Cisco Redes WAN, Router Manual de usuario
A continuación, encontrará información breve para Redes WAN, Router Cisco. Los routers Cisco son dispositivos de red que se utilizan para conectar diferentes redes entre sí, como redes locales (LAN) y redes de área amplia (WAN). Los routers Cisco también se usan para proporcionar seguridad a la red y para controlar el flujo de tráfico de red. Los routers Cisco son dispositivos esenciales para la conexión y el funcionamiento de las redes de cualquier tamaño y complejidad.
Anuncio
Asistente Bot
¿Necesitas ayuda? Nuestro chatbot ya ha leído el manual y está listo para ayudarte. No dudes en hacer cualquier pregunta sobre el dispositivo, pero proporcionar detalles hará que la conversación sea más productiva.
Capítulo 1 Introducción a las Redes Wan.
DTE: equipo terminal de datos. Equipo del cliente; se comunica con el bucle local a través del DCE.
CPE: cableado local del cliente
DCE: equipo de comunicación de datos o de terminación de circuitos. Dispositivos-interfaz que pone datos en el bucle local.
Bucle local: cable telefónico de cobre o fibra óptica
Punto de demarcación: punto de conexión del CPE con el bucle local. Separa responsabilidades.
PoP, point-of-presence: punto geográfico donde un proveedor de servicios ofrece salida a Internet.
Diseño jerárquico de la red: capas núcleo, distribución y acceso.
Protocolos de enlace de datos WAN: o
Privada
•
Dedicada:
Líneas arrendadas: la más segura y costosa (ej T1, E1…)
∼
HDLC: predeterminado en Cisco
∼
PPP: basado en HDLC.
•
Conmutado: por circuitos, menos costosa pero necesario configurar la llamada (ej. conexiones dialup).
∼
PPP
∼
PSTN
∼
ISDN o RDSI. Antiguo, todavía en uso para VoIP con enlaces PRI. por paquetes, enlace compartido que puede ser permanente (PVC) o no (conmutado o SVC)
∼
Frame Relay. Basado en X.25, pero capa de enlace de datos. Orientado a la conexión.
∼
X.25. Capa de red. Antiguo, todavía en uso en paises subdesarrollados para transaciones con tarjetas de o
Pública
•
Internet: la menos segura pero menos costosa también.
Banda ancha VPN: conexión encriptada entre redes privadas mediante túneles VPN
∼
DSL
∼
Cable
∼
Acceso inalámbrico de banda ancha
∼
Metro Ethernet
Repaso: crédito en tiendas minoristas.
∼
ATM usa celdas en lugar de tramas, de tamaño fijo, más pequeñas: 53 bytes. Todos los demás protocolos de enlace de datos WAN usan tamaño variable. Para video.
VLAN (Virtual Local Area Network): grupo de dispositivos en el mismo dominio broadcast lógico; los dispositivos pueden estar lejos geográficamente pero se comunican dentro de la misma LAN.
VTP (VLAN Trunking Protocol): permite configurar un switch para que propague la configuración de las VLAN a los otros switches.
STP (Spanning Tree Protocol): estándar para proporcionar caminos alternativos pero evitando bucles.
Capítulo 2 PPP (Point-to-Point protocol, conexión serial o en línea arrendada).
Estándares de comunicación serial: RS-232 (usado por los conectores RJ-45), V.35 y HSSI.
TDM (Multiplexación por división temporal): envía datos distintos síncronamente por el mismo canal. Usan TDM: ISDN,
SONET, SDH.
STDM (Multiplexación estadística por división temporal): mejora TDM permitiendo que si fuente no transmite, su parcela puede usarse por otra fuente. Para ello se usa un buffer.
Ejemplo de configuración: DTE (PC) -> DCE (modem cliente) -> DCE (modem remoto) -> DTE (remoto)
Modem nulo: nombre que se le da a la conexión entre dos DTE sin hacer uso de ningún DCE.
HDCL: transmisión síncrona con control de errores mediante acusos de recibo.
HDCL de Cisco o cHDCL permite multiprocolo añadiendo un campo donde se indica el protocolo.
Comandos: encapsulation hdlc, show interfaces serial, show controllers
PPP
Funciona con cualquier interfaz DTE-DCE siempre que el circuito sea Dúplex (conmutado o dedicado).
Para conectar a routers que no sean cisco (frente HDCL, PPP no está patentado).
Monitoriza la calidad y desactiva el enlace si muchos errores
Autentificación PAP (Protocolo de Autentificación de Contraseña, pero sin cifrar, en dos pasos) y CHAP (Protocolo de
Autentificación de Intercambio de señales, hay encriptación mediante número hash MD5 generado a partir de password, id y un número aleatorio cambiante en cada comprobación realizada periódicamente).
LCP (Link Control Protocol): establece conexión, detecta errores, acuerda encapsulación (autentificación, compresión, detección de errores).
NCP (Network Control Protocol): permite configurar varios protocolos de capa superior
Comandos: encapsulation ppp, compress [predictor | stac], ppp quality 80, no ppp quality, ppp multilink (ppp permite multienlace: MPPP, MLP, MP), debug ppp [packet | negotiation | error | authentification | compression, cbcp], ppp authentification {chap | pap | chap pap}..,
Capítulo 3 Frame Relay.
Creado para superar la lentitud del X.25 al no tener control de flujo o errores en cada trama.
Tecnología WAN más utilizada del mundo. Económica: cliente paga bucle local y ancho de banda. Más ancho de banda, fiabilidad y resistencia a las fallas que las líneas privadas o arrendadas.
ISDN (frente a FrameRelay) costo inicial más bajo pero mensual mucho mayor. Pagamos por duración de la llamada.
Interconexión de redes locales. En cada red local un Router hace de DTE, y éste se conecta al Swich Frame Relay de la empresa que hace de DCE, el cual estará conectado al PoP más cercano de proveedor de comunicaciones. Se pueden multiplexar varios VC mediante un FRAD (dispositivo de acceso Frame Relay). Una WAN Frame Relay son switches conectados por enlaces troncales (Frame Relay opera en la capa 2 mientras X.25 también utiliza la 3).
VC (Virtual Circuit).
SVC (Switched=permutados Virtual Circuits).
PVC (Permanent Virtual Circuit) o VC privados:
DLCI (Data Link Connection Identifier): identifica un VC al equipo en un punto final. Tiene significado local y no es único en toda la WAN Frame Relay. De hecho. Los dos equipos extremos del VC pueden darle distintos DLCI al mismo VC.
Formato de la trama Frame Relay: señalador de principio y fin de trama, datos, dirección y FCS (determina si hubo errores en el campo dirección de la trama; si los hubo la trama se descarta: el control de errores se deja a la capa 3). El campo dirección contiene los DLCI, los bits FECN (buffer del enlace de recepción de datos congestionado, notifiación indirecta),
BECN (buffer de envío congestionado, notificación directa) y DE (transmisión superior al CBIR).
LMI (Local Management Interface): mensajes que actúan como keepalives entre routers (DTE) y switches Frame Relay (DCE).
También permiten descubrir nuevos PVCs dinámicamente. El campo de dirección lleva uno de los DLCI reservados.Usa
ARP inverso (protocolo de resolución de direcciones inverso): extrae direcciones de la capa 3 a partir de las tramas recibidas como respuesta. Se espera que el DTE considere los problemas de congestión (pues trabaja en la capa 3)
Topología en estrella o Hub and Spoke. Mínimo número de VC: uno de los nodos hace de hub y el resto de nodos (spoke) se conectan a éste (a través de un VC suministrado por el proveedor de la red Frame Relay). ARP inverso no funciona entre spokes: el VC requiere asignación estática. El problema del horizonte divido (no permite reenvío de la actualización de estado a otro nodo por la misma interfaz) se arregla con subinterfaces. Topología de malla completa: se contrata un VC distinto entre cada par de extremos. Alta seguridad. Topología de malla parcial: intermedio entre los dos anteriores.
Comandos: o encapsulation frame-relay, frame-relay map protocol protocol-address dlci [broadcast] [ietf | cisco], show frame-relay lmi, show frame-relay map, show interfaces, show frame-relay pvc [particular dlci], clear frame-relay-inarp, debug frame-relay lmi o interface serial 0/0/0.103 [point-to-point | multipoint]: se recomienda que la subinterfaz (103) = dlci
• frame-relay interface-dlci 103
NBMA (non-broadcast multiple access) es uno de los cuatro tipos del protocolo OSPF (Open Shortest Path First). En contraste con broadcast o multicast, envía paquetes individuales de comprobación de estado individualmente a cada router.
Horizonte dividido: evita routing loop en redes que usan enrutamiento de vector distancia, al no permitir que una actualización de enrutamiento recibida en una interfaz sea reenviada por la misma interfaz.
Ráfagas o envíos superiores al CIR ≈ Bc (velocidad de información suscrita ≈ ráfaga suscrita) se permiten. También superiores al CBIR (Committed Burst Information Rate), pero no pueden ser superiores a la velocidad del puerto o de acceso. Si lo hacemos el bit DE se marcará a 1 y si la red está congestionada la trama se descartará. La cantidad de datos que podemos sobrepasar como máximo: EIR ≈ Be (Excess Information Rate ≈ Excess Burst Size) = Máximo permitido
(normalmente la velocidad del puerto) - Bc (ráfaga suscrita).
Capítulo 4 Seguridad de la Red.
Agresores a la seguridad: hacker (de sombrero blanco ≈ bueno, o negro ≈ malo ≈ cracker), phreaker (para hacer llamadas telefónicas), spammer, estafador (suplantador de identidad).
3 tipos de vulnerabilidades o debilidades: tecnológicas, en la configuración o en la política de seguridad.
Amenazas a la infraestructura física: apagones eléctricos, temperatura, etc.
Amenazas a la red: estructuradas (hechas por expertos) o no, internas y externas.
Ingeniería social (estafadores).
Tipos de ataques a las redes o
Reconocimiento (búsqueda de vulnerabilidades).
Herramientas como fping o gping pueden hacer un barrido de pings a un intervalo de ips. Tras conocer las IPs activas se usa algún software que escanéa los puertos abiertos. Infiltración en la red o recopilación y robo de información; por ejemplo robo de datos de las cadenas comunitarias SNMPv1 o usuarios y passwords sin cifrar con un analizador de protocolos como
Wireshark. Soluciones: usar switches (redes conmutadas) en lugar de hubs para que el tráfico particular no esté en todas las partes de la red, encriptación o políticas de seguridad que prohíban los protocolos no seguros. o
Acceso (entrar en un dispositivo sin permiso), usando vulnerabilidades conocidas.
•
Ataques a las contraseñas: diccionario, tabla arcoiris o fuerza bruta.
•
Explotación de confianza (suplanta a un servidor de confianza externo a la red y ataca desde allí).
Redirección de puertos (se pasa el firewall haciendo que un host de la misma red a la del host al que se ataca, redirija la comunicación con dicho host atacado). Al host que se encuentra en el segmento de servicios públicos (y podemos acceder) se le suele llamar zona desmilitarizada (DMZ). Se puede realizar con netcat y evitar con un sistema de detección de intrusión (IDS).
•
MITM (Ataque Man-In-The-Middle) (captura de datos de una comunicación entre host). Estos datos pueden robarse o alterarse con distintos fines. Evitable cifrando todos los datos. o
Denegación de servicio o DoS (daña o desactiva algo para que los usuarios de ese algo no pueden usarlo). Son los más temidos por su facilidad de ejecución y la dificultad de eliminar. Son ejemplos las bombas de correo electrónico y la saturación SYN (Peticiones TCP masivas).
∼
Ataques DDoS o DoS distribuida (el ataque se realiza de múltiples fuentes). Normalmente el cliente (persona que ataca) usa un host manipulador que usa host agentes (los que lanzan los ataques). Son ejemplos el ataque Smurf (peticiones masivas de eco ICMP broadcast que el router reenvía a todos los host). Una solución a DoS y DDoS es limitar tráfico no esencial (ej:ICMP). o
Ataques de código malicioso (software malicioso instalado en un host): Gusanos (capaces de propagarse por otros host por sí sólos) Virus (modifica y/o modifica otro software; necesita interacción humana para propagarse) y caballos de troya
(parecen otra cosa, por ejemplo un juego, pero tienen incluido el código malicioso).
Seguridad en host y servidores: modificar configuración por defecto (passwords, servicios), antivirus, firewall, parches del
SSOO, HIDS (sistemas de detección de intrusiones basada en hosts, que avisan al administrador) e HIPS (que además previenen, capaces de apagar la red o detener lo afectado, por ejemplo el agente de seguridad de Cisco).
La rueda de seguridad de la red asegura que las medidas de seguridad se apliquen y funcionen con la repetición continua de pruebas y otras medidas de seguridad. 1: asegurar seguridad en host y servicores y el cumplimiento de políticas. 2: controlar con auditorías e IDS. 3: Probar con herramientas como SATAN, Nessus o Nmap. 4: mejorar.
Protección de los routers Cisco. Los routers filtran a quien puede usar la red y no. Medidas de protección: copia de seguridad de la IOS, contraseñas difíciles de adivinar, usar SHH en lugar de Telnet (sin cifrar).
SDM de Cisco: interfaz web para configurar el router accesible escribiendo su ip en un explorador web.
Comandos: global [username] username secret [password], security passwords min-length, service timestamps ?, show ip route, passive-interface default (desactiva envío de RIP, sólo recibe), auto secure o
Desactivar totalmente el uso de puertos vty, aux o tty: Line aux 0 + no password + login o
Admite sólo SSH: line vty 0 4 + no transport input + transport input ssh + exit o
Configuración de SSH: hostname [name] + ip domain-name [name] + crypto key generate rsa
•
[opcional] ip ssh time-out [seconds] authentication-retries [integer] o
Desactivar servicios vulnerables: no snmp-server, no service finger, no ip classless, shutdown … o
Encriptación de RIP: key chain KEY + key 1 + key-string [password], int s0/0/0 + ip rip authentification mode md5 + ip rip authentication key-chain KEY
•
De EIGRP: … + ip authentification mode aigrp 1 md5 + ip authentification key-chain eigrp 1 KEY
•
De OSPF: … + ip ospf message-digest-key 1 md5 cisco +… o
Manipulación de IOS: show file systems, cd, pwd, dir, copy running-config startup-config, copy running-config tftp:, copy tftp: running-config, tftpdnld y xmodem (usados en modo ROMmom, cuando no hay IOS; este modo también se usa para recuperar una contraseña olvidada). o
Resolución de problemas: show y debug: debug ip rip, no debug all, show processes, service timestamps, terminal monitor
(necesario para que se muestre información de debug en sesión telnet).
Capítulo 5 ACL (Listas de Control de Acceso)
Sentencias secuenciales de permiso o denegación (u otros menesteres, como dar prioridades) que se aplican a direcciones IP o protocolos de capa superior, tras leer la cabecera del paquete. Puede actuar como un firewall pero también tiene más funciones, como evitar el tráfico de video por rendimiento o bloquear el tráfico Telnet. Por defecto los routers dejan pasar todo el tráfico.
La primera sentencia de la secuencia que coincida será la que se ejecute. Por tanto, la primera es la que tiene mayor prioridad y decrece hasta la última, que debe cubrir el resto de casos sin cubrir y suele llamarse "deny all traffic" o
"implicit deny any".
Regla de las 3 p: se puede filtrar por protocolo, por dirección (deben crearse por separado las reglas del tráfico de salida y las de entrada) o por interfaz.
Interface s0/0/0 + ip access-group 103 out + ip access-group 104 in o
Esto es distinto a si la ACL actúa antes o después de ser enrutado: diferenciamos ACL de entrada (antes de ser enrutados a la interfaz de salida) y ACL de salida (después).
Tipos de ACL de Cisco:
ACL estándar, 1-99 & 1300-1999. Sólo filtran según ips origen: situarlas lo más cercano al destino.
Ejemplo access-list 10 permit 192.168.30.0 0.0.0.255
ACL extendidas, 100-199 & 2000-2699. Situarlas lo más cerca posible del origen del tráfico denegado. Pueden utilizarse operaciones lógicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt). established permite que la respuesta del servidor a una petición pase el filtro. any significa desde cualquier lado o hacia cualquier lado. Ejemplos: access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80 access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq telnet access-list extended BROWSING + permit tcp any 192.168.10.0 0.0.0.255 established access-list 101 permit ip any any
Máscara wildcard (indica qué parte del número de la subred observar). También llamadas máscaras inversas porque 1 ignora una coincidencia (y en una máscara de subred signifca coincidencia) y vicerversa. Para calcularla restar 255.255.255.255 menos la máscara de subred. Palabras clave: host = wildcard 0.0.0.0 y any = 255.255.255.255. Ejemplos: access-list 1 permit any, access-list 1 permit host 192.168.10.10
192.168.3.32 /28 (255.255.255.240 = 14 host) -> access-list 10 permit 192.168.3.32 0.0.0.15
Dos redes: 192.168.10.0 y 192.168.11.0 -> máscara de subred regular 255.255.252.0. -> 0.0.3.255
Si no podemos usar SSH (conexión cifrada) para acceder a la administración del router, entonces restringir el acceso VTY
(Telnet) sólo a ciertas IPs: access-classaccess-list-number {in | out}
Editar ACL. (borrarla primero o añadiríamos nuevas sentencias; en ACL nombradas en lugar de numerdas sí podríamos en nuevas IOS; es mejor tenerlos en ficheros de texto y cortar y pegar): show running-config | include access-list + no access-list {nombre} + access-list 20 permit… + acce...
Comentarios + nombrado. Añadir comentario a secuencia antes de la misma: access-list 1 remark comentario1 + access-list 1 permit 192.168.10.13 ip access-list standard NOMBRE1 + remark comentario1 + deny 192.168.10.12
Mostrar información (para resolución de problemas): show access-list [número | nombre]
Asignación de ACL a interfaz. Tras configurar una ACL estándar, usamos el comando ip access-group:
[no] ip access-group {número de lista de acceso | nombre de lista de acceso} {in | out} o
[no] desvincula de la interfaz; para eliminar la ACL: no access-list {número de lista}
Tipos de ACL complejas (no se estudian en profundidad en este curso)
ACL dinámicas (de bloqueo). Hasta que los usuarios hacen Telnet al router y se identifican, no pueden atravesarlo. Sólo para tráfico IP.
ACL reflexivas. Sólo permiten tráfico entrante como respuesta al mismo host que envió una petición saliente. Como el parámetro established pero con más posibilidades: también permite UDP, ICMP; además de verificar las direcciones origen y destino.
ACL basadas en tiempo. Acceso según hora y día de la semana.
Capítulo 6 Servicios de Trabajadores a Distancia.
SOHO (Small Office Home Office): trabajar desde casa. Se necesita router VPN o cliente software VPN.
Para VoIP y videoconferencia, los routers deben tener funcionalidad QoS (calidad de servicio, permite dar distintas prioridades al tráfico).
VPN, a pesar de usar la red pública, es seguro gracias a: o
Confidencialidad de datos: datos son encriptados y encapsulados. Suele usarse tunneling (encapsulación de un paquete en otro paquete) y el protocolo de encapsulación suele ser IPSec (más abajo se explica).
•
Protocolos de tunneling:
Protocolo portador: por donde viaja la información (Frame Relay, ATM, MPLP).
Protocolo de encapsulación: encapsula datos originales (GRE, IPSec, L2F, PPTP, L2TP).
Protocolo pasajero: transporta datos originales (IPX, AppleTalk, IPv4, IPv6).
•
Algoritmos de encriptación comunes:
Clave simétrica (misma clave para cifrar que para descifrar; host deben conocer la clave previamente): DES
(estándar de cifrado de datos), 3DES y AES (estándar de encriptación avanzada).
Clave asimétrica (una clave de cifrado y otra de descifrado; más seguro y fácil que la simétrica). La encriptación de clave pública es una variante en la ambos tienen una clave pública y otra privada; el emisor cifra con la clave pública del receptor y el receptor puede desencriptar con su clave privada. RSA (claves asimétricas de 512, 1024 o superior). o
Integridad de datos gracias al hash o message digest (generación de un número muy poco probable de que se repita a partir de ciertos datos). HMAC (código de autentificación de mensajes de hash): además del mensaje de entrada se utiliza una clave secreta; algoritmos comunes: MD5 (Message Digest 5, que utiliza clave de 128 bits y hash generado 128 bits) y
SHA-1 (algoritmo de hash seguro 1, 150 bits). o
Autentificación: contraseñas, certificados digitales, tarjetas inteligentes, etc. Dos posibilidades:
•
PSK (clave asimétrica previamente compartida)
•
Firma RSA (la firma digital es el hash del mensaje encriptado con su clave privada; ésta se envía al receptor junto al mensaje, quien puede descifrarlo con la clave pública del emisor, y lo compara con el hash del mensaje, que también tiene que ser calculado por el receptor)
IPSec: conjunto de protocolos que da integridad y autentificación a paquetes IP. Usa algoritmos ya conocidos como DES, AES,
MD5, etc. Dos protocolos de estructura:
AH (Authentication Header). No encripta los datos sino que únicamente crea un hash con una clave y las partes del paquete que no deben ser modificadas durante la ruta.
ESP (contenido de seguridad encapsulado). Puede encriptar, autentificar o ambos pero, en contraste con AH, la cabecera no está protegida.
IPsec proporciona una estructura de cuatro apartados y el administrador elige los algoritmos utilizados en cada una. Ejemplo,
1) protocolo Ipsec: ESP + AH, 2) encriptación: 3DES, 3) autentificación: MD5, 4) DH (para establecer claves públicas en medio no seguro): DH5.
Tipos de VPN.
VPN de sitio a sitio. Host envían y reciben a través de un gateway VPN, que puede ser un router, aplicación firewall PIX o ASA
(aplicación de seguridad adaptable), que encapsula, desencapsula, cifra y descifra.
Servicios de banda ancha:
Acceso dial-up. Usa la línea telefónica. Lento, se usa si no es posible usar otro.
DSL. Usa la línea telefónica (cables de cobre). Conexión continua y rápida. El transceptor al que se conecta el cliente es normalmente un módem y éste se conecta mediante un cable no compartido al DSLAM (que separa señal POTS en DSL y voz;
previamente el cliente habrá usado microfiltros para que la voz vaya en frecuencias bajas y datos en altas, o habrá un divisor de señal POTS) en la oficina del proveedor de servicios. o
ADSL (DSL asimétrica: mayor ancho de banda descendiente). Frecuencias 20kHz-1MHz. o
SDSL (DSL simétrica: igual ancho ascenciente que descendiente).
Módem por cable. Cable coaxial, en general HFC (fibra coaxial híbrida). Normalmente también transporta televisión. CM
(cable módem) separa señales, y éste se conecta al CMTS (Sistema de Terminación de Cablemódems) que es la cabecera de la compañía de cable. El mismo cable transporta señales ascendentes (del suscriptor al operador) usando RF (radio frecuencias) entre 5-42 MHz y descendentes 50-860 MHz. o
DOCSIS (de CableLabs). Estándar de certificación para proveedores y equipos de cable. Especifica capas física y MAC (define TDMA o división por tiempo; y S-CDMA o división por frecuencias). Son variantes de DOCSIS:
PAL, NTSC o SECAM.
Conexión inalámbrica de banda ancha. 802.11 es un estándar de comunicaciones inalámbricas y WiFi es una certificación basada en este protocolo. o
Wi-Fi municipal, o
Estándar 802.16 o WiMAX (interoperatividad mundial para el acceso por microondas). o
Internet satelital. Disponible cualquier parte del mundo. Tres formas de conectarse: multicast unidireccional
(satélite envía datos pero el usuario no puede responder?), retorno terrestre unidireccional (dial-up tradicional mediante un módem) y bidireccional (satélite hace de hub intermediario con el ISP).
Capítulo 7 Servicios de Direccionamiento IP.
DNS (Domain Name System)
DHCP.
Asignaciones manual (DHCP sólo informa al dispositivo de su IP, previamente asignada), automática (asigna automáticamente IP de forma permanente) y dinámica (asigna de forma temporal).
Pasos: cliente envía DHCPDISCOVER broadcast (para que algún servidor DHCP responda), servidor responde DHCPOFFER unicast, cliente confirma que está usando esa IP con DHCPREQUEST broadcast, servidor responde con un DHCPACK unicast; por último cliente hace búsqueda ARP para saber si la IP ya ha sido asignada y si no recibe respuesta empieza a utilizarla.
Usa el protocolo UDP, el servidor escucha en el puerto 67 y el cliente en el 68.
Comandos en router Cisco: ip dhcp excluded-address{ips} (excluir IPs específicas), ip dhcp pool {nombre} (crea pool DHCP), network {ip máscara} (para seleccionar rango de direcciones disponibles), default-router (define gateway/s predeterminado), dns-server, lease (modifica el tiempo predeterminado de arrendamiento de un día), [no] service dhcp, show ip dhcp binding (información de IPs asignadas con DHCP), show ip dhcp server (cantidad de mensajes DHCP transmitidos).
Comandos en un entorno SOHO o routers domésticos: interface fa0/0 + ip address dhcp + no shut
Relay DHCP. Configura el router (que no deja pasar broadcast) para que las peticiones broadcast del cliente sean enviadas al servidor DHCP correspondiente: ip helper-address {ip_servidor} (también reenvía de forma predeterminada DNS en puerto 53, TFTP 69…), ip forward-protocol (para especificar puertos adicionales)
Resolución de conflictos: show ip dhcp conflict (muestra conflictos detetectados por el servidor como dos ips repetidas), show interface (para comprobar si está activa), show running-config (ayuda a comprobar que relay DHCP está asignado correctamente). Depuración: o access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 + debug ip packet detail 100 o debug ip dhcp server packet, debug ip dhcp server events
BOOTP: protocolo anterior a DHCP qué únicamente hacía la función de asignación manual de DHCP.
NAT (Network Address Translation). Para escalamiento de redes como solución a corto plazo del insuficiente número de direcciones. Antes del desarrollo de NAT, un host con dirección privada no podía acceder a Internet. Tiene desventajas como que los sistemas que usen un hash que tome como datos las IP fallarán (firmas digitales, IPsec…) o la pérdida de tiempo en traducir unas direcciones en otras.
Direcciones: local interna y externa, y global interna y externa.
Funcionamiento: cuando un host hace una petición a un servidor, el router cambia la ip local interna por la externa y deja documentado el cambio en la tabla NAT. Cuando reciba la respuesta mirará la tabla NAT y hará la operación inversa. o
Traducción NAT estática: la dirección privada siempre tiene la misma dirección pública (esto permite tener una dirección privada sin perder su visibilidad en internet): ip nat inside source static {ip_privada} {ip_publica} + interface serial 0/0/0 + ip nat inside (asigna interfaz a la conexión interior) + exit + interface serial 0/1/0 + ip nat outside o
Traducción NAT dinámica: cuando un host pida acceso a internet, su IP privada (debe estar permitida en una ACL) se mapea con una de las públicas que todavía no está en uso por otra IP privada. –Omitidos comandos de puesta en funcionamiento- o
Sobrecarga NAT o PAT (Port Address Translation). Puede asignar varias direcciones IP privadas una públicas. NAT asigna a cada host de la red privada y al paquete que envía un puerto distinto. –Omitidos comandos de puesta en funcionamiento-
Reenvío de puertos (a veces también llamado tunneling): permite alcanzar un puerto de una dirección privada. NAT no permite solicitudes iniciadas desde el exterior, el reenvío o apertura manual de los puertos es necesario para que ciertos programas, como p2p, servidores Web o FTP funcionen.
Comandos: show ip nat translations [verbose] ([información adicional]), show ip nat statistics, show run, ip nat translation timeout {timeout_ seconds} (modifica las 24 horas predeterminadas que una entrada aparece en la tabla NAT), clear ip nat translation * | {algo_en_concreto}, debug ip nat [detailed]
IPv6.
Mayor diferencia y motivo de su implantación: espacio de direcciones de 128bits, frente a IPv4: 32bits. Ejemplo de IP
(hexadecimal): 2031:0000:130F:0000:0000:09C0:876A:130B = (quitamos ceros) 2031:0:130F::9C0:876A:130B. Comando: ipv6 unicast-routing (activa IPv6 en interfaz). Se necesita más memoria pues las direcciones y los paquetes son mayores y mejor hardware para procesar mayores direcciones.
RIPng similar al rip de IPv4, pero usa multicast a los enlaces troncales en lugar de broadcast. Comandos: ipv6 router rip
[nombre1] + (en cada interfaz) ipv6 rip {name} enable
Resolución de problemas: show ipv6 interface | neighbors | route | traffic (estadísticas).., debug ipv6 packet | rip | routing
Otros comandos: clear ipv6 rip | route * | route {ruta}
Más mejoras:
Direccionamiento IP mejorado. Plug-and-play, multiconexión (host puede tener varias IPs por el mismo enlace físico)...
Dirección unicast global permite la agrupación ascendente hasta llegar al ISP. 1/256 son ips reservadas; entre ellas las ip privadas (que empiezan por FE seguido por un valor entre 8 y F), direcciones locales de un sitio (asignadas a una organización en particular), direcciones unicast de enlace troncal (referencian a enlace físico), dirección de loopback (::1 = todas a cero menos el último dígito que es 1), dirección no especificada (:: = todos a cero). Asignación de IDs: o
Asignación estática con un ID de interfaz manual (manualmente escribimos el prefijode red como la porción de ID que corresponde al host). Comando: ipv6 address 2001:DB8:2222:7272::72/64 o
Asignación estática con un ID de interfaz EUI-64 (crea ip única a partir de la MAC): Comando: ipv6 address
2001:DB8:2222:7272::/64 eui-64 o
Autoconfiguración sin estado y DHCP para IPv6 (DHCPv6) con estado (que da más opciones de configuración, como especificar las DNS a usar). Ambas pueden coexistir.
Simplificación de encabezados. No broadcast ni checksums, extensión de encabezado más sencillo…
Movilidad y seguridad integrada. Estándar IETF de IP móvil es dinámico (no hay que configurar manualmente ip actual y de respaldo), uso de IPsec es obligatorio.
Intensidad de transición. Usar stack doble cuando pueda y tunneling cuando no tenga otra opción: o
Stack doble (nodos soportan simultáneamente IPv4 e IPv6). o
Tunneling (paquete IPv6 se encapsula dentro de IPv4 con el campo protocolo a 41 para atravesar red IPv4).Los principales son el tunneling manual (se introduce a mano en el router stack doble origen la IPv4 del router stack doble destino) y el dinámico 6to4 (la dirección IPv6 tiene embebido la dirección IPv4 previo a un prefijo específico).
No se recomiendan el tunneling ISATAP, el tunneling Teredo o NAT-PT.
Capítulo 8 Resolucion de Problemas de Red.
Línea de base de rendimiento de la red (cómo se ha diseñado una red y cuál es el rendimiento esperado para dicha red en condiciones normales de funcionamiento). Debemos medir cómo funciona la red durante un día promedio, partes utlizadas en exceso, dónde suele ocurrir errores, política de errores, etc.
Documentación de la red (diagrama lógico de la red e información detallada acerca de cada componente) o
Tabla de configuración de la red (switches y routers): imagen IOS usada, lugar donde se encuentra el dispositivo, si se le puede añadir algún módulo, IP, o
Tabla de configuración del sistema final (host como pcs, impresoras…): IP, SSOO, etc. o
Diagrama de topología de la red (representación gráfica de la red)
Lógico (se visualiza como se transmiten los datos): IPs, identificadores de dispositivos y de interfaz, protocolos de enrutamiento, etc.
Físico: especificaciones de cables, conectores, SSOO, IOS, etc.
Proceso de documentación de la red. Pueden ser útiles los siguientes comandos para obtener información del dispositivo o de sus vecinos: ping, telnet, show ip interface brief, show ip route, show cdp neighbor detail. Software de medición automático sofisticado: SuperAgent de Fluke Networks
Modelo en capa OSI: 7.Aplicación > 6.Presentación > 5.Sesión > 4.Transporte (TCP) > 3.Red (IP) > 2.Enlace de datos > 1.Física; modelo en capa TCP/IP: Aplicación > Transporte (TCP) > Internet (IP) > Acceso a la red.
Resolución de problemas:
Proceso sistemático:
1.
Recopilación de síntomas, búsqueda de diferencias con la línea base o alertas recibidas
2.
Aislamiento del problema, identificación del problema/s concreto.
3.
Corrección del problema, que se documenta; podría crearse otro nuevo problema
Métodos:
Ascendente (se empieza a buscar el problema por la capa física y se asciende en el modelo OSI). La desventaja es que necesitamos comprobar cada dispositivo por separado.
Descendente (se empieza por las aplicaciones del usuario). Dificultad de descubrir qué aplicación produce el problema.
Divide y vencerás (tras documentar el problema se decide en qué capa está probablemente; si la capa funciona correctamente verificamos la capa superior, y si no verificaríamos la capa inferior).
Herramientas de resolución de problemas software. o
Herramientas de NMS: CiscoView, HP Openview, Solar Winds y What's Up, Gold… o
Bases de conocimientos: Google, foros… o
Herramientas de línea de base (crean automáticamente documentación y línea de base): SolarWinds
LANsurveyor, CyberGauge… o
Analizadores de protocolo: Wireshark…
Herramientas de resolución de problemas hardware. o
NAM (Módulo de análisis de red): es posible instalar uno en los switches de la serie Cisco Catalyst 6500 y en los routers de la serie Cisco 7600 a fin de obtener una representación gráfica del tráfico. o
DMM (Multímetros digitales). Mide valores eléctricos como el voltaje. o
Probadores de cable. Pueden detectar cables dañados, etc. TDR (reflectómetros de dominio de tiempo): además miden en qué punto del cable está el problema, pero son caros. OTDR (igual pero para fibra óptica). o
Analizadores de red. Suelen incluir software para ver los resultados en un PC. Las herramientas más sofisticadas pueden identificar las acciones correctivas, analizar el tráfico de la red, etc.
Pasos en el diseño de las WAN:
1.
Ubicar las LAN (o puntos fnales);
2.
Analizar el tráfico (ancho de banda necesario, latencia, etc);
3.
Planificar topología. Mayor número de enlaces es más seguro pero más caro. Cuando deben unirse muchas ubicaciones, se recomienda una solución jerárquica, ya que ofrece una mejor escalabilidad de la red.
4.
Calcular el ancho de banda;
5.
Seleccionar la tecnología de WAN. Según necesitamos una línea arrendada, FrameRelay, VPN…
6.
Evaluar los costos
Perspectiva de un ISP. Cuando un cliente llama los problemas a veces se basan en el PC del usuario, la LAN, también pueden hacer ping desde el backbone del ISP al router de cliente, etc.
Resolución de problemas de la capa física
Síntomas de los problemas de capa física: rendimiento menor a la línea de base, pérdida de conectividad, altos conteos de colisión, cuellos de botella o congestión en la red, alto uso de CPU, mensajes de error de consola.
Causas: por la energía, por fallos de hardware o cableado, interfaz mal configurada (señal de reloj incorrecta…), configuración de dispositivo superior a la adecuada, sobrecarga de CPU. Atenuación de un cable (la amplitud de la señal se reduce al avanzar por el mismo): si el cable es muy largo o la conexión mala (cable flojo) puede no reconocerse la señal correctamente. Ruido de un cable. 4 tipos: de impulso (por cambio de voltaje del mismo cable), aleatorio o blanco (por señales de radio, etc), acoplamiento de crosstalk (por cables que siguen la misma ruta), paradiafonía o NEXT (corsstalk de extremo cercano, debido a otros cables o transmisores cercanos)
Resolución de problemas de la capa de enlace de datos
Síntomas: fallos de conectividad en la capa de red o superiores, funcionamiento por debajo de la línea base (porque alguna tramas se descartan o no van por la ruta óptima), exceso de broadcasts (software mal configurado, dominos de broadcast demasiado grandes, bucles STP…), mensajes de consola (el más común: inactividad del protocolo de línea).
Causas: Errores de encapsulación (distinta en sendos extremos), de asignación de direcciones (manual, ARP inverso no activado, respuestas ARP no válidas por un ataque a la seguridad), de entramado (no queda claro donde termina la trama por exceso de ruido o reloj mal configurado), bucles o fallos en STP (enlaces de menor ancho de banda congestionado, puede deberse a un ato índice de cambios en la topología).
Resolución: con show interfaces serial, 1: verificar encapsulación adecuada). 2: confirmar negociaciones del LCP (protocolo de control de enlace) se realizaron bien. 3: debug pp authentification para verificar autentificación en sendos lados del enlace.
Para FrameRelay: 1: verificar enlace que probador de cables. 2: show frame-relay lmi (verifica que router y proveedor de Frame Relay intercambia información LMI). 3: show frame-relay pvc (verificar que esté activo). 4: show interfaces serial (misma encapsulación en sendos routers)
Con bucles STP. show spanning-tree (comprobar que STP está activado en cada interfaz) y spanning-tree {vlan} {ID}
(para activarlo). Desactivar los puertos comprometidos de uno en uno con el objetivo de restablecer el tráfico lo antes posible.
Resolución de problemas de la capa de red
Síntomas: fallas en la red o un rendimiento subóptimo.
Resolución: comprobar IP estáticas correctas y/o DHCP activado, usar comando debug…
Problemas frecuentes de las listas de acceso: o
ACL: selección de la interfaz o dirección de flujo incorrecta, orden de sentencias incorrecto, mala colocación de la ACL al trabjar junto a NAT, puerto o protocolo de la sentencia incorrecto (UDP en lugar de TCP, VPN, protocolos de encriptación…), no usar la palabra clave established. La palabra clave log ayuda en la resolución de problemas. o
NAT: funcionamiento simultáneo de BOOTP y DHCP, aplicaciones o funciones que necesiten de puertos de los hosts (SMTP, encriptación), temporizadores muy largos o cortos (saturación de la tabla NAT…).
Resolución de problemas de la capa de aplicación (modelo TCP/IP). Además de las aplicaciones de los usuarios, hay protocolos que entran dentro de esta capa: Telnet, http, FTP, SMPT, POP, DNS
Sintomas: aplicación no funciona bien…
Resolución: 1. Ping al gateway predeterminado. 2. Ping extendido al extremo con el que queremos comunicarnos. 3a.
Verificar que no hay problemas con ACL: show access-list, clear access-list counters + ver si los contadores se incrementan al reintentar una conexión. 3b. NAT: show ip nat translations, clear ip nat translation * + acceder al recurso de nuevo + debug ip nat, comprobar si ip nat inside e ip nat outside están ubicados en las interfaces correctas. 4. Se trata de un protocolo de la capa superior como FTP, HTTP o Telnet: mirar documentación específica del protocolo. No olvidar hacer una copia de seguridad de los dispositivos implicados y documentar el proceso. c.helder 2012 http://estiloasertivo.blogspot.com.es/ http://estiloasertivo.16mb.com/
Anuncio
Características clave
- Conexión de redes
- Seguridad de la red
- Control de flujo de tráfico
- Enrutamiento
- Calidad de servicio (QoS)
- Virtualización de redes
- Gestión de redes
- Monitorización de la red
- Diagnóstico de problemas de red