Administración De Redes: 2011

martes, 7 de junio de 2011

Introduccion

Este blog fue creado para impartir conocimientos acerca de la administración de redes de computadores desempeño como tecnologo en redes de computadores, recogiendo datos aprendidos en el servicio nacional de aprendizaje (SENA). Blog que en el futuro servira como una herramienta de la cual se podra beneficiar cualquiera que necesite imformacion acerca de temas relacionados en el desempeño de Administracion de Redes de Computadores.

viernes, 6 de mayo de 2011

Access list

ACL (Access-List)

Una Lista de Control de Acceso o ACL (del inglés, Access Control List) es un concepto de seguridad informática usado para fomentar la separación de privilegios. Es una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido.
Las ACLs permiten controlar el flujo del tráfico en equipos de redes, tales como routers y switches. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición.

Existen dos tipos de ACLs:

ACL estándar: donde solo tenemos que especificar una dirección de origen; (1-99)

ACL extendida: en cuya sintaxis aparece el protocolo y una dirección de origen y de destino.(100-199)

La ACL comparan las mascara con la widlcard si es un 0 revisa, si es un 1 no revisa
ACLs Estándar.

Usan el rango de (1-99)
Solo filtran la dirección IP de origen (se configuran al destino)
Usan el siguiente formato

Router#configure terminal
Router (config)# access-list [Numero] {deny|permit} Dirección IP origen [wildcard-origen]

Ejemplo 1:
Queremos denegar en la interfaz s0 de salida cualquier paquete que provenga de la red 10.1.1.0/24.

Router#configure terminal
Router(config)#access-list 1 deny 10.1.1.0 0.0.0.255
Router(config)#access-list 1 permit any
Router(config)#interface s0
Router(config-if)#ip access-group 1 out
Router(config-if)#exit
Router#show access-lists

Ejemplo 2:
Denegar el acceso IP de la red 143.43.43.0/24
access-list 1 deny 143.43.43.0 0.0.0.255
access-list 1 permit any

¿Cómo usar las wildcard?

Utilizamos las wildcard para comprobar las condiciones, Un bit de máscara wildcard 0 significa “comprobar el valor correspondiente”, Un bit de mascara wildcard 1 significa “No comprobar (ignorar) el valor del bit correspondiente.

Host = mascara comodín 0.0.0.0, utilizada para un host especifico
Any = 0.0.0.0 255.255.255.255, utilizado para definir a cualquier host, red o subred

En el caso de permitir o denegar redes o subredes enteras se deben ignorar todos los host pertenecientes a dicha dirección de red o subred. Cualquier dirección de host será leída como dirección de red o subred.
Ejemplo:

Dirección IP                  172                  16                  32                  0
IP en binario        10101100   00010000         00100000      00000000
Mascara de red           11111111              11111111    11100000     00000000
Wildcard                      00000000               00000000    00011111      11111111
Resultado                   se toman       se toman      se toman             no se toma
                                   en cuenta los    en cuenta los     en cuenta los    en cuenta
                                         8bis                       8bis            3 primeros bis
                                                                                                 el resto no

ACL Extendidas:

Usan el rango de (100-199) (2000-2699)
Filtra la dirección IP de origen, protocolos y puertos/ aplicaciones

Router#configure terminal
Router (config)# access-list <numero> <permit|deny> <protocolo> <dirección-origen> <wildcard-origen> <dirección-destino> <wildcard-destino> eq <número de puerto o aplicación>

Ejemplo 1:
Queremos denegar en la interfaz s0 de salida cualquier paquete ICMP que provenga de la red 10.1.1.0/24 y el acceso a cualquier puerto Telnet (puerto 23) por parte de un host de esa red.

Router# configure terminal
Router (config)# access-list 101 deny icmp 10.1.1.0 0.0.0.255 any
Router (config)# access-list 101 deny tcp 10.1.1.0 0.0.0.255 any eq 23
Router (config)# access-list 101 permit ip any any
Router (config)# interface s0
Router (config-if)# access-group 101 out
Router (config-if)# exit
Router# show access-lists

Ejemplo 2:
Denegar el acceso de http y telnet de la red 143.43.43.0/24 al host 132.32.32.4

access-list 100 deny tcp 143.43.43.0 0.0.0.255 132.32.32.4 0.0.0.0 eq 80
o
access-list 100 deny tcp 143.43.43.0 0.0.0.255 host 132.32.32.4 eq 80
y
access-list 100 deny tcp 143.43.43.0 0.0.0.255 132.32.32.4 0.0.0.0 eq 23
o
access-list 100 deny tcp 143.43.43.0 0.0.0.255 host 132.32.32.4 eq 23

access-list 100 permit ip any any

Ejemplo 3:
Denegar el Ping de la red 132.43.4.0 al host 145.52.54.9

access-list 101 deny icmp 132.43.4.0 0.0.0.255 host 145.52.54.9
access-list 101 permit ip any any

Importante:

Siempre al final de una lista de acceso esta implícito el negar todo, aunque nunca aparece pero es: deny any.
Las listas de acceso son secuencias de instrucciones que son chequeadas contra el paquete, una vez que se cumpla la condición toman una acción y se salen de la lista de acceso, es decir no se continua chequeando para comprobar que haya otra línea de la secuencia que también resulta cierta. Por lo tanto, es importante diseñar la ACL en la secuencia que nos interese más.
No se puede insertar líneas en la secuencia de las ACLs, si nos equivocamos al crearla o queremos insertar una línea a la que existe, hay que borrar toda la ACL y volverla a crear. Solamente las listas con nombre permiten cambiar o eliminar instrucciones.
Una ACL se aplica a la interfaz de entrada o de salida. Se pueden crear una ACL para la interfaz de salida y otra distinta para esa interfaz de entrada.

ejemplo access list:
standard
extended

Comandos para el Switch

Creación:

Switch#vlan database

Switch(vlan)#vlan vlan_number name vlan_name

Switch(vlan)#exit

Asignación de puertos a la Vlan (ejemplo con fastethernet 0/9)

Switch(config)#interface fastethernet 0/9

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan vlan_number

Switch(config-if)#exit

Creación de la troncal (ejemplo con fastethernet 0/1)

Switch(config)#interface fastethernet 0/1

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport allowed vlan vlan_number, vlan_number

//esta línea es opcional , y se usa para limitar las vlan que se permitiran en la troncal

Switch(config-if)# exit

Configuración de sub-interfaces y trunk en el router

Router(config)#interface fastethernet 0/0

Router(config-if)#no shutdown

Router(config-if)#interface fastEthernet 0/0.1 //agregar por cada VLAN una subinterfaz así 0.1, 0.2, 0.3…

Router(config-subif)#encapsulation dot1q vlan-number

Router(config-subif)#ip address…….

Poner Ip a la Vlan (Para el ejemplo se usará la Vlan1)

Switch(config)#interface Vlan1

Switch(config-if)#ip address 192.168.1.2 255.255.255.0

Switch(config-if)#no shutdown

Ver la configuración de las vlan

Switch#show vlan

Switch#show interface switchport

Switch#show interface trunk

Borrar las vlan

Switch#delete flash:vlan.dat

Switch#erase startup-config

Switch#reload

VLAN

VLAN

Una VLAN (acrónimo de Virtual LAN) es una subred IP separada de manera lógica, las VLAN permiten que redes IP y subredes múltiples existan en la misma red conmutada, son útiles para reducir el tamaño del broadcast y ayudan en la administración de la red separando segmentos lógicos de una red de área local (como departamentos para una empresa, oficina, universidades, etc.) que no deberían intercambiar datos usando la red local.

Cada computadora de una VLAN debe tener una dirección IP y una máscara de subred correspondiente a dicha subred.

Por mediante la CLI del IOS de un switch, deben darse de alta las VLAN y a cada puerto se le debe asignar el modo y la VLAN por la cual va a trabajar.

No es obligatorio el uso de VLAN en las redes conmutadas, pero existen ventajas reales para utilizarlas como seguridad, reducción de costo, mejor rendimiento, reducción de los tamaño de broadcast y mejora la administración de la red.

El acceso a las VLAN está dividido en un rango normal o un rango extendido, las VLAN de rango normal se utilizan en redes de pequeñas y medianas empresas, se identifican por un ID de VLAN entre el 1 y 1005 y las de rango extendido posibilita a los proveedores de servicios que amplien sus infraestructuras a una cantidad de clientes mayor y se identifican mediante un ID de VLAN entre 1006 y 4094.

El protocolo de enlace troncal de la VLAN VTP (que lo veremos más adelante) sólo aprende las VLAN de rango normal y no las de rango extendido.

TIPOS DE VLAN

De acuerdo con la terminología común de las VLAN se clasifican en:

VLAN de Datos.- es la que está configurada sólo para enviar tráfico de datos generado por el usuario, a una VLAN de datos también se le denomina VLAN de usuario.

VLAN Predeterminada.- Es la VLAN a la cual todos los puertos del Switch se asignan cuando el dispositivo inicia, en el caso de los switches cisco por defecto es la VLAN1, otra manera de referirse a la VLAN de predeterminada es aquella que el administrador haya definido como la VLAN a la que se asignan todos los puertos cuando no estan en uso.

VLAN Nativa.- una VLAN nativa está asiganada a un puerto troncal 802.1Q, un puerto de enlace troncal 802.1Q admite el tráfico que llega de una VLAN y también el que no llega de las VLAN’s, la VLAN nativa sirve como un identificador común en extremos opuestos de un elace troncal, es aconsejable no utilizar la VLAN1 como la VLAN Nativa.

VLAN de administración.- Es cualquier vlan que el administrador configura para acceder a la administración de un switch, la VLAN1 sirve por defecto como la VLAN de administración si es que no se define otra VLAN para que funcione como la VLAN de Administración.

MODOS DE PUERTOS DEL SWITCH

VLAN estática.- Los puertos de un switch se asignan manualmente a una VLAN (éste es el tipo de VLAN con el que trabajaremos).

VLAN dinámica.- La membresía de una VLAN de puerto dinámico se configura utilizando un servidor especial denominado Servidor de Política de Membresía de VLAN (VMPS).

VLAN de voz.- El puerto se configura para que esté en modo de voz a fin de que pueda admitir un teléfono IP conectado al mismo tiempo de enviar datos.

AGREGAR UNA VLAN

Ciscoredes# configure terminal
Ciscoredes(config)# vlan vlan id
Ciscoredes(config-vlan)# name nombre de vlan
Ciscoredes(config-vlan)# exit

Vlan .- comando para asignar las VLAN
Valn-id.- Numero de vlan que se creará que va de un rango normal de 1-1005 (los ID 1002-1005 se reservan para Token Ring y FDDI).
Name.- comando para especificar el nombre de la VLAN
Nombre-de-vlan.- Nombre asignado a la VLAN, sino se asigna ningún nombre, dicho nombre será rellenado con ceros, por ejemplo para la VLAN 20 sería VLAN0020.

ASIGNAR PUERTOS A LA VLAN

Ciscoredes# configure terminal
Ciscoredes(config)# interface interface id
Ciscoredes(config-vlan)# switchport mode access
Ciscoredes(config-vlan)# switchport access vlan vlan-id
Ciscoredes(config-vlan)# end

Donde:

interface .- Comando para entrar al modo de configuración de interfaz.
Interface-id.- Tipo de puerto a configurar por ejemplo fastethernet 0/0
Switchport mode access .- Define el modo de asociación de la VLAN para el puerto
Switchport access vlan .- Comandos para asignar un puerto a la vlan.
Vlan-id.- Numero de vlan a la cual se asignará el puerto.

VLAN DE ADMINISTRACIÓN

Una VLAN de administración le otorga los privilegios de administración al administrador de la red, para manejar un switch en forma remota se necesita asignarle al switch una dirección IP y gateway dentro del rango de dicha subred para esta VLAN, como hemos mencionado anteriormente por defecto la VLAN de administración es la 1, en nuestro ejemplos modificaremos dicha VLAN, los pasos para configurar la VLAN de administración son los siguiente:

Ciscoredes# configure terminal
Ciscoredes(config)# interface vlan id
Ciscoredes(config-if)# ip address a.a.a.a b.b.b.b
Ciscoredes(config-if)# no shutdown
Ciscoredes(config-if)# exit
Ciscoredes(config)# interface interface-id
Ciscoredes(config-if)# switchport mode access
Ciscoredes(config-if)# switchport acces vlan vlan id
Ciscoredes(config-if)# exit

Donde:

interface vlan id .- Entrar al modo de configuración de interfaz para configurar la interfaz VLAN 99
ip address a.a.a.a b.b.b.b.- Asignar la direción IP y Gateway para la interfaz.
no shutdown.- Levantar la interfaz (habilitarla)
exit.- Salir de la interfaz y regresar al modo de configuración global
interface interface-id.- Tipo de puerto a configurar por ejemplo fastethernet 0/0
Switchport mode access .- Define el modo de asociación de la VLAN para el puerto
Switchport access vlan vlan-id .- Comando para asignar el puerto a una la vlan de administración.

CONFIGURAR UN ENLACE TRONCAL

Enlace Troncal.- Un enlace troncal es un enlace punto a punto entre dos sispositivos de red, el cual transporta más de una vlan. Un enlace troncal de VLAN no pertence a una VLAN específica, sino que es un conducto para las VLAN entre switches y routers.

Existen deiferentes modos de enlaces troncales como el 802.1Q y el ISL, en la actualidad sólo se usa el 802.1Q, dado que el ISL es utilizado por las redes antiguas, un puerto de enlace troncal IEEE 802.1Q admite tráfico etiquetado y sin etiquetar, el enlace troncal dinámico DTP es un protocolo propiedad de cisco, DTP administra la negociación del enlace troncal sólo si el puerto en el otro switch se configura en modo de enlace troncal que admita DTP.

Configuración de un enlace troncal 802.1Q en un Switch:

Ciscoredes# configure terminal
Ciscoredes(config)# interface interface-id
Ciscoredes(config-if)# switchport mode trunk
Ciscoredes(config-if)# switchport trunk native vlan vlan id
Ciscoredes(config-if)# exit

Donde:

interface .- Comando para entrar al modo de configuración de interfaz.
Interface-id.- Tipo de puerto a configurar por ejemplo fastethernet 0/0
Switchport mode trunk .- Definir que el enlace que conecta a los switches sea un enlace troncal
Switchport trunk native vlan vlan-id .- Especificar otra VLAN como la VLAN nativa para los enlaces troncales.

Intercomunicación entre VLAN's

Por si sólo, un switch de capa 2 no tiene la capacidad de enrutar paquetes entre vlan diferentes, si ya tenemos creadas las vlan y hemos asignado más de una computadora a cada vlan, entonces las computadoras que se encuentran en la misma vlan pueden comunicarse entre si, pero que pasaría por ejemplo si la vlan 10 se quiere comunicar con la vlan 20, la comunicación no se llevaría a cabo porque las vlan se encuentran en subredes diferentes y el proceso de enrutamiento lo lleva acabo un dispositivo de capa 3 (o un switch de capa 3), por tal motivo configuraremos un router con subinterfeces, ya que cada subinterfaz será designada para cada vlan con su propia subred.

Una interfaz de un router se puede dividir en subinterfaces lógicas, por ejemplo de la interfaz FastEthernet 0/0 podemos derivar varias subinterfaces como: FastEthernet 0/0.10 , FastEthernet 0/0.50 , FastEthernet 0/0.30

La configuración de las subinterfaces del router es similar a la configuración de las interfaces físicas sólo que al final agregamos un punto y un numero (.20), por lo regular este número es el mismo con el número de vlan a utilizar, todo esto para una mejor administración.

Configuración de subinterfaces en un router:

Ciscoredes# configure terminal
Ciscoredes(config)# interface interface-id.numero
Ciscoredes(config-subif)# encapsulation dot1q numero
Ciscoredes(config-subif)# ip address a.a.a.a b.b.b.b
Ciscoredes(config-subif)# exit

Donde:

configure terminal.- Comando para entrar al modo de configuración global
interaface interface-id.numero .- serie de comandos para crear una subinterfaz para una vlan
encapsulation dot1q numero.- configurar la subinterfaz para que funcione en una VLAN específica.
ip address a.a.a.a b.b.b.b .- Asignar la dirección IP del puerta de enlace predeterminada para la subred de la VLAN.

Protocolos y comandos de enrutamiento

ENRUTAMIENTO ESTATICO

Rutas estáticas: definidas manualmente por el administrador del sistema como el siguiente salto hacia un destino; útil para la seguridad y la reducción del tráfico.

El comando ip route es utilizado para configurar rutas estáticas en el Router, es decir, permite agregar una entrada a nuestra tabla de enrutamiento.

Sintaxis del comando:

Router(config)#ip route [network] [mask] [address | interface]

ip route: Comando para asignar una ruta estática

[network]: Red destino

[mask]: Mascara de Red

[address | interface]: Dirección IP del Router del siguiente salto ó nombre de la interfaz que se debe utilizar para llegar a la Red destino.

Router>enable

Router#config terminal

Router(config)#ip router 192.168.1.0 s0/0/0

ENRUTAMIENTO DINAMICO.

Enrutamiento dinámico: el router averigua las rutas para llegar al destino a través de actualizaciones periódicas enviadas por otros routers a través del uso de los protocolos de encaminamiento.

1. Protocolos de enrutamiento interiores: Los protocolos de enrutamiento interiores se utilizan dentro de una red privada. Ejempló: RIP, IGRP, EIGRP, OSPF

- RIP (Routing Information Protocol, Protocolo de información de enrutamiento): RIP propaga la información de enrutamiento a través de difusiones IP usando el puerto 520/UDP. Sus principales características son las siguientes:
· Es un protocolo de enrutamiento por vector-distancia.
· Utiliza el número de saltos como métrica para la selección de rutas.
· Si el número de saltos es superior a 15, el paquete se descarta.
· Por defecto, se envía un broadcast de las actualizaciones de enrutamiento cada 30 segundos.

Como se usa:

Router>enable

Router#config terminal

Router(config)#router rip

Router(config-router)#network ip add

- EIGRP (Enhanced Interior Gateway Routing Protocol, Protocolo de enrutamiento de gateway interior mejorado): EIGRP es un protocolo de enrutamiento híbrido desarrollado por Cisco, que ofrece lo mejor de los algoritmos de vector-distancia y de estado de enlace. Algunas de las características de diseño claves de IGRP enfatizan lo siguiente:
· Convergencia rápida
· Uso reducido del Ancho de Banda

Los routers EIGRP mantienen información de ruta y topología a disposición en la RAM, para que puedan reaccionar rápidamente ante los cambios. EIGRP guarda esta información en varias tablas y bases de datos. EIGRP mantiene las siguientes tablas
· tablas de vecinos, de topologías y de enrutamiento

Como se usa:

Router>enable

Router#config terminal

Router(config)#router eigrp 101

Router(config-router)#network ip add

En la configuración del protocolo EIGRP es necesario introducir un número de sistema autónomo en el comando Router#router eigrp autonomous-system. Este número identifica a los Routers que operan bajo un esquema administración común. Dicho número varía entre 1 y 65535.Open Short Path First versión 2, es un protocolo de enrutamiento interno basado en el estado del enlace o algoritmo Short Path First, estándar de Internet. OSPF, ha sido pensado para el entorno de Internet y su pila de protocolos TCP/IP, como un protocolo de routing interno, es decir, que distribuye información entre routers que pertenecen al mismo Sistema Autónomo.

- OSPF (OPEN SHORT PATH FIRST): OSPF, ha sido pensado para el entorno de Internet y su pila de protocolos TCP/IP, como un
protocolo de routing interno, es decir, que distribuye información entre routers que pertenecen al
mismo Sistema Autónomo.

Como se usa:

Router>enable

Router#config terminal

Router(config)#router ospf 1

Router(config-router)#network ip add

En la configuración del protocolo OSPF es necesario una máscara de wilcard que se utiliza para especificar la interfaz o rango de interfaces que se habilitarán para OSPF con el comando network, y que será la inversa de la máscara.

2. Protocolos de enrutamiento exterior: Los protocolos de enrutamiento exteriores se utilizan para las comunicaciones entre sistemas autónomos y a través de Internet. Entre los ejemplos de protocolos exteriores se incluyen el Protocolo de Gateway Fronterizo BGP y el Protocolo de Gateway Exterior EGP

- BGP ( Border Gateway Protocol ): es un protocolo mediante el cual se intercambia información de encaminamiento entre sistemas autónomos. Entre los sistemas autónomos de los ISP se intercambian sus tablas de rutas a través del protocolo BGP. Este intercambio de información de encaminamiento se hace entre los routers externos de cada sistema autónomo.

- EGP ( Exterior Gateway Protocol): es un protocolo estándar usado para intercambiar información de enrutamiento entre sistemas autónomos. Las pasarelas EGP sólo pueden retransmitir información de accesibilidad para las redes de su AS. La pasarela debe recoger esta información, habitualmente por medio de un IGP, usado para intercambiar información entre pasarelas del mismo AS