla el tipo de red a la que OSPF piensa que está conectada la interfaz. Este comando adopta como parámetro una de las siguientes opciones: • Broadcast. Considera el medio como uno de difusión, asumiendo que se pueden transmitir y recibir las multidifusiones. • Non-broadcast. Considera el medio como un medio de no difusión. Esta opción requiere que el administrador configure manualmente las relaciones de adyacencia mediante el subcomando de configuración de enrutamiento de IOS neighbor. • Point-to-multipoint. Considera el medio como un medio de 37
- 38. difusión parcial. El router del hub(concentrador) de una topología punto a multipunto posee circuitos virtuales a los diversos routers que carecen de conexión directa. Router#configure t Router(config)#interface serial 0.1 point-to-point Router(config-int)#ip ospf network broadcast Router(config-int)#interface serial 1 Router(config-int)#ip ospf network point-to-multipoint Router(config-int)#Ctrl.+Z A diferencia de los otros protocolos de enrutamiento IGP, OSPF no genera una ruta predeterminada cuando se configura con el comando ip default-network. Para OSPF, el router límite de sistema autónomo debe estar configurado manualmente para que se le pueda forzar a generar una ruta predeterminada para el resto del dominio OSPF. El subcomando de configuración de enrutamiento de IOS ip defaultinformation originate hace que OSPF genere la ruta predeterminada. Router#configure t Router(config)#ip default-network [dirección IP] Router(config-router)#router ospf 25000 Router(config-router)#ip default-information originate Router(config-router)#Ctrl.+Z CONFIGURACIÓN DEL PROTOCOLO DE ENRUTAMIENTO DE GATEWAY INTERIOR MEJORADO IP DE CISCO. El protocolo de enrutamiento de gateway interior mejorado (Enchaced Interior Gateway Routing Protocol, EIGRP) es una versi ón mejorada del protocolo IGRP original desarrollado por Cisco Systems. EIGRP mantiene el mismo algoritmo de vector de distancia y la información de métrica original de IGRP; no obstante, se han mejorado apreciablemente el tiempo de convergencia y los aspectos relativos a la capacidad de ampliación. EIGRP ofrece características que no se encontraban en su antecesor, IGRP como el soporte para VLSM y los resúmenes de ruta arbitrarios. Además, EIGRP ofrece características que se encuentran en protocolos como OSPF, como las actualizaciones increméntales parciales y un tiempo de convergencia reducido. EIGRP combina las ventajas de los protocolos de estado de enlace con las de los protocolos de vector de distancia. Como en el caso del protocolo IGRP, EIGRP publica la informaci ón de la tabla de enrutamiento sólo a los routers vecinos. No obstante, a diferencia de IGRP, estos routers vecinos se descubren por medio de un protocolo Hello sencillo intercambiado por los routers que pertenecen a la misma red física. Una vez descubiertos los routers vecinos, EIGRP utiliza un protocolo de transporte fiable para garantizar la entrega correcta y ordenada de la informaci ón y las actualizaciones de la tabla de enrutamiento. Un router hace el seguimiento de sus propias rutas conectadas y, además, de todas las rutas publicas de los routers vecinos. Basándose en esta información, EIGRP puede seleccionar eficaz y rápidamente la ruta de menor coste hasta un destino y garantizar que la ruta no forma parte de un bucle de enrutamiento. Al almacenar la información de enrutamiento de los routers vecinos, el algoritmo puede determinar con mayor rapidez una ruta de sustitución o un sucesor factible en caso de que haya un fallo de enlace o cualquier otro evento de modificación de la topología. El saludo y la información de enrutamiento EIGRP son transportados mediante el protocolo de transporte EIGRP. El transporte EIGRP define un protocolo fiable de publicación, acuse de recibo y petición para garantizar que el saludo y la información de 38
- 39. enrutamiento de distribuyen adecuadamente a todos los routers vecinos. La configuración del proceso de enrutamiento EIGRP consta de dos pasos: posibilitar que el router ejecute el protocolo EIGRP e identificar las direcciones e interfaces de la red que deben incluirse en las actualizaciones de enrutamiento. Para posibilitar que el router ejecute EIGRP, se utiliza el comando principal de configuración de IOS router eigrp. Este comando requiere como parámetro un número entero, o process-id, en caso de que se ejecuten varios procesos EIGRP en un mismo router. Como en el caso del protocolo IGRP, se pueden especificar las interfaces y las direcciones de red que se deben incluir en las publicaciones de enrutamiento EIGRP con el subcomando de configuración de enrutamiento de IOS network. Este comando toma como un parámetro la dirección de red con clase que se debe incluir en las actualizaciones de enrutamiento. El comando network debe utilizarse para identificar sólo aquellas direcciones IP de red que están conectadas directamente con el router que está configurando y que deben incluirse en el proceso de enrutamiento EIGRP. En las actualizaciones de enrutamiento sólo se incluyen las interfaces que tienen direcciones IP en la red identificada. CONFIGURACIÓN DEL PROTOCOLO DE GATEWAY FRONTERIZO El protocolo de gateway fronterizo (Boarder Gateway Protocolo, BGP) es un protocolo de gateway exterior (Exterior Gateway Protocolo, EGP). A diferencia de los IGP, que intercambian información acerca de las redes y las subredes que hay dentro del mismo dominio de enrutamiento o sistema autónomo, los EGP están diseñados para intercambiar la información de enrutamiento entre los dominios de enrutamiento o los sistemas autónomos. BGP es el principal método de intercambio de información de red entre empresas, ISP y NSP en Internet. BGP ofrece ciertas ventajas con respecto a su predecesor, el Protocolo de gateway exterior (Exterior Gateway Protocolo, EGP). La ventaja más notable es que garantizar el intercambio sin bucles de la información de enrutamiento entre sistemas autónomos. La versión 4 de BGP es la más reciente revisión del mismo. Ofrece algunas ventajas sobre las versiones anteriores, como la gestión de bloques CIDR. BGP, que ha sido adoptado por el IETF, se especifica en las RFC 1163, 1267 y 1771. Estas RFC definen las versiones 2, 3 y 4 de BGP, respectivamente. Los routers BGP se configuran con la información del vecino a fin de que se puedan formar una conexión TCP fiable sobre la que transportar información de la ruta de acceso del sistema autónomo y la ruta de la red. A diferencia de algunos de los IGP, BGP utiliza TCP como protocolo de transporte en lugar de definir el suyo propio. Tras establecer una sesión BGP entre vecinos, esta sigue abierta a menos que se cierre específicamente o que haya un fallo en el enlace. Si dos routers vecinos intercambian información de ruta y sesiones BGP, se dicen que son iguales BGP. La información de ruta intercambiada entre iguales incluye el par número de red/sistema autónomo de la ruta y otros atributos de las rutas. La ruta de acceso de sistema aut ónomo es una cadena de números del sistema autónomo a través de la que se puede llegar a la ruta publicada. En principio los iguales BGP intercambian todo el contenido de las tablas de enrutamiento BGP. Posteriormente, sólo se envían actualizaciones increméntales entre los iguales para avisarles de las rutas nuevas o eliminadas. A diferencia de las tablas de rutas IGP, no es necesario para que las tablas de rutas BGP se actualicen periódicamente. En su lugar, todas las rutas BGP guardan el último número de 39
- 40. versión de la tabla que se ha publicado a sus iguales, así como su propia versión interna de la tabla. Cuando se recibe un cambio en un igual. La versión interna de la tabla se incrementa y se compara con las versiones publicadas en la tabla de estos iguales. Este proceso asegura que todos los iguales del router se mantienen sincronizados con todos los cambios que se procesan. BGP también guarda una tabla de rutas BGP independiente que contiene todas las rutas de acceso posibles a las redes publicadas. En la tabla de selección de la ruta principal se almacena solamente la ruta de acceso óptima y ésta es la única que se publica a los restantes iguales BGP. Los iguales BGP se dividen en dos categorías: iguales BGP externos (EBGP) e iguales BGP internos (IBGP). Se dice que los iguales BGP que se encuentran en dominios administrativos o sistemas aut ónomos distintos y que intercambian información de enrutamiento son iguales EBGP. Los iguales EBGP suelen ser otras organizaciones, ISP o NSP con los que los sistemas autónomos deseen compartir información relativa a las rutas del sistema autónomo o que se han conocido de otras fuentes externas. Los iguales BGP que se encuentran en el mismo dominio administrativo o sistema autónomo y que intercambian información de enrutamiento se dice que son iguales IBGP. Los iguales IBGP son routers del mismo sistema autónomo que necesitan compartir las rutas BGP conocidas externamente para tener una imagen completa de todas las rutas posibles a los destinos externos y para volverlas a publicar a los restantes iguales EBGP. Los iguales IBGP son habituales cuando un sistema autónomo tiene más de una relación con iguales BGP externos, como dos conexiones a Internet. Los iguales IBGP son un método más simple y sencillo de compartir rutas derivadas de iguales EBGP. La alternativa a este método es redistribuir las rutas EBGP conocidas de un IGP (como EIGRP o OSPF) para transportarlas a trav és del sistema autónomo y a continuación, redistribuirlas a las rutas desde el IGP de vuelta al BGP para publicarlas a través de EBGP a otros iguales BGP externos. La redistribución de rutas puede provocar la pérdida de la información de la métrica del enrutamiento y potenciales bucles de enrutamiento. Además de la protección de los peligros de la redistribución de rutas, los iguales IBGP ofrecen todos los controles administrativos, las ponderaciones y las capacidades de filtrado asociadas con el protocolo BGP, y mantienen una imagen coherente de la información de enrutamiento publicada el mundo exterior a través de BGP. Sin la aplicación de controles y ponderaciones administrativas, la selección de la ruta BGP óptima se basa en la longitud de la ruta de acceso del sistema autónomo para una ruta de red. La longitud se define como el número de sistemas autónomos distintos necesarios para acceder a la red. Cuanto menor sea la distancia, m ás deseable será la ruta de acceso. A través del uso de los controles administrativos, BGP es uno de los protocolos de enrutamiento m ás flexibles y totalmente configurables disponibles. Ofrece a los administradores de red la capacidad de implementar una gran variedad de normativas de enrutamiento a través de los atributos de ruta, tales como la métrica Multi-Exit Discriminator (MED) y las características de filtrado y del atributo Local Preference como, por ejemplo, las listas de distribución. Sugerencia_ Antes de implantar las normativas de enrutamiento BGP a trav és del uso de MED, Local Preference y otros atributos, asegúrese de que conoce perfectamente los efectos de estos modificadores. Si una red tiene conexiones con varios ISP, se suele ejecutar BGP para que pueda seleccionarse la mejor ruta de acceso a las redes 40
- 41. externas. Habitualmente no es necesario ejecutar BGP cuando hay una conexión con un solo ISP, ya que se llega a todas las rutas de acceso a las redes externas a través de un solo proveedor. Sin embargo, algunos proveedores prefieren cambiar de BGP para conocer la ruta de acceso a las redes de sus clientes y para proporcionar las rutas de red para el enrutamiento predeterminado. La configuración del proceso de enrutamiento BGP consta de tres fases: La activación del router para que ejecute BGP, la identificación de las direcciones de red que hay que publicar a los routers iguales. Para activar el router con el fin de que utilice BGP se utiliza el comando de configuración global de IOS router bgp. Este comando utiliza como parámetro un número entero que es el número del sistema autónomo (ASN) que ha asignado a esta red uno de los registros de direcciones de red (RIPE, APNIC o ARIN). Para evitar la duplicación accidental, los registros deben asignar un ASN único a cada uno de los sistemas autónomos independientes que esté conectado a Internet. La duplicación de ASN puede provocar que no se publique una red a causa de una detección errónea de los bucles. Si BGP se ejecuta en una red completamente privada que no está conectada a Internet, los ASN deberían seleccionarse del bloque de ASN privados de rango 32768 a 64511. La identificación de los routers iguales se realiza a través del uso del subcomando de configuración de enrutamiento de IOS neighbor remote-as. Este comando utiliza dos parámetros: la dirección IP del router vecino y un ASN. Cuando el ASN especificado como remote-as es distinto del especificado en el comando de configuración global router bgp, se considera que el vecino es un igual BGP externo (EBGP). La dirección IP de un router vecino que sea igual EBGP suele ser una dirección de una interfaz de red conectada directamente. Cuando el ASN especificado como remote-as es igual al especificado en el comando de configuración global router bgp, se considera que el vecino es un igual BGP interno (IBGP). La direcci ón IP del router vecino que sea un igual IBGP es una dirección IP válida y accesible para dicho igual. Los iguales IBGP se pueden ubicar en una interfaz de red conectada directamente(como con varias conexiones ISP en una ubicación) o una red sin conexión vinculada a un router distante del sistema autónomo (como con varias conexiones ISP en distintas ubicaciones). Dado que no es necesario que las direcciones IP de los iguales IBGP se encuentren en una interfaz de red conectada directamente, a menudo es aconsejable utilizar la dirección de la interfaz loopback como dirección de origen y de destino de los iguales IBGP. Dado que la interfaz loopback no está asociada a ninguna interfaz física, estará activa y accesible siempre que haya una ruta de acceso a su direcci ón IP asociada a través del enrutamiento IP o de las rutas estáticas. Para configurar una interfaz loopback como dirección IP de origen para los iguales IBGP, utilice el subcomando de configuraci ón de enrutamiento de IOS neighbor con la palabra clave update-source. La palabra clave update-source de ir seguida del nombre y número de una interfaz loopback correctamente configurada y con la direcci ón adecuada del router que está configurando. Si un router tiene muchos vecinos iguales BGP, suele ser dif ícil recordar qué direcciones IP y ASN pertenecen a cada igual. Con la palabra clave description del subcomando de configuración de enrutamiento de IOS neighbor, es posible añadir comentarios que puedan facilitar al administrador de la red la obtención de información. La identificación de las redes del sistema autónomo que se van a publicar a los iguales EGBP se realiza mediante el uso del subcomando de configuración de enrutamiento de IOS network. 41
- 42. Este comando utiliza como parámetro la dirección de red que se va a publicar a los routers iguales y la palabra clave opcional mask, seguidas por una máscara de red de dicha dirección. Si no se incluye ninguna máscara de red, se asume la dirección de red con clase. Mediante el uso de la máscara de red, BGP puede publicar subredes y bloques CIDR a los routers iguales. Las redes conocidas de otros sistemas autónomos a través de EBGP se intercambiarán entre los iguales IBGP del sistema autónomo. Nota_ Tenga en cuenta que los routers BGP publican las rutas conocidas de un igual BGP a todos sus otros iguales BGP. Por ejemplo las rutas conocidas a través de EBGP con su ISP se volverán a publicar a los iguales EBGP. Mediante la publicación reiterada de las rutas, la red puede pasar ha ser una red de tránsito entre los proveedores con los que se conecte, Esto podría irritar a los proveedores y provocar grandes congestiones en la red. Si no se desean crear dichas redes de transito, utilice las capacidades de filtrado de rutas de distributelist y route-maps para controlar la publicación reiterada de las rutas conocidas. Si las rutas BGP no se distribuyen en el proceso de enrutamiento de IGP, la sincronización de BGP se desactivará con el comando de configuración de ruta de IOS no synchronization. Con la sincronización activa, no se publicará ninguna ruta de igual EBGP, a menos que dicha ruta aparezca en la tabla de selección de rutas primarias de igual y se conozca a través del proceso de enrutamiento de IGP. Dará como resultado una mayor velocidad de convergencia de BGP. Si los iguales IBGP intercambian información de enrutamiento conocida de iguales EBGP, es importante indicar que igual IBGP debe de tener una ruta a la dirección de próximo salto para la ruta que se va a conocer del igual EBGP. Si las direcciones del próximo salto no forman parte del conjunto de direcciones de red al que el IGP proporciona informaci ón de enrutamiento, utilice el comando redistribute, para publicar las rutas estáticas o conectadas directamente de dichas direcciones en el proceso de enrutamiento de IGP. ADMINISTRACIÓN DE LA INFORMACIÓN DEL PROTOCOLO DE ENRUTAMIENTO DINÁMICO. Normalmente los administradores de redes desean aplicar una norma administrativa para controlar el flujo de la informaci ón de enrutamiento de la red dentro y fuera de la misma. Estas normas incluyen determinar que routers participarán en el proceso de enrutamiento, si la información de la subred se propaga entre diferentes espacios de direcciones de la red principal y las rutas que deben compartirse entre los distintos routers. Al implementarse estas normas se pueden controlar los patrones de acceso de tráfico a la red y su seguridad. Uno de los atributos más importantes a la hora de administrar los protocolos de enrutamiento dinámico es la posibilidad de permitir o denegar la propagación de las rutas de la red desde un router a la red. Esta capacidad para filtrar la información de enrutamiento permite restringir el acceso a una sección de la red desde otra. En el caso del protocolo BGP, al restringir la propagación y la publicación de rutas a routers iguales se evita que un sistema autónomo permita el transito de paquetes entre dos o más proveedores de servicios de Internet sin darse cuenta. 42
- 43. La herramienta principal para el filtrado de la información de enrutamiento es el subcomando de configuración de enrutamiento de IOS distribute-list. Las funciones de filtrado del comando distribute-list se activan con el uso de listas de acceso son herramientas de tipo genérico que definen los criterios de filtrado. Cuando se aplican junto con subcomandos de protocolo de enrutamiento, las listas de acceso pueden definir las rutas permitidas o denegadas. El comando distribute-list aplica una lista de acceso a una situación determinada de control de propagación de rutas. El comando distribute-list admite varios parámetros: el nombre o número de una lista de acceso IP, la palabra clave in u out, que controla la dirección en la que ocurre el filtrado, y un identificador de interfaz, que es optativo, entre otros. Este indicador indica que el filtrado solo debe efectuarse en las actualizaciones de enrutamiento para esa interfaz específicamente. Si se omite el identificador, la lista de distribución se aplica a todas las actualizaciones de enrutamiento que coinciden con la lista de acceso. Nota_ Debido a la naturaleza de desbordamiento, o inundación de los paquetes LSA en los protocolos de estado de enlace, como OSPF e IS-IS, no es posible filtrar la información de enrutamiento entrante. El filtrado de enrutamiento saliente sólo es aplicable a las rutas externas. Cuando el comando distribute-list se aplica como subcomando de un proceso de enrutamiento, el filtrado definido en distribute-list se aplica a todos los orígenes de las actualizaciones de enrutamiento. En muchas ocasiones, puede ser preferible aplicar el filtrado solo a un origen de la información, como un determinado igual BGP. El filtrado de actualizaciones entrantes o salientes de determinados iguales BGP se logra aplicando el comando distribute-list a un determinado vecino BGP como una palabra clave opcional del subcomando BGP neighbor. A veces, podría querer que un router escuche las actualizaciones de enrutamiento de una interfaz determinada, pero que no publique dicha información de enrutamiento a los otros routers de la interfaz. Cuando se desea esta configuración, se dice que el router opera en modo pasivo. El subcomando de configuración de enrutamiento de IOS passive-interface configura el modo pasivo. Este comando toma como parámetro el identificador de la interfaz sobre el que se suprimen las actualizaciones de enrutamiento salientes. Es posible que desee configurar un router con una lista de los routers vecinos específicos con los que este puede intercambiar información de enrutamiento dinámico. Por ejemplo para implementar el protocolo OSPF en un medio de no difusión, hay que especificar los routers vecinos para que el protocolo funcione correctamente. Como otra posibilidad, puede implementar un entorno mas seguro en el que solo los routers vecinos especificados puedan intercambiar información de enrutamiento de un modo punto a punto. El subcomando de configuración de enrutamiento de IOS neighbor se utiliza para especificar la dirección IP de un router vecino con el que intercambiar la información de enrutamiento. cuando se utiliza junto con el comando passive-interface, la información de enrutamiento se intercambia solo con los routers vecinos especificados en intercambios punto a punto(de no difusión). El comando neighbor toma como parámetro una dirección IP para el router vecino. Ocasionalmente los routers basados en Cisco IOS necesitan comunicar la información de enrutamiento a otros dispositivos que no admiten el protocolo de enrutamiento seleccionado para la red. Para dar soluciones a tales situaciones el software IOS tiene una capacidad de pasar la información de enrutamiento de un protocolo de 43
- 44. enrutamiento dinámico a otro. Este proceso recibe el nombre de distribución de rutas. El subcomando de configuración de enrutamiento de IOS redistribute se utiliza para activar la predistribución de rutas. Este comando toma como argumento el nombre del proceso de enrutamiento del que se quieren redistribuir las rutas. También se pueden especificar las palabras static o connected en vez del nombre de un proceso de enrutamiento. El uso de la palabra clave static permite que las rutas estáticas configuradas manualmente se publiquen en el proceso de enrutamiento. La palabra clave connected permite que las rutas para interfaces conectadas directamente y que no coincidan con la direcci ón especificada en el subcomando de enrutamiento network se publique en el proceso de enrutamiento. Como cada protocolo de enrutamiento dinámico utiliza un método diferente para calcular su métrica, puede resultar imposible realizar la conversión métrica de manera automática. A continuación hay una lista de las conversiones métricas automáticas que admite IOS: RIP puede redistribuir automáticamente las rutas estáticas. Asigna a las rutas estáticas una métrica de 1 (directamente conectado). IGRP puede redistribuir automáticamente las rutas estáticas y la información de otros sistemas automáticos con enrutamiento IGRP. IGRP asigna a las rutas estáticas una métrica que las identifica como directamente conectadas. IGRP no modifica la métrica de rutas derivadas de las actualizaciones IGRP de otros sistemas aut ónomos. Cualquier protocolo puede redistribuir otros protocolos de enrutamiento si tiene definida una métrica predeterminada. La métrica predeterminada se define con el subcomando de configuración de enrutamiento de IOS default-metric. El comando toma como argumento uno o más atributos de métricas de protocolos de enrutamiento, basándose en el protocolo de enrutamiento determinado que se esté configurando. Sugerencia_ La redistribución de la información de enrutamiento de un protocolo a otro puede resultar compleja. La redistribución reciproca(en la que se pasan rutas de un protocolo a otro y viceversa) puede causar bucles de enrutamiento porque no se hacen comprobaciones del correcto funcionamiento de las rutas que se redistribuyen. Si es posible, se debe evitar la redistribución reciproca. Si la redistribución reciproca es absolutamente necesaria, utilice los comandos a determinados protocolos de enrutamiento. El subcomando de configuración de enrutamiento de IOS no autosummary evita el resumen automático de las direcciones en los limites de la red con clase y permite la propagación de la información de la subred. VISUALIZACIÓN DE LA INFORMACIÓN DEL PROTOCOLO DE ENRUTAMIENTO DINÁMICO. La configuración y operatividad de los protocolos de enrutamiento dinámico se puede verificar con una serie de comandos ejecutables de IOS. Estos comandos se dividen en dos categor ías: independientes del protocolo y específicos del protocolo. El comando ejecutable de IOS show ip route se puede utilizar para determinar si las rutas se conocen mediante protocolos de enrutamiento dinámico y para determinar sus atributos. Mediante el comando ejecutable de IOS show ip protocols se 44
- 45. pueden determinar los protocolos que se ejecutan y sus diferentes atributos. Este comando toma un parámetro opcional con la palabra clave summary. La versión del comando con summary. La versión del comando summary ofrece una lista exclusivamente del nombre del protocolo de enrutamiento y del process-id, si es aplicable. La versión estándar del comando show ip protocols ofrece una lista de todos los protocolos de enrutamiento que se ejecutan y de sus numerosos atributos, como orígenes de actualización de enrutamiento, aplicación de filtros de distribución de listas, información de métrica y las redes que se publican. Los protocolos de enrutamiento complejos, como EIGRP, OSPF y BGP, proporcionan acceso a muchos atributos, tablas y bases de datos de información sobre su funcionamiento, configuración y topología. COMANDOS EJECUTABLES DE IOS PARA EIGRP. Show ip eigrp interfaces Muestra información sobre las interfaces configuradas para IP EIGRP: Show ip eigrp neighbors Muestra los vecinos descubiertos por IP EIGRP. Show ip eigrp topology Muestra el número de paquetes enviados y recibidos por proceso(s) IP EIGRP. Show ip ospf Muestra información general sobre los procesos de enrutamiento OSPF. Show ip ospf database Muestra varias listas de información relativa a la base de datos OSPF. Show ip ospf database network Muestra la información de enlace de red desde la base de datos de OSPF. Show ip ospf database external Muestra la información de enlace de red externa desde la base de datos OSPF. Show ip ospf database database summary Muestra la información de resumen pertinente a la base de datos OSPF. Show ip ospf border-routers Muestra las entradas de la tabla de enrutamiento interna OSPF a routers fronterizos(Area Border Routers, ARB) y routers límite de sistema autónomo(Autonomus System Boundary Routers, ASBR). Show ip ospf interface Muestra la información específica de la interfaz y relativa a OSPF. Show ip ospf neighbor Muestra información de vecinos OSPF. Comandos ejecutables de IOS para BGP. Show ip bgp cidr-only Muestra las rutas BGP que contienen máscaras de red de subred y superred. Show ip bgp filter-list número de lista de acceso. Muestra las rutas que coinciden con la lista de acceso de rutas del sistema autónomo. Show ip bgp regexp expression regular Muestra las rutas que coinciden con la expresión regular específica introducida en la línea de comandos. Show ip bgp neighbors[dirección]routers Muestra las rutas conocidas desde un vecino BGP determinado. Show ip bgp neighbors[dirección]advertised Muestra las rutas publicas a un vecino BGP determinado. Show ip bgp neighbors[dirección]paths Muestra las rutas publicas a un vecino BGP determinado. Show ip bgp paths Muestra todas las rutas BGP de la base de datos BGP. 45
- 46. Show ip bgp summary Muestra el estado de todas las conexiones con iguales BGP. CONFIGURACIÓN DE LOS FILTROS IP A TRAVÉS DE LISTAS DE ACCESO. Desde la primera vez que se conectaron varios sistemas para formar una red, ha existido una necesidad de restringir el acceso a determinados sistemas o partes de la red por motivos de seguridad, privacidad y otros. Mediante la utilización de las funciones de filtrado de paquetes del software IOS, un administrador de red puede restringir el acceso a determinados sistemas, segmentos de red, rangos de direcciones y servicios, basándose en una serie de criterios. La capacidad de restringir el acceso cobra mayor importancia cuando la red de una empresa se conecta con otras redes externas, como otras empresas asociadas o Internet. ADMINISTRACION BASICA DEL TRAFICO IP MEDIANTE LISTAS DE ACCESO. Los router se sirven de las listas de control de acceso (ACL) para identificar el tráfico. Esta identificación puede usarse después para filtrar el tráfico y conseguir una mejor administración del trafico global de la red. Las listas de acceso constituyen una eficaz herramienta para el control de la red. Las listas de acceso añaden la flexibilidad necesaria para filtrar el flujo de paquetes que entra y sale de las diferentes interfaces del router. El filtrado de paquetes permiten controlar el movimiento de paquetes dentro de la red. Este control puede ayudar a limitar él tráfico originado por el propio router. Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican a direcciones IP o a protocolos IP de capa superior. Las listas de acceso identifican tráfico que ha de ser filtrado en su transito por el router, pero no pueden filtrar él trafico originado por el propio router. Las listas de acceso pueden aplicarse también pueden aplicarse a los puertos de líneas de terminal virtual para permitir y denegar trafico Telnet entrante o saliente, no es posible bloquear el acceso Telnet desde dicho router. Se pueden usar listas de acceso IP para establecer un control más fino o la hora de separar el tráfico en diferentes colas de prioridades y personalizadas. Una lista de acceso también pueden utilizarse para identificar el trafico “interesante” que sirve para activar las llamadas del enrutamiento por llamada telefónica bajo demanda(DDR). Las listas de acceso son mecanismos opcionales del software Cisco IOS que pueden ser configurados para filtrar o verificar paquetes con el fin de determinar si deben ser retransmitidos hacia su destino, o bien descartados. LISTAS DE ACCESO ESTÁNDAR Las listas de acceso IP estándar comprueban las direcciones de origen de los paquetes que solicitan enrutamiento. El resultado es el permiso o la denegación de la salida del paquete por parte del protocolo, basándose en la dirección IP de la red-subred-host de origen. LISTAS DE ACCESO EXTENDIDAS 46
- 47. Las listas de acceso comprueban tanto la dirección de origen como la de destino de cada paquete. También pueden verificar protocolos especificados, números de puerto y otros parámetros. Las listas de acceso pueden aplicarse de las siguientes formas: LISTAS DE ACCESO DE ENTRADA Los paquetes entrantes son procesados antes de ser enrutados a una interfaz de salida, si el paquete pasa las pruebas de filtrado, será procesado para su enrutamiento.(evita la sobrecarga asociada a las búsquedas en las tablas de enrutamiento si el paquete ha de ser descartado por las pruebas de filtrado). LISTAS DE ACCESO DE SALIDA Los paquetes entrantes son enrutados a la interfaz de salida y después son procesados por medio de la lista de acceso de salida antes de su transmisión. Las listas de acceso expresan el conjunto de reglas que proporcionan un control añadido para los paquetes que entran en interfaces de entrada, paquetes que se trasmiten por el router, y paquetes que salen de las interfaces de salida del router. Las listas de acceso no actúan sobre paquetes originados en el propio router, como las actualizaciones de enrutamiento a las sesiones Telnet salientes. OPERATIVIDAD DE LAS LISTAS DE ACCESO Cuando un paquete llega a una interfaz, el router comprueba si el paquete puede ser retransmitido verificando su tabla de enrutamiento. Si no existe ninguna ruta hasta la dirección de destino, el paquete es descartado. A continuación, el router comprueba si la interfaz de destino esta agrupada en alguna lista de acceso. De no ser así, el paquete puede ser enviado al búfer de salida. Si el paquete de salida está destinado a un puerto, que no ha sido agrupado a ninguna lista de acceso de salida, dicho paquete ser á enviado directamente al puerto destinado. Si el paquete de salida está destinado a un puerto ha sido agrupado en una lista de acceso outbound, antes de que el paquete pueda ser enviado al puerto destinado será verificado por una serie de instrucciones de la lista de acceso asociada con dicha interfaz. Dependiendo del resultado de estas pruebas, el paquete será admitido o denegado. Para las listas de salida permit significa enviar al búfer de salida, mientras que deny se traduce en descartar el paquete. Para las listas de entrada permit significa continuar el procesamiento del paquete tras su recepción en una interfaz, mientras que deny significa descartar el paquete. Cuando se descarta un paquete IP, ICMP devuelve un paquete especial notificando al remitente que el destino ha sido inalcanzable. PRUEBA DE CONDICIONES EN LISTAS DE ACCESO Las instrucciones de una lista de acceso operan en un orden lógico secuencial. Evalúan los paquetes de principio a fin, instrucción a instrucción. Si la cabecera de un paquete se ajusta a una instrucción de la lista de acceso, el resto de las instrucciones de la lista serán omitidas, y el paquete será permitido o denegado según se especifique en la instrucción competente. Si la cabecera de un paquete no se ajusta a una instrucción de la lista de acceso, la prueba continua con la siguiente instrucci ón de 47
- 48. la lista. El proceso de comparación sigue hasta llegar al final de la lista, cuando el paquete será denegado implícitamente. Una vez que se produce una coincidencia, se aplica la opción de permiso o denegación y se pone fin a las pruebas de dicho paquete. Esto significa que una condición que deniega un paquete en una instrucción no puede ser afinada en otra instrucción posterior. La implicación de este modo de comportamiento es que el orden en que figuran las instrucciones en la lista de acceso es esencial. Hay una instrucción final que se aplica a todos los paquetes que no han pasado ninguna de las pruebas anteriores. Esta condición final se aplica a todos esos paquetes y se traducen en una condición de denegación del paquete. En lugar de salir por alguna interfaz, todos los paquetes que no satisfacen las instrucciones de la lista de acceso son descartadas. Esta instrucción final se conoce como la denegación implícita de todo, al final de cada lista de acceso. Aunque esta instrucción no aparece en la configuración del router, siempre esta activa. Debido a dicha condición, es necesaria que en toda lista de acceso exista al menos una instrucción permit, en caso contrario la lista de acceso bloquearía todo el tráfico. IMPLEMENTACIÓN DE LISTAS DE ACCESO Una lista de acceso puede ser aplicada a múltiples interfaces. Sin embargo, sólo puede haber una lista de acceso por protocolo, por dirección y por interfaz. • Utilice sólo números de listas de acceso dentro del rengo definido por CISCO para el protocolo y el tipo de listas que va ha crear. • Sólo se permite una lista por protocolo, dirección e interfaz. Es posible tener varias listas para una interfaz, pero cada una debe pertenecer a un protocolo diferente. • Procesamiento de principio a fin: - Organice las listas de acceso de modo que las referencias m ás específicas a una red o subred aparezcan delante de las más generales. Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales. - Las adiciones a las listas se agregan siempre al final de éstas, pero siempre delante de la condición de denegación implícita. - No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas, pero sí cuando se usan listas de acceso IP con nombre(característica de Cisco IOS v.11.2) • Denegación implícita de todo: - A menos que termine una lista de acceso con una condición de permiso implícito de todo, se denegará todo el trafico que no cumpla ninguna de las condiciones establecidas en la lista. - Toda lista de acceso deben incluir al menos una instrucción permit. En caso contrario, todo el trafico será denegado. • Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo dar á paso(permitirá) a todo el trafico. • Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router. No pueden hacer de filtro para el tráfico originado por el propio router. COMANDOS BASICOS DE LISTAS DE ACCESO Las listas de acceso contienen instrucciones globales que se aplican para identificar paquetes. Estas listas se crean con el comando access-list. El comando de configuración de interfaz ip access-group activa 48
- 49. la lista de acceso IP en una interfaz. Router(config)#access-list[nº de lista de acceso][permit|deny][condiciones de prueba] La opción permit significa que al paquete le será permitido pasar a través de las interfaces que se apliquen en la lista. La opción deny significa que el router descartará el paquete. Los últimos parámetros de la instrucción especifican las condiciones de pruebas. La prueba puede ser tan simple como comprobar una dirección de origen individual, la lista puede expandirse para incluir varias condiciones de prueba. Router(config)#[protocolo]access-group[nº de lista de acceso][in|out] Se activa una lista de acceso IP en una interfaz. Listas de acceso IP Rango numérico identificador Estándar 1 a 99 Extendida 100 a 199 Con nombre Nombre(Cisco IOS 11.2 y posterior) Listas de acceso IPX Rango numérico identificador Estándar 800 a 899 Extendida 900 a 999 Filtros SAP 1000 a 1099 Con nombre Nombre (Cisco IOS 11.2F y posterior) LISTAS DE ACCESO TCP/IP Una lista de acceso aplicada a una interfaz hace que el router busque en la cabecera de la capa 3 y posiblemente en la cabecera de la capa 4 un paquete del tráfico de la red al que aplicar las condiciones de prueba. Las listas de acceso IP estándar verifican sólo la dirección de origen en la cabecera del paquete(Capa 3). Las listas de acceso IP extendidas pueden verificar otros muchos elementos, incluidas opciones de la cabecera del segmento(Capa 4), como los números de puerto. Para el filtrado de paquetes TCP/IP, las listas de acceso IP verifica las cabeceras del paquete y de la capa superior, para detectar lo siguiente: • Direcciones IP de origen para listas de acceso estándar. Las listas de acceso estándar están identificadas por los números entre 1 y 99. • Direcciones IP de origen y destino, protocolos específicos y números de puerto TCP y UDP, con listas de acceso extendidas. Las listas de acceso extendidas están identificadas por los números entre 10 y 199. Puede ser necesario probar condiciones para un grupo o rengo de direcciones IP, o bien para una dirección IP individual. La comparación de direcciones tiene lugar usando máscaras que actúan a modo de comodines en las direcciones de la lista de acceso, para identificar los bits de la dirección IP que han de coincidir explícitamente y cuales pueden ser ignorados. El enmascaramiento wildcard para los bits de direcciones IP utiliza los números 1 y 0 para referirse a los bits de la dirección. • Un bit de máscara wildcard 0 significa “comprobar el valor correspondiente” • Un bit de mascara wildcard 1 significa “No comprobar(ignorar) el valor del bit correspondiente” Para los casos más frecuentes de enmascaramiento wildcard se pueden utilizar abreviaturas. Host = mascara comodín 0.0.0.0 Any = 0.0.0.0 255.255.255.255 Router(config)#access-list[nº de lista de 49
- 50. acceso][permit|deny][dirección de origen][mascara comodín] • Numero de lista de acceso Identifica la lista a la que pertenece la entrada. Se trata de un número entre 1 y 99. • Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada. • Dirección de origen identifica la dirección IP de origen. • Mascara wildcard identifica los bits del campo de la dirección que serán comprobados. La mascara predeterminada es 0.0.0.0(coincidencia de todos los bits). Router(config)#ip access-group[nº de lista de acceso][in|out] • Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz. • In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida. Si no se especifica nada, se adoptará la opción out por omisión. ELIMINAR UNA LISTA DE ACCESO DE UNA INTERFAZ 1. no ip access-group[nº de lista de acceso] en la interfaz 2. no access-list[nº de lista de acceso] comando global CONTROL DE ACCESO VTY Líneas de terminal virtual. Existen por omisión, cinco de estas líneas de terminal virtual numeradas del 0 al 4. Una lista de acceso extendida para Telnet de salida no impide sesiones Telnet iniciadas en el router. El filtrado de Telnet se considera normalmente una función de lista de acceso IP extendida, debido a que está filtrando un protocolo de nivel superior. Se puede crear una lista de acceso estándar donde se identifique la dirección de origen y se aplica a las líneas vty usando el comando access-class. El comando access-class se aplica también a listas IP estándar para filtrar sesiones Telnet salientes del router mediante l íneas vty. COMO APLICAR UNA LISTA DE ACCESO ESTÁNDAR A LOS PUERTOS TELNET. router(config)#line vty[#|rango vty] # indica una línea vty especifica a configurar. Rango-vty indica un rango de líneas vty a las que se aplicará la configuración. Utilice el comando access-class para enlazar la lista de acceso existente a una línea o rango de líneas de terminal. router(config-line)#access-class[nº de lista de acceso][in|out] Número de lista de acceso indica el número de la lista de acceso a vincular a una línea de terminal. Este es un valor decimal entre 1 y 99. In impide que el router pueda recibir conexiones Telnet desde las direcciones de origen que aparecen en la lista de acceso. Out impide que los puertos vty del router pueden iniciar conexiones Telnet a las direcciones definidas en la lista de acceso est ándar. Tenga en cuenta que la dirección de origen especificada en la lista de acceso estándar se considera como una dirección de destino cuando se usa access-class out. La denegación implícita a todo se sigue aplicando a la lista de acceso. LISTAS DE ACCESO IP EXTENDIDAS 50
- 51. Las listas de acceso estándar realizan el filtrado basándose en una máscara y una dirección de origen. Este tipo de listas permiten o deniegan el acceso a todo el protocolo TCP/IP. Las instrucciones de las listas de acceso IP extendidas permiten verificar direcciones tanto origen como destino. Estándar Filtros basados sólo en una dirección de origen. Permite o deniega todo el protocolo TCP/IP. Rango de 1 a 99. Extendida Filtros basados en direcciones de origen y destino y números de puerto de origen y destino. Especifica un protocolo IP y un número de puerto. Rango de 100 a 199. Al final se puede conseguir una mayor precisión en el filtrado especificando el protocolo y los números de puerto UDP o TCP opcionales. Utilizando el protocolo y número de puerto UDP o TCP opcional, se puede especificar el tipo de operación lógica que la lista de acceso extendida ha de realizar en los protocolos indicados. CONFIGURACION DE UNA LISTA DE ACCESO EXTENDIDA. Agregar una lista de acceso extendida a un router a modo de filtro de paquetes es una proceso que consta de dos pasos: En primer lugar, se ha de crear la lista de acceso. A continuaci ón, se debe aplicar la lista a una interfaz. Utilice el comando access-list para crear una entrada que exprese una condición en un filtro complejo: Router(config)#access-list[nº de lista de acceso][permit|deny][protocol][dirección de origen][mascara comodín][puerto del operador][dirección de destino][mascara de destino][puerto del operador][establisehed][log] Numero de lista de acceso: identifica la lista mediante un numero entre 100 y 199. Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada. Protocolo: puede ser IP, TCP, UDP, ICMP, GRE o IGRP. Origen y destino: identifican direcciones IP de origen y destino. Mascara origen y mascara destino: Son las mascaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las “que no importan”. Puerto del operador: puede ser: lt(menor que)gt(mayor que)eq(igual a)o neq(distinto que) y un número de puerto de protocolo. Establisehed Se usa solo para TCP de entrada. Esto permite que él trafico TCP pase si el paquete utiliza una conexión ya establecida(por 51
- 52. ejemplo posee un conjunto de bits ACK) Log Envía un mensaje de registro a la consola. El comando ip access-group aplica una lista de acceso extendida existente a una interfaz. Solo se puede hacer una lista de acceso por protocolo, dirección e interfaz. Router(config-if)#ip access-group[nº de lista de acceso][in|out] Nº de lista de acceso indica el número de la lista de acceso que será aplicado a ese interfaz. In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida. Si no se especifica nada se adoptará la opción out por omisión. LISTAS DE ACCESO IP CON NOMBRE Característica que apareció en CISCO IOS 11.2, permite identificar lista de acceso IP estándar y extendidas mediante cadenas alfanuméricas(nombres) en lugar de números de 1 a 199. Con listas de acceso IP numeradas, para modificar una lista tendría que borrar primero la lista de acceso numerada y volver a introducirla de nuevo con las correcciones necesarias. En una lista de acceso numerada no es posible borrar instrucciones individuales. Las listas de acceso IP con nombre permiten eliminar entradas individuales de una lista especifica. El borrado de entradas individuales permite modificar las listas de acceso sin tener que eliminarlas y volver a configurarlas desde el principio. Sin embargo no es posible insertar elementos selectivamente en una lista. Si se agrega un elemento a la lista, este se coloca al final de la misma. No es posible usar el mismo nombre para varias listas de acceso. Las listas de acceso de diferentes tipos tampoco pueden compartir nombre. CREAR Y ACTIVAR UNA LISTA DE ACCESO IP CON NOMBRE Router(config)#ip access-list[standard|extended][nombre]nombre único Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba] Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba] Router(config-if)#ip access-group[nombre][in|out] Para eliminar una instrucción individual, anteponga no a la condición de prueba. DIRECTRICES PARA LA IMPLEMENTACION DE LISTAS DE ACCESO ESTANDAR, EXTENDIDAS Y CON NOMBRE. El orden en el que aparecen las instrucciones en la lista de acceso es fundamental para un filtrado correcto. La practica recomendada consiste en crear las listas de acceso en un servidor TFTP usando un editor de texto y descargarlas después en un router vía TFTP. Las listas de acceso se procesan de arriba abajo. Si coloca las pruebas más especificas y las que se verificaran con mas frecuencia al comienzo de la lista de acceso, se reducirá la carga de procesamiento. Solo las listas de acceso con nombre permiten la supresión, aunque no la alteración del orden de instrucciones individuales en la lista. Si desea reordenar las instrucciones de una lista de acceso, deber á eliminar la lista completa y volver a crearla en el orden apropiado o con las instrucciones correctas. Todas las listas de acceso terminan con una instrucción implícita “denegar todo”. Las listas de acceso extendidas, deben colocarse normalmente lo 52
- 53. más cerca posible del origen del trafico que será denegado. VERIFICACION Y CONTROL DE LISTAS DE ACCESO. Router#show ip interface[tipo de interfaz][nº de interfaz]verifica si una lista de acceso esta asociada a un interfaz. Muestra informaci ón de la interfaz IP. Router#show access-list muestra contenido de todas las listas de acceso. Router#show[protocolo]access-list[nº lista de acceso|nombre] Las capacidades de filtrado de paquetes de las listas de acceso IP del software IOS permite las restricción del flujo de paquetes según los siguientes criterios: • Dirección IP de origen. • Dirección IP de origen y destino. • Tipos de protocolos IP, incluyendo TCP, UDP e ICMP. • Servicios de protocolo TCP origen y destino, como envío de correo electrónico y Telnet. • Servicios de protocolo UDP de origen y destino, como bootp y NetBIOS datagram. • Servicios de protocolo ICMP, como Eco ICMP y Puerto inalcanzable ICMP. La lista anterior no esta completa. La flexibilidad de las listas de acceso IP le ofrece al administrador una decisión muy amplia en cuanto a lo que se filtra y cómo se aplican los filtros. La clave para comprender las listas de acceso IP en el software IOS reside en que la tares de filtrado de paquetes está dividida en dos pasos muy diferentes. En primer lugar, el criterio de filtrado se define mediante el uso de los comandos access-list e ip access-list. En segundo lugar, el criterio de filtrado se aplica a las interfaces elegidas. Ya hemos considerado un método de aplicar el filtrado de lista de acceso, en conjunción con el comando distribute-list para filtrar la información de enrutamiento. En los apartados que aparecen a continuación, nos centraremos en la utilización de las listas de acceso en conjunción con el comando ip access-group. DEFINICIÓN DE LAS LISTAS DE ACCESO. Los criterios de filtrado se definen en una lista de instrucciones de permiso y denegación que se llama lista de acceso. Cada línea de esa lista de acceso se contrasta consecutivamente con las direcciones IP y demás información de un paquete de datos hasta que hay una coincidencia. Tan pronto como ocurre dicha coincidencia, se sale de la lista. Este proceso hace que las listas de acceso tengan una gran dependencia del orden. Cuando se desarrolló originalmente, el software IOS sólo disponía de un comando para crear listas de acceso, el comando accesslist. Mediante el uso de este comando y una serie de rangos relevantes de números, el administrador de red puede especificar el protocolo de red para el que se crea la lista. Un rango numérico 1 a 99 denota una lista de acceso IP estándar y el rango 900 a 999 denota un filtro de paquetes IPX. Alegando la necesidad de una mayor flexibilidad y un mayor número de listas de acceso, los diseñadores del software IOS crearon versiones del comando access-list para IP e IPX que permiten litas de acceso con nombre asignado. Puede utilizar una cadena arbitraria de caracteres en vez de un número para identificar la lista de acceso. El comando para crear listas de acceso IP con nombre asignado es ip access-list, también existe el comando ipx access-list para listas IPX con nombre asignado. 53
- 54. Ya sea numerada o con nombre asignado, las listas de acceso IP pertenecen a una de estas dos categorías: estándar o extendida. Una lista de acceso IP estándar evalúa sólo la dirección IP de origen de un paquete, mientras que la lista de acceso extendida puede evaluar las direcciones IP de origen y destino, el tipo de protocolo IP y los puertos de origen y de destino de la capa de transporte. Use el comando de configuración global de IOS access-list para establecer una lista de acceso numerada. Como se explicó con anterioridad, el comando access-list toma como parámetro un número de lista. Las listas de acceso IP estándar se establecen por un número en el rango 1 a 99. Las listas de acceso IP extendidas se ven por un número en el rango 100 a 199. Tras el número de lista de cada línea de la lista de acceso encontrará la palabra clave permit o deny, seguida de la dirección, la máscara wildcard, el protocolo y el número de puerto del protocolo que se filtra. Router#configure t Router(config)#access-list[número][deny|permit][dirección IP] Router(config)# access-list[número][deny|permit][dirección IP][máscara wildcard] Router(config)#^Z El orden de las líneas de la lista de acceso determina el funcionamiento del filtro. Sugerencia_ Las listas de acceso hacen uso del concepto conocido como máscara wildcard. Aunque parece similar a la máscara de red, la máscara wildcard se diferencia en que las posiciones de bit establecidas a 1 coinciden con cualquier valor. Una máscara wildcard de 0.0.0.255 coincide con cualquier número en el rango 0 a 255 que aparezca en el cuarto octeto de una dirección IP. Una máscara wildcard de 0.0.3.255 coincide con cualquier dirección IP que tenga un 0, 1, ó 3 en el tercer octeto y cualquier número en el cuarto octeto basado en la computación binaria. Las máscaras wildcard permiten que el administrador de red especifique rangos de direcciones que entran en los limites de bit de los números binarios. Sugerencia_ Todas las listas de acceso tienen un deny implícito al final de la lista. Esto significa que cualquier paquete que no coincida con el criterio de filtrado de alguna de las líneas de la lista de acceso será denegado. Para una mejor resolución de problemas y un mayor control administrativo de la seguridad de la red, le recomendamos que ponga un deny explicito al final de la lista con la palabra clave opcional log. Esta acción hace que los paquetes que no coincidan con la lista queden registrados como una violación en la consola, o si tiene activado el registro de sistema(syslogging), en el servidor syslog. También puede aplicar la palabra clave opcional log a cualquier línea de la lista de acceso para que el administrador desee tener información de registro grabada. Las listas de acceso IP con nombre asignado se crean con el comando de configuración ip access-list. Este comando toma como parámetros las palabras clave extended o standard para denotar el tipo de lista de acceso con nombre asignado que se crea y nombre mismo de dicha lista. El comando ip access-list hace que la configuración del software IOS conmute al submodo de configuración de lista de acceso. Una vez en el submodo de configuración de lista de acceso, sólo se tienen que proporcionar los estados permit y deny, junto con la dirección de red y otros criterios de filtrado. No necesita repetirse el nombre de la lista de acceso con nombre designado en todas las líneas de la lista. Ya sean numeradas o con nombre asignado, uno de los desafíos de 54
- 55. la gestión de listas de acceso radica en recordar por qué determinados host, redes o servicios tienen el acceso permitido o denegado. A lo largo del tiempo, pueden cambiar los administradores de la red que deben responsabilizarse de mantener las listas de acceso en varios dispositivos de la red y las razones de determinar entradas de las listas de acceso pueden olvidarse. En las primeras versiones del software IOS, la única manera de documentar la información sobre las listas de acceso(o cualquier comando de configuración) consistía en agregar comentarios a una copia del archivo de la configuración de inicio que se almacenaba en el servidor. Desgraciadamente, dichos comentarios se ignoran cuando el archivo de configuración se carga en la memoria del router, así que no existe en la NVRAM o memoria de ejecución. Las versiones más recientes del software IOS han introducido la capacidad de agregar comentarios a los comandos de las listas de acceso numeradas y con nombre asignado. Para agregar comentarios a las listas de acceso numeradas se usa la palabra clave remark en lugar de permit o deny tras el comando de configuración global de IOS access-list y el número de la lista. Los comentarios se pueden colocar en cualquier lugar de la lista de acceso y pueden tener una longitud máxima de 100 caracteres. Router#configure t Router(config)#access-list [número] remark [comentario] Router(config)#access-list [número] [permit|deny][protocolo][dirección origen][dirección destino][condición][protocolo] Router(config)#^Z Para agregar comentarios a las listas de acceso con nombre asignado, se utiliza el comando de submodo de configuración de listas de acceso IP remark. De igual manera que con los estados permit y deny que se usan en este subcomando, el comando remark se utiliza después de entrar en el submodo de configuración de listas de acceso con el comando ip access-list seguido del nombre de la lista. Como en el caso de los comentarios de las listas de acceso numeradas, estos comentarios pueden tener una longitud máxima de 100 caracteres. APLICACIÓN DE LISTAS DE ACCESO Una vez definidos los criterios de filtrado de la lista de acceso, se deben aplicar a una o más interfaces para que se puedan filtrar los paquetes. La lista de acceso se puede aplicar en direcci ón entrante o saliente en la interfaz. Cuando una paquete viaja en dirección entrante, entra en el router desde la interfaz. Cuando viajen en dirección saliente, abandonan el router y se dirigen a la interfaz. La lista de acceso se aplica mediante el subcomando de configuración de interfaz de IOS ip access-group. Este comando toma como parámetro la palabra clave in u out. Si no se proporciona un parámetro, se presupone la palabra clave out. Router#configure t Router(config)#interface[tipo][número] Router(config)#ip access-group [número de lista de acceso] [in|out] Router(config)#^Z Una vez configuradas, se pueden ver y verificar las listas de acceso con los comandos ejecutables de IOS show access-list y show ip access-list. El primer comando muestra todas las listas de acceso definidas en el router, mientras que el segundo sólo muestra las listas de acceso IP definidas en el router, mientras que el segundo sólo muestra las listas de acceso IP definidas en el router, ya sean numeradas o con nombre asignado. Cada comando puede tomar como parámetro una lista de acceso numerada o con nombre asignado específica y sólo se puede visualizar el contenido de esa lista. Si se proporciona un parámetro, se mostrarán todas las listas. 55
- 56. Router#show access-list Los comandos show access-list y show ip access-list cuentan el número de coincidencias de cada línea de la lista de acceso y muestra ese número entre paréntesis. Esta información puede resultar útil para determinar las líneas de la lista de acceso que están sirviendo al propósito para el que fueron creadas. También puede ayudar a resolver problemas y revelar los posibles errores de configuración de las listas de acceso. Los contadores de coincidencias de los comandos show access-list y show ip access-list se pueden reiniciar con el comando ejecutable de IOS clear ip access-list counters. Este comando toma un parámetro opcional del número o nombre de una lista de acceso IP en la que quiera reiniciar los contadores de coincidencias. Si no se especifica un parámetro, se reinician los contadores de coincidencias de todas las listas de acceso IP. Router#clear ip access-list counters [número de lista o nombre] Es un poco difícil de terminar dónde utilizar las listas de acceso. Cuando se aplican como filtros de paquetes con el comando ip access-group, la salida del comando show ip interfaces muestra las listas de acceso aplicadas y las interfaces en las que se han aplicado. Cuando las listas de acceso se aplican como filtros de paquetes con el comando distribute-list, la salida del comando show ip protocols indica la aplicación entrante o saliente de los filtros a los protocolos de enrutamiento específicos. Esta explicación de los comandos para ver y verificar las listas de acceso no está completa, porque las listas de acceso funcionan como el activador para muchas de las funciones de filtrado del software IOS. Cada aplicación específica de las listas de acceso tiene sus comandos de verificación correspondientes. Las capacidades de filtrado de paquetes IP del software Cisco IOS proporcionan herramientas muy poderosas para limitar el acceso a los recursos, tanto dentro como fuera de la red de una entidad. No obstante el diseño de un esquema de protección firewall es una tares importante y compleja. CONFIGURACIÓN DE LOS SERVICIOS BÁSICOS DE ACCESO TELEFONICO POR IP. El software IOS permite el acceso remoto en los routers y servidores de acceso. La capacidad de acceso remoto se encuentra disponible tanto en el acceso telefónico asíncrono mediante módulos de módems integrados y externos, como a través de RBSI(ISDN). El acceso remoto ofrece a los usuarios y a los routers remotos la capacidad de conectarse con servicios de red IP cuando no están conectados directamente a una red a través de una interfaz de LAN o de WAN. Hay numerosos productos basados en IOS compatibles con los servicios de acceso remoto. Estos productos ofrecen muchas opciones de configuración, tanto en su hardware como en las características del software IOS. Para asegurarse de la fiabilidad de la conexión a través de un servicio de acceso telefónico, como, por ejemplo un módem o RDSI, IP se transporta en un protocolo de capa de enlace a través del servicio de acceso telefónico. Hay varios protocolos de la capa de enlace de datos compatibles con los servicios de acceso telefónico, entre los que se incluyen PPP, DIC, SLIP(Serial Line IP) y Frame Relay. La configuración de los servicios de acceso remoto puede dividirse en tres campos principales: • La configuración de la línea o la interfaz. • La configuración de la seguridad. 56
- 57. • La configuración del protocolo IP. CONFIGURACIÓN DE ACCESO TELEFÓNICO ASÍNCRONO El acceso telefónico asíncrono implica la utilización de módems analógicos para convertir los datos en cadenas de información que se puedan trasladar a través de las líneas telefónicas. Estos módems pueden estar integrados en el producto, como en el caso de servidor de acceso Cisco AS5200 y el router 3600, o bien conectarse externamente, como en el caso del servidor de acceso 2511 y el puerto auxiliar de la mayoría de los routers Cisco. Hay líneas serie asíncronas físicas conectadas a los módems o líneas virtuales dentro de los módulos de módems integrados, las líneas y los módems deben estar correctamente configurados para asegurar una comunicación adecuada. La velocidad de la línea, el método de control de flujo, la dirección de la llamada telefónica y el tipo de módem conectado son algunos de los aspectos más importantes a configurar. Para establecer la velocidad a la que el servidor se comunica con los módems, utilizamos el subcomando de configuración de línea de IOS speed. El comando toma como parámetro un entero que representa la velocidad, como número de bits por segundo, a la que transmitir y recibir. La velocidad debería establecerse a la mayor que admita el puerto de datos del módem(la mayor velocidad que admite el servidor de acceso es de 115.200 bps). A fin de definir el método que se utiliza para controlar el flujo de información desde el servidor de acceso a los módems, utilizamos el subcomando de configuración de línea de IOS flowcontrol. El comando toma como parámetro la palabra clave hardware o software. Estas palabras clave representan los dos tipos de control de flujo compatibles. Con velocidades superiores a los 9.600 bps se recomienda el uso de control de flujo del hardware. Router#configure t Router(config)#line[rango de líneas] Router(config-line)#speed 115200 57
- 58. Router(config-line)#flowcontrol [hardware | software] Router(config-line)#^Z Una vez seleccionados los métodos de control de la velocidad y del control de flujo, hay que proporcionarle al servidor de acceso la información relativa al tipo de módem conectado y a la dirección del acceso telefónico. La información sobre el tipo de módem facilita la tarea de configuración de acceso telefónico al eliminar la necesidad de configurar los valores del módem de forma manual. Además, el servidor de acceso puede restablecer los valores del módem tras cada llamada para asegurar el funcionamiento adecuado del conjunto de accesos telefónicos. La información relativa a la configuración del acceso telefónico le dice al servidor de acceso cómo reaccionar a las señales enviadas por el módem durante el establecimiento de la llamada. El subcomando de configuración de línea de IOS modem se utiliza para configurar tanto el tipo de módem conectado como la dirección de acceso telefónico. Para configurar el tipo de módem utilizamos el comando modem autoconfigure. Este comando toma como parámetro la palabra clave discovery o type. La palabra clave discovery le da instrucciones al servidor al servidor de acceso para que intente determinar el tipo de módem conectado a fin de seleccionar los valores del mismo. La palabra clave type, seguida de uno de los tipos de módem predefinidos o definidos por el usuario, le da instrucciones al servidor de acceso para que seleccione los valores del módem del tipo con nombre. El software IOS admite muchos tipos de módems, entre los que se incluyen U.S Robotics Courier, el U.S Robotics Sportster Y Telebit T3000. Si no esta definido previamente el tipo, el usuario puede establecer tipos adicionales y los valores correspondientes mediante el comando de configuración de IOS modencap. Para establecer la dirección del acceso telefónico usamos como parámetro las palabras clave dialin o inout con el comando modem. Sugerencia_ Aunque las líneas asíncronas se utilicen solamente para dial-in, le recomendamos que establezca las líneas para operaciones inout durante la configuración inicial y la resolución de problemas. Esto le proporciona acceso al terminal virtual a través del protocolo Telnet directamente a la línea asíncrona para la configuración y la verificación manual del módem. Este método de acceso virtual se conoce como Telnet inverso. Una vez finalizada la configuración de la línea asíncrona, la seguridad del servidor de acceso es el siguiente paso del proceso de configuración. La primera es el proceso de autenticación, el proceso de identificar quien intenta acceder. La segunda fase es autorizar al usuario identificado para que realice tareas especificadas o darle al usuario acceso a servicios específicos. Para los propósitos de acceso telefónico por IP, introducimos un tipo de autenticación y un tipo de autorización que hace uso de la información del usuario configurado localmente. Estos comandos de autenticación y autorización hacen uso de la información del usuario configurada localmente. De manera opcional, podría utilizarse un servidor de acceso como TACACS+ o un RADIUS en lugar de la información configurada a nivel local. Para autenticar a los usuarios que intentan acceder a los servicios de IP a través de PPP, se utiliza el tipo de autenticación AAA de ppp. Se activa mediante el comando de configuración de IOS aaa authentication ppp. El comando toma como parámetro un nombre de lista de autenticación o la palabra clave default y uno o varios métodos de autenticación, como local o, TACACS+. 58
- 59. Una vez identificado el usuario PPP, hay que autorizar a dicho usuario para que pueda utilizar los servicios de red(uno de los cuales es PPP). Para autorizar el uso de los servicios de la red, utilizamos el comando aaa authorization network. Este comando toma como parámetro uno o varios tipos de autorización. Router#configure t Router(config)# aaa authentication default ppp local Router(config)# aaa authorization network default if-authenticated Router(config)#^Z La información de la autenticación para los usuarios PPP se configura a nivel local, por lo que hay que configurar los nombres de usuario y las contraseñas reales para autenticación. Esta información se configura mediante el comando de configuración global de IOS username. El comando toma como parámetro la identificación del usuario a utilizar para la autenticación, la palabra clave password y la contraseña a utilizar para autentificar al usuario. Aunque la contraseña se escribe en texto perfectamente legible, se convierte en una cadena cifrada si está activado el cifrado de contraseña. Router#configure t Router(config)#username [nombre de usuario]password [clave] Router(config)# username [nombre de usuario]password [clave] Router(config)#^Z El paso final para configurar los servicios de acceso telef ónico asíncronos de IP es ofrecer la información sobre el protocolo IP que se usa para establecer y mantener la sesión de acceso telefónico mediante IP. En vez de introducirse la información sobre el protocolo IP como subcomando de línea, la información del protocolo se asocia con el tipo de interfaz que representa la línea asíncrona, igual que con cualquier otro medio LAN o WAN. Este tipo de interfaz se denomina interfaz asíncrona, y cada línea asíncrona del servidor de acceso tiene una interfaz asíncrona correspondiente. La información del protocolo IP puede introducirse individualmente en cada interfaz asíncrona en la que pueden ocurrir sesiones de acceso telefónico, o sólo una vez mediante una interfaz asíncrona colectiva denominada interfaz asíncrona de grupo. La interfaz asíncrona de grupo puede utilizarse para simplificar las tareas de configuración cuando se apliquen los mismos comandos de configuración a varias interfaces asíncronas. Cuando se utiliza la interfaz de IOS group-range para identificar qué interfaces asíncronas individuales deberían incluirse en la estructura del grupo. La información del protocolo IP que se asigna a las interfaces asíncronas se divide en tres categorías: • La configuración de la dirección IP para la interfaz asíncrona. • La información de la dirección IP que se ofrece a los usuarios de acceso telefónico. • La información relativa a cómo debería funcionar IP y PPP en la interfaz asíncrona. Empezamos por examinar los comandos de funcionamiento de PPP e IP. En primer lugar hay que indicarle a la interfaz asíncrona que utilice PPP como método de encapsulación para los servicios IP. Para especificar el tipo de encapsulación, utilizamos el comando de configuración de interfaz de IOS encapsulation. El comando toma como parámetro una palabra clave(por ejemplo, pppo slip) que defina el tipo de encapsulación que se utiliza en la interfaz. Una vez configurado PPP, el administrador de la red tiene la opción de configurar la línea asíncrona para que funcione solamente como un puerto de servicios de red de acceso telefónico(es decir, al usuario sólo se le permite utilizar los servicios de red configurados en el puerto, como PPP o SLIP) o permitir que el usuario reciba un indicativo ejecutable en el acceso telefónico y elija manualmente que 59
- 60. servicio ejecutar. Para especificar el funcionamiento deseado, utilizamos el subcomando de configuración de interfaz de IOS async mode. El comando toma como parámetros la palabra clave interactive o dedicated para definir el funcionamiento deseado. El nivel de conocimientos del usuario de acceso telefónico y la manera de utilizar la interfaz asíncrona suelen determinar el modo a elegir: interactivo o dedicado. Si se configura un funcionamiento dedicado, se impide que el administrador de la red acceda telefónicamente y se le autorice a utilizar los comandos ejecutables. El modo interactivo puede admitir tanto comandos ejecutables como servicios de red. Sin embargo, el inconveniente del modo interactivo es que los usuarios poco experimentados pueden configurar mal su software de acceso telefónico y situarse en un indicativo ejecutable sin darse cuenta. Cuando se usa el modo interactivo, un conjunto adicional de comandos de línea simplifica el proceso de acceso telefónico para el usuario. Estos comandos permiten que el servidor de acceso determine el tipo de conexión que se está intentando sin exigir que el usuario especifique el servicio en un indicativo ejecutable. A ese proceso se le denomina selección automática. Se activa mediante el subcomando de configuración de línea de IOS autoselect. Este comando toma como parámetro una palabra clave que describe el protocolo de capa de enlace que se seleccionará automáticamente o el momento en que se realiza la selección automática (normalmente en el momento de autenticación del usuario). Usar la selección automática cuando está configurado el modo interactivo ofrece el método más sencillo para la mayoría de los usuarios para acceder a los servicios PPP e IP en el servidor de acceso. El último comando de operaciones PPP que se necesita en la interfaz le da instrucciones a PPP para que realice la autenticaci ón y autorización de los usuarios de acceso telefónico antes de establecer los servicios PPP e IP. Así se asegura que sólo obtienen acceso a los servicios de la red disponibles en el servidor de acceso los usuarios autorizados. Este comando también informa al servidor de acceso del protocolo de autenticación que se van ha utilizar entre el servidor de acceso y el cliente de acceso telefónico. Se pueden usar tres protocolos: Protocolo de autenticación de intercambio de señales de desafio(Challenge Handshake Authentication Protocolo, CHAP), Protocolo de Autenticación de intercambio de señales de desafió de Microsoft (Microsoft Challenge Handshake Authentication Protocolo, MS-CHAP) y Protocolo de autenticación de contraseña (Password Authentication Protcol, PAP). El subcomando de configuración de interfaz de IOS ppp authentication le da instrucciones el servidor de acceso para que realice el proceso de autenticación. El comando toma como parámetro la palabra clave chap, ms-chap o pap para especificar el protocolo de autenticación. En el mismo comando de configuración es posible especificar un solo protocolo o una combinación de varios si los usuarios de acceso telefónico acceden con varios protocolos de autenticación. El comando toma también una palabra clave opcional, calling, que le da instrucciones al servidor de acceso para que lleve a cavo la autenticación inicial solamente en las llamadas de acceso telefónico entrantes. El valor predeterminado es realizar la autenticación inicial tanto en las llamadas entrantes como en las salientes. Las implementaciones de algunos fabricantes no responden a las autenticaciones iniciales si reciben una llamada entrante. Con el gran número de usuarios de acceso telefónico de Microsoft de hoy en día, el administrador de la red podría elegir añadir 60
- 61. compatibilidad con Microsoft Point-to-Point Compresión, (MPPC). La compresión optimiza la transmisión de información a través de un medio como la línea de acceso telefónico, lo que permite que se transmita más información de la que sería posible normalmente. En líneas de acceso telefónico relativamente lentas que funcionan entre 28.800 y 53.000 bps, la compresión puede acelerar la velocidad a la que se transmite la información casi al doble. La compresión para los usuarios de acceso telefónico se realiza mediante el subcomando de configuración de interfaz de IOS compress. El comando compress toma como parámetro la palabra clave mmpc, stac o predictor para indicar el tipo de compresión que se ha de negociar cuando un usuario de acceso telefónico establece una conexión. Las palabras clave stac y predictor indican la utilización de los algoritmos de compresión STAC o Predictor. STAC es un algoritmo de compresión habitual que admiten muchos clientes de acceso telefónico, incluyendo sistemas de Windows 95 y sería una buena elección si se admite un grupo grande de usuarios de acceso telefónico de Windows 95 o que sean de Microsoft. Predictor es un algoritmo mucho menos habitual. La selección de Microsoft Point-to-Point Compresión se realiza mediante la palabra clave mppc. Dado que Windows NT solamente es compatible con MPPC y que Windows 95/98 admite tanto la compresi ón MPPC como la STAC, la selección de este algoritmo de compresión le ofrece la mayor flexibilidad al administrador de una red que integre varios sistemas operativos de Microsoft. Router#configure t Router(config)#interface group-async 1 Router(config-if)#group-range 1 16 Router(config-if)#encapsulation ppp Router(config-if)#async mode interactive Router(config-if)#ppp authentication chap ms-chap pap callin Router(config-if)#compress mppc Router(config-if)#line 1 16 Router(config-line)#autoselect ppp Router(config-line)#autoselect during-login Router(config-line)#^Z Teniendo definido el modo operativo de PPP, ahora es posible realizar el direccionamiento IP en las interfaces asíncronas. Normalmente, los usuarios de acceso telefónico por IP sólo cuentan con una dirección IP asociada con sus estaciones de trabajo. Lo podemos contrastar un router de acceso telefónico, que tiene todo un segmento de LAN conectado y necesita realizar enrutamiento con éxito en el sitio central para una comunicación adecuada. Como cada usuario de acceso telefónico individual utiliza una dirección IP en una conexión de acceso telefónico separada y, por tanto, una interfaz asíncrona separada, la dirección IP real de la interfaz asíncrona no resulta importante. De hecho, cada una de las interfaces asíncronas pueden tratarse como si residiera en el mismo espacio de dirección IP en una conexión de acceso telefónico separada y, por tanto una interfaz asíncrona separada, la dirección IP real de la interfaz asíncrona no resulta importante. De hecho cada una de las interfaces asíncronas puede tratarse como si residiera en el mismo espacio de direcci ón IP que la interfaz de LAN conectada. Estas interfaces asíncronas pueden tratarse incluso como si la dirección IP del usuario de acceso telefónico se asignara desde dicho espacio de dirección. Mirándolo desde una perspectiva diferente, el usuario de acceso telef ónico esta conectado lógicamente al segmento de LAN mediante un cable de gran longitud, la línea telefónica. No se asigna ninguna dirección IP a la línea telefónica de la misma forma que una estación de trabajo de LAN se conecta mediante un cable 10BaseT. La estación de trabajo recibe una dirección IP del mismo espacio 61
- 62. de direcciones de red IP que está asignado a la interfaz de LAN del servidor de acceso. El servidor de acceso tiene la responsabilidad de aceptar paquetes desde la LAN en nombre del usuario de acceso telefónico. Dirige dichos paquetes a la llamada telefónica de acceso adecuada. El servidor de acceso logra inyectando una ruta de host(una ruta de red con una máscara de red de 32 bits) en la tabla de enrutamiento del servidor de acceso cuando se establece una conexi ón de acceso telefónico y respondiendo a solicitudes ARP de las direcciones IP asignadas a las sesiones de acceso telefónico. Las interfaces asíncronas en si no tienen direcciones IP cuando utilizan el método anterior, así que puede usarse el subcomando de configuración de interfaz de IOS ip unnumbered para activar el procesamiento de IP en las interfaces asíncronas. Se utiliza para especificar la interfaz LAN del servidor de acceso como la interfaz de referencia. La ultima fase a la hora de establecer la conexión de acceso telefónico por IP en la interfaz asíncrona es configurar qué direcciones IP se asignan a un cliente de acceso telefónico en el momento de la conexión. El subcomando de configuración de interfaz de IOS peer default ip address determina el método utilizado para asignar una dirección IP al cliente de acceso telefónico. Especificando una dirección IP en particular como parámetro para el comando, es posible asignar direcciones IP individuales a cada interfaz asíncrona. Sin embargo, se precisa que cada una de las interfaces asíncronas se configure manualmente con la dirección IP que se asignará a los clientes de acceso telefónico que se conecten en esa interfaz. Un método más flexible consiste en asignar direcciones IP de uno o varios grupos de direcciones que se hayan establecido en el servidor de acceso con el comando parameter poll. Este método les ofrece también a los usuarios que han asignado direcciones IP permanentemente la flexibilidad de acceder a cualquier puerto del módem, ya que el servidor de acceso acepta la dirección IP sugerida del cliente de acceso telefónico si se encuentra en un grupo de direcciones predefinido. Cuando se especifica el método de grupos, va acompañado por un nombre específico de grupo de direcciones. Los grupos de direcciones se definen mediante el comando de configuración global de IOS ip local poll. Este comando toma como parámetro un nombre de grupo y las dicciones IP inicial y final que forman dicho grupo. Las direcciones IP deben ser de la misma red IP que la interfaz de LAN del servidor de acceso. Por supuesto, estas direcciones no deberían asignarse a ninguna estación de trabajo que resida en el segmento LAN. Aunque los grupos de direcciones son el método más flexible para asignar direcciones IP, no existe ningún método para coordinar la asignación a través de varios servidores de acceso. En esta situación, puede resultar mejor asignar direcciones desde un servidor central de autoridad de direcciones, como por ejemplo un servidor DHCP. Para adoptar este método, el software IOS actúa como un cliente DHCP proxy, solicitando una dirección IP del servidor DHCP en nombre del cliente de acceso telefónico. Este método de configuración se activa especificando el parámetro de palabra clave dhcp en el comando peer default ip address. El servidor de acceso debe estar también configurado con la dirección IP de un servidor DHCP para solicitar direcciones a través del comando de configuración global de IOS ip dhcp-server. Los grupos de direcciones definidos en el servidor DHCP contendrían direcciones de la dirección de red IP de la interfaz de LAN del servidor de acceso. Muchas implementaciones de PPP de clientes de acceso telefónico hacen uso de un método no estándar para obtener direcciones IP de los servidores de nombres DNS y NetBIOS/WINS durante el proceso de 62
- 63. establecimiento de la llamada. Este método se describe en la RFC informativa 1877, “PPP Internet Protocol Control Potrocol Extensions for Name server Addresses”. Aunque no es un estándar este método se ha instalado profusamente sobre todo en las implementaciones de acceso de Microsoft. El servidor de acceso puede admitir también los métodos descritos en la RFC 1877 para suministrar tanto las direcciones de nombres de usuario DNS como NetBIOS/WINS. Las implementaciones m ás antiguas utilizan el comando de configuración global de IOS asyncbootp para configurar estas opciones. Cuando se configuran las direcciones IP de los servidores DNS, el comando toma como par ámetro la palabra clave nbns-server, seguida de una o varias direcciones IP. Nota_ Aunque proporcionar direcciones de los servidores de nombres DNS y NetBIOS/WINS tienen poco que ver con BOOTP, se utilizó el comando async-bootp para activar esta característica en el software IOS añadiendo extensiones a los comandos del protocolo de negociaci ón SLIP BOOTP existentes. Este método se eligió en su momento en vez de crear comandos PPP y mecanismos separados para implementar una RFC no estándar. El inconveniente de usar el comando async-bootp para proporcionar direcciones de los servidores DNS y NetBIOS/WINS es que dicho comando es de configuración global de IOS. Esto conlleva que las direcciones configuradas mediante el comando se ofrezcan a todos los usuarios de acceso telefónico del servidor de acceso, sea cual sea la interfaz de acceso a la que puedan estar conectados. Ha demostrado ser un método poco flexible para los administradores de red que desean admitir varios tipos de conexiones de acceso telefónico o diferentes clases de usuarios y que desean proporcionar diferentes direcciones de servidor para dichas conexiones o usuarios. En las versiones m ás modernas del software IOS, el subcomando de configuración de interfaz de IOS ppp ipcp le ofrece al administrador de la red un control más granular de estas opciones por interfaz. Cuando se configuran las direcciones IP de los servidores DNS, el comando toma como par ámetro la palabra clave dns, seguida de una o dos direcciones IP. Router#configure t Router(config)#interface group-async 1 Router(config-if)#ppp ipcp dns [dirección ip][dirección ip] Router(config-if)#ppp ipcp wins [dirección ip] Router(config-if)#^Z CONEXIONES RDSI(ISDN) Al igual que el acceso telefónico asíncrono, el acceso RDSI(ISDN) supone la utilización de la red telefónica pública para permitir que los usuarios de las estaciones de trabajo remotas accedan a los servicios de una red cuando no están conectados directamente mediante una interfaz LAN o de WAN. RDSI se diferencia del acceso telefónico asíncrono en que las llamadas se transmiten usando señales digitales síncronas. Los datos se transforman en cadenas de información digital mediante las interfaces RDSI integradas en el router o mediante la utilización de dispositivos de conexión externos RDSI que se denominan adaptadores de terminal (TA). Los usuarios de las estaciones de trabajo remotas también pueden usar placas de PC RDSI integradas o TA externas para conectarse con el servicio RDSI. Muchas de las tareas de configuración necesarias para configurar los servicios de acceso telefónico asíncrono por IP se necesitan también para establecer los servicios de acceso telefónico RDSI por 63
- 64. IP. Sin embargo, a diferencia de la configuración asíncrona, no se precisan comandos de línea porque el router tiene una interfaz RDSI integrada directamente o porque el TA está conectado directamente a una interfaz serie asíncrona. Si el router tiene una interfaz RDSI integrada, cualquier comando que controle la interacción de la interfaz RDSI con la red RDSI se aplica directamente a la interfaz. Si el router se conecta a la red RDSI mediante un TA externo, se configura a través de sus propios métodos para la correcta interacción con la red RDSI. Esto reduce la configuración de los servicios de acceso telefónico RDSI por IP a dos tareas: establecer la seguridad y definir la información de IP. Al igual que las interfaces asíncronas, las interfaces RDSI pueden configurarse individualmente o como un grupo. Cuando se configuran como un grupo, los comandos de configuración para las diferentes interfaces RDSI están asociados con un tipo de interfaz denominada interfaz del que realiza la llamada. Las interfaces RDSI individuales se siguen configurando con sus comandos específicos de RDSI, como por ejemplo la información SPID. Sin embargo, los comandos operativos y del protocolo PPP y IP se configuran en la interfaz de quien realiza la llamada. Cada una de las interfaces RDSI incluida en la estructura de interfaces de quien realiza la llamada se configura con el comando dialer rotary-group. Este comando toma como parámetro un entero que representa a la interfaz de quien realiza la llamada a la que pertenece la interfaz. Al igual que con el acceso telefónico asíncrono, la autenticación de PPP y la autorización de red se realizan respectivamente con los comandos de configuración global de IOS aaa authentication ppp y aaa authorization network. El comando de configuración global de IOS username se utiliza para definir los nombres de usuario remotos que acceden a la red. Al igual que en las interfaces asíncronas, la información del protocolo IP que se asigna a las interfaces RDSI se divide en tres 64
- 65. categorías: • La información relativa a cómo debería funcionar IP y PPP en la interfaz RDSI. • La configuración de la dirección IP para la interfaz RDSI. • La información de la dirección IP que se ofrece a los usuarios de acceso telefónico. Como hemos visto con IP asíncrono, para establecer PPP como protocolo de capa de enlace de datos para IP en las interfaces RDSI usamos el subcomando de configuración de interfaz de IOS encapsulation. La activación de la autenticación de PPP antes de comenzar los servicios de red por IP y la especificación del protocolo de autenticación se realiza con el subcomando de configuración de interfaz de IOS ppp authentication. De forma opcional, puede añadirse compresión de Microsoft con el subcomando de configuración de interfaz de IOS compress mppc. RDSI es un servicio canalizado, es decir, que puede admitir varias conexiones a través de la misma interfaz física. Ello permite que los clientes de RDSI de acceso telefónico puedan establecer más de una conexión a la vez con un servidor de acceso. Esta capacidad ofrece a la estación RDSI de acceso telefónico acceso al doble de la capacidad de línea usando una sola interfaz física. La utilización eficaz de varios canales se realiza con una multiplexión de los datos a través de las diferentes conexiones usando un algoritmo de software para PPP denominado multienlace. El multienlace PPP puede activarse mediante el subcomando de configuración de interfaz de IOS ppp multilink. Para controlar cuándo están en funcionamiento o apagados los canales RDSI, se define una lista de paquetes interesantes mediante el comando de configuración global de IOS dialer-list. Este comando toma como parámetro protocolos de redes específicas que se deberían considerar interesantes para el propósito de hacer(o mantener) activo un canal. Además, pueden usarse listas de acceso para proporcionar mayor granulidad, a nivel de direcciones IP específicas y de tipos de servio de protocolo de transporte. Las reglas dialer-list se aplican a una interfaz a través del subcomando de configuración de interfaz de IOS dialer-group, que específica el número de la lista como parámetro del comando. Nota_ Un mayor control de la asignación del ancho de banda mediante el uso de varios canales RDSI se define en la RFC 2125 “Bandwidth Allocation Protocol (BACP)”. El protocolo de asignación de ancho de banda(Bandwidth Allocation Protocol, BAP), que es un subconjunto de BACH, ofrece un conjunto de reglas que rigen la asignación dinámica del ancho de banda por medio de un control de las llamadas (un m étodo estándar para incorporar y eliminar enlaces desde un conjunto multienlace). Los servidores de acceso y los clientes de acceso telefónico negocian las reglas bajo las que se añade o se elimina ancho de banda dinámico durante una sesión. BACH es una característica que se incorporó en la versión 11.4 del software IOS. La asignación de las direcciones IP de las interfaces RDSI del servidor de acceso y de las estaciones de trabajo de acceso telef ónico remoto funciona de la misma forma que con las interfaces as íncronas. No es necesario asignar direcciones IP específicas a las interfaces RDSI del servidor de acceso telefónico RDSI. La interfaz puede configurarse sin numeración mediante el subcomando de configuración de interfaz de Cisco IOS ip unnumbered. Es posible asignar las direcciones IP de los clientes de acceso telefónico remoto con cualquiera de los tres métodos examinados anteriormente usando el 65
- 66. subcomando peer default ip addres. Entre estos métodos se incluye asignar una dirección IP remota individual asociada con cada una de las interfaces RDSI, usando un grupo de direcciones IP que se asignarán a los clientes RDSI remotos o asignando las direcciones IP obtenidas del servidor DHCP a los clientes RDSI remotos. También pueden proporcionarse direcciones IP de los servidores de nombres DNS y NetBIOS/WINS a los clientes de acceso telef ónico por RDSI usando los métodos de la RFC 1877. Al igual que con las interfaces asíncronas, a los clientes RDSI se les ofrece esas direcciones configurando los comandos de configuración global de IOS async-bootp dns-server y async-bootp nbns-server, o los subcomandos de configuración de interfaz de IOS ppp ipcp dns y ppp ipcp wins. Usando cualquiera de los métodos, se ofrecen direcciones IP como parámetros de comandos. VERIFICACIÓN DE LA CONECTIVIDAD IP Y SOLUCION DE PROBLEMAS. En algún momento todos los administradores deben solucionar la queja de un usuario que no puede llegar a algún destino de la red. La ausencia de conexión puede ser el resultado de fallos en la red causados por problemas en el servicio WAN, una mala configuraci ón de los routers u otros dispositivos de la red, controles de listas de acceso(intencionados o no) y otras miles de posibilidades. Aunque no existe sustituto para el equipo de prueba de la red, como los analizadores de protocolos, el router, sí se proporcionan varias herramientas de gran utilidad para verificar la conectividad IP e investigar los problemas potenciales. El router debería de tener una ruta específica o algún tipo de ruta predeterminada o resumen a todos los destinos a los que pueda llegar una estación IP. Una de las mejores herramientas para solucionar los problemas es el comando show ip route. Cuando una estación tiene problemas para conectarse con otras estaciones(ya sea dentro o fuera de la Intranet), uno de los primeros pasos para la resolución de problemas es verificar que el router más próximo al usuario cuenta con una ruta a la dirección IP de destino. Si no se encuentra una ruta específica o si no está presente la ruta predeterminada o resumen esperada, probablemente haya que investigar los protocolos de enrutamiento dinámico para determinar porque no está presente la ruta. ¿EL ENLACE ESTA OPERATIVO? Hardware(nivel físico) - Cable - Conectores - Interfaces 66
- 67. Nivel de enlace de datos - Mensajes keepalive - Información de control - Información de usuario Sh controle int Comprueba a nivel físico cuando una interfaz esta down. COMANDO PING Si se establece que existe una ruta hacia el destino deseado, se debería probar para determinar si el router puede llegar el destino. Los usuarios de UNÍS están familiarizados con el comando ping, que es un acrónimo de Paket Internet Groper. El comando ping, que se ejecuta en el router, hace uso del Protocolo de control de mensajes IP(IP Control Message Protocol, ICMP) para enviar peticiones de eco a una dirección IP de destino. La estación que recibe la petición de eco ICMP envía una respuesta de eco ICMP. De esta manera, una estación origen puede determinar si se puede contactar con la estaci ón de destino y cuanto tiempo tarda aproximadamente la petición de eco y la respuesta en llegar y volver de la estación de destino. El router envía un número de peticiones de eco ICMP e informa mediante el signo exclamación(!)que se reciben todas las respuestas. También informa del número de intentos de peticiones de eco y del número de respuestas de eco recibidas, además de calcular el porcentaje de pings que han tenido éxito. También se calculan los tiempos mínimos y máximos y medios de respuesta. Nota_ Cuando un router hace un ping a una dirección IP por primera vez o tras un prolongado periodo de tiempo, no suele recibir la primera respuesta de eco, lo que tiene como consecuencia que se respondan cuatro de las cinco respuestas al ping. Esto se debe a que el router debe esperar una resolución ARP de la dirección IP antes de enviar las respuestas de eco. Normalmente, la respuesta ARP no llega a tiempo para que se envié la primera petición de eco y se reciba la respuesta antes de que expire el tiempo de la petición. DIFERENTES CARACTERES DE RESPUESTA QUE SE PUEDEN RECIBIR COMO RESULTADO DE UN PING. ! Cada signo de exclamación indica la recepción de una respuesta. La respuesta de eco se recibió satisfactoriamente. . Cada punto indica que el servidor de la red agoto el tiempo esperando una respuesta. La petición de eco seguramente llegó al destino, pero éste no consiguió responder o no tenía una ruta de regreso al origen de la petición. U No se puede acceder al destino. La dirección IP de destino no coincide con una dirección MAC o no permite peticiones de eco ICMP. El router emisor ha recibido un mensaje “destination unreachable” de ICMP. N No se puede acceder a la red. No hay ruta a la red de destino para la dirección IP de destino. El router emisor ha recibido un mensaje “network unreachable” de ICMP. Q Se solicita que deje de enviar el origen. La dirección IP de destino esta recibiendo más paquetes de los que puede almacenar en la memoria intermedia. El destino a enviado al router un mensaje “source quench” de ICMP diciéndole al remitente que retroceda. M No se pudo realizar la fragmentación. Un paquete ha excedido la unidad máxima de transmisión de un segmento 67
- 68. de la red en la ruta hacia el destino y se ha activado el bit no fragmentar. El router emisor ha recibido un mensaje “could no fragment” de ICMP. A No se puede acceder administrativamente al destino. Se ha descartado el paquete a la dirección de destino al encontrar un filtro de paquetes o un firewall. El router emisor ha recibido un mensaje “administratively unreachable” de ICMP. ? El paquete es de tipo desconocido. El router emisor ha recibido una respuesta desconocida a la petici ón. El comando Ping tiene tanto versión privilegiada como no privilegiada. En el modo ejecutable de usuario, la versión no privilegiada solamente permite que el usuario especifique una dirección IP. La versión privilegiada, disponible con el modo ejecutable activado, permite que el usuario modifique parámetros de la petición de eco, incluyendo el número de peticiones, el tamaño de los paquetes enviados, el valor del tiempo de espera, la direcci ón IP de origen de la petición, el modelo de datos de la petición de eco y otros muchos valores. Si se sospecha que la falta de conectividad se debe a la ausencia de una ruta en el router de flujo descendente o a que un paquete está tomando una ruta incorrecta, el router cuenta con un comando denominado trace que permite verificar la ruta que sigue un paquete hasta alcanzar la dirección IP de destino. La función trace es similar a la utilidad traceroute de UNÍS. Al igual que el comando ping, el comando ejecutable de IOS trace tiene tanto versión privilegiada como no privilegiada. LA versión privilegiada permite que el usuario modifique los parámetros, al igual que con el comando ping. La función trace hace uso del mensaje “TTL-Expired”(Time To Live) para identificar los routers en una ruta hacia la direcci ón IP de destino. El router de origen envía un paquete UDP con un TTL de 1 hacia el destino. El primer router de la ruta recibe el paquete y disminuye el campo TTL en 1. En consecuencia, el TTL expira (llega a 0) y el router no reenvía el paquete. En su lugar, este primer router de la ruta devuelve un mensaje “TTL-Expired” de ICMP al origen del paquete, de modo que éste conoce ahora el primer salto de router de la ruta. El router de origen envía ahora otros paquetes UDP, pero establece el TTL en 2. El primer router de la ruta recibe el paquete, disminuye el TTL a 1 y reenvía el paquete al segundo router de la ruta. El segundo router recibe el paquete, disminuye el TTL a 0 y no reenvía el paquete porque ha espirado el TTL. El segundo router devuelve un mensaje “TTL-Expired” de ICMP a la estación origen y ahora el router de origen conoce el segundo router de la ruta. Este proceso continua hasta que el paquete llega a la dirección IP de destino final. El paquete se dirige a puertos UDP con número alto, normalmente superior a 33434, que no admite el dispositivo de destino. Por tanto , la dirección IP de destino responde con un mensaje “Port unreachable” de ICMP, que alerta al router de origen de que se ha llegado al destino final. Los valores del tiempo que aparecen tras el nombre y las direcciones IP de los routers en la ruta de red, representan una aproximación del tiempo de ida y vuelta transcurrido desde la dirección de origen del router de la ruta. Para cada dirección IP de destino aparecen hasta tres valores de tiempo, uno por cada uno de los tres paquetes(sondas). Algunos dispositivos tienen limitaciones en la velocidad a la que pueden responder con mensajes ICMP. En dichos dispositivos podrían aparecer menos de tres valores de tiempo. Por cada sonda que no responde al dispositivo por limitaciones de velocidad, aparece un asterisco en lugar del valor de tiempo. Además de limitar la velocidad de los mensajes ICMP es posible 68
- 69. que algunos routers de la ruta no respondan con un mensaje “TTLExpired” de ICMP. Algunos pueden volver a usar el TTL del paquete entrante, lo que provoca la caducidad del TTL del mensaje ICMP antes de que el mensaje pueda regresar al remitente. Y en algunos casos, los filtros de paquetes pueden evitar que los paquetes de respuesta de ICMP llegen al router de origen. En todos estos casos en la l ínea de salida se ve una línea de asteriscos en vez de la información de la dirección. La versión privilegiada del comando trace permite el ajuste de los parámetros del comando, incluyendo si las direcciones IP se resuelven de forma inversa a los nombres de host, el número de sondas enviadas por cada fase TTL, un valor mínimo y máximo de TTL, etc. Si una estación a la que se puede acceder mediante una interfaz de LAN conectada directamente no responde, la razón puede ser que el router no sea capaz de asignar la dirección IP a la dirección MAC. Para comprobar las direcciones MAC que el router ha sido capaz de resolver, utilizamos el comando ejecutable de IOS show ip arp. Este comando toma como parámetro una dirección IP específica, una interfaz específica o una dirección MAC de 48 bits específica. Sólo muestra las entradas ARP para dicho parámetro. Si no se introduce ningún parámetro, aparecen todas las entradas ARP de IP. La salida del comando incluye la asignación IP de ARP, la antigüedad de la entrada en la tabla y la interfaz a la que está asociada la entrada ARP(el router elimina una entrada ARP de la tabla ARP tras cuatro horas de manera predeterminada). Las estadísticas generales sobre el funcionamiento del protocolo IP en el router pueden obtenerse con el comando show ip traffic. Incluye contadores para información como el número total de paquetes recibidos y enviados por el router, el número de transmisiones recibidas y enviadas, estadísticas de protocolo ICMP/UDP/TCP y muchas más cosas. Estas estadísticas pueden ayudar a determinar si el router ha enviado o recibido un eco ICMP, si una dirección IP no logra resolver una dirección MAC(lo que se conoce con un fallo de encapsulación) y donde se están enviando o recibiendo ciertos paquetes de protocolos de enrutamiento. Los comandos de show ip traffic son acumulativos y solamente se ponen a cero cuando se vuelve a cargar o reiniciar el router. Los contadores de la salida de show ip traffic cuentan tanto los eventos que han ocurrido como los tipos de paquetes que se han enviado y recibido. Si los contadores de fallos de encapsulación aumentan, indicaran que el router no ha recibido respuestas ARP a sus peticiones ARP para los paquetes que intercambian conmutarse a las interfaces de destino y que éstos se descartaron. El contador de echos ICMP indica cuántos pings está generando el router, mientras que el contador de contestaciones de echos indica el número de pings al que está respondiendo. Existen numerosos comandos ejecutables de IOS debug para ayudar a determinar el funcionamiento de IP en el router. Estos comandos debug ofrecen una salida de diagnostico tanto general como detallada que pueden ayudar a la hora de solucionar problemas y comprobar el funcionamiento del router, los protocolos de enrutamiento y otras funciones. COMANDOS DEBUG PARA IP Debug ip routing Muestra los cambios que ocurren en la tabla de enrutamiento como resultado de incorporaciones y supresiones de rutas. Degug ip packet 69
- 70. Muestra las direcciones IP de origen y destino de los paquetes que atraviesan el router. Este comando debug puede sobrecargar al router, así que debe usarse con precaución. Se recomienda que se utilice una lista de acceso junto con este comando para limitar la carga de la CPU. Debug ip udp Muestra los paquetes UDP enviados al router Debug ip icmp Muestra los paquetes ICMP enviados al router y generados por él. Debug arp Muestra las peticiones ARP generadas por el router y las respuestas enviadas a él. Los comandos de depuración de los distintos protocolos de enrutamiento dinámico son, entre otros: debug ip rip, degug ip eigrp, debug ip igrp, debug ip ospf y debug ip bgp. Todos ellos tienen parámetros opcionales que controlan qué información de depuración del protocolo de enrutamiento ve el usuario. Hay que tener mucho cuidado al utilizar algunas de las versiones de estos comandos, ya que utilizan muchos recursos de la CPU. Sugerencia_ Cuando se utilicen los comandos debug, que se sabe que aumentan la carga de la CPU, no los ejecute en el puerto de la consola. En su lugar, desactive el registro de la consola mediante el comando de configuración global de IOS no logging buffered. A continuación ejecutamos el comando desde una sesión de terminal virtual y vemos la salida de dicha sesión. Si la sesión no responde, puede usarse la consola para desactivar la depuración, ya que ésta tiene mayor prioridad que la sesión de terminal virtual. La salida de depuración puede verse entonces en el búfer del registro mediante el comando ejecutable de IOS show log. Si esta activado syslog, también puede verse la salida del archivo de registro del servidor syslog. CONFIGURACIÓN DE LOS SERVICIOS DE DENOMINACIÓN DE DOMINIO. En las redes TCP/IP actuales, la mayoría de la gente hace referencia a los servidores, las impresoras, las estaciones de trabajo y otros dispositivos IP por sus nombres más que por sus direcciones IP. Recordar las direcciones IP puede resultar fácil para el administrador de la red que esta muy familiarizado con ella, pero para el usuario medio, resulta más sencillo recordar el nombre de un sistema. Para este fin, los servidores que convierten los nombres en direcciones IP, denominados servidores del Servicio de denominaci ón de dominio (Domain Name Service, DNS), suelen residir en algún lugar de la Intranet de una entidad. Los routers pueden hacer uso del sistema DNS para convertir los nombres en direcciones IP y para ayudar a reducir el número de direcciones IP que debe recordar el administrador. DNS suele venir activado en el software Cisco IOS. Sin embargo, si se ha desactivado, puede restablecerse mediante el comando de configuración global de IOS ip domain-lookup. Una vez activado DNS, debería configurarse un dispositivo IOS con el nombre de domino en el que resida y con la dirección IP de los servidores de nombres DNS que pueda utilizar para la resolución de nombres. El nombre de dominio puede configurarse mediante el comando de configuración global de IOS ip domain-name. El servidor(es) de nombres DNS puede configurarse mediante el comando de configuración global de IOS ip name-server. El comando ip name-server toma una o varias direcciones IP de servidores de nombres como parámetros. Si el dispositivo IOS reside dentro de varios 70
- 71. dominios DNS, puede usarse el comando de configuración global de IOS ip domain-list para especificar una lista de nombres de dominio que deberían ser postergados a nombres inhábiles. Para comprobar la configuración del DNS en el router, podemos utilizar el comando ejecutables de IOS show host. Además, el comando show host muestra una lista de hosts a los que se les ha convertido el nombre a dirección IP y también la antigüedad de cada entrada. Las asignaciones de nombres de host a dirección IP pueden también configurarse de manera estática en el router en las situaciones en las que no se encuentren disponibles los servidores DNS, se prefiera crear nombres especiales diferentes a los DNS o se desee asignar puertos de servidores terminales individuales a direcciones IP. La asignación de nombre estático a dirección IP se configura con el comando de configuración global de IOS ip host. El comando ip host toma como parámetros un nombre de host, un puerto opcional del protocolo Telnet y una o varias direcciones IP a las que se puede convertir el nombre de host. Las asignaciones estáticas de nombre de host a dirección IP pueden verificarse también mediante el comando show host. Las entradas estáticas de la tabla de nombres de host pueden distinguirse de las que se conocen mediante DNS por el campo Flags para la entrada del nombre de host. Un tipo de indicador Temp. Indica que el nombre se conoció de forma dinámica mediante DNS y ha salido temporalmente de la tabla tras un periodo de tiempo. Un tipo de indicador perm indica que el nombre se configuró estáticamente y nunca se suprimirá de la tabla con el tiempo. Las entradas temporales de la tabal de host IP pueden borrarse mediante el comando ejecutable de IOS clear host. Las asignaciones individuales de nombres de host pueden borrarse introduciendo un nombre de host como parámetro para el comando. Si se introduce un asterisco como parámetro, pueden borrarse todas las entradas de host temporales. REENVÍO DE DIFUSIÓN IP Una de las ventajas que ofrecen los routers en una red es la restricción de los paquetes de difusión IP y MAC al segmento de LAN local. La mayoría de las difusiones se utilizan para solicitar información como una dirección MAC desconocida para una dirección IP (ARP) en un segmento local, por lo que aislar las difusiones al segmento de LAN local no presenta problemas inherentes y es altamente beneficioso para el rendimiento de la red. En algunas situaciones las estaciones IP utilizan las difusiones UDP para localizar servicios que pueden no estar en el segmento de LAN local. Por ejemplo, las aplicaciones que utilizan NetBIOS sobre IP usan difusiones UDP para localizar el tipo de servicio particular que necesita el usuario. Si el servicio reside en un segmento de LAN que no sea al que está conectado la estación del usuario, el router bloquea la difusión, con lo que el servicio deja de estar disponible. Otros servicios, como DCHP y Bootstrap Protocol (BOOTP), env ían difusiones UDP para ayudar a las estaciones IP a determinar sus direcciones IP durante el proceso de inicio; las difusiones las reciben servidores que asignan direcciones. Si dichos servidores residen fuera del segmento de LAN local, una estación IP no puede recibir una dirección IP asignada por el usuario. Para compensar las características de aislamiento de la difusión del router, el software IOS tiene la capacidad de reenviar difusiones UDP a un host o subred específica. Esta característica, que se denomina reenvío de difusión de IP, se activa utilizando el subcomando de configuración de interfaz de IOS ip helper-address y el comando de 71
- 72. configuración global de IOS ip forward-protocol. Una aplicación habitual de estos comandos es reenviar las peticiones de direcciones DCHP desde un segmento de LAN local al segmento de LAN en el que reside el servidor DCHP. Para activar el reenvío de difusiones, podemos aplicar el comando ip helper-address a los segmentos en los que el router recibe las difusiones. El comando ip helper-address toma como parámetro una dirección IP de host de host o una dirección IP de difusión. La dirección que se introduce es una dirección de host del servidor DCHP específico o la dirección de difusión del segmento de LAN en el que reside el servidor DCHP. En vez de reenviarse directamente al servidor DCHP, la difusi ón podría reenviarse al segmento de LAN en el que reside el servidor DCHP. Esta alternativa resulta de gran utilidad cuando hay m ás de un servidor DCHP que podría contestar a la petición. El comando ip helper-address se utiliza para especificar dónde se deberían reenviar las difusiones. El comando ip forward-protocol se utiliza para controlar qué emisiones UDP se reenvían. De manera predeterminada, se reenvían varios tipos de difusión UDP siempre que se aplica a la interfaz el comando ip halper-address: • Protocolo de transferencia de archivos trivial(trivial File Transfer Protocol, TFTP) (puerto 69). • Sistema de denominación de dominio(puerto 53). • Servicio de tiempo(puerto 37). • Servidores de nombres NetBIOS(puerto 137). • Servidor de datagramas NetBIOS(puerto 138). • Datagramas de clientes y servidores del protocolo Boot(BOOTP)(puertos 67 y 68). • Servicio TACCS(puerto 49). Si hay una aplicación que emita en un puerto que no aparezca en la lista y hay que reenviar sus difusiones, utilizamos el comando ip forward-protocol para especificar que el tipo de difusión particular debería incluirse entre los que se reenvían. Con la incorporación de la palabra clave no, también es posible utilizar este comando para restringir que se reenvíe cualquiera de los protocolos predeterminados. El comando ip forward-protocol toma como parámetro el tipo de reenvío a realizar(como por ejemplo, UDP) y el número de puerto específico de protocolo a reenviar. La configuraciones de ip helper-address se puedenverificar con el comando show interface. Nota_ Otras referencias: otras aplicaciones de difusión La técnico de reenvío de difusión que hemos visto esta diseñada para satisfacer las demandas de un entorno de reenvío de difusión limitado. Se ajusta a la perfección a tareas como el reenvío de peticiones de direcciones IP mediante DCHP o BOOTP a un servidor o grupo de servidores que residan en una ubicación central de la red. Existen otras aplicaciones para las que se puede necesitar un reenvío de más considerable. Estas aplicaciones suelen utilizar difusiones para compartir información entre un elevado grupo de usuarios de estaciones de trabajo a través de una gran parte de la red. Dichas aplicaciones no son muy convenientes para el modelo de direcciones helper. En su lugar, necesitan técnicas avanzadas, como el desbordamiento de UDP y la duplicación difusión a multidifusión, para evitar que se inunde la CPU del router por el trafico y la duplicaci ón de paquetes de difusión. 72
- 73. ASIGNACIÓN DE DIRECCIONES DINÁMICAS CON UN SERVIDOR DCHP DE IOS. En la sección anterior tratamos el reenvío de peticiones de asignación de direcciones DCHP como una de las aplicaciones para el reenvío de difusión de IP. Cuando un router reenvía estas peticiones de asignación de dirección, se dice que actúa como un agente de retransmisión DCHP. El papel del agente de retransmisión DCHP es recibir las difusiones locale de las LAN para la asignación de direcciones y reenviarlas a un servidor DCHP identificado previamente. El servidor DCHP suele ser una estación de trabajo o un servidor como un sistema UNIX o Windows NT que ejecuta un paquete de software o un servicio de servidor DCHP. De forma alternativa, un router o un servidor de acceso basado en IOS puede servir como fuente para las asignaciones dinámicas de direcciones. El servidor DCHP del software IOS funciona de forma similar a los servidores DCHP basados en estaciones de trabajo, aceptando peticiones/renovaciones de asignación de direcciones y asignando las direcciones desde grupos predefinidos de direcciones denominados conjuntos. Los conjuntos de direcciones pueden configurarse para proporcionar información adicional al cliente que lo solicite, como la(s) dirección(es) de los servidores DNS, el router predeterminado y otro tipo de información útil. El servidor DCHP de IOS pueden aceptar difusiones de segmentos LAN conectados a nivel local o de peticiones DCHP que hayan reenviado otros agentes de retransmisión DCHP dentro de la red. Nota_ Aparte del servidor DCHP basado en el software IOS, Cisco Systems fabrica un servidor DNS y DCHP basado en estaciones de trabajo denominado Cisco Network Registrar que se ejecuta en sistemas operativos como Solaris, HP-UX y Microsoft Windows. Para tomar la decisión de utilizar el servidor DCHP basado en IOS o un servidor DCHP basado en estaciones de trabajo, hay que tener en cuenta muchos factores, incluyendo el tamaño de la red, el número de nodos que necesitan direcciones dinámicas, la frecuencia de las peticiones y renovaciones de direcciones, la necesidad de redundancia y los costes. En general, el servidor DCHP basado en IOS es más práctico en redes pequeñas o de mediano tamaño para un modelo descentralizado, como, por ejemplo varias oficinas remotas. Los servidores DCHP basados en estaciones de trabajo son más apropiados para grandes organizaciones que necesiten redundancia y un esquema de administración muy centralizado. El servidor DCHP de IOS participará normalmente en dos fases del proceso de asignación de direcciones: la DHCPOFFER y la DHCPACK. Cuando un cliente DHCP solicita una dirección del servidor DCHP. El cliente DCHP envía un mensaje de difusión DHCPDISCOVER para localizar a un servidor DCHP. Un servidor DCHP ofrece parámetros de asignación de direcciones al cliente en una respuesta de unidifusión DCHPOFFER. El cliente DCHP le devuelve entonces un mensaje de difusi ón formal DCHPREQUEST para la asignación de direcciones ofertada al servidor DCHP. El servidor DCHP envía una respuesta de unidifusión DCHPPACK para indicar que las direcciones solicitadas se le han asignado al cliente. Los cuatro pasos que se ilustran en la figura representan el proceso normal de negociación de direcciones sin errores ni conflictos. El proceso completo de asignación de direcciones, incluyendo el tratamiento de los mensajes DCHPDECLINE, se describe en la RFC 2131, “Dynamic Host Configuration Protocol”. 73
- 74. Para activar que el router basado en IOS o el servidor de acceso Haga de servidor DCHP, hay que realizar cuatro fases de configuraci ón principales: • Identificar la ubicación para registrar la información de las asignaciones DCHP. • Crear una lista de direcciones IP que excluir de la asignaci ón dinámica. • Crear un conjunto de direcciones que utilizar para la asignaci ón dinámica. • Añadir atributos adicionales a los conjuntos de direcciones que se proporcionarán a las estaciones que lo soliciten. El primer paso para activar el servidor DCHP de Ios es configurar una ubicación en la red para registrar y almacenar las asignaciones de direcciones DCHP (denominadas también conjuntos). Esta ubicación suele ser una estación de trabajo o un servidor que admita TFTP, FTP o el protocolo de transferencia de archivos RCP. Especificar esta ubicación permite que el router o el servidor de acceso se reinicie sin perder información sobre que direcciones están asignadas a qué sistemas de cliente DCHP. Además, proporciona una ubicación para registrar los conflictos de asignación de direcciones que pueden surgir durante el proceso de negociación de DCHP. Para especificar la ubicación, utilizamos el comando de configuración global de IOS ip dchp database. El comando toma como parámetro un URL que especifica la dirección y el nombre de archivo de servidor que utiliza para el registro. El comando de configuración puede repetirse varias veces para determinar el almacenamiento de varios conjuntos en múltiples servidores. Durante el de asignación de direcciones, el servidor DCHP de IOS pretende asegurar que la dirección IP que se ofrece no está en uso. Lo hace enviando una serie de paquetes ping a la dirección que se ofrece antes de responder al cliente DCHP. Si la dirección está en uso, se registra como un conflicto y no se ofrece hasta que el administrador de la red lo resuelve. Si no hay ningún servidor disponible para el registro de conjuntos de direcciones DCHP y el comando ip dchp database no está configurado, también debe desactivarse el registro de los conflictos DCHP. La desactivación del registro de conflictos se lleva a cabo con el comando de configuración global de IOS no ip dchp conflict 74
- 75. logging. Cuando se establece una ubicación para registrar los conjuntos, se crea una lista de direcciones que se deberían excluir como asignaciones ofertadas de forma dinámica. Esta lista incluye la dirección de los routers en un rango de direcciones determinado, cualquier dirección asignada de manera estática o una dirección que debería estar reservada y no ofrecerse a ningún cliente DCHP. Para construir estas listas, utilizamos el comando de configuraci ón global de IOS ip dchp excluded-address. El comando puede representar las direcciones inicial y final de un rango de direcciones IP. El comando puede repetirse varias veces en la configuración para excluir varias direcciones IP que no sean continuas o que abarquen varios conjuntos de asignación de direcciones IP. El paso final para activar el servidor DCHP de IOS es la definición de los conjuntos de asignaciones de direcciones IP que se utilizan para proporcionar las direcciones dinámicas. Como mínimo, el conjunto de direcciones DCHP especifica el rango de direcciones que se ofrecerán a los clientes DCHP que soliciten direcciones (sin incluir las direcciones excluidas). Es posible definir más de un conjunto en el servidor DCHP de IOS si hay varios segmentos de LAN conectados al router o servidor de acceso que actúa como servidor DCHP o si sirve direcciones para varios segmentos de LAN en cualquier parte de la red. El comando de configuración global de IOS ip dchp pool establece un conjunto de asignaciones de direcciones. El comando toma como parámetro o una cadena arbitraria que describa el conjunto, o un número entero. Una vez definidos, los comandos de conjuntos de direcciones adicionales se introducen desde el modo de subcomando de configuración de DCHP, que denota el indicador (config-dchp)#. El subcomando de configuración DCHP de IOS network se utiliza para definir el rango de direcciones que ofrecerá a los clientes DCHP un determinado conjunto de direcciones. El subcomando network precisa dos parámetros, una dirección de red IP y un máscara de red o máscara de recuento de bits. Las direcciones de red y las máscaras especificadas para un conjunto determinado deberían corresponderse con la dirección de red y la máscara del segmento de LAN para las que ofrecerá direcciones este conjunto. Cuando el servidor DCHP proporcione direcciones para varios segmentos de LAN, deber ían definirse conjuntos DCHP separados, cada uno con un comando network con la dirección y la máscara apropiada para dicho segmento de LAN. Otros subcomandos de configuración de DCHP permiten que el administrador de la red configure el servidor de IOS de forma que proporcione información suplementaria al cliente DCHP utilizando el proceso de negociación de direcciones. La información adicional suele ser la(s) dirección(es) del router predeterminado del cliente en el segmento de Lan, las direcciones de los servidores DNS, las direcciones de los servidores NetBIOS/WINS y otro tipo de informaci ón que tendría que configurar manualmente en cada uno de los clientes bien el usuario, bien el administrador de la red. La siguiente es la lista de los subcomandos de configuración DCHP que se configuran más frecuentemente: • Subcomando domain-name. Especifica el nombre del dominio DNS al que pertenece este cliente. • Subcomando dns-server. Especifica una o varias direcciones IP de los servidores DNS que puede solicitar el cliente para resolver los nombres de direcciones IP. • Subcomando netbios-name-server. Especifica una o varias direcciones IP de servidores NetBIOS/WINS a los que pueden preguntar los clientes NetBIOS(normalmente estaciones de trabajo de Microsoft) para localizar los recursos de red. 75
- 76. • Subcomando default-router. Especifica una o varias direcciones IP de un router predeterminado a las que los clientes pueden reenviar los paquetes para los destinos desconocidos. • Subcomando lease. Especifica cuánto tiempo es válida una dirección asignada DCHP (un contrato) antes de necesitar renovación. Los subcomandos dns-server, netbios-name-server y default-router toman como parámetros de una u ocho direcciones IP con las que puede contactar el cliente para cada una de dichas funciones. El subcomando domain-name toma como parámetro una cadena arbitraria que representa el nombre del dominio DNS para el cliente. El subcomando lease toma como parámetros hasta tres enteros para especificar el número de días, horas y minutos que es válida una dirección asignada. También puede usarse la palabra clave infinite para especificar que un contrato es válido un periodo limitado de tiempo. El subcomando netbios-node-type toma como parámetro los valores de los caracteres b, p, m, o h, que representan un nodo de difusión de NetBIOS, un nodo igual a igual, un nodo mixto o un nodo híbrido , respectivamente, para indicar el modo operativo del cliente. Si no esta familiarizado con estos modos operativos, se recomienda seleccionar el modo h íbrido. Como mencionamos anteriormente, es posible configurar varios conjuntos de direcciones DCHP en el mismo servidor DCHP de IOS. A la colección del conjunto de direcciones DCHP en dicho servidor se la conoce como base de datos DCHP. La base de datos DCHP está organizada en una estructura jerárquica o de árbol, de modo que un conjunto de direcciones puede ser una subred de la dirección de red del conjunto de direcciones DCHP diferente. La estructura jerárquica permite que las propiedades las herede el conjunto de direcciones, que es una subred de la otra. Las propiedades comunes a varios conjuntos deber ían definirse como el nivel de red o de subred más alto apropiado para el servidor DCHP o la red que se esta configurando. Cuando estén definidos los conjuntos de direcciones y sus propiedades, y el servidor DCHP de IOS haya comenzado a asignar direcciones IP, se puede verificar el funcionamiento del servidor DCHP utilizando varios comandos ejecutables de IOS. La verificaci ón de que el servidor DCHP de IOS registra la información de las asociaciones y los conflictos en la estación de trabajo o servidor configurado se realiza a través del comando ejecutable de IOS show ip dchp database. Este comando utiliza como parámetro la dirección URL para mostrar la información acerca de una ubicación específica para las bases de datos del registro. Si no se introduce ninguna, aparece la informaci ón de todas las ubicaciones. La salida del comando show ip dchp database indica la ubicación en la que se escribe la información de las asociaciones, la fecha y hora en la que se leyó o se escribió por última vez en la base de datos de asociaciones, el estado de la última lectura o escritura, y el número de veces que se ha conseguido o no escribir en la base de datos de asociaciones. Es posible ver determinadas asignaciones de direcciones con el comando ejecutable de IOS show ip dchp binding. Si se introduce en el comando una dirección IP como parámetro opcional, sólo se mostrará la información de las asociaciones de dicha dirección; en caso contrario, aparecerá la de todas. La información de los conflictos de direcciones que se han producido cuando el servidor DCHP de Ios intentaba asignar una dirección a un cliente DCHP se pueden ver con el comando show ip dchp conflic. Si se introduce en el comando una dirección IP como parámetro opcional, sólo se mostrará la información de los conflictos de dicha dirección (si hay información); en caso contrario, aparecerá la de 76
- 77. todas. La columna Detection Meted indica qué método ha utilizado el servidor DCHP de IOS para determinar que la dirección estaba en conflicto. El método de detección ping indica que antes de la asignación de direcciones, el servidor DCHP de IOS ha intentado hacer un ping a la dirección y ha recibido una respuesta correcta. El método de detección Gratuitous ARP indica que antes de la asignación de direcciones, el servidor DCHP de IOS ha detectado una entrada ARP activa y válida para la dirección en su tabla ARP. Cualquiera de estos métodos de detección indica que es posible que la dirección se esta utilizando(quizás a causa de un uso no autorizado o porque alguien olvidó añadirla a la lista de direcciones excluidas). La verificación de que el servidor DCHP de IOS está recibiendo y respondiendo a las solicitudes de DCHP se puede lograr con el comando ejecutable de IOS show ip dchp server statistics. El comando ofrece información útil, como el número de conjuntos de direcciones configuradas, la cantidad de memoria que consume la base de datos de asociaciones de DCHP y los contadores que indican el número de distintos tipos de mensajes de DCHP que se han enviado y recibido. REDUNDANCIA DE IP CON EL HOST STANDBY ROUTER PROTOCOL A mochos administradores de red le preocupa tener puntos de fallo únicos en la red. Desean proporcionar tanto rutas de acceso redundantes como equipo redundante en lugares clave de la red para evitar que cualquier dispositivo cause que los recursos vitales de la red dejen de poder utilizarse. Los routers(y algunos servidores) gestionan perfectamente varias rutas de acceso IP mediante el intercambio de información de enrutamiento acerca de las distintas rutas de acceso de la red, seleccionando las mejores rutas de acceso en cualquier momento y volviendo a enrutarlas cuando haya alg ún cambio en las rutas de acceso a causa de algún fallo del circuito o del equipo. Si embargo, muchas implementaciones de las estaciones de trabajo, de los servidores y de las impresoras no pueden intercambiar información de enrutamiento dinámico. Estos dispositivos se suelen configurar con la dirección IP del gateway predeterminado, que sirve como conducto al resto de la red. Si falla el router que es el gateway predeterminado, el dispositivo se limita a comunicarse solamente con el segmento local de red IP y está incomunicado con el resto de la red. Aunque exista un router redundante que pudiera servir como gateway predeterminado, no hay método dinámico que pueda utilizar las estaciones de trabajo para conmutar a otra dirección IP del gateway predeterminado y la reconfiguración manual suele desbordar los conocimientos técnicos del usuario. Para ayudar a los administradores de redes en esta problemática situación, Cisco Systems ha desarrollado el Hot Standby Router Protocol (HRSP). HRSP se ha desarrollado para el segmento LAN, donde hay una gran cantidad de routers y dispositivos que utilizan solamente una dirección IP estática del gateway predeterminado. El concepto de SEP es bastante simple. El administrador crea una dirección virtual para el gateway predeterminado y la asigna a los routers redundantes que participan en el protocolo SEP en el segmento LAN específico. Los dispositivos IP están configurados para utilizar la dirección virtual del gateway como gateway predeterminado. Los routers administran esta dirección, comunicándose entre ellos para determinar que router es el responsable del reenvío del trafico enviado a la dirección IP virtual. A intervalos regulares, intercambian información para determinar que routers siguen estando presentes y son capaces de reenviar trafico. Si falla el router principal, o primario, de un grupo de routers con SEP, hay un router 77
- 78. de reserva en el mismo grupo que empieza a reenviar el tráfico del grupo SEP. Dado que los routers deciden por si mismos cuál reenvía el trafico a la dirección virtual y dado que las estaciones de trabajo de un segmento sólo conocen la dirección Ip virtual como su gateway predeterminado, un fallo del router de reenvío principal es prácticamente indetectable por parte de los usuarios de estaciones de trabajo y no requiere intervención por parte del usuario o del administrador de la red. HSRP es muy flexible. El administrador de red puede controlar todo el comportamiento de los routers de un grupo SEP (incluyendo que router es el router de reenvío principal, cuales son los routers de reserva, si éstos conservan la función de reenvío cuando pueda volver a utilizarse el router de reenvío principal, y la capacidad de otra interfaz del router para conducir el trafico al router de reserva). La presencia de dos o más routers que pueden actuar como gateway predeterminados en el mismo segmento de LAN es la primera parte de los criterios para configurar el protocolo SEP. La otra parte de los criterios es tener dispositivos IP en la red que sólo puedan admitir una sola dirección IP como gateway predeterminado. En este caso, las impresoras, los servidores y las estaciones de trabajo se ajustan a los criterios. La configuración básica de SEP requiere solamente el subcomando de configuración de interfaz de IOS standby ip. Este comando utiliza como parámetro la dirección IP que se utiliza como dirección virtual del gateway predeterminado. El comando se aplica a todos los routers de la misma red IP lógica que participen en el mismo grupo HSRP. Una vez que este configurada la dirección de reserva de HSRP, los routers negocian cuál de ellos será el router de reenvío principal, y cual el de reserva. Además, ambos routers introducen en la tabla ARP la dirección IP y la dirección MAC de la dirección virtual. El router de reenvío principal comienza el reenvío del tráfico enviado a la dirección IP virtual de reserva, así como la respuesta a pings y la aceptación de las sesiones de los terminales virtuales de dicha dirección. Observe que la dirección MAC de la dirección IP virtual de las interfaces Ethernet, Fast Ethernet, Gigabit Ethernet y FDI tiene la forma 0000.0c07.acXX donde XX es un identificador de grupos HSRP. La dirección MAC de la dirección IP virtual de Token Ring es una dirección funcional con la forma 1000.xxxx.xxxx. Sugerencia_ Algunos dispositivos de Token Ring no aceptan la dirección MAC de un dispositivo IP como dirección funcional de grupo. En este caso utilice el subcomando de configuración de interfaz de IOS standby usebia para obligar a la dirección IP virtual de HSRP a utilizar la dirección impresa en el hardware de la interfaz, que limita el número de grupos HSRP de la interfaz a una. Como ya se ha indicado, el administrador de red tiene varias opciones de configuración que controlan el comportamiento de HSRP. Para controlar cuál es el router de reenvío principal, se utiliza el subcomando de configuración de interfaz de IOS standby priority. El comando adopta como parámetro un valor entre 0 y 255. El router del grupo HSRP que tenga la prioridad más alta se convierte en el router de reenvío. Si el router de reserva tiene que convertirse en el activo, asume automáticamente dicho papel. Es posible controlar si el primer router principal reanuda su papel de reenvío activo cuando pueda volver a utilizarse. El subcomando de interfaz de IOS standby preempt hace que el router reanude la función de reenvío activo a partir de otro router con prioridad más baja. 78
- 79. En algunas situaciones, el estado operacional de una interfaz afecta directamente al router que se elige como router de reenv ío activo. Esto ocurre en particular cuando cada uno de los routers del grupo HSRP tiene una ruta de acceso distinta a otras partes de la red. El software IOS ofrece una característica de HSRP para que un router pueda ajustarse a la prioridad HSRP de un grupo HSRP de forma que se pueda convertir en el router de reenvío activo. Esta funcionalidad, recibe el nombre de seguimiento de interfaces, se activa con el subcomando de configuración de interfaz de IOS standby trac. Este comando adopta como parámetro la interfaz a la que se le va a realizar el seguimiento y opcionalmente, la cantidad que hay que reducir de la prioridad HSRP en la interfaz configurada. Si no se especifica ningún valor de reducción de prioridad, el router deduce la cantidad estándar de diez de la prioridad HSRP. El funcionamiento de HSRP puede verificarse con el comando ejecutable de IOS show standby. El comando adopta como parámetro opcional la interfaz específica en la que se va ha mostrar la información la información de HSRP. Sin dicho parámetro la información de HSRP aparece en todas las interfaces. El comando show standby muestra la información de HSRP, que incluye el estado de los reenvíos, la prioridad HSRP y las interfaces a las que realizan seguimientos del router al que se realizan consultas. También muestra información acerca de la dirección IP de reserva configurada y las direcciones IP de los posibles routers de reserva de cada grupo HSRP. Una de las desventajas del HSRP original era que no permitía al administrador de red compartir la carga del tráfico que cruza ambos routers del grupo de reserva. Básicamente, el router de reserva estaría inactivo a menos que fallará el router de reenvío activo. Para solucionar este problema, se añadió al software IOS la capacidad para admitir varios grupos HSRP en la misma interfaz. En la misma interfaz se pueden crear varios grupos HSRP, cada uno de ellos con una dirección IP virtual distinta, para respaldarse unos a otros. Con dos grupos HSRP y dos direcciones IP virtuales definidas, el administrador de red puede configurar el gateway predeterminado en algunos de los host con una de las direcciones virtuales de HSRP, y en los host restantes, con la otra. Aunque no consigue un equilibrado de la carga exactamente igual, esta configuración comparte la carga entre los dos routers en lugar de sobrecargar sustancialmente uno de ellos mientras el otro se queda completamente inactivo. Mediante la especificación de un número de grupo en todos los comandos standby, se pueden crear varios grupos HSRP. Por ejemplo, standby 1 ip address [dirección IP] y standby 1 priority 100 especifican que estos comando HSRP se aplican al grupo de reserva 1. Los comandos standby 2 ip address [dirección IP] y standby 2 priority 100 especifican que estos comando HSRP se aplican al grupo de reserva RESUMEN DE COMANDOS EJECUTABLES PARA IP clear host Elimina las entradas temporales de la tabla de host IP. Clear ip access-list counters Borra el cómputo del número de veces que ha coincidido cada una de las líneas de una lista de acceso IP. Clear ip route Borra toda la tabla de enrutamiento o, si se especifica, una ruta en particular. Ping ip-address Realiza pruebas para determinar si se puede comunicar con la direcci ón IP que se indica y si ésta responde. Show {frame-relay | atm | x25 | dialer} map 79
- 80. Muestra las asignaciones de direcciones IP a direcciones de enlace de datos en el tipo de medios de WAN especificado. Show access-list Muestra todas las listas de acceso definidas en el router Show host Verifica la configuración DNS de un router y muestra una lista de host que han resuelto sus nombres a direcciones IP. Show interface[interfaz] Proporciona información general acerca de una interfaz, incluyendo la dirección IP y la máscara de red. Show ip access-list Muestra todas las listas de acceso IP definidas en el router. Show ip arp Muestra todas las direcciones IP que el router ha podido resolver a direcciones MAC. Show ip dchp binding Muestra información acerca de las asignaciones de direcciones de direcciones del servidor DCHP de IOS. Show ip dchp conflict Muestra la información acerca de los conflictos de direcciones IP que detecta el servidor DCHP de IOS durante el proceso de asignaci ón. Show ip dchp database Muestra información acerca de la ubicación y estado de la base de datos que ha utilizado el servidor DCHP de IOS para registrar las asociaciones y conflictos de DCHP. Show ip dchp server statistics Muestra información sobre el estado y los contadores relacionados con el funcionamiento del servidor DCHP de IOS. Show ip interface brief Muestra un pequeño resumen de la información de las direcciones IP y el estado de todas las interfaces disponibles en el dispositivo. Show ip interface[interfaz] Muestra todos los parámetros asociados con la configuración de una interfaz IP. Show ip mask [dirección de red] Muestra las máscaras de red que se han aplicado a la red designada y el número de rutas que utiliza cada máscara. Show ip protocols Muestra los protocolos de enrutamiento que están ejecutando y varios de sus atributos. Si se utiliza con la palabra clave summary, muestra solamente los nombres de los protocolos y los números de los identificadores de los procesos. Show ip route Muestra la tabla de enrutamiento IP del router. Show ip route connected Muestra las rutas asociadas con las interfaces del router operacionales conectadas directamente. Show ip route[dirección IP] Muestra la información de enrutamiento de la ruta especificada. Show ip route static Muestra las rutas que se derivan de los comandos de rutas de red configurados manualmente. Show ip traffic Presenta las estadísticas globales de funcionamiento de IP en el router. Show standby Muestra información sobre el funcionamiento de HSRP. Terminal ip netmask-format{decimal | bit-count | hexadecimal} Especifica el formato de visualización de las máscaras de red que se van a utilizar durante la sesión de la consola o del terminal virtual 80
- 81. existente. Trace[dirección IP] Muestra todos los pasos de ruta de acceso a la red por los que viajan los paquetes para llegar a la dirección IP indicada. RESUMEN DE COMANDOS DE CONFIGRACIÓN PARA IP aaa authentication ppp [método de lista] especifica que ppp debe autenticarse a través del método aaa de la lista. aaa authorization network [método] especifica que los servicios de red deben autenticarse a trav és del método de aaa de la lista. access-list crea una lista de acceso numerada y sus criterios de filtros asociados. arp-server identifica el servidor arp de atm que pueden resolver direcciones ip en direcciones nsap de atm. async-bootp dns-server[dirección ip] especifica direcciones ip de un servidor dns proporcionadas a los clientes de acceso telefónico durante el establecimiento de llamadas de forma global. async-bootp nbns-server[dirección ip] especifica las direcciones ip de un servidor de nombres netbios/wins proporcionadas a los clientes de acceso telefónico durante el establecimiento de llamadas de forma global. async mode{interactive | dedicated} especifica el método de interacción del usuario en una interfaz asíncrona para los usuarios de acceso telefónico. autoselect ppp especifica que el proceso de selección automático debe realizarse durante el proceso de autenticación. compress especifica que el algoritmo de compresión debe intentar negociarse durante la negociación del acceso telefónico por ppp. default-metric asigna la métrica de enrutamiento que se va a utilizar durante la redistribución de rutas entre los protocolos de enrutamiento dinámicos. defaul-router[dirección] define una o varias direcciones ip predeterminadas del router que ofrece a los clientes dchp el servidor dchp de ios. dialer-group[entero] especifica el grupo de marcadores al que pertenece una interfaz y específica qué lista de marcadores se utiliza para definir el tráfico de interés. dialer-list[número de lista]protocol[método de tipo] Define una lista de marcadores que especifica los protocolos de red y métodos que se utilizan para definir el tráfico como interesante para las sesiones de acceso telefónico. dialer map ip Asigna una dirección ip al nombre de sistema y al número de teléfono para las llamadas rdsi. dialer rotary-group[entero] Asigna una interfaz rdsi a la estructura del grupo de la interfaz de quien realiza la llamada. distribute-list Aplica una lista de acceso a la tares de filtrar la recepci ón y la publicación de las rutas de red. dns-server[dirección] 81
- 82. Define una o varias direcciones ip del servidor dns que ofrece a los clientes dchp el servidor dchp de ios. domain-name[dominio] Define un nombre de dominio dns que ofrece a los clientes dchp el servidor dchp de ios. flowcontrol{hardware | software} Especifica el método de control de flujos en una línea asíncrona. Frame-relay map ip Asigna una dirección IP a un DLCI Frame Realy Group-range [principio fin] Específica que interfaces asíncronas se incluyen en las estructuras de interfaces del grupo asíncrono. Ip access-group list{in | out} Aplica la lista de acceso indicada a la tarea de filtrar paquetes entrantes o salientes en una interfaz. Ip access-list{extended | standard}[nombre] Crea una lista de acceso IP con nombre y sus criterios de filtrado asociado. Ip address [dirección ip][máscara de red] Asigna una dirección IP y una máscara de red a las interfaces de LAN y de WAN. Ip classless Activa el router para que funcione en modo sin clase, en el que las direcciones IP de destino coinciden con las rutas de la superred y de los bloques CIDR. Ip default-information originate Hace que OSPF genere la ruta predeterminada desde el router l ímite de sistema autónomo para el resto del dominio OSPF. Ip default-network[dirección de red] Configura la dirección de red especificada como red de resumen o predeterminada. {no}ip dchp conflict logging Activa o desactiva el registro de la información de los conflictos de direcciones por parte del servidor DCHP de IOS. ip dchp database[dirección URL] Define la ubicación y método para registrar la información de las asociaciones y de los conflictos de direcciones por parte del servidor DCHP de IOS. ip dchp exclude-address Especifica una o varias direcciones IP que deben excluirse de las ofertas de DCHP a los clientes DCHP por parte del cliente DCHP de IOS. ip dchp poll[nombre] Crea un conjunto de direcciones DCHP que se puede configurar con otros subcomandos de configuración DCHP. ip dchp-server[dirección IP] Especifica la dirección IP de un servidor DCHP que puede asignar dinámicamente direcciones IP a los clientes de acceso telefónico. ip domain-list[nombre] Establece una lista de nombres de dominios que añadir a los nombres de host no cualificados. ip domain-lookup Activa el DNS. domain-name[nombre] Configura el nombre del dominio principal que añadir a los nombres de host no cualificados. ip forward-protocol udp type Controla que tipo de difusiones UDP se reenvían. ip helper-address[dirección IP] Reenvía difusiones UDP a la dirección IP especificada. ip host 82
- 83. Configura la asignación estática de un nombre de host a las direcciones IP. ip local pool{default | poll-name}[dirección IP de inicio y dirección IP de final] Crea un conjunto de direcciones IP para asignar dinámicamente direcciones IP a los clientes de acceso telefónico. ip dchp-server[dirección ip] Configura servidore de nombres DNS. ip netmask-format{decimal | bit-count | hexidecimal} Configura el formato de visualización de las máscaras de red que se va a utilizar durante las sesiones de las consolas o de los terminales virtuales. ip ospf network{broadcast | non-broadcast | point-to-multipoint} Configura el tipo de red(difusión, no difusión o punto a multipunto) que OSPF cree que está conectada ala interfaz. ip rip {send | receive} versión Especifica que versión de RIP se envía y recibe en una interfaz específica. ip route 0.0.0.0 0.0.0.0 [dirección ip de destino] Configura una ruta predeterminada de 0.0.0.0. ip route [dirección de red][máscara de red][dirección ip de destino] Configura una ruta estática ip route [dirección de red][máscara de red][dirección ip de subred] Configura un ruta resumen, adoptando como parámetros la ruta resumen, la máscara de red y la subred no conectada. ip routing Activa el enrutamiento IP del router. Ip subnet-zero Permite asignar una interfaz a la primera subred del conjunto de direcciones de red(subred cero). Ip unnumbered [interfaz] Configura una interfaaz IP de WAN punto a punto no numerada Map-group Asigna un grupo de asignación con nombres a una interfaz para que lo use a la hora de asignar direcciones IP a las direcciones de enlace de datos ATM en una interfaz. Map-list Crea un lista de asignación con nombres para configurar la asignación de direcciones IP a los PVC o SVC en el direccionamiento ATM. modem autoconfigure{discover | tipo de módem} Especifica que un módem conectado a una línea asíncrona debe configurarse automáticamente por descubrimiento por el uso de los parámetros del tipo de módem con nombre. modem {dialin | inout} Especifica la dirección permitida de las llamadas asíncronas. neighbor[dirección IP] Especifica la dirección IP de un router vecino con el que intercambiar información de enrutamiento dinámico. neighbor[dirección IP]description Permite añadir comentarios al comando neighbor de BGP. neighbor[dirección IP]distribute-list Permite el filtro de rutas BGP a igual BGP. neighbor[dirección IP]remote-as asn Configura el router vecino con la dirección indicada en el sistema autónomo indicado como igual BGP. neighbor[dirección IP]update-source[interfaz] Especifica que la dirección IP de origen para establecer la sesión de igual BGP debe derivarse de la interfaz con nombre. netbios-name-server[dirección] Define una o varias direcciones IP del servidor NetBIOS/WINS que 83
- 84. ofrece a los clientes DCHP el servidor DCHP de IOS. netbios-node-type[tipo] Define el modo de comportamiento de NetBIOS que ofrece a los clientes DCHP el servidor DCHP de IOS. network[dirección de red] Especifica que las direcciones conectadas que coincidan con la dirección de red indicada deben incluirse en las publicaciones del enrutamiento. network[dirección de red]area [número de área] Especifica que las interfaces conectadas que coincidan con la dirección de red indicada deben incluirse en las publicaciones del enrutamiento OSPF y que las interfaces deben asignarse al área especificada. network[número de red][máscara | longitud del prefijo] Especifica el conjunto de direcciones IP que se ofrecerán a los clientes DCHP de un conjunto de direcciones DCHP determinado por parte del servidor DCHP de IOS. no autosummary Evita el resumen automatico de direcciones en los limites de la red con clase y permite la propagación de la información de la subred. no inverse-arp Desactiva la función de asignación de la dirección IP a DLCI de Frame Relay. passive-interface[interfaz] Configura el router para escuchar pero no publicar la informaci ón de enrutamiento en la interfaz indicada. peer default ip address{pool | dchp | dirección IP} Especifica el método que se ha utilizado para asignar una dirección IP a una estación de trabajo cliente de acceso telefónico. Ppp authentication[método] Especifica que debe realizarse la autenticación PPP antes de permitir que den comienzo los servicios de red. Entre el servidor de acceso y el cliente de acceso telefónico se utiliza el protocolo de autenticación de nombre. Ppp ipcp{dns | wins} Especifica las direcciones IP de los servidores DNS o NetBIOS/WINS que se proporcionan a los clientes de acceso telefónico durante el establecimiento de sesiones PPP a través de interfaz. Ppp multilink Especifica que debe activarse la multiplexión de canales basada en software en una interfaz. Redistribute protocol Permite la redistribución de rutas desde el protocolo indicado. Router{rip | igrp | ospf | eigrp |bgp} Permite al router ejecutar el protocolo de enrutamiento din ámico. Speed [bits por segundo] Especifica la velocidad de transmisión de una línea asíncrona. Stanby ip[dirección ip] Configura la dirección IP indicada como dirección IP virtual de un grupo HSRP. Standby preempt Hace que un router HSRP de mayor prioridad reanude el reenv ío activo cuando vuelva a estar disponible. Standby priority[prioridad] Asigna un valor de prioridad a un router HSRP para controlar la selección del router de reenvío principal. Standby track[interfaz] Activa el ajuste dinámico de la prioridad HSRP basándose en el estado operacional de la interfaz especificada. Standby use-bia 84
- 85. Obliga a la dirección IP virtual de HSRP a asociarse con la dirección MAC impresa en el hardware de una interfaz. {no}synchronization Activa o desactiva el requisito de que las rutas se conozcan a trav és del proceso de enrutamiento de IGP antes de publicarlas a los vecinos EBGP. username[nombre][password][palabra] Define la pareja nombre de usuario local/contraseña que se va a utilizar para autenticar a los usuarios de acceso telefónico. versión[versión de RIP] Especifica la versión de RIP que se utiliza en un router con RIP activo. x25 map ip Asigna una dirección IP a una dirección X.121. La siguiente tabla define muchos de los elementos sobre los que se informa cuando se usa el comando show interfaces: Five-minutes rates(input or output)(Intervalos de cinco minutos)(entrada o salida) El promedio de bits y paquetes que pasan por la interfaz cada segundo, muestreados durante los últimos cinco minutos. Aborts(Cancelaciones) Terminación repentina de los paquetes de transmisión de un mensaje. Buffer failures(Fallos del buffer) Paquetes desechados por falta de disponibilidad de memoria b úfer del enrutador. BW Ancho de banda de la interfaz en kilobits por segundo(Kbps). Esto se puede utilizar como una métrica de protocolo de enrutamiento. Bytes Número total de bytes trasmitidos a través de la interfaz. Carrier transitions(Transacciones de portadora) Una portadora es la señal electromagnética modulada por las transmisiones de datos sobre líneas serie(como el sonido que emite el módem). Las transiciones de portadora son eventos donde se interrumpe la señal, a menudo cuando se reinicia la NIC remota. Collisions(Colisiones) 85
- 86. Número de mensajes retransmitidos debido a una colisión Ethernet. CRC Comprobación de redundancia cíclica, una técnica común para detectar errores de transmisión. CRC funciona dividiendo el tamaño del contenido de una trama por un número primo y comprobando el resto con el que hay almacenado en la trama por el nodo emisor. DLY Demora del tiempo de respuesta de la interfaz, medido en microsegundos(ns), no en milisegundos(ms). Dibble conditions(Condiciones de exceso) Tramas que son ligeramente demasiado largas, pero que las sigue procesando la interfaz. Drops(Caídas) Número de paquetes desechados por falta de espacio en la cola. Encapsulation(Encapsulación) Método de encapsulación asignado a una interfaz(si existe). Funciona ajustando los datos en la cabecera de un protocolo para <tunelizar> los datos que de otra forma serían incompatibles a través de redes externas. Por ejemplo, Inter.-Switch Link de Cisco ISL; Enlace entre conmutadores encapsula tramas de muchos protocolos. Errors(input or output) Errores entrada o salida Una condición en la que se descubre que una transmisión no coincide con lo que se esperaba, normalmente está relacionado con el tamaño de la trama o del paquete. Los errores se detectan usando varias técnicas, como CRC. Frame(Trama) Número de paquetes que tienen un error de CRC y un tamaño de trama parcial. Suele indicar que el dispositivo Ethernet funciona incorrectamente. Giants(Gigantes) Paquete mayor que el paquete de tamaño máximo que permite la tecnología, 1.518 bytes o más en las redes Ethernet. Todos los paquetes gigantes se desechan. Ignored(Ignorado) Número de paquetes desechado por la interfaz por falta de búfer de memoria del búfer de la interfaz(en contraposición con la memoria búfer del enrutador). Interface resets(Reinicios de Interfaz) Cuando la interfaz se deshace de todos los paquetes y comienza con uno nuevo. El reinicio suele ocurrir cuando el nodo emisor tarda demasiado en transmitir los paquetes. Keepalives(Mensajes de supervivencia) Mensajes enviados por un dispositivo de red a otro para notificarle que el circuito virtual entre ellos sigue activo. Last input or output(Última entrada o salida) Horas, minutos, y segundos desde que la interfaz transmitió o recibió con éxito el ultimo paquete. Es una buena herramienta para determinar cuándo ha comenzado el problema. Load(Carga) Carga de la interfaz como una fracción del número 255. Por ejemplo, 64/255 representa un 25 por 100 de la carga. Se puede utilizar este contador como una métrica del protocolo de enrutamiento. Loopback(Ciclo invertido) Si se ha activado el ciclo invertido. Loopback es donde env ían las señales desde la interfaz y, luego, se devuelvan a ella desde algún punto de la ruta de comunicaciones; se utiliza para probar el uso del enlace. MTU Unidad de transmisión máxima para paquetes que pasan a través de 86
- 87. la interfaz, expresado en bytes. Output hang(Bloqueo de salida) Tiempo transcurrido desde el último reinicio de la interfaz. Toma su nombre del hecho de que la interfaz <se bloquea> porque la transmisión tarda demasiado tiempo. Overruns(Saturaciones) Número de veces que la interfaz del enrutador satura el nodo receptor enviando más paquetes de los que pueden manejar el búfer del nodo. Toma su nombre del hecho de que la interfaz del enrutador <satura> al emisor. Queues(input and output) Colas(entrada y salida) Número de paquetes en la cola. El número a continuación de la barra invertida es el tamaño máximo de la cola. Queuing strategy(Estrategia de encolamiento) FIFO significa First In, First Out(Primero en entrar primero en salir), que significa que el enrutador maneja paquetes en ese orden LIFO significa Last In, First Out(Último en entrar, primero en salir). FIFO es la estrategia predeterminada. Rely(Confianza) Fiabilidad de la interfaz como una fracción del número 255. Por ejemplo, 255/255 equivale al 100 por 100 de fiabilidad. Se puede utilizar este contador como una métrica del protocolo de enrutamiento. Runts(Diminutos) Paquete menor que el tamaño del paquete mínimo que permite la tecnología, 64 bytes o menos en las redes Ethernet. Todos los paquetes diminutos se desechan. Throttles(Aceleradores) Número de veces que una interfaz avisa a una NIC emisora que está siendo saturada por los paquetes que se envían y para reducir el ritmo de envío. Toma su nombre del hecho de que la interfaz pregunta a la NIC que <desacelere>. Underruns(Agotamientos) Número de veces que el nodo emisor satura la interfaz enviando más paquetes de los que puede manejar el búfer. Toma su nombre del hecho de que la interfaz del enrutador <agota> al emisor. CONECTARSE A TERMINALES VIRTUALES UTILIZANDO TELNET Y SSH. Los métodos más habituales para acceder a cualquier dispositivo en el que se ejecuta IOS son a través del puerto de la consola o a través de líneas de terminales virtuales(virtual terminal lines, vty). Estas líneas son un tipo de software que permiten conectarse a un router a través de una red de datos. Los dispositivos IOS admiten cinco sesiones simultáneas a través de líneas de terminales virtuales. Los dos métodos más frecuentes para conectarse a una línea de terminal virtual son el uso de un cliente Telnet o el uso de un cliente Secure Shell(SSH). Los clientes Telnet utilizan un protocolo estándar definido en RFC 854 para proporcionar una conexión no segura al software de servidor que se ejecuta en una línea de terminal virtual. Por defecto, todos los dispositivos con IOS tienen un servidor Telnet habilitado en todas las líneas de terminales virtuales. SSH es un protocolo que proporciona una conexión cifrada segura entre un cliente y un servidor SSH que funcionen en una línea de terminal virtual con funciones que sean similares a una conexi ón Telnet. En contraste al servidor Telnet, los servidores SSH no est án habilitados por defecto en las líneas terminales virtuales. Ciertos dispositivos IOS pueden ser clientes Telnet o clientes SSH, para lo que se utilizan los comandos Telnet o SSH. Nota_ 87
- 88. Actualmente, hay dos versiones de SSH: SSH versión 1 y SSH versión 2. En estos momentos, Cisco IOS sólo admite la primera de ellas. Los clientes y servidores SSH pueden realizar la autenticaci ón de usuarios a través de un sistema criptográfico con claves públicas que inventaron Rivest, Shamir y Adelman (RSA). La autenticaci ón de usuarios RSA de los clientes SSH no es compatible con el servidor SSH de Cisco IOS. Cisco IOS autentica a los usuarios utilizando solamente una combinación de ID de usuario y contraseña. El servidor SSH de IOS utiliza RSA para generar la pareja de claves que se utiliza para configurar sesiones cifradas en el cliente. SSH asegura la conexión entre el cliente y el servidor SSH utilizando el algoritmo de cifrado DES(56bits) o Triple DES(168bits). Sin embargo, no todas las versiones de IOS admiten DES o Triple DES y, a veces hay que utilizar el comando show versión para ver si la versión de IOS que se utiliza admite estos algoritmos de cifrado. Nota_ Algunos algoritmos de cifrado (entre los que se incluye el cifrado de datos de 56 bits) están sujetos a los controles de exportación del gobierno de Estados Unidos. El uso de estos algoritmos (y de la versión de IOS que los admite) fuera de Estados Unidos requiere una licencia de exportación. ACTIVACIÓN DEL SERVIDOR SSH Para activar el servidor SSH y permitir a los clientes SSH conectarse a líneas de terminales virtuales, el dispositivo con IOS debe tener un nombre de host y nombre de dominio configuran con los comandos de configuración global hostname e ip domain-name, que ya se han explicado. Para configurar el servidor SSH, hay que generar una pareja de claves de RSA que se utiliza para cifrar la sesión entre y el servidor. En el dispositivo con IOS, la pareja de claves de RSA se genera utilizando el comando de configuración global crypto key generate rsa. Al generar una pareja de claves de RSA para el dispositivo con IOS, se activa automáticamente el servidor SSH en las líneas de terminales virtuales. Para suprimir una clave de RSA se utiliza comando de configuración global crypto key zeroize rsa, que desactiva automáticamente el servidor SSH. Nota_ El comando de configuración global crypto key generate rsa no aparecerá en la salida por pantalla de show running-config ni de startup-config. Router#configure t Router(config)#crypto key generate rsa Router(config)#ip ssh Router(config)#ctrl.+Z VERIFICACIÓN DE LA CONFIGURACIÓN DE SSH La clave de RSA pública que utiliza SSH se puede ver con el comando ejecutable show crypto key mypubkey rsa: Además es posible ver las sesiones de SSH activas de cualquier dispositivo con IOS utilizando el comando show ip ssh: CÓMO ASEGURAR EL PUERTO DE LA CONSOLA Y LOS TERMINALES VIRTUALES En el nivel de los dispositivos individuales con IOS, es posible 88
- 89. definir una contraseña de acceso a través del puerto de la consola utilizando el comando principal de IOS line console 0 y el subcomando de IOS password. En las líneas de terminales virtuales, se pueden agregar contraseñas utilizando el comando principal vty 04 y el subcomando password. Con el subcomando de línea access-list, es posible especificar una lista de direcciones IP que sean capaces de conectarse a las líneas de terminales o a las que sea posible acceder desde las l íneas de terminales de cualquier dispositivo con IOS. Es posible especificar si se utiliza una clase de acceso para las sesiones entrantes o salientes mediante el uso de una palabra clave in u out. Este subcomando utiliza una lista de acceso IP para habilitar las direcciones IP antes de que se inicie cualquier sesión entrante o saliente. El subcomando access-list se puede utilizar para permitir que solamente las estaciones de trabajo del administrador de red puedan acceder a las líneas de terminales virtuales de los dispositivos con IOS, que es un método adicional para asegurar el acceso a los dispositivos. Las contraseñas de consola y de los terminales virtuales se guardan en texto sin formato en la configuración activa y en la de inicio. Si desea cifrar todas las contraseñas que muestran los comandos ejecutables(como show running-config o show startup-config), puede utilizar el comando de configuración global service passwordencryption. Como resultado de este comando, las versiones cifradas de las contraseñas dejan de poder verse a través de ningún comando ejecutable. No se preocupe si olvida la contraseña, Cisco ha documentado varios procedimientos de recuperación de contraseñas para cada tipo de dispositivo. Una alternativa a la configuración de contraseñas dispositivo a dispositivo para el control de acceso es utilizar un protocolo de control de acceso en la red. Estos protocolos de control de acceso realizan tres funciones: autenticación, autorización y contabilidad, que en conjunto se conocen como AAA. La autenticación es el proceso de identificación y verificación de los usuarios. En Cisco IOS, se pueden utilizar varios métodos para autenticar a los usuarios, entre los que se incluyen una combinación de un nombre de usuario t contraseña, o el paso de una clave única. La autorización determina lo que pueden hacer los usuarios una vez que han sido autenticados, como, por ejemplo, obtener acceso y realizar tareas en determinados dispositivos de la red o host de acceso. La contabilidad es el método de grabación de los que los usuarios hacen o han hecho. AAA requiere dos componentes: un cliente dos componentes: un cliente que funcione un dispositivo con Cisco IOS y el software relacionado del servidor de control de acceso, que suelen utilizarse en las estaciones de trabajo de la red. Remote Authentication Dial-In User Service(RADIUS) y Terminal Access Controller Access Control System (TACACS+) son dos de los protocolos que suelen utilizarse para proporcionar comunicación entre el cliente AAA de un dispositivo Cisco y el software del servidor de control de acceso. Piense en un usuario que utiliza la aplicación Telnet para conectarse a un router en el que no se ha configurado ningún protocolo de control de acceso. Inmediatamente, se solicita al usuario la contraseña de la línea de terminal virtual: % telnet router Trying... Password: Si el usuario escribe la contraseña correcta, recibe acceso al modo ejecutable del router. Este usuario no está sujeto a ningún proceso de autenticación y autorización, y es libre para realizar cualquier tipo de 89
- 90. tares(incluyendo la entrada al modo privilegiado, siempre que se conozca la contraseña) Además, el usuario que realiza esta acción no está registrado. Sin duda alguna, dicha directiva abierta no es aceptable en la inmensa mayoría de las redes. Una excepción puede encontrarse en aquellos entornos de laboratorio o de pruebas en los que el acceso no contabilizado a un dispositivo por parte de muchos usuarios no afecta a la seguridad, configuración o rendimiento de la red. Si se configura un dispositivo Cisco IOS para utilizar algún protocolo de control de acceso, el dispositivo solicita al usuario un nombre de usuario y una contraseña. % telnet router Trying... Username: Usuario Password: Con un protocolo de control de acceso, el dispositivo con Cisco IOS realiza las siguientes tareas: 1. El cliente de control de acceso del dispositivo solicita el nombre de usuario y la contraseña al recibir la solicitud entrante de conexión por Telnet. 2. El cliente de control de acceso consulta al usuario y env ía la combinación de nombre de usuario y contraseña del mensaje de solicitud de autenticación al servidor de control de acceso. 3. El servidor de control de acceso autentica la combinación de nombre de usuario y contraseña. La combinación otorga o deniega la combinación, y devuelve el mensaje apropiado al cliente. El servidor puede proporcionar al cliente información acerca de su autorización. El servidor acaba con la transacción. 4. El cliente de control de acceso permite o deniega la combinaci ón de nombre de usuario y contraseña. Si se permite, el usuario consigue acceder al sistema y está autorizado para realizar las acciones especificadas en la información de autorización que pasa el servidor. ACTIVACIÓN DE AAA Para activar los servicios de AAA en Cisco IOS, hay que utilizar el comando de configuración aaa new-model. Seguidamente, se puede activar el cliente AAA para una configuración específica de autenticación, autorización y contabilidad utilizando los siguientes comandos de configuración global: aaa authentication, aaa authorization y aaa accounting. Todos los comando AAA se configuran utilizando listas de métodos. Una lista de métodos es una lista configurada que describe los métodos AAA que se van a intentar, en la secuencia ordenada, para autenticar a un usuario, autorizar una actividad o contabilizar una acción. Por ejemplo, con listas de métodos se pueden especificar varios mecanismos de autenticación en un intento de autenticar a un usuario en caso de que falle el método inicial. Un dispositivo con IOS intenta utilizar el primer método que aparece en la lista para autenticar a los usuarios; si dicho método no responde, el dispositivo prueba con el siguiente método de autenticación de la lista de métodos. El proceso continua hasta que s produce una comunicación correcta con un método de autenticación de la lista o hasta que hayan utilizado todos los métodos de la lista. Las listas de métodos de autorización y contabilidad funcionan de forma parecida a las descritas anteriormente por la autenticación. Nota_ Los dispositivos con IOS intentan utilizar el siguiente método 90
- 91. de una lista de métodos solamente si el dispositivo no puede comunicarse con el método anterior. Por ejemplo, si algún método de autenticación responde pero no autentica al usuario, no se utiliza el siguiente método de autenticación. Dos protocolos de AAA habituales son RADIUS y TACACS+. Con los comandos de configuración global aaa authentication, aaa authorization y aaa accounting se puede especificar el método que hay que utilizar cuando RADIUS utiliza el método group radius TACACS+ utiliza el método group tacacs+. El comando aaa authentication especifica los protocolos de autenticación en una lista de métodos ordenada, que el dispositivo puede intentar para verificar el acceso. El comando aaa authorization permite especificar si se realiza la autorización en los comandos ejecutables o al comienzo de las sesiones ejecutables o de la red(como las sesiones PPP). También permite especificar el protocolo que se utiliza para realizar estas tareas. El comando aaa accounting permite especificar cuándo se envían mensajes de contabilidad al servidor AAA, como, por ejemplo, al principio o al final de las sesiones de cada uno de los usuarios o después de cada comando. Este comando también especifica el tipo de contabilidad que realiza el cliente AAA. Puede justificar la actividad del sistema IOS, los servicios relacionados con la red (como PPP o ARAP) y las sesiones ejecutables. Puede utilizar TACACS+ y RADIUS para enviar información contable desde un cliente AAA a un servidor AAA. La autenticación AAA se activa en las sesiones de conexión mediante el uso del comando de configuración global aaa authentication login. El primer protocolo de autenticación de la lista de métodos es TACACS+. Si el agente TACACS+ no es capaz de ponerse en contacto con el servidor para realizar la autenticación, el dispositivo realiza la autenticación a través de un segundo método(a saber, mediante el uso del comando de configuración global enable secret o enable password). Esta lista de métodos se ve en el comando aaa authentication login como la opción group tacacs+, seguida de la opción enable. Sugerencia_ Es aconsejable que no utilice un solo protocolo de AAA para la autenticación de las sesiones de conexión en los dispositivos con IOS. Un segundo método de autenticación de las sesiones de conexión garantiza que siempre se puede obtener acceso a cualquier dispositivo si no está disponible algún servidor AAA. Al configurar los comandos aaa accounting y aaa authorization, se aplica la misma lógica que con los comandos aaa authentication. Es posible especificar otros métodos de autorización para las sesiones ejecutables y las sesiones de red(como PPP) utilizando las opciones exec y network en el comando de configuración global aaa authorization. La palabra clave del método if-authenticated indica al cliente AAA que otorgue autorización si la autenticación ha pasado por la sesión. Para finalizar, se contabilizan todas las sesiones ejecutables cuando han dejado de utilizar el protocolo TACACS+ utilizando el comando de configuración global aaa accounting. Opcionalmente, puede definir sus propios grupos de servidores AAA utilizando el comando de configuración global aaa server group y el subcomando server. Los grupos de servidores AAA definidos por los usuarios son útiles cuando se tiene un grupo de usuarios que utilizan un servidor AAA y otro grupo de usuarios que utilizan otro servidor AAA. Estos dos grupos pueden utilizar o no el mismo protocolo de AAA(como RADIUS). Antes de la invención de los grupos de servidores AAA, solamente podía utilizarse un solo conjunto de servidores AAA 91
- 92. para cada método para todos los usuarios. Un ejemplo frecuente del uso de grupos de servidores AAA es la autenticación de usuarios de acceso telefónico utilizando un servidor RADIUS. En las secciones siguientes podrá ver como especificar los servidores RADIUS y TACACS+ en el cliente AAA. RADIUS El protocolo RADIUS lo publicó originalmente la empresa Livingston Enterprises,Inc., como un protocolo estándar que intercambia información de AAA entre un cliente y un servidor RADIUS. RADIUS es un protocolo abierto; varios dispositivos de red tienen un cliente RADIUS. Un servidor RADIUS es una estación de trabajo en la que se ejecuta el software de servidor RADIUS de un fabricante u organizaci ón como Livingston, Merit o Microsoft. Para especificar la direcci ón IP del servidor RADIUS con el que se comunica el cliente con IOS se utiliza el comando de configuración global radius-server host. Al realizar la autenticación, el protocolo RADIUS cifra las contraseñas enviadas entre el cliente y el servidor. Para que se realice el cifrado de contraseñas hay que configurar una cadena secreta tanto en el servidor RADIUS como en Cisco IOS. Para configurar esta cadena en el cliente con Cisco IOS, utilice el comando de configuración global radius-server key. TACACS+ TACACS+ es un protocolo de AAA que es conceptualmente parecido a RADIUS. TACACS+ es la tercera revisión del protocolo TACACS. La segunda revisión se llama Extended TACACS o XTACACS. TACACS+ es un procoloco patentado de Cisco y todos los dispositivos con IOS tienen un cliente TACACS+ nativo. El software del servidor TACACS+ se puede obtener de varios lugares, incluyendo Cisco(en el producto CiscoSecure) y otros fabricantes, en muchas estaciones de trabajo. Para especificar la dirección IP del servidor TACACS+ con el que se cominica el cliente con IOS se utiliza el comando de configuraci ón global tacacs-server key. COMPARACIÓN ENTRE RADIUS Y TACACS+ Hay muchas diferencias entre RADIUS y TACACS+, pero su funcionalidad es esencialmente la misma. RADIUS, que es un est ándar, utiliza la capa de transporte UDP. TACACS+, que está patentado, utiliza la capa de transporte TCP. RADIUS funciona bien en entornos sólo con IP, mientras que TACACS+ es útil en entornos multiprotocolo. Actualmente, Radius admite más atributos en el protocolo y permite que el cliente y el servidor pasen más información que TACACS+. RADIUS cifra solamente la contraseña enviada entre el cliente y el servidor, mientras que TACACS+ cifra toda la comunicación. Muchos fabricantes admiten uno de estos protocolos o el otro discuten vehementemente los méritos del protocolo de AAA que utilizan. Cisco admite ambos protocolos. Si la red es en mayor parte heterogénea, RADIUS es quizás el protocolo de AAA correcto, ya que actualmente muchos fabricantes lo admiten. Sin embargo, si la red utiliza principalmente dispositivos Cisco, es muy probable que TACACS+ sea la solución adecuada. PREVENCIÓN BÁSICA CONTRA ATAQUES 92
- 93. Las características de intercepción de TCP (TCP intercept) y de envío de ruta inversa de unidifusión (unicast reverse path fowarding) de IOS permiten configurar una cierta seguridad contra dos tipos de ataques de denegación de servicio: desbordamiento de SYN de TCP y falsificación de la dirección IP de origen. Un ataque de denegación de servicio es aquel en el que un pirata informático (hacker) sobrecarga un recurso de red con trafico cuya intención no es dañar datos, sino utilizar suficientes recursos de la red para que no pueda realiza su función. Por ejemplo un ataque de desbordamiento de SYN(sincronización) de TCP se produce cuando un pirata informático desborda un servidor con un gran número de solicitudes de SYN de TCP (que se utiliza para iniciar una conexi ón TCP) desde una dirección IP de origen inválida. Todas estas solicitudes tienen una dirección IP de origen a la que no se puede acceder, lo que significa que no se pueden establecer las conexiones. El gran número de conexiones abiertas que no se establece desborda al servidor y puede provocar que deniegue el servicio a las peticiones válidas, impidiendo que los usuarios se conecten al servidor y, por consiguiente, realizando las tareas deseadas. INTERCEPCIÓN DE TCP La característica de intercepción de TCP facilita la prevención de desbordamientos de SYN, ya que intercepta y valida las solicitudes de conexiones por TCP cuando atraviesan un router. Esta caracter ística también puede interceptar los mensajes SYN de TCP entrantes o vigilar las conexiones TCP cuando el router los reenvía. En el modo de intercepción, el router intercepta activamente todas las SYN de TCP y responde por el servidor destino real con un ACK y una SYN de TCP. Éste es el primer paso de un proceso de establecimiento de conexiones TCP estándar llamado saludo a tres bandas (three-way handshake). Seguidamente, el router espera un ACK de TCP de la segunda SYN de TCP del origen. Cuando se recibe dicho ACK, el router ha establecido una conexión TCP válida con el origen y se ha completado el saludo a tres bandas. A continuación el router envía la SYN de TCP original al servidor destino real y realiza un segundo saludo a tres bandas. Después, el router une las dos conexiones TCP de forma transparente y reenvía paquetes entre ellas mientras la conexión esté activa. En el modo de intercepción, la característica de intercepción de TCP facilita la prevención del ataque de DoS a la SYN de TCP, ya que los paquetes de aquellos host a los que no se pueda acceder nunca llegarán al servidor destino. El router puede configurarse para que intercepte solicitudes en función de una lista de acceso IP ampliada, lo que permite especificar las peticiones que debe interceptar. Una alternativa a la interceptación de todas las conexiones TCP es que esta característica vigile las peticiones de conexión cuando las reenvía el router. Si una conexión TCP no consigue iniciarse en un intervalo configurable, el software IOS interceptará y terminará el intento de conexión. La característica de intercepción de TCP se configura con el comando de configuración global de IOS ip tcp intercept mode. El comando de configuración global ip tcp intercept list asigna una lista de acceso IP ampliada para especificar qué solicitudes debe interceptar el router. El comando ip tcp intercept watch-timeout especifica el número de segundos que debe permitir el router antes de restablecer cualquier conexión TCP que no haya completado un saludo a tres bandas válido con el servidor destino. Por defecto, un router restablecerá una conexión TCP si no se completa un saludo a tres bandas en treinta segundos. El comando ejecutable show tcp intercept connections muestra 93
- 94. todas las conexiones TCP incompletas y establecidas. El comando ejecutable show tcp intercept statistics muestra estadísticas relativas al comportamiento de la característica de intercepción de TCP. ENVÍO DE RUTA INVERSA DE UNIDIFUSIÓN La característica de envío de ruta inversa (Reverse Path Forwarding, RPF) de unidifusión puede ayudar a impedir el ataque de DoS mediante falsificación de la dirección IP de origen (a veces llamado simulación IP o IP spoofing). El ataque mediante falsificación dela dirección IP de origen utiliza direcciones IP de origen mal formadas o una IP de origen en constante cambio para atacar a una red. Si su red recibe el ataque de una dirección IP de origen mal formada o de un conjunto de direcciones IP de origen en constante cambio, es fácil que sea imposible configurar una lista de acceso IP para detener el ataque. Nota_ La característica de RPF de unidifusión sólo está disponible en los dispositivos con IOS si se utiliza Cisco Express Forwarding (CEF). CEF es un mecanismo avanzado que se utiliza para reenviar paquetes y para crear tablas de enrutamiento IP. Actualmente, CEF sólo funciona en ciertos dispositivos de gama alta con IOS. La característica de RPF de unidifusión ayuda a resolver este problema mediante el descarte automático de aquellos paquetes IP que no tengan una cuenta IP de origen que se pueda verificar. El router verifica las direcciones IP viendo todos los paquetes recibidos en la interfaz para asegurarse de que la dirección de origen y la interfaz de origen del router aparece en la tabla de enrutamiento IP y coinciden con la interfaz en la que se ha recibido el paquete. La ruta recibida y la ruta hacia atrás, tal como se ve en la tabla de enrutamiento con la dirección IP de origen, deben ser simétricas. Una ruta es simétrica si un paquete llega a la interfaz de un router en una de las rutas con mejor retorno con el origen del paquete, sin limitarse a la interfaz exacta del router de origen, lo que permite utilizar las técnicas de enrutamiento, como un balanceo de cargas del mismo costo. Si no hay ninguna ruta inversa en la misma interfaz de origen ni ninguna ruta de retorno desde donde se recibió el paquete, podría significar que se ha modificado la dirección de origen o que se ha descartado el paquete. La verificación de que es posible acceder a la dirección de origen a través de la ruta inversa en la que se reenviará el paquete ayuda a evitar la falsificación de direcciones IP de origen. La característica de RPF de unidifusión se puede utilizar en cualquier configuración de la red en la que haya una sola ruta de conectividad desde la red. Si se tiene una sola ruta de conectividad, incluso con varias rutas con reparto de carga, el enrutamiento de la red es casi siempre simétrico. Esta configuración suele producirse en el punto de salida de flujo ascendente a Internet de la red. La característica de RPF de unidifusión no debe utilizarse en la red interna cuando existen varias rutas diferentes a los destinos IP. La configuración de la característica de RPF de unidifusión se realiza mediante un solo subcomando de la interfaz, ip verify unicast reverse-path. En un entorno común, este comando sólo se aplicaría a la interfaz (o interfaces en los entornos de reparto de cargas) de flujo ascendente del router que se conecta a Internet. Los dispositivos con Cisco IOS tienen la capacidad de registrar mensajes acerca de la actividad del sistema. Estos mensajes de registro pueden ser útiles para hacer seguimientos de la actividad del 94
- 95. sistema, de los errores y de las notificaciones. El registro utiliza ocho niveles de mensajes de notificación: Nivel 0: Emergencias El sistema no puede utilizarse. Nivel 1: Alertas Hace falta una acción inmediata para restaurar la estabilidad del sistema. Nivel 2: Criticas Se han producido condiciones críticas que pueden necesitar atención. Nivel 3: Errores Se han producido condiciones de error que pueden ayudar a hacer seguimientos de los problemas. Nivel 4: Avisos Se han producido condiciones de aviso que no son graves. Nivel 5: Notificaciones Condiciones normales pero significativas que exigen notificaci ón. Nivel 6: Informativo Estos mensajes informativos no requieren ninguna acción. Nivel 7: Depuración Son mensajes de depuración que solamente se utilizan para solucionar los problemas del sistema. En IOS, el usuario define el nivel mínimo de mensajes de registro (en términos de gravedad) que desee que se registren. Para ello hay que identificar el nivel por nombre en el comando de configuración. Emergencias (Nivel 0) es el nivel más grave, mientras que depuración(Nivel 7) es el menos grave. Todos los mensajes de nivel que identifique y de los niveles más graves se envían a uno de estos cuatro lugares: • Un servidor syslog, que se configura con el comando loogging trap. • Un búfer interno del dispositivo, que se configura con el comando logging buffered. • El puerto de la consola de un dispositivo, que se configura con el comando loogging console. • Las líneas terminales de un dipositivo, que se configura con el comando logging monitor. Los anteriores comandos logging son comandos de configuración global que le permiten especificar el nivel de los mensajes enviados a cada ubicación de registro. Un servidor syslog es una excelente ubicación de registro, ya que el sistema suele guardar los mensajes en un disco. Además, dado que syslog es un programa de uso general que utilizan muchos programas distintos, puede tener un origen central para registrar mensajes de diferentes dispositivos. El búfer interno del dispositivo es un útil programa de registro si no se tiene ningún servidor syslog o si se desea que cada uno de los dispositivos mantenga un registro de eventos independiente. El tamaño predeterminado de este búfer es de 4.096 bytes. Dicho tamaño se puede modificar con el comando logging buffered. En algunas situaciones el búfer interno del dispositivo esta en la memoria RAM del dispositivo, por lo que se pierde con cada recarga del dispositivo. El registro de mensajes en la consola o en las líneas terminales de un dispositivo(incluyendo sesiones de terminales virtuales) es útil para la notificación inmediata de los eventos críticos. Las cuatro ubicaciones de registro distintas no son mutuamente exclusivas y se pueden utilizar varios programas de registro al mismo tiempo. Nota_ Para ver los mensajes de registro en una línea terminal o en una 95
- 96. sesión de terminal virtual debe utilizar el comando ejecutable terminal monitor. Este comando se puede ejecutar en modo privilegiado. Los mensajes del servidor syslog pueden configurarse con el comando logging trap. Para activar el registro sysloog en IOS hay que utilizar el comando de configuración global logging para especificar la dirección IP del host que realiza el registro. Es posible registrar mensajes en más de una de las ubicaciones. Nota_ El programa syslog registra los mensajes del sistema en un archivo de texto en UNIX y en otros tipos de estaciones de trabajo. Para registrar los mensajes de dispositivos con IOS en un servidor syslog, debe configurar el proceso de syslog. Para activar el programa syslog local7, el programa que utilizan todos los dispositivos con IOS, hay que ser superusuario en una estación de trabajo UNIX. Como superusuario (acceso raiz), debe añadir la siguiente línea al archivo /etc/syslog.conf: Local7.debug /var/adm/router.log A continuación reinicie el demonio de syslog en la estación de trabajo UNIX, lo que se suele hacer con el siguiente comando: %kill –HUP `cat /etc/syslog.pid` Si todo funciona bien, ya está listo para que los dispositivos con IOS se registren en esta estación UNIX. Si un dispositivo con IOS está configurado para registrarse en un búfer interno, los resultados del registro se pueden ver con el comando ejecutable show logging. Sugerencia_ Es aconsejable activar el registro a nivel de depuración en, al menos una ubicación de registro, ya que eso permite garantizar que se graban todos los mensajes de error que envía el dispositivo con IOS. La mayor parte de los administradores de redes tienden a establecer logging trap debug para activar syslog, a fin de que registre todos los mensajes de los dispositivos con IOS. ADMINISTRACIÓN BASICA DE REDES. La administración de redes es el proceso de gestión de fallos, control de configuraciones, supervisión de rendimiento, aseguramiento de la seguridad y contabilidad de actividades en una red de datos. Es necesario que todas estas tareas tengan un control absoluto sobre algún entorno de la red de datos, que es uno de los componentes esenciales de cualquier organización. El ISO Network Management Forum ha definido la administración de redes como la suma de todas las actividades necesarias para realizar la administración de los fallos, la configuración, el rendimiento, la seguridad y la contabilidad de una red de datos. Las plataformas de administración de redes son sistemas de software diseñados para realizar las actividades de administración de red. Algunos ejemplos de plataformas de administración de redes son: Hewlett-Packard OpenView, Cabletron Spectrum, Sun Solstice Enterprise Manager, IBM NetView/ AIX y CiscoWorks2000. Estas plataformas proporcionan la arquitectura de software para las aplicaciones de administración de redes que realizan una gran variedad de tareas. No se pueden agrupar en una sola categoría. Algunas presentan un mapa de la red y comprueban el estado de todos los dispositivos de la red, lo que proporciona una función de administración de fallos. Algunas herramientas de administración del rendimiento diseñan la utilización de los enlaces de la red y envían advertencias si se 96
- 97. producen errores en alguna interfaz de LAN. Sin embargo, otras vigilan la seguridad de la red y envían advertencias a través del correo electrónico o de buscapersonas. Las aplicaciones de administración de redes se comunican con el software de los dispositivos de la red llamados agentes. La comunicación entre el administrador y el agente permite el primero recopilar un conjunto estándar de información, que se define en una base de información de administración(Management Information Base, MIB). Cada dato que hay en una MIB recibe el nombre de objeto. Una MIB contiene objetos útiles para que los administradores realicen las tareas de administración de red. Los dos tipos de MIB son estándar y están patentados. Las MIB estándar, como MIB-II (RFC 1213), proporcionan objetos básicos aplicables a casi todos los dispositivos de una red de datos. Por ejemplo, MIB-II contiene la información del sistema acerca de un dispositivo, como su tiempo de actividad y nombre, los contadores de errores y del trafico específico de la interfaz, y la información del protocolo de IP. Las MIB específicas de la tecnología, que son estándar son para protocolos como Frame Relay(RFC 1285) o Token Ring(RFC 1315). Contienen objetos que se relacionan con una tecnolog ía específica de un dispositivo de red. Las MIB específicas de los fabricantes, que están patentadas, definen objetos específicos de los dispositivos de red de un solo fabricante. Las aplicaciones de administración de redes recogen la información de la MIB de los dispositivos y cambian el comportamiento de dichos dispositivos de red mediante el uso de un protocolo de administración de redes. El Protocolo simple de gestión de redes(Simple Network Management Protocol, SNMP), definido en la RFC 1157, es el protocolo estándar de administración de redes más profusamente utilizado. SNMP usa UDP en la capa de transporte e IP en la capa de red. También existen protocolos patentados de administración de redes y algunos fabricantes los han implementado en sus dispositivos de red. La comunicación entre un agente SNMP y un administrador se produce con cinco tipos de paquetes: • Get-Request. • Get-Next-Request. • Set-Request. • Get-Reponse. • Trap. 97
- 98. Un Get-Request es un mensaje del administrador a un agente en el que se solicita un conjunto de objetos de MIB especificos, como el nombre de un dispositivo, su ubicación, su número de interfaces físicas, etc. Un Get-Next-Request es un mensaje del administrador a un agente en el que se solicita algún dato tabular. Este tipo de mensajes es útil en la eliminación de las tablas de la MIB y en la recuperación de una tabla como la tabla de enrutamiento IP. Un Set-Request es un mensaje en el que se solicita al agente que cambie el valor de un objeto de MIB específico, como, por ejemplo, que cambie el estado de una interfaaz de un dispositivo. Los agentes responden a cada Get- Requet, Get-Next-Request o Set_Request enviando al administrador un Get-Response que contenga los valores solicitados de los objetos de MIB o que muestre el valor de un objeto de MIB que se ha cambiado. Un mensaje Trap es un mensaje no solicitado del agente al administrador relativo a un evento. Todos los agentes SNMP se configuran con una cadena de verificación llamada cadena de comunidad. Esta cadena se incluye en todas las solicitudes del administrador para obtener o definir la información de MIB. El agente la verifica antes de responder. Una cadena de comunidad tiene una autenticación débil codificada en ASCII, por lo que no es conveniente utilizar solamente este método para asegurar el acceso SNMP a un agente. El comando de configuración global de Cisco IOS snmp-server community configura el agente con la cadena de comunidad. Una opción de este comando permite estipular que la cadena de comunidad se puede aplicar a los mensajes de sólo lectura-escritura dirigidos al agente. Los mensajes Get-Request y Get-Next-Request son de sólo lectura, mientras que los Set-Request son de lectura y escritura. Las palabras clave utilizadas para establecer sólo lectura y escritura son RO y RW, respectivamente. La cadena de comunidad de sólo lectura predeterminada para muchas aplicaciones de administración de redes es public, mientras que la de lectura y escritura suele ser private. Una opción final de este comando global es especificar una lista de acceso IP estándar de aquellos host a los que se les permite realizar consultas al agente utilizando cadenas de comunidad válidas. Nota_ Para aumentar la seguridad del agente SNMP en cualquier dispositivo con IOS, es aconsejable configurar varias cadenas de comunidad para el acceso RO y RW. Además, es recomendable limitar los host que pueden realizar consultas al dispositivo con IOS a trav és de SNMP mediante el uso de la opción access-list del comando snmp-server community. Para enviar mensajes Trap SNMP, hay que configurar el dispositivo con Cisco IOS. Los seis mensajes Trap SNMP estándar que envían todos los agentes se definen en la RFC 1157: • ColtStart. • WarmStart. • LinkUp. • LinkDown. • AuthenticationFailure. • EgpNeighborLoss. Un coldStart significa que el agente acaba de iniciarse. La trap warmStart indica que el propio software del agente se acaba de restablecer. En la practica, la mayor parte de los agentes s ólo envían Traps coldStart, ya que el agente se suele reiniciar cuando se enciende el dispositivo en el que el agente se está ejecutando. Las Traps linkUp y linkDown alertan a un administrador acerca del cambio 98
- 99. de estado de algún enlace del dispositivo. Un authenticationFailure indica que un administrador ha enviado al agente una solicitud SNMP con una cadena de comunidad incorrecta. Finalmente, la Trap egpNeighborLoss indica al administrador que no se puede acceder a un vecino con el protocolo External Gateway Protocol (EGP). Este ultimo Trap casi nunca se utiliza, ya que EGP se ha reemplazado por BGP4. Los seis anteriores mensajes trap son los Traps SNMP estándar, pero no son los únicos que pueden evitar los agente. Muchas MIB definen Traps especificos de los protocolos, como traps espec íficos de RDSI(ISDN), Frame Relay o BGP$. Actualmente IOS admite los traps para una variedad de protocolos y para funciones de IOS, entre los que se incluyen BGP, Frame Relay, RDSI, X.25, monitor de entorno y cambios en la configuración de IOS. Cisco IOS puede configurarse para enviar Traps SNMP a cualquier número de administradores. Para especificar la dirección IP y la cadena de comuidad del administrador al que debe enviarse las Traps, hay que utilizar el comando snmp-server host. Los parámetros opcionales del comando snmp-server host tambien sirven para especificar que queremos que el agente envíe Traps SNMP. Sugerencia_ Es conveniente configurar el agente SNMP para que envíe Traps relativos a todas las tecnologías que están activas en el dispositivo. Los mensajes Traps SNMP no suelen consumir mucho ancho de banda y pueden proporcionar información útil para diagnosticar problemas de red. Es posible configurar manualmente el agente SNMP en IOS con la ubicación física y la persona de contacto del dispositivo. A continuación, las aplicaciones de administración de red pueden recuperar esta información. Para configurar esta información hay que utilizar los comandos de configuración global snmp-server loction y snmp-server contact. Ambos comandos permiten escribir una cadena de texto de 255 caracteres para describir la ubicación o la persona de contacto. El comando ejecutable show snmp muestra las estadísticas SNMP de un dispositivo dado. Este comando es útil para ayudarle a supervisar la actividad de SNMP en el dispositivo. CONTROL DE TIEMPO BÁSICO Cisco IOS permite a los dispositivos hacer un seguimiento de la fecha y hora actuales utilizando un reloj del sistema. Este reloj se inicia cuando enciende el dispositivo y puede distribuir el tiempo a varios sistemas internos, como la grabación de la fecha y hora de los cambios en la configuración, la visualización del tiempo en los mensajes de registro en el búfer y el envío de la fecha y la hora en los mensajes de SNMP. En los router Cisco 7000, el tiempo del reloj del sistema se define a través de hardware. En los restantes modelos, el reloj del sistema se define de forma predeterminada con el valor de medianoche del 1 de marzo de 1993. Una vez definido, el reloj del sistema determina si la fecha y la hora son de un origen fiable. Si el origen de la hora es fiable, se redistribuye a otros procesos IOS; en caso contrario, la hora solo se utiliza para la visualización. En las próximas secciones se explicara como asegurarse de que el origen de la hora definida, como un reloj atómico, es un origen fiable. Los routers de la serie 7000 contienen un calendario que hace un seguimiento de la fecha y la hora en los recintos del sistema y los cortes eléctricos. En un recinto del sistema, el calendario siempre se utiliza inicialmente para definir el reloj del sistema. A continuaci ón 99
- 100. es posible que otro protocolo modifique o actualice el reloj. En una red en la que no exista ningún otro origen de hora con autoridad, se puede utilizar el calendario como origen de hora con autoridad y puede pasarse a otros procesos(como el protocolo Network Time Protocol). Para ver el valor actual del sistema del calendario se utiliza el comando ejecutable show calendar. Nota_ Si desea que algún dispositivo con IOS indique la fecha y hora actual en los mensajes de depuración y de registro, utilice el comando de configuración global service timestamps. Puede mostrar el tiempo que ha transcurrido desde que se reinició el dispositvo, la fecha y hora utilizando GMT o la zona hararia local y la hora con una precisión que llega hasta los milisegundos. Es recomendable utilizar los comandos de configuración service timestamps log datetime localtime y service timestamps debug datatime localtime. El comando service timestamps log datetime localtime añade la fecha y hora a los mensajes de registro, mientras que service timestamps debug datatime localtime las añade a los de depuración. Para fijar el reloj del sistema puede utilizar varias fuentes. Éstas son las tres más utilizadas: • Manualmente. • NTP. • SNMP. 100