Академический Документы
Профессиональный Документы
Культура Документы
Enrutadores Cisco
Antonio Gallego
GUÍAS PRÁCTICAS
Responsable editorial:
Eugenio Tuya Feijoó
Diseño de cubierta:
???????????????????????????
Realización de cubierta:
Cecilia Poza Melero ?????????????????
Introducción................................................................................. 15
Cómo usar este libro................................................................... 19
1. Los routers: qué son y cómo funcionan.............................. 23
1.1. ¿Qué es un router?........................................................... 23
1.2. Elementos de interconexión de redes........................... 25
1.3. Cómo funciona un router............................................... 30
1.3.1. Aspectos generales............................................... 30
1.3.2. La tabla de rutas.................................................... 32
1.4. Un ejemplo de red........................................................... 34
1.5. Modelos de routers Cisco............................................... 39
1.5.1. Routers de Servicios Integrados
(Integrated Services Routers)............................ 40
1.5.2 Routers de Agregación (Aggregation)............... 42
1.5.3 Routers para ISPs (Service Aggregation)........... 42
1.6. Cisco, la empresa ............................................................ 43
2. TCP/IP..................................................................................... 45
2.1. Un poco de historia......................................................... 45
2.2. Estructura del protocolo TCP/IP.................................. 47
2.3. La capa de aplicación...................................................... 50
2.4. La capa de transporte...................................................... 50
2.4.1. TCP......................................................................... 51
2.4.2. UDP........................................................................ 55
2.5. La capa Internet............................................................... 57
2.5.1. IP............................................................................. 58
2.5.2. ICMP....................................................................... 60
2.6. La capa de acceso a la red............................................... 63
9
2.6.1. ARP......................................................................... 63
2.6.2. Proxy ARP............................................................. 65
2.6.3. Gratuitous ARP..................................................... 67
2.6.4. Reverse ARP.......................................................... 67
2.7. Direccionamiento IPv4. VLSM. Subnetting................. 68
2.8. Movimiento de paquetes en un enlace......................... 71
2.9. El futuro inmediato de IP: IPv6..................................... 73
2.10. Los RFC........................................................................... 75
3. Operación de un router Cisco............................................... 77
3.1.Componentes de los routers Cisco................................. 77
3.1.1. Componentes Hardware..................................... 77
3.1.2. Componentes Software........................................ 79
3.1.3. Arquitectura.......................................................... 80
3.1.4. Sistema de ficheros del Router........................... 86
3.1.5. Arranque del router............................................. 88
3.2. Instalación y configuración Inicial............................... 89
3.2.1. Instalación inicial.................................................. 89
3.2.1. Métodos de conexión al router .......................... 93
Modo Set-Up................................................................... 99
3.2.4. La línea de comandos ó CLI.............................. 102
3.2.5. Configuraciones Startup vs. running.............. 108
Configuración inicial básica........................................ 111
3.3 Procedimiento de recuperación de contraseñas........ 112
4. Estableciendo conectividad................................................. 119
4.1. Aspectos generales de la configuración
de interfaces................................................................... 120
4.2. Conectividad LAN........................................................ 125
4.2.1. Ethernet (IEEE 802.3).......................................... 126
4.2.2. FastEthernet......................................................... 129
4.2.3. GigaEthernet....................................................... 132
4.2.4. ATM...................................................................... 134
4.2.5. TokenRing (IEEE 802.5)..................................... 137
4.2.6. Wireless (IEEE 802.11)........................................ 138
4.2.7. Power Line Communication (PLC).................. 142
4.3. Conectividad WAN....................................................... 142
4.3.1. Interfaz Serie........................................................ 144
4.3.2. Conexiones Punto a Punto................................ 146
4.3.3. Frame Relay......................................................... 150
4.3.4. RDSI...................................................................... 160
10
4.3.5. ADSL y xDSL...................................................... 165
4.3.6. Cable y DOCSIS.................................................. 167
4.3.7. MPLS.................................................................... 169
4.4. Interfaces Lógicas.......................................................... 172
4.4.1. Terminales Virtuales (VTY).............................. 173
4.4.2. Loopback Interface............................................. 175
4.4.3. Null Interface...................................................... 176
4.4.4. Interfaces de túnel (tunnel)............................... 177
4.5. Interfaces Especiales...................................................... 178
4.5.1. El Puerto de Consola (CON)............................. 178
4.5.2. El Puerto Auxiliar (AUX).................................. 178
4.5.3. Interfaces de voz................................................. 179
4.5.4. Puertos asíncronos (TTY).................................. 181
11
5.6. BGP.................................................................................. 222
5.6.1. Conceptos............................................................ 222
5.6.2. BGP en acción...................................................... 225
5.6.2. Configuración...................................................... 226
5.6.3. Escenarios............................................................ 228
5.7. Enrutamiento no IP....................................................... 228
5.7.1. Enrutamiento con IPX........................................ 228
5.7.2. Enrutamiento con AppleTalk........................... 230
5.7.3. Otros protocolos de enrutamiento................... 232
5.8. Policy Routing................................................................ 232
5.9. Passive interface............................................................ 234
5.10. Redistribución y filtrado............................................. 234
5.11. Resumen....................................................................... 236
6. Seguridad............................................................................... 237
12
6.6. Criptografía e IPSec....................................................... 277
6.6.1. Criptografía......................................................... 278
6.6.2. IPSec..................................................................... 278
7. Configurando servicios........................................................ 281
7.1. NAT................................................................................. 281
7.1.1. Fundamentos....................................................... 281
7.1.2. Configuración...................................................... 283
7.1.3. Monitorización.................................................... 290
7.2. Interfaces de respaldo y HSRP.................................... 291
7.2.1. Fundamentos....................................................... 292
7.2.2. Configuración...................................................... 294
7.2.3. Monitorización.................................................... 295
7.3. DHCP.............................................................................. 296
7.3.1. Fundamentos....................................................... 296
7.3.2. Configuración...................................................... 296
7.3.3. Monitorización.................................................... 297
7.4. SNMP.............................................................................. 298
7.4.1. Fundamentos....................................................... 298
7.4.2. Configuración...................................................... 298
7.4.3. Monitorización.................................................... 300
7.5. NTP.................................................................................. 301
7.5.1. Fundamentos....................................................... 301
7.5.2. Configuración...................................................... 301
7.5.3. Monitorización.................................................... 302
7.6. SLB................................................................................... 302
7.6.1. Fundamentos....................................................... 302
7.6.2. Configuración...................................................... 303
7.6.3. Monitorización.................................................... 304
8. Resolución de Problemas.................................................... 307
8.1. Aspectos y métodos generales..................................... 307
8.1.1. Entender el problema......................................... 309
8.1.2. Diseñar un plan................................................... 310
8.1.3. Ejecutar el plan.................................................... 310
8.1.4. Comprobar la solución...................................... 311
8.2. Métodos específicos...................................................... 311
8.2.1. Comprobando el nivel físico............................. 312
8.2.2. Comprobando el nivel de enlace...................... 322
8.2.3. Comprobando el nivel de red........................... 325
8.2.3. Comprobando los niveles superiores.............. 331
13
8.3. Herramientas y documentación el sistema................ 335
8.3.1. Documentación................................................... 335
8.3.2. Mapas de la red................................................... 336
8.3.3. Configuraciones.................................................. 336
8.3.4. Internet como herramienta de resolución
de problemas...................................................... 337
A. Apéndice................................................................................ 339
A.1. Planos de funcionamiento de un router.................... 339
A.2. Red MPLS-BGP-Frame Relay..................................... 340
A.3. RED RIP......................................................................... 355
A.4. PUERTOS TCP/UDP................................................... 361
A.5. Procedimiento de recuperación de contraseñas...... 366
A.6. Cabeceras de los protocolos........................................ 371
Índice alfabético........................................................................ 375
14
Introducción
15
switches, una mezcla de hub y bridge. Pero a la hora de interco-
nectar redes locales separadas geográficamente se necesitan
dispositivos capaces de tomar decisiones más complejas.
Estos aparatos son los routers, verdaderos ordenadores que
se dedican a aprender redes y a tomar decisiones basadas en
la tabla de rutas (los mapas de carreteras de la red) que van
construyendo.
Una forma de entender el papel de los routers consiste en
pensar en las redes locales como ciudades y en los routers como
sus aeropuertos. Cuando un paquete tiene que viajar a otra red,
localiza el "aeropuerto" local, pasa los controles necesarios y
finalmente es transportado hasta otro "aeropuerto" cercano a
su destino. Los paquetes forman colas antes de poder despegar
y, de nuevo al aterrizar, sufren en camino las perturbaciones
del "mal tiempo", etcétera. Existen paquetes que falsifican su
documentación, algunos que viajan con más equipaje que otros,
tenemos primera clase y turista, y por supuesto hay una torre
de control coordinando todas las operaciones.
Cada vez es más habitual contar con al menos un router en
cada red local. De hecho, para conectarnos a Internet por banda
ancha los proveedores nos mandan un router ADSL o un cable
modem y cuando visitamos nuestras páginas web favoritas la
información es encaminada a través de estos aparatos, algunos
con nombres tan sonoros como MAE-WEST.
Se espera de un administrador que sepa cómo manejar
todos estos dispositivos. Pero mientras que los switches son
elementos que a menudo se pueden conectar directamente sin
que se precise una mayor configuración (al menos en entornos
sencillos), los routers no se pueden conectar sin más. Necesitan
una configuración mínima para poder funcionar y, en redes
de cierta complejidad, puede llegar a ser necesaria una cierta
administración si esperamos que aprenda a obtener informa-
ción de las redes y recursos remotos.
En este libro mostramos cómo se trabaja con routers
Cisco, pero los principios aplicados al trabajar con los routers
de esta popular marca son los mismos que se utilizan para
manejar los de cualquier otra, por ejemplo Juniper o Nortel.
Los conceptos fundamentales son los mismos, y a lo largo
del libro insistiremos en un conjunto de ideas básicas que
no varían, independientemente de la marca de router que
estemos utilizando.
Si existen otras marcas ¿por qué centrarnos en Cisco?
Aprender el manejo de los routers Cisco es particularmente
útil debido a que un gran porcentaje de los routers instalados
16
son de esta marca. Son fiables, su manejo es sencillo, imple-
mentan una enorme cantidad de protocolos y funciones, sus
prestaciones aumentan de forma continua y la oferta de mo-
delos es sencillamente impresionante. Los routers Cisco usan
un sistema operativo común a todos ellos denominado IOS,
de forma que lo gran parte de lo aprendido sobre un router
pensado para la pequeña oficina como el Cisco 877 nos servirá
cuando tengamos que enfrentarnos a un router de gama alta
como un Cisco 7200. De hecho no sólo los routers Cisco sino
gran parte de los switches Cisco Catalyst también usan el
sistema operativo IOS, y la interfaz de los PIX Firewalls y los
Cisco Adaptative Security Appliances tiene muchos puntos en
común con la interfaz IOS usada por los routers Cisco.
17
Cómo usar este libro
19
El sexto capítulo trata un tema cada vez más importante: la
seguridad de redes. Se estudian las listas de acceso, los meca-
nismos de autenticación, autorización y auditoría (AAA), ve-
remos cómo deshabilitar servicios innecesarios y se presentan
conceptos de criptografía, túneles encriptados y VPNs.
En el séptimo capítulo vemos cómo configurar diversos
servicios en el router tales como el NAT, DHCP, HSRP, NTP,
SLB, interfaces de respaldo...
En el capítulo octavo se presentan varias estrategias orien-
tadas a la resolución de problemas de redes, se propone
un método general y se ven a fondo las herramientas más
importantes que tenemos a nuestra disposición a la hora de
resolver incidencias.
Los apéndices del libro muestran las configuraciones com-
pletas de varios de los ejemplos, así como tablas, procedi-
mientos e información que conviene tener a mano.
El material aquí presentado se asimilará mejor si el lector
tiene acceso a una red en la que existan routers Cisco, pero
conviene hacer aquí una advertencia: aunque muchos de los
comandos (especialmente los de tipo "show") pueden ejecu-
tarse sin problemas sobre un router, se debe tener presente
que cambios mínimos en la configuración de una máscara de
red o una lista de acceso o ciertas pruebas como los "debug"
pueden comprometer la estabilidad de la red y provocar una
incomunicación parcial e incluso total. No conviene experi-
mentar con una red en producción sin tener una idea clara
de cómo dar marcha atrás los cambios realizados llegado el
momento. En caso de duda conviene ejercitar la prudencia,
preguntar al responsable o al administrador de la red y pedir
los permisos necesarios.
Asimismo, aunque se ha puesto el máximo cuidado en la
elaboración de los ejemplos, cada administrador deberá evaluar
la solución adecuada a su entorno. Los ejemplos utilizados no
pretenden ser soluciones únicas u óptimas a los problemas
que se plantean, y se ha antepuesto el sentido didáctico en
todos los casos.
A lo largo del libro se han incluido enlaces a diversas
páginas Web en las que ampliar la información. Conviene no
obstante mencionar ahora dos fuentes de información funda-
mentales: la primera es la página Web de Cisco, accesible en
la dirección http://www.cisco.com/. Esta página es de
consulta obligada para los administradores de redes basadas
en los equipos de esta marca. La otra fuente de información
esencial la constituyen los RFC (Request For Comments). Las
20
"Peticiones de Comentarios" son los documentos que establecen
los estándares de los protocolos de Internet y se pueden con-
sultar en la dirección http://www.rfc-editor.org/. A medida
que presentemos los diversos protocolos iremos dando los
RFC correspondientes.
Y ahora, ¡ configure terminal", "enable" y "show
RoutersCisco2009"!
21
1
Los routers: qué son
y cómo funcionan
23
X, Symbian, Android...) que, entre otras cosas, proporcionan a
las aplicaciones las herramientas necesarias para conectarlas
a las redes. Estos nodos se unen entre si mediante una serie
de elementos de conexión a través de los cuales los sistemas
finales se comunican e intercambian mensajes. La transmisión
de los mensajes está gobernada por un conjunto de reglas a las
que se conoce como el "protocolo de red".
Para que los sistemas puedan comunicarse no basta con
que haya unos emisores y receptores por un lado (ordena-
dores) y un medio de transmisión por otro (cables, routers...).
El emisor tiene que ser capaz de identificar con claridad al
receptor del mensaje, debe asegurarse de que el receptor esté
preparado para recibir y almacenar la información, y debe
haber un acuerdo en cuanto al formato que este mensaje
debe tener. Los sistemas que forman parte de una red de
comunicaciones deben, en definitiva, cooperar para que el
intercambio de información tenga lugar. Se denomina pro-
tocolo al conjunto de reglas que definen qué, cómo y cuándo
se comunica.
Los sistemas que participan en las redes deben manejar
muchos aspectos de la comunicación tales como el formato de
los datos (sintaxis), la señalización de control y el manejo de
errores (semántica) o la definición de velocidades y la secuen-
ciación correcta (temporización)... Integrar todas estas tareas
en un único componente, sea hardware o software, no resulta
práctico. El diseño, construcción y manejo de sistemas de redes
monolíticos resultaría demasiado difícil. Una aproximación
adecuada consiste en dividir los problemas en otros más sim-
ples. Concretamente los sistemas de redes tradicionalmente se
dividen en capas (layers), y cada una de estas capas se comunica
con su homóloga en el sistema receptor. Esta división de tareas
puede hacerse de distintas formas, dando lugar a las distintas
arquitecturas de red.
Las arquitecturas de red dividen las tareas a realizar en
módulos o capas. Uno de los modelos más extendidos, el
modelo OSI, divide el proceso de comunicación en 7 capas o
niveles. Cada una de estas capas reúne una serie de funciones
conceptualmente similares, proporcionando servicios a la capa
superior y recibiendo servicios de la inferior. La ventaja fun-
damental de aislar estas funciones del resto en una capa inde-
pendiente es que el resto de módulos no tienen que ocuparse
de las características concretas de la red a la que el ordenador
está conectado, proporcionando abstracción e independencia
ante posibles cambios.
24
Tabla 1.1. Modelo OSI.
Nivel Descripción Unidad de Ejemplo
25
Los hubs actúan como repetidores. Para conectar un equipo
a la red local basta con tirar un cable desde su tarjeta de red
hasta una boca disponible del concentrador. Los concentra-
dores no necesitan ser configurados para empezar a usarlos.
El principal inconveniente de los concentradores se encuentra
en su misma sencillez. Los concentradores proporcionan una
forma de compartir el medio físico de transmisión. Se trata de
dispositivos que funcionan en la capa física o nivel 1 del mo-
delo OSI, y no evitan los problemas derivados de las colisiones
en las redes: cuando dos o más equipos transmiten a la vez, se
produce una colisión entre los paquetes que ponen en la red y
se pierden los dos mensajes. En redes con muchos equipos la
comunicación puede llegar a degradarse en extremo debido
a este problema.
26
terminados paquetes ocupen el medio de las redes a las que
no están destinados.
La evolución natural de los puentes son los switches o con-
mutadores, una mezcla de concentrador y puente. En redes
sencillas estos puentes y conmutadores no precisan ninguna
configuración inicial para empezar a funcionar.
Sin embargo queda un problema por resolver que los
puentes que los switches no solucionan: muchos de los men-
sajes que circulan por las redes no tienen un único destinatario.
Son los llamados paquetes de broadcast o de difusión, que
transportan mensajes dirigidos a múltiples receptores. Estos
paquetes atraviesan hubs y switches y pueden producir pro-
blemas de tráfico en las redes. Estos problemas ocasionados
por las difusiones se notan especialmente a la hora de conectar
redes locales separadas geográficamente. Los enlaces entre
redes distantes son bastante lentos en relación con la velocidad
de las redes locales. Si dichos enlaces se inundan de difusiones
la comunicación se degradaría hasta límites insoportables,
sobre todo al trabajar con redes con cientos de hosts y domi-
nios de broadcast enormes, en los que hay una gran cantidad
de tráfico que ha de ser procesado por todos los hosts.
Los switches algo más avanzados permiten agrupar con-
juntos de puertos o interfaces en LANs virtuales (o VLANs),
que separan el tráfico y mantienen las difusiones controladas.
En el ejemplo de la Figura 1.2 vemos una red de hubs inter-
conectada por medio de un switch central, que separa la red
física en dos redes virtuales: la VLAN 10 y la VLAN 20. Las
redes así formadas no se ven entre sí, Al quedar aislado cada
dominio de difusión hará falta un dispositivo de capa 3 (como
un router) para interconectar las VLANs así formadas.
Se necesitan dispositivos capaces de tomar decisiones más
complejas, que hagan un uso eficiente del ancho de banda de las
costosas y relativamente lentas líneas de comunicaciones. Estos
aparatos son los routers ó enrutadores, que usan la información
del nivel 3 del protocolo OSI (capa de red). Los routers son
ordenadores que se dedican a aprender qué redes hay, dónde
están esas redes y a tomar decisiones basadas en la tabla de
rutas (los mapas de carreteras de las redes) que van constru-
yendo. Los routers, al igual que los switches, dividen las redes
en dominios de difusión, bloqueando el paso de los paquetes
que no tengan un destino específico. En la Figura 1.3 vemos los
elementos de interconexión de los que hemos hablado junto
con el icono con el que suelen representarse en los diagramas
de red y la capa el modelo OSI en la que funcionan.
27
Figura 1.2. Dominios de Colisión y de Difusión
28
MAC) para separar el tráfico. A continuación la información
es recibida por un router [5] que trabaja "a nivel de red", de
forma que los paquetes suben hasta la capa de red de la pila de
protocolos del router para extraer las direcciones de red (típi-
camente direcciones IP) y se decide cómo se deben distribuir
(por qué interfaz de red se debe sacar el paquete). El paquete
llega finalmente al servidor [6], que lo procesa hasta llegar a
la aplicación final.
A lo largo resto del libro veremos lo que se puede hacer
con un router, pero quisiera destacar aquí dos aspectos carac-
terísticos de los routers:
Por un lado, los routers son capaces de interconectar redes
de tipos distintos. Es frecuente, por ejemplo, que los routers
ADSL conecten una red local con una red ADSL y que a la vez
sirvan de punto de acceso inalámbrico. Es este caso el router
estaría conectando tres clases distintas de medios de redes
(Ethernet, ATM y WiFi), cada una de ellas regida por su sis-
tema de reglas o protocolo de capa 2.
29
de reenviarla hacia la red de destino, comunicándose con otros
routers intermedios si es necesario.
30
Otra forma típica de organizar las funciones de los routers es
en Planos. Así, las funciones relacionadas con el mantenimiento
de las tablas de enrutamiento o routing caería dentro del Plano
de Control, y las funciones relacionadas con la conmutación
o switching de los paquetes entre interfaces caerían dentro del
Plano de Datos. Hay otros dos planos más, el Plano de Gestión
y el Plano de Servicios.
31
metro tiempo de vida, TTL o Time to Live del paquete) y recal-
cula las sumas de control (CRCs) de los paquetes resultantes.
En realidad el problema no es tanto cómo realizar todas
estas funciones, sino realizarlas rápido. De hecho, la capacidad
de conmutación de los routers es una de las características más
publicitadas. Los routers Cisco han ido incorporando meca-
nismos de conmutación de paquetes cada vez más complejos
(Process Switching, Fast Switching, Optimum Switching, Cisco
Express Forwarding…)
Pero si importante es conmutar paquetes, también lo
es el mantener una estructura de datos con la que tomar
decisiones acerca de los paquetes. El Plano de Control del
router ejecuta los protocolos de enrutamiento escuchando la
información proporcionada por los routers vecinos e infor-
mándoles a su vez de los cambios que detecte en la red. Con
la información recibida elabora y mantiene actualizadas las
tablas de rutas.
32
Los protocolos de enrutamiento dinámico son usados por
los routers para descubrir automáticamente nuevas rutas. El
uso de estos protocolos permite a los administradores de red
centrarse en otras tareas como las de diseño o mejora de la
calidad del servicio.
Los routers organizan las rutas (programadas estática-
mente u obtenidas dinámicamente) en una tabla de rutas. En
estas tablas almacenan las direcciones de las redes junto con
la información de la interfaz por la cual se alcanza cada red, la
métrica (o coste) para alcanzar el destino y otros datos con los
que el router calcula las mejores rutas. Las principales métricas
usadas son los saltos (número de redes que hay que atravesar
para alcanzar el destino), la velocidad de los enlaces (el ancho
de banda), tiempos…
La tercera parte del libro estudia el enrutamiento estático
y dinámico en profundidad pero, mientras tanto, veamos el
aspecto que tiene una tabla de rutas y la información que se
puede extraer de la misma.
33
los códigos que identifican al sistema de aprendizaje de rutas.
Vemos en el ejemplo rutas de tres clases: unas marcadas con una
R que representa las rutas hacia redes aprendidas mediante el
protocolo dinámico RIP, otras marcadas con una C, que son las
redes que el router conoce por que está directamente conectado
a ellas (tiene interfaces configuradas con direcciones de esas
redes) y una ruta estática, marcada con una S. Esta última ruta es
además la ruta por defecto y viene indicada con un asterisco.
A continuación aparecen las redes aprendidas, junto con
la máscara de red. Los números entre corchetes identifican la
distancia administrativa y la métrica de la ruta. "Via" indica
la dirección del router de próximo salto para llegar a la red
destino. Finalmente se especifica el tiempo transcurrido desde
que la ruta fue actualizada y la interfaz a través de la cual se
puede alcanzar la red remota.
Se puede extraer mucha más información de la tabla de
rutas, información que iremos comprendiendo a lo largo de
este libro: por ejemplo, la tabla indica que el router posee (al
menos) una interfaz Serie (Serial0) y una interfaz Ethernet
(Ethernet0). Otra observación que podría hacerse es que la
red a la que pertenece este router es una red particular: todas
las direcciones IP utilizadas pertenecen al espacio reservado
para uso privado (10.0.0.0, 172.16.0.0, 192.168.x.0). Podemos
pensar que para salir a Internet usan el dispositivo que tiene la
dirección interna 10.0.0.100, como vemos en la línea "Gateway
of last resort is 10.0.0.100 to network 0.0.0.0" Esta línea indica la
ruta que tomaran por defecto los paquetes cuyos destinos no
aparezcan especificados en la tabla, la ruta usada como último
recurso para alcanzar las redes desconocidas.
34
California - Los Ángeles (UCLA), el Stanford Research Institute
(SRI), en la Universidad de California – Santa Bárbara (UCSB)
y en la Universidad de Utah. Nosotros vamos a modernizar un
poco la red del dibujo, añadiendo direccionamiento IP y usando
routers Cisco en lugar de los IMPs, lo que nos permitirá crear
una red mediante interfaces y protocolos que en realidad no
aparecieron hasta unos años más tarde.
35
Serial2 172.16.0.13 YES manual up up
36
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/30 is subnetted, 4 subnets
R 172.16.0.12 [120/1] via 172.16.0.2, 00:00:02, Serial0
R 172.16.0.8 [120/1] via 172.16.0.2, 00:00:02, Serial0
[120/1] via 172.16.0.6, 00:00:13, Serial1
C 172.16.0.4 is directly connected, Serial1
C 172.16.0.0 is directly connected, Serial0
R 192.168.4.0/24 [120/2] via 172.16.0.2, 00:00:02, Serial0
C 192.168.1.0/24 is directly connected, Ethernet0
R 192.168.2.0/24 [120/1] via 172.16.0.2, 00:00:03, Serial0
R 192.168.3.0/24 [120/1] via 172.16.0.6, 00:00:14, Serial1
UCSB#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/30 is subnetted, 4 subnets
R 172.16.0.12 [120/1] via 172.16.0.10, 00:00:01, Serial0
C 172.16.0.8 is directly connected, Serial0
C 172.16.0.4 is directly connected, Serial1
R 172.16.0.0 [120/1] via 172.16.0.5, 00:00:19, Serial1
[120/1] via 172.16.0.10, 00:00:01, Serial0
R 192.168.4.0/24 [120/2] via 172.16.0.10, 00:00:01, Serial0
R 192.168.1.0/24 [120/1] via 172.16.0.5, 00:00:19, Serial1
R 192.168.2.0/24 [120/1] via 172.16.0.10, 00:00:03, Serial0
C 192.168.3.0/24 is directly connected, Ethernet0
UTAH#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/30 is subnetted, 4 subnets
C 172.16.0.12 is directly connected, Serial0
R 172.16.0.8 [120/1] via 172.16.0.13, 00:00:27, Serial0
R 172.16.0.4 [120/2] via 172.16.0.13, 00:00:27, Serial0
R 172.16.0.0 [120/1] via 172.16.0.13, 00:00:27, Serial0
C 192.168.4.0/24 is directly connected, Ethernet0
R 192.168.1.0/24 [120/2] via 172.16.0.13, 00:00:27, Serial0
R 192.168.2.0/24 [120/1] via 172.16.0.13, 00:00:27, Serial0
R 192.168.3.0/24 [120/2] via 172.16.0.13, 00:00:00, Serial0
37
de red ha convergido en una visión estable. Para verificar el
correcto funcionamiento de la red disponemos de la herra-
mienta de chequeo de conectividad por excelencia, ping. Cada
exclamación "!" indica un paquete de verificación que ha sido
contestado por la máquina destino.
UCLA#ping 192.168.2.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/18/20 ms
38
172.16.0.0/30 is subnetted, 3 subnets
C 172.16.0.12 is directly connected, Serial0
R 172.16.0.8 [120/1] via 172.16.0.13, 00:00:06, Serial0
R 172.16.0.4 [120/2] via 172.16.0.13, 00:00:06, Serial0
C 192.168.4.0/24 is directly connected, Ethernet0
R 192.168.1.0/24 [120/3] via 172.16.0.13, 00:00:03, Serial0
R 192.168.2.0/24 [120/1] via 172.16.0.13, 00:00:06, Serial0
R 192.168.3.0/24 [120/2] via 172.16.0.13, 00:00:06, Serial0
39
trales de las empresas y proveedores de servicios de datos, se
trata de routers capaces de adaptarse a una amplia variedad
de medios, distribuir el tráfico entre las oficinas y enlazar con
el núcleo de la red corporativa. En la cima, y dentro de la ca-
tegoría Service Provider, se encuentran los routers de frontera
(series 7600, 10700 y 12000), caracterizados por su alta densidad
de puertos de gran velocidad, escalables y adaptables a todo
tipo de tecnologías de transporte.
40
pueden encontrar en estos routers que van más allá del enruta-
miento puro y duro. Estos servicios añadidos son la evolución
de los antiguos routers que "sólo" enrutaban.
La serie 800 está orientada a las pequeñas oficinas, permi-
tiendo ejecutar de forma simultánea múltiples servicios: Stateful
Inspection Firewall, encriptación hardware, VPNs, Soporte
opcional de redes inalámbricas, conexiones a redes de banda
ancha (cable, DSL).
La serie 1800 se presenta tanto en formatos fijos como mo-
dulares y ofrece una amplia oferta de opciones LAN y WAN.
Las arquitecturas fijas ofrecen interfaces Ethernet 10/100,
ADSL tanto sobre telefonía convencional como sobre RDSI,
interfaces WAN G.SHDSL, interfaces RDSI BRI así como
interfaces de backup sobre modem convencional analógico.
El acceso Inalámbrico (WLAN) via IEEE 802.11 a/b/g está
disponible en todos los modelos de la serie 1800, así como las
Unified Communications para el Cisco 1861.
La serie 2800 está optimizada para tratar concurrentemente
datos, voz y vídeo a PYMES (SMB, small and medium-sized busi-
ness) y ofrecen un alto rendimiento (hasta 6 enlaces T1/E1), se-
guridad avanzada (Stateful Firewall, IPS, VPN y Cisco Network
Admission Control), soporte nativo a diversos esquemas de
encriptación (DES, 3DES y AES), puntos de acceso IEEE 802.11
a/b/g e interfaces WAN de alta velocidad (HWICs).
La serie Cisco 3200 es una línea más resistente (rugged)
de alto rendimiento que proporciona servicios integrados
en entornos móviles, industriales y al aire libre, soportando
voz, vídeo y datos sobre Ethernet, serial, fibra e interfaces
inalámbricos. Está diseñada para operar en entornos indus-
triales bajo un amplio rango de temperaturas (de –40 a 74°C),
soporte wireless (modos bridge y access-point). Están dise-
ñados para cumplir con el estandar industrial PC/104+ para
routers empotrados en diseños a medida, y ofrecen soporte
avanzado de seguridad, calidad de servicio (QoS), movilidad
y Telefonía IP.
En la gama alta tenemos la serie Cisco 3800 que ofrece un
alto rendimiento, altas densidades de puertos y la capacidad
de mover de forma concurrente datos, voz vídeo con seguridad
y calidad de servicio a velocidades de cable (wire speed) hasta
T3/E3. disponen de alta disponibilidad en caliente, fuentes
de alimentación redundantes, HWICs, seguridad avanzada,
memoria expandida con detección y corrección de errores
(SDRAM ECC DDR) así como puntos de acceso HWIC IEEE
802.11 a/b/g.
41
1.5.2 Routers de Agregación (Aggregation)
Son routers generalmente ubicados en las centrales de las
empresas y proveedores de servicios de datos, se adaptan a
múltiples medios, distribuyen el tráfico entre las sedes y las
enlazan con el núcleo de la red corporativa. Suelen englobarse
en la categoría Aggregation.
La serie Cisco ASR 1000 dispone de chasis que soportan
diversos SPA (shared-port adapters) y procesadores (RP1,
ESP5/10 - Embedded Services Processor 5/10), y capaci-
dades como Cisco IOS Software redundancy, Network-Based
Application
Recognition (NBAR) y Cisco IOS Flexible Packet Matching
(FPM), session border controller (SBC).
Las series 7200/7300 soportan OC-3/Gigabit Ethernet junto
con una alta modularidad, rendimiento y escalabilidad. Vienen
en diferentes chasis (1RU, 3RU), pueden equipar diversos
procesadores (NPEs ó network processing engines) y poseen
conectividad Gigabit Ethernet (en cobre y fibra).
La serie 7600 consolida redes WAN, MAN y LAN en una
plataforma única. Con su ancho de banda del backplane es-
calable de 32 a 720 Gbps, sus rendimientos de 30 a 400 Mpps
(RSP720) y una amplia gama de interfaces WAN / MAN
(desde N x DS-0, T1 y T3 hasta OC-192), serial, high-speed
serial, channelized, Packet over SONET/SDH (PoS), ATM y
Ethernet… son routers ideales para ISPs, Metrolanes y triple-
play (data, voz y video). Además soportan los módulos de las
series Catalyst 6500 y Cisco 7200/7500.
42
ciones de chasis, un amplio portfolio de fuentes de alimentación
y refrigeración, procesadores, line cards, SPAs (Packet over
SONET/SDH - PoS, ATM, Ethernet, Dynamic Packet Transport/
Resilient Packet Ring - DPT/RPR…) y funcionalidades de Layer
2/3 VPN y QoS que diferencian el tráfico y aseguran la conse-
cución de los acuerdos de nivel de servicio (ANS, SLA).
43
2
TCP/IP
45
Nota: Conmutación de circuitos vs. Conmutación de paquetes:
Las redes basadas en conmutación de circuitos son la base de
la telefonía convencional y eran la infraestructura previa a la
invención de las redes basadas en la conmutación de paquetes.
Según este modelo, se debe establecer un circuito entre los
participantes en la comunicación, lo que precisa que los recursos
necesarios se reserven para cada par de usuarios finales. Esto
implica que los recursos reservados para esa comunicación no
estarán disponibles al resto de usuarios mientras dure la comu-
nicación, lo que conlleva un uso ineficiente del ancho de banda
en los casos en los que el intercambio de información ocurre de
forma intermitente. Las redes de conmutación de circuitos son
útiles en contextos de aplicaciones en tiempo real. En el modelo
de comunicación basado en conmutación de paquetes la voz, el
vídeo y los datos se tratan igual, en un modelo también llamado
red integrada de datos. En estas redes los mensajes digitalizados
se fragmentan en una o varias unidades, denominadas paquetes,
cada una con una cabecera en la que lleva información de
control tal como las direcciones de origen y destino. Además de
hacer un uso eficiente del ancho de banda, las conversaciones
individuales no monopolizan los recursos de la red, que pasan
a ser compartidos por el resto de usuarios.
46
(UCSB) y en la Universidad de Utah. El protocolo original de
ARPAnet era el NCP (Network Control Program), desarrollado
por Vinton Cerf. Basándose en la experiencia adquirida con el
NCP, Vinton Cerf y Robert Kahn diseñaron en 1973 un modelo
de interconexión abierto que hiciese posible unir todo tipo de
redes con independencia de sus características. Un elemento
central de este modelo es un router, con conexiones a cada una
de las redes que conecta y reenvía paquetes. En los siguientes
años desarrollaron sucesivamente cuatro versiones del nuevo
protocolo mejorado: TCP v1, TCP v2, TCPv3 / IPv3, y por fin
TCP/IP versión 4, el estándar que todavía reina en Internet.
47
capas superiores. Así, cada una de las capas de la pila TCP/
IP implementa servicios de control de errores (haciendo más
fiable el canal de comunicación), de control de flujo (evitando
inundar de tráfico otros nodos más lentos), de fragmentación
(dividiendo la información en piezas más pequeñas, y uniendo
éstas cuando se reciben), de multiplexación (permitiendo que
varias sesiones de nivel superior compartan una única conexión
de un nivel inferior), de gestión del establecimiento de la co-
nexión, así como de direccionamiento y nomenclatura.
48
Figura 2.4. Encapsulación de los datos en TCP/IP.
49
2.3. La capa de aplicación
Esta capa es el punto de acceso a los servicios de TCP/IP.
La capa de aplicación aglutina las capas de sesión, presentación
y aplicación del modelo OSI, proporcionando una interfaz a
través de la cual las aplicaciones de los usuarios pueden acceder
a la red. Algunas de las aplicaciones más conocidas de esta capa
son la navegación por la web HTTP, HTTPS, la transferencia de
ficheros FTP, TFTP, el chat IRC, el correo, IMAP, NTP, POP3,
RTSP, SMTP, SNMP, TELNET... Los juegos en red también
tienen su protocolo de aplicación. Vemos en la figura 2.6 la
salida de Wireshark, el analizador de protocolos, correspon-
diente a la capa de transporte de un paquete DNS.
50
2.4.1. TCP
TCP es uno de los protocolos centrales de la pila de proto-
colos Internet, hasta el punto de constituir la mitad de una de
las denominaciones habituales de este modelo: TCP/IP.
51
el número de puerto de origen, la dirección IP de destino y el
número de puerto de destino. De esta forma un único servidor
puede atender múltiples clientes simultáneamente, incluso de
una misma dirección IP, siempre y cuando los clientes inicien
conexiones desde diferentes números de puerto.
52
un segmento invalido o una conexión; SYN, usado para sin-
cronizar los números de secuencias; ACK, para informar a la
otra parte de la recepción de los paquetes y FIN, usado para
finalizar la conexión.
El campo Windows indica el número de octetos de datos
que está dispuesto a aceptar. El campo Checksum se utiliza
para controlar la integridad de los datos mediante una suma
de comprobación. El Urgent Pointer apunta al número de se-
cuencia del octeto que contiene datos de tipo urgente y sólo es
tenido en cuenta cuando el bit URG está activado.
Una comunicación TCP/IP va pasando por una serie de
estados (LISTEN, ESTABLISHED, CLOSING…) y los bits de
control (TCP Flags) sirven para indicar las transiciones entre
estados. La figura 2.8 muestra la máquina de estados TCP.
53
se cierra mediante un paquete FIN que es confirmado con un
ACK. El diagrama de secuencia de la figura 2.9 recoge toda
esta transacción.
54
orden y las retransmisiones de los paquetes que se han per-
dido. Para aplicaciones en tiempo real cómo la voz sobre IP el
protocolo TCP puede no resultar el más adecuado; para estas
aplicaciones en las que la pérdida de algunos paquetes no re-
sulta crítica pero en las que es preciso una respuesta inmediata
se recomienda otros protocolos, entre los que destaca UDP.
2.4.2. UDP
UDP (User Datagram Protocol) es otro de los protocolos
fundamentales de la pila Internet. UDP permite a las apli-
caciones enviar mensajes, denominados datagramas, a otros
dispositivos sin requerir el establecimiento de un canal de
transmisión previo.
Al igual que TCP, UDP usa sockets para establecer las co-
municaciones entre hosts. Estos sockets unen la aplicación a
un puerto que actúa como punto de contacto para la transmi-
sión. Un puerto es una estructura software identificada por un
número entero de 16 bits, el número de puerto.
55
UDP usa un modelo de transmisión simple que no requiere
establecimiento de la conexión (la negociación en tres pasos o
handshake del TCP), es unidireccional y evita las comproba-
ciones de todo tipo: no ofrece fiabilidad, orden o integridad
de los datos, los datagramas pueden llegar o no y además
hacerlo en cualquier orden. Si hay necesidad de comprobar
errores en la comunicación UDP delega esa responsabilidad
en las aplicaciones. Ligero y rápido, UDP es usado por mu-
chas aplicaciones como DNS (Domain Name System), VoIP
(Voz sobre IP), TFTP (Trivial File Transfer Protocol), SNMP
(Simple network management protocol), DHCP (Dynamic
Host Configuration Protocol) o el protocolo de enrutamiento
RIP (Routing Information Protocol).
En la figura 2.11 vemos la cabecera UDP
56
import socket
port = 1234
host = "localhost"
s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
s.sendto("Routers Cisco vía UDP", (host, port))
57
"En general la implementación de IP debe ser conservadora
en su comportamiento emisor y liberal en su comportamiento
receptor, o lo que es lo mismo, debe ser cuidadosa y enviar
paquetes bien formado pero debe aceptar los paquetes que
puede interpretar y no objetar a los errores técnicos cuando el
significado está claro"
2.5.1. IP
La versión 4 del Protocolo de Internet (IPv4) es capaz de
fragmentar (y posteriormente volver a unir) paquetes basán-
dose en aspectos como la unidad máxima de transmisión del
enlace (MTU, maximum transmission unit). En la versión 6 del
protocolo, IPv6, esta función no existe dado que los nodos de-
terminan el mínimo MTU y transmiten de la transmisión de
extremo a extremo bajo ese MTU.
IP por si mismo no garantiza la transmisión, de forma que
no asegura ni la llegada del paquete al destino ni el orden de
llegada de los paquetes. Esta falta de fiabilidad, lejos de ser un
defecto es una de las razones de la resistencia y escalabilidad de
Internet ante fallos de enlaces. IP se separa en este sentido de los
protocolos de Arpanet originales y considera que las redes no
son fiables y que la responsabilidad de proporcionar fiabilidad
debe recaer en los protocolos de capas superiores como TCP
(Transmission Control Protocol) en el nivel de Transporte.
58
Figura 2.13. Cabecera Ipv4 (cortesía de
Matt Baxter http://www.fatpipe.org/~mjb/Drawings/)
59
para poder distinguir los fragmentos de un datagrama de los
de otro. El emisor del datagrama debe asegurar un valor único
para la pareja origen-destino y el tipo de protocolo durante el
tiempo que el datagrama pueda estar activo en la red.
Indicadores: utilizado sólo para especificar valores relativos
a la fragmentación de paquetes
Posición de Fragmento: en paquetes fragmentados indica
la posición, en unidades de 64 bits, que ocupa el paquete actual
dentro del datagrama original. El primer paquete de una serie
de fragmentos contendrá en este campo el valor 0.
Tiempo de Vida (TTL): indica el máximo número de routers
que un paquete puede atravesar. Cada vez que algún nodo
procesa este paquete disminuye su valor en, como mínimo, un
routers. Cuando llegue a ser 0, el paquete no será reenviado.
Veremos luego como la aplicación traceroute hace un uso par-
ticularmente ingenioso de este campo.
Protocolo: indica el protocolo de siguiente nivel utilizado
en la parte de datos del datagrama.
Suma de Control de Cabecera: se recalcula cada vez que
algún nodo cambia alguno de sus campos (por ejemplo, el
Tiempo de Vida). El método de cálculo (intencionadamente
simple) consiste en sumar el complemento a 1 de cada palabra
de 16 bits de la cabecera y hacer el complemento a 1 del valor
resultante.
IP de origen y IP de destino: Direcciones de 32 bits.
Dedicamos el apartado 2.7 a hablar del direccionamiento
IPv4.
Opciones: aunque no es obligatoria la utilización de este
campo, cualquier nodo debe ser capaz de interpretarlo. Puede
contener un número indeterminado de opciones, que tendrán
dos posibles formatos:
Vemos en la figura 2.14 la salida del analizador de proto-
colos correspondiente a la parte de la capa de red. La unidad
de trabajo de esta capa es el paquete.
2.5.2. ICMP
ICMP (Internet Control Message Protocol) especifica una
serie de mensajes cuyo propósito es el de gestionar la red. Los
mensajes ICMP se clasifican en errores, peticiones y respuestas.
Los paquetes se identifican por su tipo ("type"), algunos de los
cuales a su vez se subdividen en códigos ("codes"). En la figura
2.15 vemos la cabecera de los paquetes ICMP.
60
Figura 2.14. Captura en Wireshark que
muestra la capa IP de un paquete HTTP.
61
orden ping, posiblemente la herramienta más importante a la
hora de comprobar la conectividad entre sistemas en red.
62
Otros tipos de mensajes ICMP importantes son Router
Advertisement y Router Selection, tipos 9 y 10, usados por
el protocolo IRDP (Router Discovery Protocol) y Redirect,
ICMP tipo 5, usado por routers para notificar a los equipos de
la existencia de otro router que debe ser usado para alcanzar
una red concreta.
2.6.1. ARP
La capa de acceso a la red usa un sistema de direcciones
diferente al usado por el protocolo IP. Por ejemplo Ethernet,
posiblemente el protocolo más utilizado en redes locales, usa
direcciones de 48 bits (las direcciones MAC). Los paquetes de
datos intercambiados en una red Ethernet usan estas direc-
ciones de 48 bits para determinar a qué sistema van dirigidos.
63
El driver de la tarjeta de red examina los paquetes que fluyen
por la red y sólo mira (o debería mirar) los paquetes cuya di-
rección MAC coincide con la propia.
64
dirección MAC (Figura 2.21). El resto de sistemas descartará
el paquete.
65
emisor de la petición ARP cree que el router es el equipo al
que va dirigida la petición, cuando en realidad el destino se
encuentra en otra "pata" del router.
El router actúa como un representante, o proxy, en nombre
del equipo final, retransmitiendo los paquetes entre las dis-
tintas redes.
66
2.6.3. Gratuitous ARP
A veces un equipo envía una consulta ARP en busca de su
propia dirección IP. Esto puede ocurrir cuando la interfaz se
configure al arrancar el equipo (bootstrap). A este tipo de ARP
se le llama ARP gratuito (gratuitous ARP) y tiene varios usos.
Por ejemplo, un ARP gratuito puede utilizarse para detector
direcciones IP duplicadas: un dispositivo que emita una peti-
ción ARP con su propia IP como destino sabrá que esa IP está
duplicada si escucha una respuesta ARP de otro equipo.
Un ARP gratuito puede también utilizarse para anunciar
una nueva dirección de enlace. Cuando un equipo recibe una
petición ARP para una dirección IPv4 que ya está en su caché
ARP, esta caché se actualiza con la nueva dirección de enlace
del emisor. Esta situación se produce por ejemplo cuando un
router que ejecuta el protocolo HSRP toma el rol de router ac-
tivo emite un ARP gratuito para actualizar las tablas ARP de
los equipos de las redes a las que está conectado.
67
2.7. Direccionamiento IPv4.
VLSM. Subnetting.
Para saber qué parte de la dirección pertenece a la red y qué
parte a las máquinas, las direcciones IP contienen una clave
capaz de separar la parte correspondiente a la red y la parte que
identifica a los equipos concretos de la red. Los diseñadores del
protocolo IP dividieron el espacio de direcciones disponible en
tres grandes grupos. Si el primer bit de una dirección IP es 0 se
trata de una dirección de clase A y la división red-equipos cae
entre el 7º y el 8º bit. Si los dos primeros bits son 1-0 estamos
ante una dirección de clase B y el punto de separación cae entre
el 15º y 16º bit. Las direcciones de clase C se caracterizan porque
los tres primeros bits son 1-1-0 y la división cae entre el 23º y el
24º bit. Este esquema simplificó el mecanismo de enrutamiento
en los albores de Internet. A las máscaras predeterminadas de
cada clase se les llama máscaras "naturales". Los mecanismos
de enrutamiento que descansan en la distinción "histórica" de
clases se denominan protocolos con clase (classfull).
Una forma de aprovechar mejor el espacio de direcciones
(y simplificar las tablas de rutas) consiste en que los protocolos
de enrutamiento transporten junto con las rutas una "máscara"
que identifique qué parte representa la red y qué parte los
equipos. La máscara es otro número de 32 bits, que lleva unos
en la parte de red y ceros en la de máquina.
El truco para comprender el funcionamiento de las máscaras
y las direcciones está en pasar ambas a binario y ver que los
ceros de la máscara coincidan con ceros en la dirección. Veamos
un ejemplo con la dirección 192.168.0.32 255.255.255.240, que
equivale a 192.168.0.32/28 (barra 28, porque al convertir la
máscara a binario que contiene 28 "unos" seguidos):
Tabla 2.1.
Decimal Binario
68
reservado a los equipos: la dirección todo unos (difusión, broad-
cast) y todo ceros (identifica una red o subred completa). En el
ejemplo anterior vemos que "11000000 . 10101000 . 00000000 .
0010" es la dirección de subred, y que el resto de la dirección es
todo ceros. Esto identifica la subred 192.168.0.32, con espacio
para 14 equipos (del 1 al 14, en binario del 0001 al 1110). Las
dos direcciones restantes son la 0 (bin 0000), que identifica la
subred completa, y la 15 (bin 1111) de difusión.
En realidad la operación que hacen las máscaras con las
direcciones es la Y lógica, y el resultado es la dirección de
red:
Tabla 2.2.
11000000101010000000000000100101 IP
11111111111111111111111111110000 Máscara
11000000101010000000000000100000 Red
69
Figura 2.22. Representación del reparto
del espacio IPv4 (cortesía de Randall "xkdc" Munroe)
70
representacion-fractal-del-espacio-ip.html. Una base de datos
como ipindex (http://ipindex.homelinux.net/)
puede ayudar a explorar el espacio IP desde una perspectiva
más tradicional.
71
Figura 2.23. Red de ejemplo
72
llegará al Servidor Web, que desencapsulará y procesará el
paquete hasta el nivel de aplicación correspondiente.
73
en uno de ellos. Así, las siguientes son todas representaciones
válidas de la misma dirección:
2001:0DB8:0000:0000:0000:0000:1428:57ab
2001:0DB8:0000:0000:0000::1428:57ab
2001:0DB8:0:0:0:0:1428:57ab
2001:0DB8:0::0:1428:57ab
2001:0DB8::1428:57ab
pero en cambio
2001::25de::cade
no es válida porque no puede saberse cuántos grupos nulos
hay en uno de los "::".
Los ceros iniciales en un grupo pueden ser omitidos:
2001:0DB8:02de::0e13
2001:DB8:2de::e13
74
donde la cabecera fija y las cabeceras de extensión opcionales
incluyen el campo de cabecera siguiente que identifica el tipo
de cabeceras de extensión que viene a continuación o el identi-
ficador del protocolo de nivel superior. Luego las cabeceras de
extensión se van encadenando utilizando el campo de cabecera
siguiente que aparece tanto en la cabecera fija como en cada
una de las citadas cabeceras de extensión.
En el momento de publicar el libro estos son los 8 tipos
de cabaceras IPv6: Cabecera principal, Cabecera de opciones
de salto a salto (Hop-by-Hop), Cabecera de encaminamiento
(Routing), Encaminamiento desde la fuente, Cabecera de frag-
mentación (Fragment), Cabecera de autenticación (Authentication
Header), Cabecera de encapsulado de seguridad de la carga útil
(Encapsulating Security Payload) y Cabecera de opciones para
el destino (Destination).
75
editor de los RFCs asigna a cada RFC un número que ya no se
borra ni cambia. Si es preciso modificar el RFC se publica otro
RFC con un nuevo número que complementa o hace obsoleto
el anterior. El proceso de publicación está descrito, cómo no,
en un RFC: el RFC 2026.
Aunque los RFCs se pueden obtener en muchos sitios, el mejor
es la propia web de IETF, en la dirección Web http://tools.
ietf.org/html/.
Los RFC poseen un formato bien definido. En la figura 2.25
mostramos la cabecera de los RFC, donde disponemos de la
siguiente información
1. Barra de color indica el status (amarillo experimental,
rojo borrador…)
2. Enlace al borrador original (Internet draft).
3. Actualizaciones a este RFC desde su publicación
4. Grupo de trabajo IETF
5. Número de serie
6. RFCs al que éste actualiza o deja obsoleto
7. Status
8. Enlace a las correciones menores.
9. Autor(es)
10. Fecha
11. Título
76
3
Operación de
un router Cisco
77
Figura 3.1. Estructura interna de un router.
78
Nota: Los routers modulares tienen slots de expansión, puertos
en los que conectar diferentes WIC (WAN interface cards).
Estas WIC son tarjetas de red especializadas que permiten al
router conectarse y transmitir datos a través de una red WAN.
Las WIC pueden tener una CSU/DSU (Data Service Unit)
integrada que proporciona correción de errores y monitorización
de la línea. Algunos modelos especializados son las WICs de
alta velocidad HWICs (High-Speed WAN Interface Cards) y
las VWICs (Voice WAN Interface Cards) para voz y datos.
Todas ellas usan una serie de controladores especializados
basados en circuitos integrados desarrollados específicamente
para realizar la tarea que tienen encomendada denominados
ASICs (Application-Specific Integrated Circuits).
79
erróneas de la IOS. Este modo también permite modificar el
registro de configuración del equipo y realizar actualizaciones
del sistema operativo.
El Bootstrap o RxBoot es un programa cuya función es en-
contrar y cargar una copia de la IOS en la RAM, para lo que se
basa en el registro de configuración. Según esté configurado
el registro RxBoot buscará la IOS en la Flash, en una tarjeta
PCMCIA o la obtendrá por la red mediante el protocolo TFTP
(Trivial File Transfer Protocol). Lo más normal es que la IOS esté
en una memoria tipo Flash.
Sin embargo, el programa más importante de los routers
Cisco es su sistema operativo, IOS (Internetwork Operative
System). IOS proporciona las funciones generales que cual-
quier sistema operativo moderno y multitarea debe pro-
porcionar: abstracción del hardware a los desarrolladores y
gestión de los recursos compartidos (ciclos de la CPU, me-
moria, discos…). Pero IOS no es un sistema operativo cual-
quiera, sino un software especializado en conmutar paquetes
de la forma más rápida y eficiente. Cisco IOS es el software
usado en casi todos los routers y switches Cisco (algunos
switches usaban originalmente otro sistema operativo, el
Catalyst Operative System o CatOS).
De los múltiples procesos que IOS gestiona hay uno, el
parser, que se encarga de crear el resto de procesos. El parser
es invocado a través de la CLI (command line interface), la ca-
racterística línea de comandos de los routers. La línea de com-
mandos de Cisco ha sido imitada por muchos otros produtos
de redes y seguridad.
A través de la línea de commandos IOS proporciona un
conjunto de órdenes determinado por el "modo" en que se
encuentra (global, interfaz) y el "nivel de privilegios" del ad-
ministrador, nivel que va del 0 ó mínimo a 15 o control total.
3.1.3. Arquitectura.
En todas las versiones IOS el enrutamiento (routing) y el
reenvío (forwarding) son procesos diferentes. El enrutamiento
contribuye a crear la tabla RIB (Routing Information Base), que
a su vez es procesada para generar la tabla de reenvío FIB
(Forwarding Information Base).
IOS posee una arquitectura "monolítica", lo que significa
que se ejecuta como una única imagen, compartiendo todos los
procesos el mismo espacio de memoria. No hay protección de
80
memoria entre los procesos con lo que los errores de IOS pueden
corromper los datos usados por otros procesos. Tiene un algo-
ritmo de planificación de tipo completo (completion scheduler): el
kernel no expulsa (pre-empt) los procesos en ejecución, siendo el
proceso responsible de ceder el uso de la CPU mediante unalla-
mada al kernel para que otros procesos puedan ejecutarse.
Cisco ha desarrollado para las gamas altas una nueva
versión de IOS denominada IOS XR que ofrece modularidad
y protección de memoria, hilos, planificación con expulsión
(pre-emptive scheduling) y otras características propias de los
sistemas operativos emergidos en los últimos 15 años. QNX, el
microkernel de IOS XR, y una gran parte de los procesos IOS
fueron reescritos para sacar partido de las características que
ofrece el nuevo sistema. La arquitectura microkernel saca del
kernel los procesos innecesarios y los ejecuta como procesos
con privilegios similares a los del resto de aplicaciones.
IOS empezó siendo un pequeño sistema operativo empo-
trado, pero con el tiempo se ha convertido en el sistema ope-
rativo de una gran cantidad de plataformas: existen múltiples
versiones, de forma que hace tiempo se han establecido dos
conjuntos de nomenclaturas para identificar las imágenes IOS,
el sistema clásico (legacy) y el sistema actual.
81
En las tablas 3.1, 3.2 y 3.3 podemos ver algunos de los có-
digos usados para interpretar las denominaciones propias de
este sistema.
a2 ATM
a3 SNASW
b Appletalk Routing
c Remote Access Server
d Desktop routing
g5 Enterprise Wireless (7200)
i IP routing
j Enterprise
n IPX Routing (low-end routers)
p Service Provider (or DOCSIS for uBR)
r(x) IBM
telco Telco
y/y5 IP Routing
y7 IP ADSL.
82
Identificador Significado
v VIP
w6 Wireless
x MCM
83
paquetes Advanced Security y Advanced IP Services que añaden
soporte de VPN, Cisco IOS Firewall, criptografía 3DES, SSH,
Cisco IOS IPsec e Intrusion Detection Systems); y Enterprise (pa-
quetes Enterprise Base y Enterprise Services que añaden soporte
multiprotocolo: IBM, IPX, AppleTalk…)
La tabla 3.4 muestra las denominaciones de las distintas
IOS en función de sus características (Feature Set).
cxxxx-ipbase-mz IP Base
cxxxx-ipvoice-mz IP Voice
cxxxx-advsecurityk9-mz Advanced Security
cxxxx-spservicesk9-mz Service Provider
cxxxx-entbase-mz Enterprise Base
cxxxx-advipservicesk9-mz Advanced IP Services
cxxxx-entservicesk9-mz Enterprise Services
cxxxx-adventerprisek9-mz Advanced Enterprise Services
84
Identificador Significado
A APPN
A2 ATM
B AppleTalk
BOOT Boot image
C Remote Access Server
D Desktop subset (SNMP, IP, BRIDGING, WAN,
IPX, ATALK)
F FRAD subset
G RDSI
I IP subset
J Enterprise
K Criptografía
M RMON
N IPX
85
Identificador Significado
O Firewall
P Service provider (IP RIP/IGRP/EIGRP/OSPF/
BGP CLNS ISIS/IGRP)
R RSRB (remote source route bridging)
S Source route switch (SNMP, IP, BRIDGING,
SRB)
V VIP y soporte RSP
X X.25 (11.1), Frame Relay (11.2)
X H.323 Gatekeeper/Proxy (2500, 3620, 3640,
MC3810)
Y Reduced IP: SNMP, IP RIP/IGRP/EIGRP,
BRIDGING, ISDN, PPP
86
El más habitual es el B. La diferencia entre ellos está en los
comandos que soportan
Todos ellos usan una notación similar a las URL para espe-
cificar los nombres y la localización de los ficheros:
prefijo:ruta/nombre
prefijo://servidor/ruta/nombre
prefijo://usuario:contraseña@servidor/ruta/fichero
87
En la práctica las tres órdenes más usadas para mover ficheros
de un lado a otro son "copy tftp flash", "copy rcp flash"
y "copy slot0: slot1:". Veamos un ejemplo configurando el
routerA (IP 10.1.1.1) como servidor TFTP para que comparta la
imagen "c2500-js-l.122-9a" y el routerB como cliente TFTP.
RouterA#configure terminal
RouterA(config)# tftp-server flash:/c2500-js-l.122-9a
88
un router la serie 1600 es muy representativo de la forma de
arrancar de los routers Cisco en general.
En primer lugar se ejecuta la boot ROM, una memoria de
sólo lectura que lanza el proceso. En función del valor del re-
gistro de configuración almacenado en la NVRAM el router
ejecuta el programa ROMmon o el programa RxBoot.
El programa ROMmon permite controlar el registro de con-
figuración, cambiar parámetros de la consola, ejecutar pruebas
diagnósticas del hardware y restaurar la imagen IOS cuando por
alguna razón la que está en el router no permite arrancar.
RxBoot analiza el hardware y en función del registro de
configuración carga la imagen IOS (si es preciso a través de
la red), ejecutándola desde la PCMCIA Flash o en la memoria
RAM. Esta imagen IOS vuelve a analizar el hardware. El fi-
chero de configuración del router almacenado en la memoria
NVRAM puede contener llamadas de arranque (boot system
commands) del tipo "boot system flash slot0:c1600-
sy-l.122-1a.bin" que fuerza al RxBoot a buscar la imagen
c1600-sy-l.122-1a.bin en la memoria Flash insertada en el slot
número 0. La orden "boot system" del fichero de configura-
ción toma preferencia sobre el registro de configuración.Si no
hay un "boot system" en la configuración y el registro está
en su valor por defecto RxBoot carga la primera imagen que
encuentra en la Flash y, si esto falla, carga una imagen mínima
que viene en la boot ROM.
Finalizadas las comprobaciones hardware, IOS crea una
serie de estructuras de datos tales como IDBs (Interface Descriptor
Blocks), así como asignaciones de buffers patra las interfaces y
otros procesos (buffers I/O), y carga y ejecuta la configuración
desde la NVRAM.
89
Una vez desembalado todo y comprobado que no falta
nada, procederemos a instalar las interfaces WAN (WIC), co-
nectar el router a la red local (LAN) y a la línea WAN (Punto
a Punto, Frame relay, ADSL, RDSI…) y finalmente conectar
el router a la red eléctrica. Según el modelo se encenderán una
serie de LEDs mostrando el estado en el que se encuentra el
router. Estos LEDs pueden estar tanto en la parte frontal como
en la trasera del router, y encontraremos en la documentación
del router el significado concreto de cada LED, aunque el verde
en general es buena señal ("green is good"). Los indicadores típicos
que aparecen en el frontal son los que indican el correcto funcio-
namiento del equipo (OK), la actividad de la red local (LAN),
detección de portadora ADSL (CD) o RDSI (ISDN CH1/CH2),
indicadores de transmisión (TXD) y recepción (RXD). En la parte
trasera conviene fijarnos en el indicador de conexión (LNK) que
aparece junto a los distintos conectores Ethernet y Serie.
En lo que respecta a la conexión del router con la red local,
tenemos varias posibilidades. La más normal es la de conectar
el router a un hub o switch Ethernet, y en este caso necesita-
remos un cable Ethernet RJ-45 a RJ-45 plano o directo, el usado
para conectar dispositivos desiguales. Si en cambio conectamos
el router directamente a un PC o portátil necesitaremos un
cable Ethernet RJ-45 a RJ-45 cruzado (como el que usaríamos
para conectar dos PCs directamente entre si).
90
Figura 3.3. Conexionado eléctrico
(pines) de un conector RJ-45.
91
En un cable cruzado (crossover) la regla "13-26" (pin 1 al 3 y
2 al 6) sirve para reconocer un cable cruzado de forma rápida,
aunque luego sigue cruzando el 4 con el 7 y el 5 con el 8, así
que la relación completa es "13-26-47-58".
92
Figura 3.5. Cables Serie.
93
Con un extremo del cable conectado a un puerto serie
(COM) del ordenador y el otro conectado al puerto de con-
sola del router (CONSOLE), se arranca el Hyperterminal y
se configura para usar el puerto COM adecuado. Fijamos los
parámetros de velocidad de la conexión a "9600/8-N-1" (9600
de velocidad, 8 bits de datos, sin bit de paridad y un stop bit)
tal como se muestra en la figura 3.6.
94
System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
C1600 platform with 8192 Kbytes of main memory
program load complete, entry point: 0x4020060, size: 0x165eac
%SYS-6-BOOT_MESSAGES: Messages above this line are from the boot loader.
program load complete, entry point: 0x2005000, size: 0x21f936
Self decompressing the image : #################################################
######################### [OK]
Router>
95
Inicio>Ejecutar>telnet y en el cuadro de texto que aparece
escribiendo "telnet" seguida por la dirección IP del equipo
y opcionalmente el puerto TCP (telnet usa por defecto el puerto
TCP 23). Puede consultar los detalles de la implementación de
telnet en los RFC 854 y 855 disponibles en ftp://ftp.rfc-
editor.org/in-notes/rfc854.txt y ftp://ftp.
rfc-editor.org/in-notes/rfc855.txt. Con un
"telnet 193.202.115.241" podemos ver una curiosa
versión de la Guerra de las Galaxias en versión ASCII Art.
Bienvenido a Poe.
O
O
o \''/
/o '))
/_/\_ss))
|_ss))/|
|__ss))_|
|__sss))_|
|___ss))\|
|_ss))
)_s))
('( /_s))
(_\/_s))
(\/))
Username: antonio
Password: ******
POE>
96
de un navegador necesitamos que esté preparado con la orden
de configuración global "ip http server". Opcionalmente
se puede especificar con la orden "ip http port #" un puerto
TCP diferente al usado por el protocolo http de forma estándar
(TCP 80).
Sagan(config)# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Sagan(config)# ip http server
Sagan(config)# ip http port 80
Sagan(config)# exit
Sagan#
97
Router(config)# line console 0
Router(config-line)# login local
Router(config)# line vty 0 15
Router(config-line)# privilege level 15
Router(config-line)# transport input telnet ssh
Router(config)# ip domain name wanlinksniper.net
Router(config)# crypto key generate rsa general-keys
Choose the size of the key modulus in the range of 360 to 2048
for your General Purpose Keys. Choosing a key modulus greater
than 512 may take a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]
98
tipos, Auditoría de seguridad, Enrutamiento (RIP, OSPF e
EIGRP), NAT, Prevención de intrusos y Calidad de servicio.
Los asistentes de monitorización permiten ver una descrip-
ción general del estado del router así como el estado específico
de las interfaces, firewall, VPNs, Calidad de Servicio (QoS) y
Control de Acceso (NAC).
Los asistentes ofrecen la opción de ver las órdenes que
se mandarán al router antes de que se ejecuten realmente en
el mismo.
Modo Set-Up
Al arrancar el router por primera vez disponemos de la
opción de entrar en el modo "Initial Configuration Dialog", más
conocido como modo setup. El siguiente ejemplo muestra una
secuencia de arranque completa en la que se ha accedido al
modo setup.
Cuando nos pregunta si queremos acceder este modo
"Would you like to enter the initial configuration dialog?", si con-
testamos "yes" accedemos al modo setup:
99
System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
C1600 platform with 8192 Kbytes of main memory
%SYS-6-BOOT_MESSAGES: Messages above this line are from the boot loader.
program load complete, entry point: 0x2005000, size: 0x21f936
Self decompressing the image : ##############################################
###
######################### [OK]
Would you like to enter the initial configuration dialog? [yes/no]: yes
100
Would you like to enter basic management setup? [yes/no]: yes
Configuring global parameters:
Any interface listed with OK? value "NO" does not have a valid configuration
Enter interface name used to connect to the management network from the above
interface summary: Ethernet0
Configuring interface Ethernet0:
Configure IP on this interface? [yes]: yes
IP address for this interface: 192.168.1.1
Subnet mask for this interface [255.255.255.0] : 255.255.255.240
Class C network is 202.144.158.0, 28 subnet bits; mask is /28
hostname mirouter
enable secret 5 $1$Tk3z$5NlqsaYCojkq4cNoXl6sG1
enable password password2
line vty 0 4
password password3
snmp-server community abc12345
!
no ip routing
!
interface Ethernet0
101
no shutdown
ip address 192.168.1.1 255.255.255.240
!
interface Serial0
shutdown
no ip address
!
end
mirouter>
102
Router#show interfaces
Router#show ip protocols
Router#show ip route
Router#show ip arp
103
Con "disable" salimos del modo privilegiado y volvemos
al modo no privilegiado:
Router#disable
Router>
104
Modo configuración global
Con la orden "configure terminal" accedemos al modo
de configuración global del router. El saludo del router cambia
(config) para indicar que podemos empezar a insertar co-
mandos de configuración.
Router#configure terminal
Router(config)#
105
usando el comando "shutdown" cierra todas las comunica-
ciones por esa interfaz.
Es diferente a
POE (config)# no router rip
Un par de trucos
Como indicamos antes podemos usar abreviaturas donde
no exista ambigüedad con otros comandos. Así, es típico
usar "sh" y "no sh" en vez de "shutdown" y "no shutdown".
Hemos visto en el apartado anterior el uso de abreviaturas de
comandos. Podemos usar las abreviaturas a partir del punto en
el que no exista ambigüedad con otras órdenes. También po-
demos completarlos mediante el uso de la tecla del tabulador.
En el ejemplo siguiente indicamos mediante "Tab" la pulsación
del tabulador y con el símbolo de subrayado la posición donde
queda el cursor a continuación:
106
POE#sh "Tab"
POE#show_
POE#show ip int"Tab"
POE#show ip interfaces_
POE#show ip interfaces brie"Tab"
POE#show ip interfaces brief_
107
Con "begin" nos muestra la parte de la orden a partir de la
primera línea que contiene la expresión buscada:
Router#sh running-config | begin route
ip route 0.0.0.0 0.0.0.0 192.168.1.2
!
logging trap debugging
logging 10.2.2.2
!
line con 0
transport input none
stopbits 1
line vty 0 4
password 7 14141B180F0B
login
!
end
108
version 12.0
!
hostname POE
!
enable last-resort password
enable password cisco
!
interface Ethernet0
ip address 192.168.8.1 255.255.255.0
!
interface Serial0
description Conexion con Sevilla
ip address 172.27.201.5 255.255.0.0
!
router eigrp 1
network 172.27.0.0
network 192.168.8.0
!
banner motd *
Bienvenido a Poe.
O
O
o \''/
/o '))
/_/\_ss))
|_ss))/|
|__ss))_|
|__sss))_|
|___ss))\|
|_ss))
)_s))
('( /_s))
(_\/_s))
(\/))
*
!
line con 0
password cisco
login
!
line vty 0 4
password cisco
login
!
end
109
en lugar de "Building configuration... Current con-
figuration":
POE#sh startup-config
Using 4853 out of 32762 bytes
!
! Last configuration change at 12:15:43 DST Sun Aug 25 2002
! NVRAM config last updated at 13:46:40 DST Sun Aug 25 2002
!
version 12.0
service timestamps debug datetime localtime show-timezone
[parte de la salida omitida]
110
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
shutdown
end
111
POE#copy running-config startup—config
Building configuration...
[OK]
POE#
112
*** System received an abort due to Break Key ***
signal= 0x3, code= 0x500, context= 0x813ac158
PC = 0x802d0b60, Vector = 0x500, SP = 0x80006030
rommon 1 > confreg 0x2142
You must reset or power cycle for new config to take effect
rommon 2 > reset
serial-no: JAD05270QP3
Type: C801
DRAM: 4MB
Flash: 8MB
113
"Control-C" para saltarnos el proceso setup de configuración
inicial.
System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
TAC:Home:SW:IOS:Specials for info
C2600 platform with 32768 Kbytes of main memory
114
00:00:19: %LINK-3-UPDOWN: Interface Serial0/0, changed state to down
00:00:19: %LINK-3-UPDOWN: Interface Serial0/1, changed state to down
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0,
changed state to down
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0,
changed state to up
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1,
changed state to up
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0,
changed state to down
00:00:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/1,
changed state to down
00:00:50: %SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE
SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
00:00:50: %LINK-5-CHANGED: Interface BRI0/0,
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Ethernet0/0,
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Serial0/0,
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Ethernet0/1,
changed state to administratively down
00:00:52: %LINK-5-CHANGED: Interface Serial0/1,
changed state to administratively down
00:00:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0,
changed state to down
00:00:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1,
changed state to down
Router>
115
Llegados a este punto con "show running-config" po-
demos ver la configuración inicial del router. Las interfaces
aparecerán todas en "shutdown"y las contraseñas pueden
estar en texto claro o encriptadas. En todo caso con "con-
figure terminal" accedemos al modo de configuración y
con "enable secret <password>" cambiamos la contraseña del
modo privilegiado:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# enable secret cisco
Router(config)# ^Z
00:01:54: %SYS-5-CONFIG_I: Configured from console by console
116
Router#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE
SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
Image text-base: 0x80008088, data-base: 0x80C524F8
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# config-register 0x2102
Router(config)# ^Z
00:03:20: %SYS-5-CONFIG_I: Configured from console by console
Router#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE
SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
Image text-base: 0x80008088, data-base: 0x80C524F8
117
8192K bytes of processor board System flash partition 1 (Read/Write)
8192K bytes of processor board System flash partition 2 (Read/Write)
Router#
118
4
Estableciendo conectividad
119
Nota: A la hora de determinar las interfaces y el resto de
características disponibles en un router Cisco concreto po-
demos consultar la "Guía de Referencia Rápida de Productos
de Cisco" ("Cisco Product Quick Reference Guide") en la
dirección http://www.cisco.com/go/guide. Se trata
de una referencia útil y compacta que incluye breves descrip-
ciones de los routers, switches, firewalls y en general de todos
los productos Cisco, junto con sus principales características,
especificaciones técnicas abreviadas y los part numbers nece-
sarios para hacer un pedido. Para obtener la última versión de
la guía en formato electrónico basta con registrarse en la pá-
gina https://www.nationsprint.com/clients/
cpqrg/. Tras un breve proceso de registro se recibe un correo
electrónico con las instrucciones para proceder a la descarga
de la guía en formato PDF. La guía correspondiente a otoño
2008 ocupa algo más de 3MB. También se pueden obtener las
guías de años anteriores, algo muy útil a la hora de verificar
las características de equipos descontinuados.
120
existen routers que para identificar las interfaces usan 3
parámetros: ranura, adaptador y puerto: "serial 1/1/0". La
numeración es necesaria dado que un router puede tener
varias interfaces del mismo tipo.
121
Interfaz Descripción
122
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:04, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
265295 packets input, 21235441 bytes
Received 105678 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
1337306 packets output, 125379250 bytes, 0 underruns
0 output errors, 0 collisions, 8 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
123
FastEthernet0/1 172.22.1.13 YES NVRAM up up
Serial0/1 10.1.1.12 YES NVRAM up up
Loopback0 172.25.25.11 YES NVRAM up up
124
Router0#show interfaces FastEthernet0/0 stats
FastEthernet0/0
Switching path Pkts In Chars In Pkts Out Chars Out
Processor 294567 18704930 239526 22219870
Route cache 7758 681257 48303 6129834
Total 302325 19386187 287829 28349704
125
organismo que las utiliza, que se encarga también de su gestión
y mantenimiento. Las más populares son las redes Ethernet
con sus distintas velocidades (Ethernet estándar a 10Mb/s,
FastEthernet a 100Mb/s, GigaEthernet a 1000Mb/s). También
resulta cada vez más frecuente encontrarse con redes inalám-
bricas ó WiFi. A continuación veremos cómo se configuran
los principales parámetros que necesitamos especificar y los
comandos básicos para comprobar su funcionamiento.
Recordemos que debemos habilitar administrativamente la
interfaz mediante la orden "no shutdown", darle una direc-
ción de red y una máscara consistente con la dirección de la
red a la que dicha interfaz se encuentra conectada y proceder a
configurar los parámetros propios de la tecnología correspon-
diente (velocidades, tipos de conector, etc…). Según el modelo
de router accederemos al modo configuración especificando
el número de interfaz, slot, adaptador y puerto:
Router(config)# interface ethernet número
Router(config)# interface ethernet slot/puerto
Router(config)# interface ethernet slot/adaptador/puerto
Router(config)# interface fastethernet número
Router(config)# interface fastethernet slot/puerto
Router(config)# interface fastethernet slot/adaptador/puerto
Router(config)# interface gigabitethernet slot/puerto
126
Figura 4.1. Ethernet según su inventor, Robert Metcalfe.
127
También podemos configurar más de una dirección de red
mediante el uso de direcciones secundarias:
POE(config.if)# ip address 172.20.0.1 255.255.0.0 secondary
128
se marca como caído. El protocolo se puede caer por varios mo-
tivos: el cable de la red local puede estar desconectado, puede
que esté conectado pero de forma incorrecta, puede tratarse de
un cable estropeado o distinto al requerido, el hub o el switch
al que el router se conecta estar apagado, etc…
A continuación aparece la dirección de red ("Internet Address
si 10.1.150.1/8"). La tercera línea muestra varios parámetros
de la interfaz: El máximo tamaño de paquete (MTU), fijado a
1500 bytes; el ancho de banda (bandwidth, BW), fijado a 10000
Kbit; la demora de la interfaz (delay, DLY), fijada en 1000 mi-
crosegundos, la fiabilidad de la interfaz (rely) indicada por el
valor 255/255, que significa que la interfaz tiene una fiabilidad
del 100 por 100, y la carga (load) de la interfaz, en el ejemplo
14/255 (del 5%).
En la cuarta línea vemos el tipo de encapsulado de la in-
terfaz (en nuestro caso ha tomado por defecto la encapsulación
ARPA), y la indicación acerca del estado del modo de bucle
("loopback not set") y del modo de actividad ("keepalive set").
La línea "Last clearing of show interface counters 00:12:12"
indica que los contadores se han limpiado hace 12 minutos y
12 segundos: todos los valores que vienen a continuación son
estadísticas para esos 12 minutos. Muy interesantes resultan
las líneas "5 minute input rate 579000 bits/sec, 621 packets/sec" y
"5 minute output rate 565000 bits/sec, 604 packets/sec" que mues-
tran el promedio del tráfico de esta interfaz para los últimos
5 minutos.
4.2.2. FastEthernet
La tecnología Ethernet ha evolucionado en respuesta a las
demandas de una mayor velocidad. Las interfaces FastEthernet
proporcionan conexiones con redes locales de alta velocidad
(100Mbps). Por lo demás, estas interfaces se configuran de
forma muy similar a las interfaces Ethernet: hay que habilitarla
administrativamente y proporcionarle una dirección válida:
POE(config)# interface FastEthernet0/0
POE(config.if)# no shutdown
POE(config.if)# ip address 172.19.128.60 255.255.248.0
129
POE(config.if)# speed ?
10 Force 10 Mbps operation
100 Force 100 Mbps operation
auto Enable AUTO speed configuration
130
La tabla ARP del router relaciona o "mapea" las direcciones
IP con las direcciones MAC. Por defecto las entradas duran
14400 segundos en la tabla (4 horas). Si por alguna razón este
tiempo no es aceptable se puede modificar con la orden "arp
timeout" seguido de un valor especificado en segundos.
La orden "keepalive" regula la frecuencia con que se en-
vían "saludos" por la interfaz indicando su "estado de salud".
Por defecto es 10 segundos, pero se puede regular con la
orden "keepalive" seguida del número de segundos entre
"saludos".
El parámetro "keepalive" fijado a 0 segundos equivale a
"no keepalive". En este caso el router deja de mandar kee-
palives y considera que la interfaz está levantada pase lo que
pase. Esto resulta muy útil para forzar un estado "up/up" en
una interfaz Ethernet cuando configuramos un router y todavía
no tenemos nada conectado en dicha interfaz. Otro uso muy
frecuente lo encontramos cuando una interfaz Ethernet queda
en estado up/down (FastEthernet1/0 is up, line protocol is down).
Este estado se denomina "caída a nivel de protocolo" y a veces
hay que demostrar que no es el router el que está caído sino la
red local que hay detrás de la interfaz Ethernet. Si "levantamos"
la interfaz con un "no keepalive" esta se levantará con lo que
se podrá hacer ping a la dirección IP de la interfaz Ethernet
(desde "fuera", claro, ya que la LAN sigue caída).
Si se aprecia con un "show interface FastEthernet0/0"
que las colisiones van en aumento debe revisar la velocidad y
el tipo de conexión (full/half), dado que una mala configuración
de los mismos puede provocar que la conexión se degrade
excesivamente.
RAVEN#sh int fastEthernet 1/0
FastEthernet1/0 is up, line protocol is up
Hardware is AmdFE, address is 0007.8901.2930 (bia 0007.8901.4354)
Internet address is 10.0.0.1/8
MTU 1500 bytes,BW 100000 Kbit,DLY 100 usec,rely 255/255,load 1/255
Encapsulation ARPA, loopback not set, keepalive set (10 sec)
Half-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters never
Queueing strategy: fifo
Output queue 0/40, 0 drops; input queue 0/75, 2443 drops
5 minute input rate 7000 bits/sec, 14 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
16027499 packets input, 2616886732 bytes
Received 7039112 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 watchdog, 0 multicast
0 input packets with dribble condition detected
131
9348802 packets output, 2168150697 bytes, 0 underruns
0 output errors, 8824 collisions, 15 interface resets
0 babbles, 0 late collision, 17132 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
4.2.3. GigaEthernet
Los modelos de gamas superiores soportan interfaces
Gigabit Ethernet (1000 Mbps). Por ejemplo los routers Cisco
2821 y 2851 así como la plataforma 3800 Integrated Service
Router disponen de dos interfaces Gigabit Ethernet de cobre.
En otros routers modulares como los 2811, 2821, 2851, 3825 y
3845 se puede usar un módulo como el HWIC-1GE-SFP (High-
Speed WAN Interface Card, Giga Ethernet, Small Form-Factor
Pluggable) al que conectar adaptadores SFP (Small Factor
Pluggable) de cobre o fibra con los que proporcionar conecti-
vidad Gigabit Ethernet.
Una interfaz Gigabit Ethernet proporciona un enlace rá-
pido con el que enrutar entre VLANes, en un esquema como
el mostrado en la figura 4.2.
132
como muestra la figura 4.3. Además el sistema operativo IOS
permite aplicar en estas redes características de calidad de ser-
vicio (QoS) tales como traffic shaping e inspección de paquetes
NBAR (Network-Based Application Recognition).
133
0 input packets with dribble condition detected
3631 packets output, 168395 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 pause output
0 output buffer failures, 0 output buffers swapped out
4.2.4. ATM
ATM (siglas de Asynchronous Transfer Mode o Modo de
Transferencia Asíncrono) es un protocolo que encontraremos
en los entornos más diversos. Su tecnología camaleónica se
adapta por igual a redes de área local (LANE), metropolitanas
(enlaces T-1, T-3, OC-48) y de área amplia, siendo una tecno-
logía muy popular para construir el backbone de los provee-
dores de Frame Relay, xDSL, SONET/SDH, etc… Dada esta
disparidad de usos no sorprende encontrar interfaces ATM
en toda clase de routers, desde los pequeños Cisco 827 que
llevan una interfaz ATM/ADSL de fábrica hasta los routers
más avanzados de la serie 12000.
134
Nota: Las celdas pequeñas y de tamaño fijo reducen los
retardos variables (jitter) en la multiplexación de múltiples
flujos de datos. Reducir el jitter y los retardos de extremo a
extremo es muy importante en procesos en tiempo real como el
transporte de voz. Los codecs encargados de las conversiones
funcionan mejor ante flujos de datos regulares.
135
los mapeos cada 5 minutos (en ATM el ARP inverso está des-
habilitado por defecto). A continuación hemos usado la orden
"atm pvc" para crear un PVC que localmente identificaremos
con el número 10, usando los valores pvi/vci que nos propor-
cione el proveedor del servicio, en este ejemplo 2/40. A con-
tinuación proporcionamos un encapsulado ATM (aal5snap).
En ATM los encapsulados están relacionados con la capa de
adaptación de ATM (AAL , ATM Adaptation Layer). Dos de los
encapsulados disponibles son aal5snap (para los casos en los
que todo el tráfico vaya por un único circuito ATM) y aal5mux
ppp (que permite crear un PVC por cada protocolo).
Podemos comprobar el funcionamiento de la interfaz ATM
con la orden "show atm" seguida de alguna de las posibilidades
que nos ofrece el router:
Ramanujan#sh atm ?
arp-server ATM ARP Server Table
class-links ATM vc-class links
ilmi-configuration Display Top level ILMI
ilmi-status Display ATM Interface ILMI information
interface Interfaces and ATM information
map ATM static mapping
pvc ATM PVC information
route ATM route
traffic ATM statistics
vc ATM VC information
vp ATM VP information
136
Ramanujan#sh atm traff
19367177 Input packets
18388545 Output packets
0 Broadcast packets
0 Packets received on non-existent VC
0 Packets attempted to send on non-existent VC
226240 OAM cells received
F5 InEndloop: 226155, F5 InSegloop: 1, F5 InAIS: 79, F5 InRDI: 5
F4 InEndloop: 0, F4 InSegloop: 0, F4 InAIS: 0, F4 InRDI: 0
226241 OAM cells sent
F5 OutEndloop: 226177, F5 OutSegloop: 0, F5 OutRDI: 79
F4 OutEndloop: 0, F4 OutSegloop: 0, F4 OutRDI: 0
0 OAM cell drops
137
Router(config)# interface TokenRing0
Router(config-if)# no shutdown
Router(config-if)# ip address 192.41.3.1 255.255.255.0
Router(config-if)# ring-speed 16
138
Nota:Wi-Fi es una marca registrada de la Wi-Fi Alliance
(http://wi-fi.org/), una asociación que reúne unos 300 miem-
bros y se dedica a promocionar el uso de las WLANs. La
Wi-Fi Alliance proporciona un programa de certificaciones y
pruebas con el objeto de garantizar la interoperabilidad de los
productos WLAN basados en la especificación IEEE 802.11.
Aunque se tiende a usar Wi-Fi y red inalámbrica (WLAN)
de forma intercambiable, en la práctica hay productos WLAN
que no tienen la certificación Wi-Fi, lo que puede deberse a los
costes del programa de certificación.
139
un gran ancho de banda, pero a cambio asegura a cada usuario
su trocito de espectro.
En tercer lugar tenemos la multiplexación por división de
código o CDMA. Esta técnica, más conocida como espectro
expandido o spread spectrum, emplea un esquema de codifica-
ción por el que la señal se esparce por todo el ancho de banda,
asignándosele a cada transmisor un código único: el receptor
capta las señales emitidas por todos los transmisores al mismo
tiempo, pero gracias al esquema de codificación que emplea
códigos únicos puede seleccionar la señal de interés.
Una analogía que permite diferenciar los tres esquemas de
multiplexación es el de una habitación (el canal de transmisión)
llena de gente que quiere comunicarse entre si (emisores y
receptores). Pueden tomar turnos (TDM), hablar en tonos di-
ferentes (FDM), o hablar distintos idiomas (CDMA). Entre las
ventajas del CDMA están los menores consumos necesarios por
las antenas con respecto a los requisitos de los sistemas TDM
o FDM, reduce las interferencias, mejora la reutilización de las
frecuencias en áreas geográficas cercanas, y facilita el traspaso
(handoff) entre celdas en los usuarios móviles.
140
de los militares, que se quedaron estupefactos al ver cómo les
proponían meter una pianola en un torpedo. El invento fué
olvidado hasta que, años más tarde, las nuevas tecnologías
electrónicas permitieron su implementación eficaz, siendo la
base actual de inventos tan omnipresentes como los teléfonos
móviles o el Wifi.
En 1997 Hedy Lamarr recibió el premio "Pioneer Award", de
la Electronic Frontier Foundation.
141
ip route 0.0.0.0 0.0.0.0 9.0.0.5
!
bridge 1 route ip
142
en varios aspectos de las redes de área local. Por ejemplo, las
velocidades de los enlaces WAN son menores en relación con
las que se alcanzan en una red local.
Otro aspecto en el que se diferencian las LAN de las WAN
es en el de la gestión de los enlaces: mientras que una red local
suele ser administrada por las propias empresas, las WAN
se contratan a proveedores de servicios de red (compañías
telefónicas, de cable...).
Existen distintos tipos de enlaces WAN: líneas punto a
punto (enlaces reservados por el proveedor de servicios para
el uso privado del usuario), circuitos conmutados (disponibles
durante la duración de la conexión, caso de los enlaces RDSI) y
enlaces basados en conmutación de paquetes (que permiten la
compartición del medio mediante el uso de circuitos virtuales
sobre enlaces físicos, caso de Frame Relay).
Al hablar del modelo OSI ya mencionamos el proceso de
encapsulado de datos. Al configurar enlaces WAN debemos
especificar el tipo de encapsulado de nivel de enlace (nivel 2
del modelo OSI). En función de la tecnología WAN que usemos
y de los equipos de comunicaciones, configuraremos un tipo
de encapsulado.
En el ejemplo siguiente consultamos los encapsulados dis-
ponibles para una interfaz serie en un router Cisco 2501 con
una IOS versión 12.0.(8):
Sagan(config)# interface serial 1
Sagan(config-if)# encapsulation ?
atm-dxi ATM-DXI encapsulation
bstun Block Serial tunneling (BSTUN)
frame-relay Frame Relay networks
hdlc Serial HDLC synchronous
lapb LAPB (X.25 Level 2)
ppp Point-to-Point protocol
sdlc SDLC
sdlc-primary SDLC (primary)
sdlc-secondary SDLC (secondary)
smds Switched Megabit Data Service (SMDS)
stun Serial tunneling (STUN)
x25 X.25
143
4.3.1. Interfaz Serie
Las interfaces serie constituyen uno de los principales me-
canismos para conectar los routers con las redes WAN.
Los dispositivos utilizados para procesar información no
suelen conectarse directamente a la red de transmisión sino que
utilizan unos dispositivos intermediarios denominados DSU/
CSU, por ejemplo los módem o las unidades de terminación
de red (UTR). Un dispositivo CSU/DSU (Channel Service Unit/
Data Service Unit) interconecta un equipo terminal DTE, por
ejemplo un router, con un circuito digital, por ejemplo una
línea T1. Un DCE es el dispositivo que se encuentra entre el
DTE y el circuito de transmisión de datos. Como regla general
el DCE proporciona una señal de reloj (reloj interno) a la que
el DTE se sincroniza (reloj externo).
A los equipos que procesan información se les denomina
DTE (Data Terminal Equipment, equipos terminal de datos). A los
equipos que transmiten y reciben los bits, uno a uno, a través de
la red se les denomina DCE (Data Circuit-terminating Equipment,
equipo terminal de circuito de datos). Los DCE realizan varias
funciones: interaccionan entre sí a través de la red estableciendo
enlaces con los conmutadores (switches) de comunicaciones del
proveedor, se comunican con los equipos DTE locales y poseen
una serie de funciones de prueba y diagnóstico (indicando el
estado de la línea mediante una serie de indicadores luminosos).
En la figura 4.4 vemos dos equipos DTE que se comunican a
través de la red de switches del proveedor del servicio de co-
municaciones. Los usuarios no tenemos control sobre dichos
elementos de transporte de datos, y muchas veces esa red de
switches es representada gráficamente como una nube.
144
El equipo que hace de DTE se ocupa de poner las señales
DTR (Data Terminal Ready) y RTS (Request to Send), mientras
que el equipo que hace de DCE se encarga de poner las señales
DCD (Data Carrier Detect), DSR (Data Set Ready) y CTS (Clear
to Send). Podemos ver el estado de estas señales al final de la
salida de la orden "show interface serial 0". En caso de
avería podemos ver qué señales faltan para determinar qué
equipo es el que deja de poner sus señales:
Edgar#sh interface serial 0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
MTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,rely 255/255,load 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
Last input 8w0d, output 8w0d, output hang never
Last clearing of "show interface" counters never
Input queue:0/75/162540(size/max/drops);Total output drops: 2762884
Queueing strategy: weighted fair
Output queue:0/1000/64/2762882 (size/max total/threshold/drops)
Conversations 0/87/256 (active/max active/max total)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 1000 bits/sec, 1 packets/sec
5 minute output rate 1000 bits/sec, 1 packets/sec
82744 packets input, 29441468 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
164 input errors, 31 CRC,126 frame, 0 overrun, 0 ignored, 6 abort
85070 packets output, 20816699 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
54 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
145
se quiera conectar varios routers a través de sus interfaces
serie, una configuración denominada "back to back", en una
disposición típica de los entornos de laboratorio en los que
se simula la conexión WAN. En este caso el router que se en-
carga de poner la señal de reloj tiene conectado el lado DCE
de un cable DTE-DCE y deberá tener configurada una velo-
cidad de transferencia mediante el comando "clock rate".
A continuación, en los siguientes apartados veremos usos
concretos de la interfaz serie en conexiones punto a punto
y Frame Relay.
146
Nota: Por ejemplo, un protocolo de compresión de PPP es el
GFZACP (Gandalf FZA Compression Protocol) descrito en el
RFC 1993, y un protocolo de encriptación de PPP es el ECP
(Encryption Control Protocol), descrito en el RFC 1968.
147
00:19:29: Se0 LCP: O CONFACK [REQsent] id 47 len 15
00:19:29: Se0 LCP: AuthProto CHAP (0x0305C22305)
00:19:29: Se0 LCP: MagicNumber 0xE02F58A8 (0x0506E02F58A8)
00:19:29: Se0 LCP: I CONFACK [ACKsent] id 58 len 15
00:19:29: Se0 LCP: AuthProto CHAP (0x0305C22305)
00:19:29: Se0 LCP: MagicNumber 0x02294082 (0x050602294082)
00:19:29: Se0 LCP: State is Open
00:19:29: Se0 PPP: Phase is AUTHENTICATING, by both [0 sess, 1 load]
00:19:29: Se0 CHAP: O CHALLENGE id 127 len 28 from "router1"
00:19:29: Se0 CHAP: I CHALLENGE id 124 len 28 from "router2"
00:19:29: Se0 CHAP: O RESPONSE id 124 len 28 from "router1"
00:19:29: Se0 CHAP: I RESPONSE id 127 len 28 from "router2"
00:19:29: Se0 CHAP: O SUCCESS id 127 len 4
00:19:29: Se0 CHAP: I SUCCESS id 124 len 4
00:19:29: Se0 PPP: Phase is UP [0 sess, 1 load]
00:19:29: Se0 CDPCP: O CONFREQ [Closed] id 2 len 4
00:19:29: Se0 IPCP: O CONFREQ [Closed] id 2 len 10
00:19:29: Se0 IPCP: Address 10.1.1.1 (0x03060A010101)
00:19:29: Se0 IPCP: I CONFREQ [REQsent] id 2 len 10
00:19:29: Se0 IPCP: Address 10.1.1.2 (0x03060A010102)
00:19:29: Se0 IPCP: O CONFACK [REQsent] id 2 len 10
00:19:29: Se0 IPCP: Address 10.1.1.2 (0x03060A010102)
00:19:29: Se0 CDPCP: I CONFREQ [REQsent] id 2 len 4
00:19:29: Se0 CDPCP: O CONFACK [REQsent] id 2 len 4
00:19:29: Se0 CDPCP: I CONFACK [ACKsent] id 2 len 4
00:19:29: Se0 CDPCP: State is Open
00:19:29: Se0 IPCP: I CONFACK [ACKsent] id 2 len 10
00:19:29: Se0 IPCP: Address 10.1.1.1 (0x03060A010101)
00:19:29: Se0 IPCP: State is Open
00:19:29: Se0 IPCP: Install route to 10.1.1.2
00:19:30: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0,
changed state to up
148
Seguidamente, el Router2 queda configurado de la si-
guiente manera:
Router2(config)# interface Serial1
Router2(config-if)# ip address 5.0.2.2 255.255.255.0
149
4.3.3. Frame Relay
Las conexiones punto a punto son caras y no siempre re-
sultan prácticas para las necesidades de muchas empresas e
instituciones que necesitan mantener conexiones permanentes
con múltiples delegaciones. Una solución más atractiva con-
siste en usar redes públicas de conmutación de paquetes,
creando conexiones virtuales a través de la red del proveedor
de telecomunicaciones.
Frame Relay (FR) es un protocolo que se encarga de definir
los detalles de acceso a estas redes públicas, permitiendo la
conexión de los equipos del cliente con el punto de acceso a la
red más cercano. Ese punto de acceso a la red es el conmutador
o switch de FR. La red pública de conmutación de paquetes
usará internamente las tecnologías que sean precisas para
mandar los paquetes a su destino.
150
los identificadores necesarios para que la red del proveedor
encamine la información hasta su destino de una forma alta-
mente eficiente.
151
Entre el switch FR y el router se establece un intercambio de
información que permite establecer el estado de los circuitos
virtuales. El protocolo encargado de este diálogo se denomina
LMI (Layer Management Interface, Protocolo de Gestión de
Capa). Aunque las versiones modernas de IOS son capaces de
detectar automáticamente el tipo de LMI pueden darse casos
concretos en los que sea necesario configurarlo manualmente.
El proveedor de servicios de comunicaciones nos indicará el
tipo de LMI que debemos configurar. El LMI también tiene
sentido local, de forma que cada delegación puede tener con-
figurado un tipo de LMI distinto (dicho en otras palabras, el
tipo de LMI no tiene que coincidir de extremo a extremo, sino
entre switch FR y router)
Son características fundamentales de un enlace FR su velo-
cidad medida en Kbps (kilobits por segundo), y el caudal con-
tratado o CIR (Committed Information Rate), que es la cantidad
de información por unidad de tiempo que el proveedor se com-
promete a dejar pasar en todos los casos. Una de las ventajas
de FR proviene de su capacidad de asignar dinámicamente los
recursos de ancho de banda disponibles, de forma que puede
asimilar ráfagas de tráfico por encima del CIR. Específicamente
un dispositivo puede transmitir hasta alcanzar una velocidad
CBIR (Committed Burst Information Rate) y contar con que esa
información transmitida por encima de lo contratado llegue
en un gran porcentaje de los casos. No obstante, cuando se
transmite por encima del CIR los paquetes serán marcados en
su bit DE (Discard Eligiblility bit): si un nodo sufre congestión
y debe descartar paquetes, empezará a hacerlo con aquellos
que lleven activado el bit DE.
152
notificado (se marcan los paquetes que vayan hacia allí con el
bit BECN, de Backward Explicit Congestion Notification).
153
Usamos la orden "frame-relay lmi-type" para confi-
gurar el tipo de LMI que van intercambiar el router y el switch
FR. A continuación le mostramos varias opciones.
POE (config-if)# frame-relay lmi-type ?
cisco
ansi
q933a
154
!BOSTON, MASS.
interface Serial1
description Conexión con San José, Cal. ID. Circuito MS-BS01
no shutdown
ip address 172.16.0.2 255.255.255.252
bandwidth 64
encapsulation frame-relay ietf
frame-relay lmi-type q933a
155
ip address 172.16.4.1 255.255.255.0
bandwidth 64
frame-relay interface-dlci 16
interface Serial0.17 point-to-point
ip address 172.16.8.1 255.255.255.0
bandwidth 64
frame-relay interface-dlci 17
Configuramos París:
hostname PARIS
interface Serial0
no shutdown
no ip address
encapsulation frame-relay ietf
frame-relay lmi-type ansi
interface Serial0.16 point-to-point
ip address 172.16.4.2 255.255.255.0
bandwidth 64
frame-relay interface-dlci 16
156
ip address 172.16.8.1 255.255.255.0
bandwidth 64
frame-relay map ip 172.16.8.2 16 broadcast
frame-relay map ip 172.16.8.3 17 broadcast
hostname PARIS
interface Serial0
no shutdown
no ip address
encapsulation frame-relay ietf
frame-relay lmi-type ansi
interface Serial0.16 point-to-point
ip address 172.16.8.2 255.255.255.0
bandwidth 64
frame-relay interface-dlci 16
hostname BUENOS_AIRES
interface Serial0
no shutdown
no ip address
encapsulation frame-relay ietf
frame-relay lmi-type ansi
interface Serial0.20 point-to-point
ip address 172.16.8.3 255.255.255.0
bandwidth 64
frame-relay interface-dlci 20
157
Dispone de varias órdenes para examinar el estado de la
conexión FR. Por ejemplo, con "show interface serial
0/0" observará en la cuarta línea el tipo de encapsulación FR,
y a continuación el tipo de LMI, estadísticas del intercambio
de LMI con el switch FR, si hace de DTE o DCE, etc…
hardy#show interface serial 0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
MTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,rely 255/255,load 1/255
Encapsulation FRAME-RELAY IETF,loopback not set,keepalive set(10 sec)
Carrier delay is 20 sec
LMI enq sent 3257, LMI stat recvd 3257, LMI upd recvd 0, DTE LMI up
LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0
LMI DLCI 0 LMI type is CCITT frame relay DTE
[…parte de la salida omitida…]
DCD=up DSR=up DTR=up RTS=up CTS=up
158
router y el switch FR. Es importante que los parámetros "Num
Status Enq. Sent" y "Num Status msgs Rcvd" aumenten al mismo
ritmo, como es el caso del ejemplo. Los demás valores estarán
a cero o con valores bajos en condiciones normales.
hardy#show frame lmi
LMI Statistics for interface Serial0/0 (Frame Relay DTE) LMI TYPE = CCITT
Invalid Unnumbered info 0 Invalid Prot Disc 0
Invalid dummy Call Ref 0 Invalid Msg Type 0
Invalid Status Message 0 Invalid Lock Shift 0
Invalid Information ID 0 Invalid Report IE Len 0
Invalid Report Request 0 Invalid Keep IE Len 0
Num Status Enq. Sent 3251 Num Status msgs Rcvd 3251
Num Update Status Rcvd 0 Num Status Timeouts 0
159
4.3.4. RDSI
Algunos modelos de router Cisco tienen interfaces que
permiten la conexión con la Red Digital de Servicos Integrados
(RDSI). Las líneas RDSI se caracterizan frente a las líneas de
telefonía convencional por dar conectividad digital de extremo
a extremo. Al digitalizar el bucle local, eliminando el tramo
analógico entre el abonado y la red de comunicaciones, se
hacen innecesarias las conversiones analógico-digitales que
estos tramos acarrean. Las líneas RDSI permiten el transporte
simultáneo de voz y datos.
Las interfaces de acceso básico o interfaces BRI (Basic Access
Interface) proporcionan 2 canales a 64 Kbps (canales B) y un
canal de señalización fuera de banda a 16Kbps (canal D). Los
canales B proporcionan voz digital (PCM a 64Kbps), una (en
su momento) alta velocidad de datos, fax e incluso servicios
de vídeo de baja velocidad. El canal D proporciona señaliza-
ción y permite servicios que no precisan alta velocidad como
teletexto, conexiones de terminal o telemetría.
160
lente eléctricamente al punto S (de hecho algunas interfaces
RDSI se denominan BRI S/T) y U, que es el punto donde co-
mienza el bucle local entre el abonado y el conmutador (switch)
RDSI de la central.
161
indicarán qué conmutador debe configurar. Esta orden puede
ser configurada tanto en modo global (config) como en modo
interfaz (config-if).
isdn switch-type [tipo de switch del proveedor]
162
list 1 protocol ip list" seguido de un número de lista
de acceso que permita y deniegue ciertos flujos. Por ejemplo,
la lista de acceso extendida 110 tiene dos reglas: la primera
impide (deny) que el tráfico de difusión (tráfico broadcast,
255.255.255.255) dispare la llamada. La segunda regla deja
pasar (permit) todo lo demás.
access-list 110 deny ip any 255.255.255.255 0.0.0.0
access-list 110 permit ip any any
dialer-list 1 protocol ip list 110
163
!
! Definimos el tráfico "interesante"
! En este ejemplo dejamos que cualquier paquete IP
! levante la llamada. Eso puede ser excesivo.
!
dialer-list 1 protocol ip permit
164
En ocasiones podrá ver con esta última orden la razón de
la llamada (dial reason), generalmente el paquete que levantó
la llamada en la forma s=IP origen y d=IP destino. Esta infor-
mación puede resultar muy valiosa para determinar por qué
tienen lugar ciertas llamadas.
Nota: Ciertos fallos de configuración de las RDSI pueden
resultar caros. Por ejemplo, un error en las contraseñas CHAP
puede ser la causa de que un router llame continuamente a
otro intentando establecer una sesión RDSI y que éste último
le cuelgue reiteradamente al fallar la fase de autenticación.
Verifique periódicamente el LOG del router con "show
logg" y use las órdenes anteriores para verificar que no se
están realizando llamadas indebidas. Si nota cambios de ve-
locidad, actividad inusual en los indicadores luminosos (leds)
de las interfaces RDSI, etc…compruebe el estado de las líneas
RDSI. Recuerde: si no tiene una tarifa plana para la RDSI
puede llevarse un disgusto con la factura de la línea.
165
DSL es un enlace dedicado que da acceso de banda ancha
a través de un adaptador instalado en el domicilio del cliente.
En esta conexión directa entre el cliente y el proveedor, la voz
viene de un switch de voz de Clase 5 (local exchange), y los datos
de un DSLAM (DSL access multiplexer). La señal combinada
(voz y datos) viaja en el par de cobre hasta llegar al domicilio
del cliente donde se divide gracias a un filtro que separa las
frecuencias altas donde van los datos de las bajas (donde va
la voz convencional). Un router DSL proporciona una interfaz
local (NIC) a los equipos del cliente.
166
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname usuario
ppp chap password contraseña
ppp pap sent-username usuario password contraseña
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 10.0.0.0 0.0.0.255
167
señales hacia el CMTS (Cable Modem Termination System), el
dispositivo que modula la señal hacia el CM en el lado del
proveedor. Los Backoffice services proporcionan servicios
esenciales para el mantenimiento de la instalación: TFTP para
la subida y bajada de configuraciones a los CM, DHCP para
asignarles IP de forma dinámica, ToD para proporcionar ser-
vicios horarios.
Veamos un ejemplo. Los detalles de configuración de la
conexión cable se realizan sobre la interfaz "cable?modem0".
Su proveedor de cable le proporcionará los parámetros exactos
necesarios para establecer la conexión.
service times tamps debug uptime
service timestamps log uptime
no service password?encryption
!
hostname cableRouter
!
enable password cisco
!
ip subnet?zero
no ip finger
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface cable?modem0
ip nat outside
cable?modem downstream saved channel 555000000 42 1
cable?modem mac?timer t2 80000
no cable?modem compliant bridge
!
ip default?gateway 172.16.30.1
ip nat inside source list 1 interface cable?modem0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.30.1
!
access?list 1 permit 10.1.1.0 0.0.0.255
!
line con 0
transport input none
line vty 0 4
password cisco
login
!
end
Comprobamos que la interfaz está levantada a nivel físico
y de enlace,
168
cableRouter#sh ip int brief
Interface IP?Address OK? Method Status Protocol
Ethernet0 10.1.1.1 YES manual up up
cable?modem0 172.16.30.20 YES unset up up
4.3.7. MPLS
El Multiprotocol Label Switching o MPLS es una tecnología de
conmutación de paquetes que utiliza etiquetas (labels) en lugar
de direcciones IP para tomar las decisiones de enrutamiento.
MPLS fue diseñado para proporcionar a los routers una mayor
velocidad evitando la inspección paquete a paquete tradicional.
Con MPLS el análisis de capa 3 se hace la primera vez que el
paquete accede la red MPLS, y en las siguientes ocasiones se
examina la etiqueta. Sobre MPLS se han desarrollado servi-
cios como Redes Privadas Virtuales (VPN - Virtual Private
Networking) y Calidad de Servicio (QoS - Quality of Service)
169
el cliente proporciona sus rutas internas al proveedor, que
las recibe en el router PE (Provider Edge). En este router PE el
proveedor además de recibir el direccionamiento del cliente
añade o quita una etiqueta según entre o salga el tráfico de la
red MPLS. Dentro de la nube MPLS, sin conexión directa con
los clientes en el borde (Edge) están los routers P (Provider),
que no añaden ni quitan etiquetas a los paquetes, sino que los
reenvían tras reescribir las etiquetas.
170
P examinan las etiquetas, las reescriben y reenvían los paquetes
de dispositivo a dispositivo hasta alcanzar otro router PE, el
egress router, a través del cual se sale del dominio y se accede
a la red destino. En este punto la etiqueta MPLS se elimina y
el paquete se entrega de nuevo al cliente.
Un concepto del modelo MPLS es el de subida y bajada
(Upstream y Downstream): los paquetes de datos destinados a
una red concreta "bajan" hacia ella (downstream). Las actuali-
zaciones de los protocolos de enrutamiento y los protocolos
de etiquetado "suben" (upstream).
Los routers MPLS Cisco necesitan ejecutar el proceso CEF
(Cisco Express Forwarding). CEF construye dos tablas: la tabla
FIB (Forwarding Information Base) y la tabla de adyacencias. La
tabla FIB mantiene la IP del siguiente salto para cada entrada en
la tabla de rutas. La tabla de adyacencia mantiene información
de enlace (capa 2) para cada entrada de la tabla FIB, evitando
resoluciones ARP para cada dirección IP. CEF une las direc-
ciones IP de siguiente salto con las direcciones físicas (MAC)
de la interfaz correspondiente, lo que permite conmutación a
capa 3 (layer 3 switching).
Una configuración elemental de MPLS consiste en habilitar
el protocolo CEF (Cisco Express Forwarding) mediante la orden
global "ip cef" y a continuación habilitando el proceso MPLS
mediante la orden "mpls"
! Habilita el Cisco Express Forwarding
ip cef
!
! Arranca el proceso MPLS en la interfaz, IOS 12.x
interface fastethernet0/1
mpls ip
171
router# show mpls interfaces
Interface IP Tunnel Operational
Ethernet0/1/1 Yes (tdp) No No
Ethernet0/1/2 Yes (tdp) No No
Ethernet0/1/3 Yes (tdp) Yes Yes
POS2/0/0 Yes (tdp) No No
ATM0/0.1 Yes (tdp) No No (ATM labels)
ATM1/0.1 Yes (ldp) No Yes (ATM labels)
172
Figura 4.12. MPLS VPN.
173
Para configurar un router para que se pueda acceder vía
telnet, usamos la orden "line vty":
Router(config-line)# line vty 0 ?
<1-4> Last Line Number
Router(config-line)# line vty 0 4
Router(config-line)# password abc123
Router(config-line)# login
174
Si deshabilitamos telnet y forzamos el uso de un protocolo
seguro como ssh y además registramos los intentos de acceso
en un servidor syslog server estaremos aumentando notable-
mente nuestra seguridad. Veremos todo ello en el capítulo 6,
dedicado a la seguridad.
Terminamos indicando que la orden "line vty" nos per-
mite configurar más líneas de las que existen por defecto.
Por defecto la mayoría de los router proporcionan 5 líneas.
En ocasiones (especialmente en laboratorios y entornos de
pruebas) se precisa un número mayor de línas para que todos
los usuarios puedan acceder (a costa de usar recursos adionales
del sistema). Con la siguiente orden aumentamos el rango de
puertos VTY de 5 a 10:
Router(config)# line vty 0 9
175
4.4.3. Null Interface
Se trata de una interfaz lógica a la que enviar los datos que
queramos descartar. Veremos en el próximo capítulo que la
forma básica de proporcionar información de enrutamiento
consiste en usar rutas estáticas. La forma de configurar una
ruta estática es mediante la orden "ip route <red destino>
<máscara> <interfaz/dirección salto siguiente>".
Pues bien, una forma directa (aunque poco sutil) de impedir el
tráfico hacia una red específica consiste en dirigir el tráfico con
ese destino a la interfaz nula, como en el siguiente ejemplo:
Sagan(config)# ip route 9.0.0.0 255.0.0.0 Null 0
176
4.4.4. Interfaces de túnel (tunnel)
Existen ocasiones en las cuales tenemos que enviar datos de
un protocolo que no tiene información suficiente para ser trans-
portado (típicamente le falta información de red). Podemos
transportar este tipo de paquetes a través de "túneles IP"
creados entre el emisor y el receptor y encapsular los datos en
otro protocolo (como el GRE, Generic Router Encapsulation) para
proceder a su envío a través del túnel creado por esta vía.
Seleccionaremos una interfaz Túnel mediante la orden
"interface Tunnel [0-2147483647]". De las opciones
de configuración disponibles, la más interesante es la propia
orden "tunnel":
Sagan(config)# interface Tunnel 0
Sagan(config-if)# tunnel ?
177
4.5. Interfaces Especiales
4.5.1. El Puerto de Consola (CON)
Todos los routers poseen un puerto de consola (con 0) que
sirve para conectarse directamente al router. Necesitaremos
para conectarnos a través de este puerto un cable rollover. La
configuración por defecto del puerto de consola es terminal
VT100, velocidad 9600 bps, 8 bits de datos, sin paridad y 1
bit de parada. Podemos cambiar estos parámetros con las ór-
denes de línea "terminal", "speed", "databits", "parity"
y "stopbits", pero tendremos que cambiar la configuración
del programa de emulación de terminal de forma acorde para
tener acceso al router vía el puerto de consola.
En el siguiente ejemplo de configuración del puerto de
consola definimos y controlamos el acceso al router por este
puerto:
router#config terminal
router(config)# service linenumber
router(config)# line console 0
router(config-line)# location Edificio-1 Sala 3.2
router(config-line)# exec-timeout 30 0
router(config-line)# login
178
antíguos. Usa I/O por caracteres, lo que sobrecarga la CPU si
se usa de forma contínua.
El siguiente ejemplo muestra como configurar el puerto
AUX como respaldo de una conexión serie. Si la conexión
punto a punto establecida por dicha interfaz se cae, el router
se conectará usando el modem conectado al puerto AUX.
La línea AUX equivale a la interfaz async 4. Declaramos
la interfaz async 4 como la de respaldo de la interfaz serie
con la orden "backup interface async 4", y con la orden
"backup delay 20 3" indicamos que levante la conexión a los
20 segundos de caer la interfaz serie, y que la desconecte a los
3 segundos de restaurarse las comunicaciones:
interface serial0
ip address 10.1.1.1 255.255.255.0
backup interface async 4
backup delay 20 3
interface async 4
ip address 10.1.1.2 255.255.255.0
dialer in-band
dialer string 91-810-1234
dialer-group 1
async dynamic routing
179
Interface Card) suelen ser modulares. Ejemplos de routers mo-
dulares con capacidad para aceptar módulos de voz son las
series 1700, 2600 y 3600.
Lo que permite que las tarjetas de voz realicen sus funciones
son los códec (codificadores-decodificadores). Los códec son
procesadores digitales de señal (DSP, de digital signal proces-
sors). Estos DSP permiten que el ancho de banda necesario para
la transmisión de un canal de voz (64Kbps mediante técnicas
tradicionales como la norma PCM G.711 a 8000 muestras/
segundo) pueda reducirse a menos de 8Kbps (mediante algo-
ritmos como el CELP, basado en técnicas de predicción lineal
y codificación vectorial).
180
avanzados de configuración y diseño: la voz tiene que transmi-
tirse en tiempo real y la calidad de la recepción es fácilmente
perceptible por el receptor. Factores que no afectan de forma
perceptible a otros tipos de tráfico, como son los retardos,
en el caso de la voz hacen aparecer efectos indeseables como
son el eco, ruido, etc… En muchos casos el encargado de im-
plementar una red de este tipo tendrá que "pelearse"con las
peculiaridades específicas de la centralita de voz (PBX) con la
que tenga que conectar, etc…
181
5
Protocolos de Enrutamiento
183
El router examina la cabecera de los paquetes que le llegan,
donde además de otros datos se encuentra almacenada la di-
rección del destinatario. Esta dirección está dividida en dos
partes: la primera parte identifica la red y la segunda parte
una máquina concreta dentro de esa red. El router extrae de
la dirección de destino la parte correspondiente a la red y la
compara con su tabla de rutas para determinar hacia dónde
mandar el paquete. En la tabla de rutas están almacenadas
las redes que el router conoce junto con la información acerca
del siguiente salto o "next hop" al que reenviar el paquete para
acercarlo a su destino.
Esta forma de trabajar es distinta a la usada por los switches,
que almacenan en una tabla la información acerca de cada má-
quina que aprenden. En la tabla de rutas el router almacena
información acerca de las redes que conoce junto con la direc-
ción del siguiente router en el camino hacia las mismas.
184
máquina con la IP no encontrada conteste con su MAC. La
respuesta será incorporada a la tabla ARP y usada para enca-
minar la información a la máquina destino.
185
comprobar en la leyenda que se imprime antes de la tabla
mostrando los posibles valores que puede tomar la primera
columna ("C" – directamente conectado, "S" – ruta estática,
"R" - RIP, "B" – BGP, "D" - EIGRP, "O" – OSPF, etc...). Después
aparece la red y la máscara a la que se refiere la línea. A conti-
nuación vienen dos números entre corchetes: el primer número
es la distancia administrativa para esta ruta (120 para RIP, tabla
5.1). El segundo número entre corchetes es la distancia a la
que se encuentra la red. Para RIP esta distancia es el número
de routers que hay que atravesar hasta llegar al destino, un
"salto" en este caso. La dirección que aparece después de la
palabra "via" es la del router que ha pasado esta ruta. Viene a
continuación el tiempo transcurrido desde que se recibió esta
información y finalmente se muestra la interfaz por la cual se
alcanza el router que actúa de "siguiente salto".
Una entrada interesante es la siguiente:
R 192.168.3.0/24 [120/2] via 10.0.0.2, 00:00:16, Ethernet0
[120/2] via 172.16.0.2, 00:00:04, Serial0
5.1.2. Convergencia
La convergencia es el objetivo principal de todos los pro-
tocolos de enrutamiento. Cuando un conjunto de routers
converge significa que todos sus elementos se han puesto de
acuerdo y reflejan la situación real del entorno de red donde se
encuentran. La velocidad con la que los protocolos convergen
después de un cambio es una buena medida de la eficacia del
protocolo de enrutamiento.
Pueden darse casos en los que la topología o los costes
de los enlaces no se mantengan estables. Si los costes de los
186
enlaces son función del tráfico, y éste función de las rutas
elegidas, pueden crearse situaciones inestables en las que la
convergencia no sea posible. Los casos más extremos son los
bucles, en los que los paquetes quedan atrapados en círculos
cerrados (routing loops).
5.1.3. Métrica
Existen distintos algoritmos que resuelven el problema
del encaminamiento, y cada uno termina convergiendo en
una representación de la red diferente en función de las mé-
tricas que utilizan. Las métricas más utilizadas para calibrar
la "bondad" de las distintas alternativas para alcanzar una red
de destino son el número de saltos necesarios para llegar a la
misma, la fiabilidad de los enlaces que componen la ruta así
como la velocidad, retardo, ancho de banda, carga y coste de
los distintos enlaces.
187
Fuente de información Distancia administrativa
por defecto
OSPF 110
IS-IS 115
RIP 120
EIGRP externo 170
BGP interno 200
Desconocido. Red inalcanzable. 255
Estático o dinámico
Existen dos formas básicas de enrutamiento: estático y
dinámico. Las rutas estáticas se configuran manualmente en
el router y dirigen los paquetes con un destino especificado a
puertos predeterminados. Las ventajas de esta aproximación
son la seguridad, el ahorro de ancho de banda que supone el no
intercambiar información de enrutamiento y la poca memoria
que precisan. Su inconveniente radica fundamentalmente en
que si un enlace de la red falla o la estructura de la misma
cambia el administrador debe volver a programar los routers
de acuerdo con los cambios.
Los protocolos de enrutamiento dinámico son utilizados
por los routers para descubrir automáticamente nuevas rutas.
Estos protocolos permiten a los administradores dejar que la
red se regule de una forma más automática, pero al precio de un
mayor consumo de ancho de banda y potencia de procesador
en tareas de adquisición y mantenimiento de información de
enrutamiento.
Interno o externo
Otra clasificación de los protocolos de encaminamiento
puede realizarse en función de si son interiores (actúan dentro
de un sistema autónomo) o exteriores (conectan sistemas au-
tónomos).
Un sistema autónomo (AS) es un conjunto de routers que
intercambian información de redes mediante un protocolo de
188
enrutamiento común y que generalmente son administrados
por una misma entidad. Los sistemas autónomos poseen un
identificador numérico que es asignado por el RIPE-NCC
(Réseaux IP Européens Network Coordination Centre) para la
zona de Europa, por el ARIN (American Registry for Internet
Numbers) para América, Caribe y África y por el APNIC (Asia
Pacific Network Information Centre) para los países del Pacífico
asiático.
189
En la figura 5.1 vemos dos dominios de routing, AS 65005
and AS 65010, y una región superpuesta que muestra la inter-
conexión en la frontera entre ambos dominios. Cada dominio
de routing es un sistema autónomo o AS. Cada AS cae bajo la
autoridad administrativa única. El AS 65005 podría usar in-
ternamente EIGRP como protocolo de routing, mientras que
el AS 65010 podría estar utilizando OSPF. Ambos dominios se
comunican mediante BGPv4.
En el siguiente apartado veremos las características y formas
de configurar de cada uno de estos protocolos.
190
a cambio una convergencia más rápida, actualizaciones par-
ciales y una arquitectura jerárquica que hace que este tipo de
protocolos sean mucho más adecuados para grandes redes.
Los dos principales ejemplos de protocolos de este tipo son
OSPF e IS-IS.
Los routers que ejecutan este tipo de protocolos intercam-
bian pequeñas piezas de información acerca del estado de los
enlaces, link-state. Combinando la información así recibida
cada router extrae su interpretación topológica de la red. Al
responder de forma inmediata a los cambios de topología
los sistemas basados en el estado del enlace convergen en
segundos, frente a los minutos que pueden llegar a tardar los
sistemas basados en el vector de distancia. Los protocolos link-
state dividen las redes en áreas que constituyen un primer nivel
dentro de la jerarquía de routing. Las áreas se interconectan
a través de áreas troncales (backbone area). El enrutamiento a
través del troncal constituye un segundo nivel dentro de la
jerarquía de enrutamiento.
Dentro de cada área los routers comparten la información
de estado de enlace. Cada uno de los paquetes link-state se
almacena en una base de datos, en la que cada entrada consti-
tuye una pequeña pieza de un puzzle que el router posterior-
mente ordena a través del algoritmo del camino más corto, o
SPF (shortest path first).
191
Con clase o sin clase.
Se pueden clasificar los protocolos de enrutamiento en fun-
ción de si sus anuncios de redes transportan información acerca
de la máscara de subred. A los protocolos que acompañan las
actualizaciones de las redes con sus máscaras se les llama "sin
clase" (classless). Ejemplos de protocolos sin clase son RIPv2,
EIGRP y OSPF. Los protocolos que no intercambian información
de la máscara se denominan protocolos "con clase" (classfull).
RIPv1 e IGRP son ejemplos de protocolos con clase.
Los protocolos de enrutamiento con clase no acompañan
las actualizaciones de las redes que conocen con la máscara
de red que estas redes tienen configuradas. Los routers que
ejecutan protocolos con clase pueden usar máscaras de red
distintas a las naturales, pero tendrán que deducir la máscara
correspondiente a la actualización, y darán por sentado que
las máscaras usadas son constantes en toda la red.
Cuando llegue una actualización de enrutamiento si la clase
principal de la red anunciada coincide con la clase principal de
la dirección de la interfaz que recibe la actualización el router
usará como máscara de subred la configurada en dicha interfaz.
Si la actualización es acerca de una red principal diferente a la
configurada en la interfaz que recibe la actualización el router
incluirán en su tabla de rutas entradas con la máscara de red
predeterminada, la correspondiente a la clase principal. A estas
entradas se les llama resúmenes, y los resúmenes en los proto-
colos con clase siempre están en los límites "naturales". Vemos
en la Tabla 5.2 las clases de redes y sus valores "naturales".
CLASE A 0 255.0.0.0 /8 0 . 0 . 0 . 0 a
127.0.0.0
CLASE B 10 255.255.0.0 /16 128.0.0.0 a
191.255.0.0
CLASE C 110 255.255.255.0 /24 192.0.0.0 a
223.255.255.0
CLASE D 1110 255.255.255.255 /32 224.0.0.0 a
239.255.255.255
CLASE E 1111 255.255.255.255 /32 240.0.0.0 a
255.255.255.255
192
Si en una red basada en protocolos con clase se configuran
por descuido máscaras de subred de longitudes diferentes
terminarán apareciendo problemas de conectividad.
Los protocolos de enrutamiento sin clase comunican la
información de las máscaras de subred de forma explícita.
Los protocolos sin clase permiten que las tablas contengan
resúmenes de redes configurados de forma manual en cual-
quier posición de bit (la máscara del resumen no tiene por qué
coincidir con las máscaras "naturales"). En RIPv2 y EIGRP se
puede deshabilitar el resumen automático mediante la orden
"no autosummary" en los casos en los que haya que anun-
ciar subredes a través de otras redes. El uso de máscaras de
longitud variable, mecanismo conocido como VLSM (Variable
Length Subnet Masks), permite aprovechar mejor el espacio de
direcciones.
193
tualizaciones de rutas hacia redes que han tenido problemas
no son aceptadas si ofrecen peores métricas que la que tenía
originalmente.
5.2.1. Conceptos
Las rutas estáticas permiten al administrador de la red es-
pecificar la ruta que deben seguir los paquetes. Si sólo existe
un camino de salida o si la red es pequeña, las rutas estáticas
ahorran memoria y ciclos de procesador. Las rutas estáticas
dan seguridad y permiten al administrador de la red ejercer
un control muy alto sobre lo que ocurre (si habilitamos un pro-
tocolo dinámico corremos el riesgo de recibir actualizaciones
de redes que no reflejen nuestra política de red). A cambio de
su velocidad y seguridad las rutas estáticas requieren de la
presencia de un administrador pendiente de cambiar las rutas
siempre que sea necesario.
5.2.2. Configuración
La sintaxis de una ruta estática es la siguiente:
ip route red [máscara] interfaz/dirección [peso]
194
pondientes a interfaces directamente conectadas y a rutas
estáticas:
195
estática para alcanzar sólo ese equipo, debemos usar una más-
cara /32 (255.255.255.255), para indicar una red de un solo host:
"ip route 10.0.0.1 255.255.255.255 172.24.0.5".
Esto tiene pleno sentido y el router lo aceptará sin problemas.
Con máscaras "no naturales" (distintas a /8, /16, /24 o /32)
puede ser un poco más difícil ver dónde está el fallo:
Router#configure terminal
Router(config)# ip route 192.168.0.65 255.255.255.240 172.24.0.5
%Inconsistent address and mask
Router(config)# ip route 192.168.0.15 255.255.255.240 172.24.0.5
%Inconsistent address and mask
Router(config)# ip route 192.168.0.24 255.255.255.240 172.24.0.5
%Inconsistent address and mask
5.2.3. Escenarios
Pesos y máscaras
Tenemos un router que puede alcanzar las redes
172.16.1.0/24 y 172.16.2.0/24. Ambas redes se alcanzan a
través del router 10.0.0.1. Podemos agrupar ambas rutas en
una única orden:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip route 172.16.0.0 255.255.0.0 10.0.0.1
Router(config)# end
Router#
196
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip route 172.16.0.0 255.255.0.0 10.0.0.1
Router(config)# ip route 172.16.3.0 255.255.255.0 10.0.0.2
Router(config)# end
Router#
Rutas flotantes
En ocasiones podemos querer usar una ruta estática sólo si
la alternativa dinámica no está disponible. En estos casos usa-
remos rutas flotantes (floating static routes) fijando el "peso" de
197
la ruta por encima de la distancia administativa del protocolo
dinámico en cuestión.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip route 10.0.0.0 255.0.0.0 192.168.1.1 190
Router(config)# end
Router#
Rutas permanentes
Con la palabra clave "permanent" podemos forzar la per-
manencia de una ruta en la tabla con independencia del estado
de la interfaz o del router al que la ruta apunta.
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip route 10.0.0.1 255.255.255.255 Serial0
permanent
Router(config)# end
Router#
198
5.3. RIP
5.3.1. Conceptos
RIP (Routing Information Protocol) es un protocolo de enru-
tamiento basado en el algoritmo Bellman-Ford o de "vector de
distancia" que utiliza como única métrica el número de saltos.
RIP no ve más allá de 16 saltos.
RIP versión 1
RIPv1 es un protocolo "con clase" (classfull), lo que supone
una importante restricción: sus actualizaciones no informan
de las máscaras de red. Al no llevar las máscaras de red no so-
porta VLSM (variable length subnet masking), y por consiguente
no soporta redes discontiguas. RIPv1 no usa actualizaciones
desencadenadas, por lo que su convergencia es lenta en com-
paración con otros protocolos.
Todo esto hace de RIPv1 un protocolo poco práctico para su
uso en Internet. RIPv1 utiliza broadcasts para enviar la infor-
mación de routing a través de todos los interfaces participantes
(por defecto, a la dirección 255.255.255.255).
199
RIP versión 2
Las restricciones de RIPv1 llevaron al desarrollo de RIP
versión 2. RIPv2 es un protocolo de enrutamiento "sin clase"
que soporta máscaras de longitud variable o VLSM, y con-
verge más rápido debido a la aplicación de un mecanismo de
actualizaciones desencadenadas ("triggered updates"). Es menos
ruidoso que RIPv1 al usar multicasts a la dirección 224.0.0.9 de
los interfaces participantes. Como la primera versión, RIPv2
está sujeto a la limitación de 16 saltos: cualquier router situado
a una distancia mayor es considerado inalcanzable.
200
será usada dado que R2 tiene una ruta mejor para ir a D3 a
través de R3 (dos saltos).
Contención (Holddown)
El mecanismo de contención (holddown) retrasa la bús-
queda de alternativas cuando una ruta acaba de perderse.
El router entre en estado holddown y durante un tiempo ig-
nora las rutas alternativas que pueda tener o recibir. A su vez
anuncia la ruta en estado holddown con un valor infinito con
el objeto de purgarla de la red.
Si en nuestro ejemplo R2 pone a D3 en estado holddown,
R2 no usará la ruta alternativa propuesta por R1. Es más,
anunciará R3 como inalcanzable, con lo que R1 eliminará D3
de su tabla.
Para cuando el periodo de holddown expire tanto R1 como
R2 ya habrán borrado D3 de sus tablas de rutas.
201
Horizonte Dividido (Split Horizon)
Los bucles se originan cuando las rutas se anuncian de vuelta
a los routers que originalmente las anunciaron. El mecanismo de
horizonte dividido (split horizon) evita que un router anuncie
una ruta por la misma interfaz por donde la aprendió en primer
lugar. Con split horizon, R1 no anunciaría D3 a R2 por el enlace
por los une, dado que aprendió esa ruta por esa interfaz.
5.3.3. Configuración
Para configurar RIP en un router Cisco debemos habilitarlo
como protocolo de enrutamiento dinámico mediante la orden
"router rip". A continuación especificaremos mediante la
orden "network" las redes a las que el router se encuentra
conectado que queremos anunciar dinámicamente. Veamos un
ejemplo de configuración de una red con RIP (figura 5.4).
RouterA(config)# router rip
RouterA(config-router)# network 192.168.1.0
RouterA(config-router)# network 172.16.0.0
202
Figura 5.4. Red RIP.
203
el ritmo de envío de actualizaciones, "invalid" y "holddown"
deben ser al menos tres veces el valor de "update". El valor
"flush" debe ser al menos la suma de "invalid" y "holddown".
Si no está muy seguro de por qué va a variar estos tiempos
posiblemente no sea una buena idea que los cambie. De todas
formas, si experimenta con los valores recuerde que la siguiente
instrucción devuelve los valores iniciales de los temporizadores
de RIP: "timers basic 30 180 180 240".
5.3.4. Escenarios
Por defecto un router RIP envía paquetes de la versión 1
pero recibe y procesa tanto paquetes RIPv1 como RIPv2. Con
la orden "versión" se puede especificar que el router envíe
y reciba paquetes de la versión especificada.
router rip
version 2
network 192.168.1.0
network 172.16.0.0
204
version" se puede hacer que por una interfaz determinada
sólo se envíen actualizaciones de la versión 1, 2 o de ambas.
Lo que se especifica a nivel de interfaz manda por encima
de lo especificado a nivel global con "router versión". De
forma similar con la orden "ip rip receive" se modifica la
conducta receptora del router.
interface serial 1
ip address 10.0.0.1 255.0.0.0
ip rip send version 1 2
ip rip receive version 1 2
5.4. EIGRP
5.4.1. Conceptos
EIGRP (Enhanced Interior Gateway Routing Protocol, IGRP
mejorado) es un protocolo híbrido que usa el algoritmo DUAL
(Diffusing Update Algorithm) basado tanto en los algoritmos de
vector de distancia como en los de estado de enlace, para con-
seguir una convergencia muy rápida, almacenando rutas de
reserva y consultando a los routers vecinos para descubrir rutas
alternativas. EIGRP usa poco ancho de banda (es un protocolo
muy silencioso, que sólo propaga la información justa) e im-
205
plementa avanzados mecanismos para librarse de los bucles en
red. EIGRP es compatible con IGRP y, al igual que éste, es mul-
tiprotocolo (funciona sobre IP, IPX y Appletalk), por apuntar
sólo algunas de sus características más sobresalientes.
EIGRP es un protocolo propietario de Cisco que resulta
ideal para interconectar dispositivos de esta marca, pero pre-
cisamente por su carácter propietario tendremos que usar un
protocolo abierto (como RIP u OSPF) para intercambiar infor-
mación de enrutamiento con equipos de otros fabricantes.
Una característica de EIGRP que lo diferencia de RIP e
IGRP es que para enrutar construye y utiliza una tabla de la
topología de la red además de la tabla de rutas. Mediante esta
tabla topológica EIGRP consigue adaptarse a los cambios en
la red a veces de forma casi instantánea.
206
Parámetro Descripción Unidades Uso
207
Figura 5.5. Métrica EIGRP.
208
5.4.2. EIGRP en acción: DUAL
El algoritmo DUAL (Diffusing Update Algorithm) sigue la
pista de todas las rutas anuncidas por los vecinos y selecciona
un camino libre de bucles hasta cada destino. Para ello DUAL
usa los conceptos de distancia viable o FD (Feasible distance) y
distancia reportada o RD (Reported Distance): FD es la métrica
mínima hasta la red destino y RD es la métrica hasta la misma
red tal como es anunciada por el router vecino (la FD del ve-
cino para esa ruta). La condición de viabilidad o FC (Feasibility
condition) se cumple cuando la métrica al destino del vecino
es menor que la propia, o lo que es lo mismo, cuando RD es
menor a FD. Esto garantiza un camino libre de bucles.
Calculados RD, FD y FC, el router EIGRP elige un sucesor
EIGRP (EIGRP succesor) y un sucesor viable (Feasible succesor). El
sucesor EIGRP es el router vecino que cumple con la condición
de viabilidad FC con la menor métrica al destino. Ese sucesor
se convierte en el siguiente salto (next hop) de los paquetes
hacia esa ruta. El sucesor viable es el vecino que cumple con la
condición FC pero tiene la siguiente mejor métrica, quedando
como ruta de respaldo en caso de que la ruta primaria caiga.
En función de lo anterior tendremos rutas pasivas (Passive
route) cuando el router tiene un sucesor válido, y rutas activas
(Active route) cuando no.
Cuando EIGRP pierde un sucesor o ruta primaria intenta
converger de nuevo mirando en sus tablas topológicas si existe
un sucesor viable. Si lo hay, EIGRP lo promociona a sucesor e
informa a los vecinos del cambio que ha tenido lugar. A este
proceso se le llama cálculo local (local computation).
Cuando el router EIGRP ha perdido un sucesor y carece
de sucesor viable, entra en estado activo y empieza a buscar
una ruta alternativa en un proceso denominado cálculo difuso
(diffused computation). En este estado el router EIGRP manda
paquetes a todos sus vecinos preguntando por la ruta perdida.
Los vecinos responden a la petición mandando información
acerca de una ruta alternativa si la tienen o reenviando la
petición a sus vecinos. Cuando el router que desencadenó el
proceso recibe las respuestas elige al vecino con mejor métrica
a la red perdida como nuevo next hop para esa red.
209
5.4.3. Configuración
EIGRP usa un número de sistema autónomo que debe coin-
cidir entre los routers que tengan que intercambiar información
de enrutamiento, "100" en este ejemplo:
RouterA(config)# router eigrp 100
RouterA(config-router)# network 192.168.1.0
RouterA(config-router)# network 172.16.0.0
RouterA(config-router)# no auto-summary
5.4.4. Escenarios
Verificación de EIGRP.
Para comprobar el funcionamiento de EIGRP, use "show
ip protocol":
210
Router_A#sh ip protocol
Routing Protocol is "eigrp 100"
Outgoing update filter list for all interfaces is not set
Incoming update filter list for all interfaces is not set
Default networks flagged in outgoing updates
Default networks accepted from incoming updates
EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0
EIGRP maximum hopcount 100
EIGRP maximum metric variance 1
Redistributing: eigrp 1
Automatic network summarization is not in effect
Routing for Networks:
192.168.1.0
172.16.0.0
Routing Information Sources:
Gateway Distance Last Update
172.16.1.1 90 09:13:42
Distance: internal 90 external 170
211
RouterA#show ip route eigrp
D 172.22.0.0/16 [90/2172416] via 172.25.2.1, 00:00:35, Serial0.1
172.25.0.0/16 is variably subnetted, 6 subnets, 4 masks
D 172.25.25.6/32 [90/2300416] via 172.25.2.1, 00:00:35, Serial0.1
D 172.25.25.1/32 [90/2297856] via 172.25.2.1, 00:00:35, Serial0.1
D 172.25.1.0/24 [90/2172416] via 172.25.2.1, 00:00:35, Serial0.1
D 172.25.0.0/16 is a summary, 00:03:10, Null0
D 10.0.0.0/8 [90/4357120] via 172.25.2.1, 00:00:35, Serial0.1
Autosumarización.
Ya indicamos antes el uso de la orden "no auto-summary"
en cada uno de los procesos de enrutamiento (lo que se refleja
en la línea "Automatic network summarization is not in effect").
Sin esta instrucción un router configurado con EIGRP realiza
un resumen automático cada vez que cruza la frontera entre
dos redes principales diferentes. El router que hace el resumen
anuncia la red completa, pero en su tabla de rutas añade a las
rutas de las subredes que conoce una entrada para el resumen
de la red principal apuntando hacia la interfaz nula (descarta
lo que no encaja con una subred conocida):
ConResumen#show ip route
[…Parte de la salida omitida…]
C 10.1.1.0/24 is directly connected, Serial0
C 10.1.2.0/24 is directly connected, Serial1
D 10.1.3.0/24 [90/10537472] via 10.1.1.2, 00:13:15, Serial1
D 10.0.0.0/8 is a summary, 00:13:14, Null0
[…Parte de la salida omitida…]
5.5. OSPF
5.5.1. Conceptos
OSPF (Open Shortest Path First) es un protocolo de enruta-
miento de estado de enlace, interior (pensado para funcionar
dentro de un sistema autónomo o AS) y abierto (no propie-
212
tario, a diferencia por ejemplo del EIGRP de Cisco). Los routers
OSPF usan una métrica basada en los costes de los enlaces, y
crean una base de datos de la topología del sistema autónomo
a partir de la cual construyen la tabla de rutas. Se trata de un
protocolo que converge rápidamente ante cambios topológicos
y que proporciona una mayor seguridad al permitir autentificar
las actualizaciones de enrutamiento. OSPF es un protocolo
exclusivamente IP y sin clase que soporta VLSM.
213
como consecuencia tablas de rutas más paqueñas y convergen-
cias más rápidas. En OSPF se recomienda limitar las áreas a
unos 50 routers o 100 interfaces. Cada área tiene un número,
y siempre debe existir un área troncal, backbone o área 0, a la
que se conectan todas las demás. Hay también áreas Standard
que conectan con el backbone, áreas Stub que sólo necesitan
una ruta por defecto y un resumen de las redes y dentro de
estas últimas áreas Totally stubby que no aceptan resúmenes,
sólo una ruta por defecto, entre otras.
Dentro de estas áreas los routers reciben distintos nom-
bres en función del rol que ejercen. Así, tenemos los routers
backbone, que se caracterizan por tener una o más interfaces
conectadas al troncal OSPF (area 0), routers area-internal, que
tienen todas sus interfaces dentro de una única área, routers
ABR (area border router), routers con una o más interfaces co-
nectadas a diferentes áreas y routers ASBR (autonomous system
border router), un router con una o más interfaces conectadas a
una red externa o a un sistema autónomo diferente.
Así, en la Figura 5.6 tenemos tres áreas: un área 0 o backbone,
compuesta por tres routers R1, R2 y R3 que serían "backbone
routers". R1 sería además un "area internal router" (al igual que
R4 y R5). Los routers R2 y R3 serían "area border routers" co-
nectando el backbone con las áreas 1 y 2. Finalmente tenemos
un "autonomous system border router" (ASBR) que conecta con
un sistema autónomo diferente.
214
Además, en todos los segmentos de red multiacceso (por
ejemplo Ethernet) OSPF nombra un router designado (designated
router) o DR, que se encarga de propagar las actualizaciones a
todos los routers dentro del area, reduciendo de forma efectiva
el tráfico OSPF. En el mismo proceso de elección del DR se elige
un DR de respaldo denominado BDR (backup designated router),
que promociona a DR en caso de fallo del router designado.
215
LSA Denominación Descripción
216
fecto en redes Ethernet. Cuando dos router se "ven" entre si se
establece una comunicación bidireccciónal y entran en estado
"Two-way", donde los routers se añaden a sus respectivas ta-
blas de vecindad.
217
A continuación en las redes multiacceso tiene lugar la
elección del DR y del BDR: el router con la prioridad más
alta (Router Priority) se convierte en el DR, y en caso de em-
pate el que tenga el router ID más alto. Tras la elección los
routers empiezan a crear la base de datos de estado de en-
lace. El descubrimiento de rutas corresponde a los estados
Exchange y Loading, momento en el que los routers se inter-
cambian Database Description Packets (DBDs) y Link State
Advertisements (LSAs).
Finalmente, una vez que los routers conocen la topología
de la red y sólo necesitan intercambiar "hellos" para mantener
las adyacencias se ha alcanzado el estado Full.
5.5.3. Configuración
Para configurar OSPF debe usar la orden "router ospf
número_de_proceso", siendo el número_de_proceso un valor
de dos bytes comprendido entre 1 y 65535 que identifica el
proceso OSPF en el router.
En un router puede haber más de un proceso OSPF, y los
números de proceso no tiene por qué coincidir con los de otros
routers vecinos (en nuestro ejemplo el router A ejecuta el pro-
ceso 88 y el B el 99).
A continuación usamos la orden "network red máscara
area area_id" para configurar las redes que van a formar
parte de las actualizaciones OSPF. El área sí debe coincidir
entre interfaces que vayan a intercambiar actualizaciones.
El área es un valor de 4 bytes, y puede representarse como
un valor decimal de 0 a 4294967295 o como cuatro octetos en
formato de dirección IP. Por ejemplo, "area 6" puede escri-
birse como "area 0.0.0.6"
RouterA #conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA (config)# router ospf 88
RouterA (config-router)# network 172.16.0.0 0.0.255.255 area 0
RouterB #conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterB (config)# router ospf 99
RouterB (config-router)# network 172.16.0.0 0.0.255.255 area 0.0.0.0
RouterB (config-router)# network 192.168.4.0 0.0.0.255 area 0.0.0.0
RouterC #conf t
Enter configuration commands, one per line. End with CNTL/Z.
RouterC (config)# router ospf 77
RouterC (config-router)# network 192.168.4.0 0.0.0.255 area 0
218
Es característico de OSPF el uso de máscaras "comodín"
(wildcard mask) para especificar la parte de red y la de host de
las direcciones. Los comodines de estas máscaras usan ceros
para indicar la parte que debe coincidir exactamente y unos
para indicar la parte cuyo contenido no se va a comprobar (vea
un ejemplo en la Tabla 5.6). Veremos al estudiar las listas de
acceso que usan este mismo tipo de máscaras.
Dirección 172.16.0.0 1 0 1 0 11 0 0 . 0 0 0 1 0 0 0 0 . 0 0
000100.00000000
Máscara 0.0.255.255 00000000.00000000.1111111
1.11111111
Dirección 192.168.4.0 11000000.10101000.000001
00.00000000
Máscara 0.0.0.255 00000000.00000000.000000
00.11111111
219
Tabla 5.7. OSPF: relación entre velocidad y coste.
Interfaz Velocidad(kbps) Coste
220
el área a la que pertenece este proceso (BACKBONE 0.0.0.0), el
número de veces que el algoritmo SPF se ha ejecutado, etc…
5.5.4. Escenarios
Propagando rutas en OSPF
La implementación que los routers Cisco hacen del protocolo
OSPF no propaga al resto de la red una ruta aunque haya confi-
gurada una ruta estática como tal, a diferencia de lo que ocurre
con RIP o EIGRP. Si queremos anunciar una ruta por defecto
debemos usar "default-information originate"
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1
Router(config)# router ospf 88
Router(config-router)# default-information originate metric
30 metric-type 1
Router(config-router)# exit
Router(config)# end
221
Router#show ip ospf virtual-links
Virtual Link OSPF_VL1 to router 10.0.0.1 is up
Run as demand circuit
DoNotAge LSA allowed.
Transit area 10, via interface Serial0/0, Cost of using 74
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:00
5.6. BGP
5.6.1. Conceptos
BGP es un protocolo de routing exterior, abierto, cuyas ac-
tualizaciones llevan una lista completa de las redes por las
que transitan. Estos caminos o "paths" son listas de los sistemas
autónomos (AS) necesarios para alcanzar una red. BGP detecta
y evita los bucles de routing buscando el número de AS local en
las listas de sistemas autónomos atravesados en el AS path.
222
Figura 5.8. Peering BGP en el punto neutro Espanix.
(http://www.espanix.net/esp/peering.htm)
223
router que reciba un una ruta con un atributo opcional tran-
sitivo lo pasará intacto, pero marcará una bandera indicando
que no ha hecho nada con el atributo. Un router que reciba
un atributo opcional no transitivo lo descartará sin más. En la
tabla 5.8 describimos algunos atributos de BGP:
224
Atributo Tipo Descripción
LOCAL_PREF Bien conocido, Usado para favorecer un
discrecional punto de salida particular
como vía de alcanzar una
red. La preferencia local sólo
se distribuye internamente,
y no se incluye en las ac-
tualizaciones eBGP.
ATOMIC_ Bien conocido, Atributo que los routers BGP
AGGREGATE discrecional marcan cuando sumarizan
(aggregate) prefijos con el
objeto de simplificar la tabla
de rutas, perdiendo inf0r-
mación.
AGGREGATOR Opcional, Indica que un router ha
Transitivo sumarizado un rango de
prefijos.
225
• Y si llega hasta aquí, desempata escogiendo la ruta del
BGP router con menor ID.
Vemos en la figura 5.9 los estados por los que atraviesa el
proceso BGP durante el establecimiento de las relaciones de
vecindad, así como las transiciones que el protocolo preveé.
Es frecuente encontrarse con los estados "Active", "Open" o
"Connect" y pensar que significan que la sesión está activa,
cuando en realidad significan que la relación entre peers se
encuentra caída o en fase de establecimiento. Estos estados se
pueden comprobar con la orden "show ip bgp summary", en
la columna "State/PfxRcd". Un número en esta columna indica
un estado "Established".
5.6.2. Configuración
Vemos a continuación una sencilla configuración BGP que
permitirá comprobar el establecimiento de la conexión entre
dos routers.
RouterA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)# interface Serial0
RouterA(config-if)# ip address 192.168.1.1 255.255.255.252
RouterA(config-if)# exit
226
RouterA(config)# router bgp 65500
RouterA(config-router)# network 192.168.5.0
RouterA(config-router)# neighbor 192.168.1.2 remote-as 65501
RouterA(config-router)# no synchronization
RouterA(config-router)# bgp dampening
RouterA(config-router)# exit
RouterA(config)# end
RouterB#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)# interface Serial0
RouterB(config-if)# ip address 192.168.1.2 255.255.255.252
RouterB(config-if)# exit
RouterB(config)# router bgp 65501
RouterB(config-router)# network 172.16.16.0 mask 255.255.255.0
RouterB(config-router)# neighbor 192.168.1.2 remote-as 65500
RouterB(config-router)# no synchronization
RouterB(config-router)# bgp dampening
RouterB(config-router)# exit
RouterB(config)# end
227
Nota: BGP está establecido si ve un número en la columna
"State/PfxRcd" de la orden "show ip bgp summary".
5.6.3. Escenarios
BGP es un protocolo complejo que ofrece múltiples posi-
bilidades. Para profundizar en su estudio recomendamos la
lectura de "Internet Routing Architectures" de Sam Halabi (Cisco
Press, 2000).
En el Apéndice presentamos por cortesía de Jose Antonio
Suárez y Sergio Parras (Ingenieros de Nivel 3 de la empresa
Networkstest) un ejemplo completo que combina el uso de BGP,
RIPv2 como IGP y conexiones Frame Relay para acceder a una
nube MPLS, todo ello montado sobre el emulador GNS3.
5.7. Enrutamiento no IP
Cuando se publicó la primera edición de este libro en el
año 2003 el protocolo TCP/IP ya se había impuesto claramente
por encima del resto, pero todavía era relativamente habitual
encontrarse con redes IPX y Appletalk, y el autor recuerda con
cariño un encuentro que tuvo por aquella época con el proto-
colo DECNet a través de una curiosa incidencia. Hoy en día
tanto Novell como Apple han migrado a TCP/IP, y el autor
no ha vuelto a ver DECNet por lado alguno, pero como nunca
se sabe, aquí queda esta sección.
228
este protocolo no sea necesario un proceso que mapee direc-
ciones de nivel 3 (de red) con las de nivel 2 similar al ARP
de TCP/IP.
Para habilitar IPX en el router usaremos la orden de confi-
guración global "ipx routing". Necesitará una versión de IOS
que tenga soporte IPX. Vemos en el siguiente ejemplo cómo
hemos configurado la interfaz e0 con la dirección de red 9 y
la interfaz s0 con la 6.
interface Ethernet0
ipx encapsulation SAP
ipx network 9
!
interface Serial0
ipx network 6
229
Tabla 5.9. Algunos tipos de servicio IPX/SPX
Servicio Función
1 Usuario
4 Servidor de archivos
7 Servidor de impresión
33 Pasarela SNA
39 Pasarela TCP/IP
152 Servidor de acceso NetWare.
311 Cola de impresión NetWare 386.
632 Servicio de directorio Netware 4.x
230
(máquinas). Para habilitar AppleTalk en el router usaremos
la orden de configuración global "appletalk routing".
Necesitará una versión de IOS que tenga soporte AppleTalk.
En AppleTalk el número de host es asignado dinámicamente
a la máquina que "entra" en red mediante una negociación
que implica a los protocolos ZIP (Zone Information Protocol)
y AARP (AppleTalk ARP). Mediante ZIP el host descubre el
rango de direcciones de red válido. Mediante sondeos AARP
obtiene una dirección de host que ninguna otra máquina esté
usando. Con "appletalk cable-range" indicamos el rango
de direcciones de red existentes en un determinado medio.
Con "appletalk zone" creamos dominios que limitan las
difusiones. Una interfaz puede pertenecer a varias zonas si-
multáneamente.
interface ethernet 0
appletalk cable-range 200-210
appletalk zone contabilidad
appletalk zone imprenta
interface serial 0
appletalk cable-range 1000-1010
appletalk zone imprenta
231
5.7.3. Otros protocolos de enrutamiento
Hemos visto en el presente apartado los protocolos de en-
rutamiento de uso más frecuente, pero cada pila de protocolos
tiene su propio mecanismo de descubrimiento de rutas. La suite
de protocolos Banyan Vines dispone del VRTP (VINES Routing
Update Protocol) y del VSRTP (Vines Sequenced RTP). La pila de
protocolos XNS hace uso del XNS RIP. DECNet tiene como
protocolo de enrutamiento el DRP (DECNet Routing Protocol).
La pila OSI cuenta con ES-IS (End System to Intermediate System
Routing), IS-IS (Intermediate System to Intermediate System
Routing) e IDRP (Interdomain Routing Protocol). SNA dispone del
NLP APPN (High Performance Routing Network Layer Protocol).
TCP/IP dispone, además de los protocolos de enrutamiento
ya estudiados, de MOSPF (Multicast OSPF), NHRP (Next Hop
Routing Protocol) y DVMRP (Distance Vector Multicast Routing
Protocol). El lector interesado encontrará en Internet informa-
ción adicional acerca de estos protocolos de enrutamiento si
hace uso de alguno de estos protocolos.
232
A continuación definimos nuestra política mediante pares
de instrucciones "match"-" set" (condición-acción):
route-map trafico_especial
match ip address 120
set ip next-hop 192.168. 0.201
233
5.9. Passive interface
La orden "passive interface interface" desha-
bilita el protocolo de enrutamiento en la interfaz indicada.
Dependiendo del protocolo esta deshabilitación puede ser
parcial (IGRP, RIP) o total (EIGRP, OSPF). Se entiende por
deshabilitación parcial que el protocolo escuche actualizaciones
por dicha interfaz pero no anuncie nada. Por deshabilitación
total queremos indicar que el protocolo deja de funcionar en
dicha interfaz (ni aprende ni propaga actualizaciones).
router rip
passive-interface Bri0
passive-interface Ethernet0
passive-interface Serial0
234
Ahora el router sólo anunciará a sus vecinos EIGRP acerca
de la ruta hacia la red 172.16.5.0/24.
Puede ocurrir que tenga varios protocolos de enrutamiento
funcionando en un mismo router y necesite intercambiar in-
formación entre los distintos procesos. Al redistribuir unos
protocolos en otros necesitamos asignar una métrica a las rutas
importadas que sea. El siguiente ejemplo muestra cómo im-
portar información EIGRP a RIP. Hemos dado a estas rutas una
métrica RIP de valor 1. En general conviene dar métricas RIP
con valores bajos: más de 15 en RIP significa inalcanzable:
router rip
redistribute eigrp 99
default-metric 1
235
las actualizaciones que entren por la interfaz serial1 que pasen
el filtro impuesto por la lista de acceso 10 (denegar la red
192.168.10.0/24, permitir todo lo demás).
router eigrp 99
distribute-list 10 in serial1
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
5.11. Resumen
Aunque los protocolos de enrutamiento deben resolver en
poco tiempo los complejos problemas que hemos apuntado
en los apartados anteriores, la configuración básica de estos
mecanismos en los routers Cisco es tan sencilla como habilitar
el protocolo de enrutamiento mediante la orden "router
protocolo" y especificar las redes que queremos anunciar
mediante la orden "network red". Generalmente habrá que
configurar cada router para que anuncie las redes a las que se
encuentre directamente conectado.
Podremos comprobar que un protocolo de enrutamiento
está correctamente configurado consultando la tabla de rutas
mediante la orden "show ip route" (la tabla muestra como ha
aprendido cada rutas mediante un código de letras). También
podemos verificar la configuración del router mediante "show
runn", ver con un "show ip protocols" que el router anuncia
las redes correctamente. Finalmente podemos comprobar que
hay conectividad usando "ping" y "traceroute", o probando
a conectarnos con un sistema remoto mediante "telnet".
236
6
Seguridad
237
tenida por el autor del scanner "nmap", Gordon "Fyodor" Lyon
(http://sectools.org/) es posiblemente una de las más com-
pletas. Por otro lado existen distribuciones de Linux de tipo
"LiveCD" con las que basta arrancar un PC y sin necesidad de
instalar nada se dispone de un entorno perfectamente funcional
con múltiples herramientas.
238
ciones que subyace al delito informático es el factor económico
(fraude, sabotaje, espionaje industrial), también hay elementos
políticos, religiosos y éticos englobados en el denominado
"hacktivismo" (la utilización de herramientas digitales ilegales
o legalmente ambiguas persiguiendo fines políticos mediante
desfiguraciones de webs, redirecciones, ataques de denega-
ción de servicio, robo de información…). Tampoco hay que
ignorar los aspectos relacionados con el vandalismo y la pura
inmadurez psicológica.
En cuanto a las oportunidades ahora que el acceso a la red
se ha universalizado son mayores que nunca, lo que unido a
la creciente complejidad de los sistemas y a la dificultad de
mantenerlos perfectamente configurados y parcheados con
las últimas revisiones proporciona múltiples oportunidades
a los atacantes.
La combinación de herramientas, información, motiva-
ciones diversas y globalización a la hora de acceder a la red
hacen de los intentos de intrusión informática algo inevitable.
La vigilancia y prevención constituyen una necesidad ante la
proliferación de amenazas contra la seguridad en la red.
Puede hacerse una primera clasificación de las amenazas
atendiendo al flujo de información y a como los distintos ata-
ques atentan contra la confidencialidad, integridad y disponi-
bilidad de los datos y recursos.
Vemos en la figura 6.2 el flujo normal de información entre
el emisor y el receptor.
239
Figura 6.3. Interrupción.
240
Figura 6.5. Fabricación.
241
estructuradas provienen de atacantes motivados y con mayores
competencias técnicas, que les permiten adaptar las herra-
mientas disponibles y e incluso desarrollar las suyas propias
En función del origen de la amenaza podemos hablar de
amenazas externas que provienen de individuos u organiza-
ciones ajenas a la empresa atacada y suelen usar Internet para
ganar acceso y amenazas internas que provienen de sujetos con
acceso a la red y autorización para trabajar sobre la misma.
242
Las reglas que componen las listas de acceso tienen tres
partes: un número que identifica la lista, una instrucción deny
o permit y una condición:
access-list número_identificador [permit|deny] condición
IP Estándar <1-99>
IP Extendida <100-199>
Ethernet. (Tipo de protocolo <0x0-0xFFFF>) <200-299>
DECNet <300-399>
XNS Estándar <400-499>
XNS Extendidas <500-599>
Appletalk <600-699>
Dirección Ethernet (48 bit MAC) <700-799>
Novell <800-899>
Novell Extendida <900-999>
Novel SAP <1000-1099>
Dirección Ethernet (48 bit MAC) – Extendida <1100-1199>
IP Estándar (nuevo rango) <1300-1999>
IP Extendida (nuevo rango) <2000-2699>
243
6.2.1. Listas de acceso estándar
Las listas de acceso estándar son listas de acceso IP que
sólo tienen en cuenta el origen de los paquetes. La sintaxis de
una lista de acceso estándar es "access-list número ac-
ción red". La numeración permitida para este tipo de listas
va del 1 al 99. Las acciones permitidas son permitir (permit) o
denegar (deny). La red especifica el origen de los paquetes a
los que queremos aplicar la opción. Esta red puede ser desde
un equipo concreto a todo el tráfico IP posible. La mejor forma
de comprenderlas es a través de un ejemplo:
244
la máscara en la configuración el router le otorga una corres-
pondiente a su clase natural, la 255.255.0.0). El resto de paquetes
podrá atravesar en sentido de entrada la interfaz dado que no
cumplirán la primera regla y la segunda da permiso a cual-
quier otro paquete (any). Es importante indicar que si llegan
paquetes con origen 172.24.0.0 a otra interfaz del router no
tendrán problemas para atravesarla: la lista sólo está aplicada
en la interfaz serial 0. De hecho, esta lista tampoco tiene ningún
efecto sobre los paquetes que puedan salir por la interfaz serial
0, independientemente de su origen, dado que únicamente
examina los paquetes que entran por dicha interfaz.
Podemos precisar más nuestras listas con ayuda de más-
caras que especifiquen las redes y subredes concretas que
queremos comparar. A las máscaras utilizadas en las listas
de acceso se les llama máscaras comodín (wildcards) y ya las
encontramos al hablar de OSPF. Se configuran de una manera
algo especial: a diferencia de las máscaras de red convencio-
nales, las máscaras comodín usadas en las listas de acceso
usan ceros para indicar la parte relevante (que debe coincidir
exactamente) y unos para indicar la parte cuyo contenido no
se va a comprobar.
Por ejemplo, si tenemos la condición 10.10.10.0 0.0.0.255, al
pasar a binario la dirección y la máscara podemos ver qué parte
de la dirección será tenida en cuenta a la hora de determinar si
un paquete concreto cumple la condición (tabla 6.2).
245
El uso adecuado de las máscaras comodín puede ayudarnos
a seleccionar subconjuntos de direcciones. En el siguiente
ejemplo (tabla 6.3) queremos crear una lista de acceso capaz
de seleccionar las redes.
246
En la tabla 6.4 podemos observar que la parte común a
todas estas direcciones es la que comprende los cinco bits
de la derecha (los que ponemos a cero en la última fila. La
dirección de red que comprende las subredes del ejemplo
será en binario
00001010.00000001.00100000.00000000
Spade #conf t
Enter configuration commands, one per line
Spade (config)# access-list 2 permit 172.24.5.0 0.0.0.255
Spade (config)# access-list 2 permit 172.24.6.0 0.0.0.255
Spade (config)# access-list 2 deny any
Spade (config)# interface serial 0
Spade (config-if)# ip access-group 2 in
247
La lista de acceso 2 está compuesta por tres reglas que se
procesan en el mismo orden en el que han sido configuradas.
Tan pronto como un paquete cumple una de las condiciones
de la lista, se permite o deniega su paso inmediatamente. Se
trata de un mecanismo de tipo "la que primero encaje" (first
fit), no "la que mejor encaje" (best fit).
Si ve la máscara comodín (0.0.0.255) como una especie de
antimáscara de subred, va por el buen camino: la máscara
comodín es exactamente la inversa de la que usaría para es-
pecificar la máscara de subred. Al filtrar una clase de subred
completa esta operación es sencilla: 172.16.5.0/24 (172.16.5.0
255.255.255.0) se traduciría en 172.16.5.0 0.0.0.255 (hemos cam-
biado todos los unos por ceros y todos los ceros por unos).
Pero al igual que con las máscaras de subred, las máscaras
comodín pueden resultar poco obvias de primeras. La tabla
6.5 muestra la relación existente entre las máscaras de subred
y su correspondiente máscara comodín.
248
172.24.32.0/20 y 172.24.48.0/20. Dado que la máscara de su-
bred /20 equivale a la máscara 255.255.240.0 usando la tabla 6.5
podemos comprobar que la máscara comodín es la 0.0.15.255,
quedando la configuración:
Spade #conf t
Enter configuration commands, one per line
Spade (config)# access-list 3 permit 172.24.16.0 0.0.15.255
Spade (config)# access-list 3 permit 172.24.32.0 0.0.15.255
Spade (config)# access-list 3 permit 172.24.48.0 0.0.15.255
Spade (config)# access-list 3 deny any
Spade (config)# interface serial 0
Spade (config-if)# ip access-group 3 out
249
el tráfico con origen en la red X, podemos interpretar esa misma
lista como que deniega todo menos lo que tenga origen la red
X. Son dos formas de expresar lo mismo, pero en determinadas
circunstancias este matiz cobra un sentido inesperado: ima-
ginemos que queremos configurar desde la máquina 10.0.0.2
conectada con el router a través de la red local una lista de
acceso que deje entrar en la interfaz ethernet lo que tenga por
origen las máquinas 10.0.0.2 y 10.0.0.3. Para ello necesitamos
las siguientes órdenes:
Sagan(config)# interface ethernet 0
Sagan(config)# ip access-group 1 in
Sagan(config)# access-list 3 permit host 10.0.0.3
Sagan(config)# access-list 3 permit host 10.0.0.2
Antes de nada hay que aclarar un atajo que hemos usado:
"host 10.0.0.3" equivale a "10.0.0.3 0.0.0.0", y sirve
para especificar una máquina concreta. Si configuramos lo an-
terior en ese mismo orden nos llevaremos una sorpresa:
Sagan#conf t
Enter configuration commands, one per line.End with CNTL/Z.
Sagan(config)# interface ethernet 0
Sagan(config-if)# ip access-group 1 in
Sagan(config-if)# exit
Sagan(config)# access-list 1 permit host 10.0.0.3
250
Al finalizar de configurar la lista volveríamos a aplicarla
en las interfaces correspondientes. Este ejemplo puede parecer
artificial, pero en la practica es frecuente tener que cambiar la
configuración de varios routers situados en una misma red
local, y es relativamente sencillo dejar colgado un router ju-
gando con las listas de acceso.
Un consejo: si no hay nadie en el lugar donde el router se
encuentra situado podemos usar la orden "reload in mi-
nutos" para programar un reencendido del equipo pasados los
minutos especificados. Por ejemplo, "reload in 10" hará que
el router se resetee en 10 minutos con la última configuración
grabada. Una vez hechos los cambios y comprobado que todo
está correcto podemos cancelar el reencendido con un "reload
cancel". Si se nos cuelga, bastará con esperar a que el router
se resetee con la última configuración estable.
Tampoco se pueden borrar, editar o cambiar líneas concretas
de las listas de acceso. Si probamos la siguiente instrucción:
Spade #conf t
Enter configuration commands, one per line
Spade (config)# no access-list 3 permit 172.24.16.0 0.0.15.255
251
lo tome a mal, es casi como un rito de iniciación. La situación
tiene varios remedios, de los que mencionamos el botonazo,
"reload" y "loopback":
Puede llamar a la delegación remota y pedir que reinicien el
router. Quedará con la configuración que tenía la última vez que
se grabó con "write" o con "copy running startup". Por su-
puesto habrá perdido las últimas configuraciones realizadas.
Una segunda alternativa es el uso de la orden de IOS "re-
load in"o "reload at", por ejemplo "reload in 5" (que
reinicia el router a los 5 minutos) o "reload at 22:15" (que
reinicia el equipo a la hora especificada). Programe un "reload",
haga sus cambios y cancele el reinicio con "reload cancel". El
router le avisará un minuto antes del reinicio. Puede ver como
anda de tiempo con "show reload". La tercera vía es algo más
sofisticada. Sin entrar en muchos detalles, sabiendo la lista con-
figurada, puede crear una interfaz virtual ("loopback inter-
face") con una dirección de las que permite la lista de acceso
(porque... ¿puso un permit, no?) y hacer un telnet extendido al
router, "saltándose" la lista de acceso ("telnet ip_router /
source-interface loopback_número").
Con las listas de acceso se filtra el tráfico: los efectos de
las listas de acceso en la practica son bastante potentes, y los
usuarios que se ven afectados por ellas lo manifestarán de
forma muy clara. En general, antes de hacer cambios en listas
de acceso desaplique la lista de donde esté en uso, cree la lista
con un editor de texto y copiela en el router una vez creada, y
finalmente aplique la lista en la interfaz, línea o proceso donde
tenga pensado usarla.
252
La lista de acceso 100 permite el tráfico IP entre la máquina
192.168.90.220 y cualquier máquina de la red 192.168.30.0/24.
A continuación negamos el resto del tráfico IP. En realidad esta
instrucción no es necesaria dado que el router la añade auto-
máticamente (deny any implícito). Vemos otro ejemplo:
access-list 103 permit tcp any host 192.168.60.10
253
Identificador Protocolo Puerto TCP / UDP
254
Identificador Protocolo Puerto TCP / UDP
255
Con la lista 110 permitimos el tráfico web saliente. Con
la lista 112 permitimos las respuestas, que serán en puertos
"altos" (mayores que el 1023), y que deben corresponderse con
sesiones establecidas. La orden "established" hace que el
router bloquee aquellas sesiones que no se hayan originado
en nuestra red. Comprobando los bits de la cabecera TCP
permite sólo aquellas sesiones que aparentemente estén ya
establecidas. Estas listas de acceso no proporcionan un nivel
alto de seguridad frente a ataques sofisticados, pero des-
cartan rápidamente tráfico que no debe tener lugar. A estas
listas de acceso se les llama filtros estáticos. Veremos que las
listas de acceso con nombre permiten filtrar dinámicamente
el tráfico, siguiendo la pista a las sesiones TCP en marcha en
un momento dado.
Para las listas de acceso extendidas valen las mismas ob-
servaciones hechas acerca de las listas estándar: se procesan
en el mismo orden en el que están configuradas, la primera
condición que encaja es la que permite o deniega el tráfico
sin que se continúe procesando la lista, al configurar una
lista el router se añade automáticamente la denegación im-
plícita (deny any) y si intentamos borrar parte de la lista la
borraremos entera.
256
Se aplican de forma similar a las listas de acceso vistas
hasta ahora.
interface Ethernet0
ip access-group filtro in
257
Estas instrucciones sólo permiten acceder al router vía
telnet desde las máquinas cuyas direcciones IP son 10.0.0.2
o 10.0.0.3. Para aplicar la lista de acceso a las líneas debemos
utilizar la instrucción "access-class", a diferencia de la
instrucción "access-group" que es la empleada para aplicar
listas a las interfaces.
6.2.5. Ejemplos
Repasemos las posibilidades de las listas de acceso basán-
donos en la red de la figura 6.9.
258
Con la orden show line puede ver las líneas de acceso al
router, tales como las líneas virtuales (VTY), el puerto de con-
sola (CON), el puerto Auxiliar (AUX) y las líneas Asíncronas
(ASYNC). Podemos filtrar todas estas líneas y puertos por
medio de la instrucción access-class. La siguiente lista permite
el acceso por los cinco terminales virtuales (del 0 al 4) a aquellas
máquinas que tengan por origen la LAN de A
access?list 20 permit 10.208.60.0 0.0.0.255
access?list 20 deny any
!
line vty 0 4
access-class 20 in
login
259
Un uso muy interesante es el de la instrucción log, si po-
nemos
access?list 130 deny icmp any any log
access?list 130 permit ip any any
260
interface Dialer1
dialer-group 1
!
dialer-list 1 protocol ip list 8
6.3. Autenticación
Una medida básica de seguridad consiste en solicitar un
nombre (username) y una contraseña (password) a los usuarios
que acceden al router. La combinación de nombre y contraseña
cumple una doble función: por un lado pide al usuario que se
261
identifique, y por otro, desafía al usuario a demostrar que es
quien dice ser.
Una buena política de elección de contraseñas debe estar
en la base de nuestra estrategia de seguridad. Existen ciertas
contraseñas que no son adecuadas por predecibles: el propio
nombre de usuario (escrito del derecho o del revés), la fecha
de nacimiento o el número de teléfono son ejemplos de claves
débiles. Tampoco es conveniente usar ciertos pares de nombre/
contraseña del tipo cisco/cisco. La peor contraseña es la que
no se pide en absoluto.
Las contraseñas deben tener una longitud mínima, y en
función del nivel de privilegios al que den acceso la longitud
debe variar. Así, una contraseña normal debe tener un mínimo
de 7 caracteres, pero una contraseña que dé acceso al nivel
privilegiado debe tener una longitud mayor. La contraseña
debe estar compuesta por una mezcla de letras (idealmente
mayúsculas y minúsculas) y números. La edad de la contra-
seña (el tiempo durante el cual es válida) también es un factor
importante. Hay que tener en cuenta que una frecuencia de
cambio de contraseñas muy alta hace que los usuarios anoten
las claves, generalmente cerca de los terminales donde las usan.
Expirada la contraseña, el usuario no debería poder volver a
usar la misma hasta haber elegido al menos una cierta cantidad
de contraseñas distintas (esto implica mantener un histórico
de contraseñas por usuario).
Lo mejor es usar contraseñas que no aparezcan escritas en
ninguna parte (lo que las hace más resistentes a los llamados
"ataques de diccionario"). Un truco que permite crear contra-
señas eficaces consiste en elegir una frase ("El buey solo bien se
lame"), y tomar las iniciales de las palabras ("ebsbsl"). Podemos
fortalecer la contraseña alternando el uso de mayúsculas y mi-
núsculas ("EbSbSl") o insertando números ("E1b2S3b4S5l").
De poco sirve proteger el acceso al router con contraseñas
si éste no está protegido "físicamente" de forma adecuada.
Cualquiera que tenga acceso físico al router puede saltarse
la protección aplicando el procedimiento de recuperación de
contraseñas (Password Recovery Procedure), del que hablamos en
el capítulo 3 y de nuevo en los apéndices del libro. Los detalles
específicos varían según el modelo de router, pero para hacer
uso de este recurso es preciso tener acceso físico al router.
Menos conocido es que algunos modelos disponen de un
comando que permite deshabilitar la recuperación de contra-
señas. Los dispositivos permanecen accesibles a los administra-
dores que tengan las credenciales correctas, pero si se pretende
262
recuperar el acceso de root (level 15), al realizar un Password
Recovery Procedure se borra la configuración del dispositivo. Se
trata de un comando no documentado y por estar considerado
peligroso se encuentra escondido de la ayuda contextual:
R1(config)# no service pass?
password-encryption
R1(config)# no service password-recovery
WARNING:
Executing this command will disable password recovery mechanism.
Do not execute this command without another plan for password recovery.
Are you sure you want to continue? [yes/no]: y
R1(config)# ^Z
R1# reload
Proceed with reload? [confirm]
System Bootstrap, Version 12.2(8r)T2, RELEASE SOFTWARE (fc1)
TAC Support: http://www.cisco.com/tac
Copyright (c) 2002 by cisco Systems, Inc.
c3725 processor with 262144 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
Readonly ROMMON initialized
PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
...
263
ofrece 16 niveles de acceso, que podemos especificar mediante
"privilege" al especificar el password:
username jos privilege 15 password dashiell
username ornitorrinco privilege 5 password samuel
username AluminiuM privilege 1 password hammett
username oscar privilege 0 password tulip
username roberto nopassword
264
También podemos enviar un mensaje a todos los usuarios
conectados (similar a la orden "wall" de Unix):
Sagan#send vty *
Enter message, end with CTRL/Z; abort with CTRL/C:
En 2 minutos vamos a proceder con un reload del sistema^Z
Send message? [confirm] y
Los nombres de usuario nos permiten saber quién hace
qué y cuándo:
sagan#clear counter
Clear "show interface" counters on all interfaces
[confirm] y
Sagan#
*Mar 1 00:05:09.787: %CLEAR-5-COUNTERS: Clear counter on
all interfaces by antonio on vty0 (10.0.0.2)
265
User Access Verification
Username: luis
Password: ******
No response from TACACS authentication server - please enter enable password
266
Figura 6.10. GetPass! en acción.
267
al router. Si ha perdido el acceso apague y encienda el equipo.
Recuerde que como último recurso existe un procedimiento
de recuperación de contraseñas (password recovery procedure)
descrito en el capítulo 3 y los apéndices del libro. Debe seguir
el procedimiento correspondiente al modelo de router.
Una de las primeras tareas de configuración consiste en
especificar la clave para acceder al modo enable ("#"). Hágalo
mediante las órdenes "enable password clave" ó "enable
secret clave". Tenga en cuenta que si están configuradas
ambas órdenes en el mismo router la que se usará como clave
de enable será la especificada mediante "secret".
Si no está la orden "login" configurada en las líneas de
acceso ("line vty 0 4") el router dará directamente paso al
modo normal (">") sin solicitar ningún tipo de contraseña,
aunque tengamos especificados pares de usuarios y claves
mediante la orden "username".
Si damos la orden "login", el router nos pedirá la contra-
seña que hayamos configurado (con la orden "password") en
las líneas de terminal ("line vty 0 4"). Si no proporcionamos
dicha contraseña al router el router nos responderá con el men-
saje "Password required, but none set", se requiere contraseña,
pero no se ha especificado ninguna), y rechazará la conexión.
Siempre es conveniente configurar la orden "enable last-
resort password", que pide la clave de enable en caso de
que no funcionen los demás mecanismos.
Es importante destacar que si damos la orden "login
local" pero no tenemos configurado ningún par usuario/
contraseña al router no podrá conectar con el mismo (obtendrá
un "% Login invalid" por respuesta).
Para terminar, si damos la orden "login tacacs" sin es-
pecificar el servidor, el router no podrá validar los usuarios
que quieran acceder, y obtendrá el mensaje "No response from
TACACS authentication server - please enter enable password". Use
"tacacs-server last-resort password" para poder ac-
ceder al router con la clave de enable en caso de que el servidor
no está bien configurado o no esté disponible (por ejemplo, por
problemas en las líneas de comunicaciones).
268
Router#show processes
CPU utilization for five seconds: 0%/1%; one minute: 0%; five minutes: 0%
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process
1 Csp 2FB64 0 100 0 3736/4096 0 Load Meter
2 M* 0 1816 305 595410392/12288 0 Exec
3 Lst 1989D4 304 60 5066 7960/8192 0 Check heaps
4 Cwe 190978 4 1 4000 7784/8192 0 Chunk Manager
5 Cwe 19DF74 0 1 0 7816/8192 0 Pool Manager
6 Mst 12426C 0 2 0 7784/8192 0 Timers
7 Lwe 1FC380 4 10 400 7792/8192 0 ARP Input
8 Mwe 266730 8 2 4000 7784/8192 0 DDR Timers
9 Mwe 27E598 4 2 200011896/12288 0 Dialer event
10 Lwe 2835BC 12 2 6000 7832/8192 0 Entity MIB API
11 Mwe 3FE058 0 2 0 7792/8192 0 Serial Backgroun
12 Mwe 402364 0 1 0 7832/8192 0 SERIAL A'detect
13 Cwe 1A32D0 0 1 0 7824/8192 0 Critical Bkgnd
14 Mwe 1C2C30 156 189 82510880/12288 0 Net Background
15 Lwe 11B0A4 60 21 285711168/12288 0 Logger
16 Msp 137E20 100 492 203 7728/8192 0 TTY Background
17 Msp 1C2294 8 497 1611800/12288 0 Per-Second Jobs
18 Mwe F1F60 4 38 105 7800/8192 0 LED Timers
19 Mwe 22E89C 44 63 698 6872/8192 0 CDP Protocol
20 Mwe 2E0E84 32 13 246111920/12288 0 IP Input
21 Mwe 3AD438 4 1 4000 7976/8192 0 PPP IP Add Route
PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process
22 Mwe 373D90 36 2 18000 7648/8192 0 DHCPD Receive
23 Mwe 2AD9D8 0 1 0 7984/8192 0 HTTP Timer
24 Mwe 32B9B8 92 24 383311592/12288 0 IP Background
25 Lsi 3144A4 0 9 0 7960/8192 0 IP Cache Ager
26 Mwe 32B85C 0 1 0 7832/8192 0 RARP Input
27 Hwe 3721A8 0 1 0 7968/8192 0 Socket Timers
28 Mst 37E21C 4 1 400012144/12288 0 TCP Timer
29 Lwe 382AD8 4 1 400012088/12288 0 TCP Protocols
30 Mwe 4E1B10 8 2 4000 7792/8192 0 Emulator
31 Mwe 4D9FE4 0 1 024360/24576 0 ISDN Timer
32 Mwe 4652E4 0 1 0 7960/8192 0 CallMIB Backgrou
33 Mwe 4ECB40 0 1 0 7960/8192 0 ISDNMIB Backgrou
34 Hwe 1C249C 4 1 4000 7816/8192 0 Net Input
35 Csp 1C93EC 4 103 38 7816/8192 0 Compute load avg
36 Msp 1C22E0 416 9 46222 8040/8192 0 Per-minute Jobs
38 Mwe 2570F0 4 5 800 7952/8192 0 DHCPD Timer
39 Msi 25D9AC 8 138 57 7240/8192 0 DHCPD Database
269
Router#
Router#show processes memory
Total: 3760128, Used: 1660224, Free: 2099904
PID TTY Allocated Freed Holding Getbufs Retbufs Process
0 0 100084 1504 912208 0 0 *Init*
0 0 176 42800 176 0 0 *Sched*
0 0 2309632 610452 0 236860 0 *Dead*
1 0 276 276 13132 0 0 Load Meter
2 0 19288 17796 22816 0 0 Exec
3 0 0 0 17228 0 0 Check heaps
4 0 20248 0 37476 0 0 Chunk Manager
5 0 96 0 17324 0 0 Pool Manager
6 0 276 276 17228 0 0 Timers
7 0 96 336 17324 0 0 ARP Input
8 0 276 276 17228 0 0 DDR Timers
9 0 276 276 21324 0 0 Dialer event
10 0 2972 676 19524 0 0 Entity MIB API
[… parte de la salida omitida…]
38 0 0 0 17228 0 0 DHCPD Timer
39 0 152 0 17380 0 0 DHCPD Database
1659864 Total
6.4.1. Finger
Finger es un servicio que proporciona información acerca
de los usuarios conectados a la máquina. Finger proporciona
sus servicios a través del puerto TCP 79. En la siguiente fi-
gura vemos el efecto que tiene hacerle un telnet al puerto 79
de un router que tiene habilitado el servicio finger ("telnet
10.0.0.1 79")
router1#telnet 192.168.1.1 79
Trying 192.168.1.1, 79 ... Open
270
sistema, y la dirección desde la que están establecidas dichas
conexiones. Un atacante con esta información tiene mucho
camino recorrido (posee un nombre de usuario y conoce una
dirección de origen válida).
Para desactivar este servicio use la orden de configuración
global "no ip finger". No todas las versiones de IOS permiten
desactivar este servicio.
6.4.3. http-server
Vimos en el segundo capítulo que se puede configurar el
router para que permita acceder al mismo mediante un nave-
gador Web. La orden para habilitar este servicio es "ip http
server". Tenemos la posibilidad de cambiar el puerto por
el que el router proporciona dicho servicio. Por defecto es el
puerto 80, pero mediante la orden "ip http port <puerto>"
podemos especificar el puerto por el que daremos el servicio.
Por ejemplo, si usamos las órdenes:
<Alan(config)# ip http server
Alan(config)# ip http port 10250
271
Ahora para acceder al router 10.0.0.1 a través de un na-
vegador, usaremos la dirección http://10.0.0.1:10250.Tenga
en cuenta de cambiar el puerto por el que el sistema presta
un determinado servicio no constituye una medida de segu-
ridad definitiva, dado que un scanner de puertos como "nmap"
(http://nmap.org/) puede descubrir por qué puerto se
ofrece cada servicio.
Para deshabilitar el servidor de http del router usaremos la
orden de configuración global "no ip http server".
Version :
Cisco Internetwork Operating System Software
IOS (tm) C805 Software (C805-SY6-MW), Version 12.2(2)T, RELEASE
SOFTWARE (fc1)
TAC Support: http://www.cisco.com/cgi-bin/ibld/view.pl?i=support
Copyright (c) 1986-2001 by cisco Systems, Inc.
Compiled Sat 02-Jun-01 21:28 by ccai
advertisement version: 2
Duplex: half
272
Es posible que no quiera ejecutar este servicio en los
routers (y switches) situados en los límites de su red, allí
donde conectan con dispositivos gestionados por otras or-
ganizaciones.
Para deshabilitar este servicio en una interfaz determinada
use "no cdp enable".
interface serial 0
no cdp enable
6.4.6. ip directed-broadcast
Cuando una interfaz recibe un paquete dirigido a la direc-
ción de difusión (172.16.255.255) la convierte en una difusión
local (FF-FF-FF-FF-FF-FF). La respuesta que esto genera por
parte de todas las máquinas de la red local puede degradar
enormemente el rendimiento del sistema, especialmente en
segmentos grandes. A este tipo de ataque se le llama Smurf
(del nombre del programa que extendió este ataque). La orden
"no ip directed-broadcast"deshabilita en la interfaz la
conversión de difusiones de red en difusiones locales.
Ellison(config)# int ethernet 0
Ellison(config-if)# no ip directed-broadcast
6.4.7. Banner
Mediante la instrucción "banner" configuramos un mensaje
para las personas que se conectan al router. Puede aprovechar
para dar la bienvenida, recordar a los posibles atacantes que sus
acciones quedarán registradas, etc. Use "banner carácter
mensaje carácter" para crear su mensaje. En nuestro caso
usamos el asterisco ("*") para "envolver" el mensaje:
273
Sagan#conf t
Enter configuration commands, one per line.End with CNTL/Z.
Sagan(config)# banner *
Enter TEXT message.End with the character '*'.
("'-''-/").___..--''"'-._
'6_ 6 '-.( ).'-.__.')
(_Y_.)'._ )'._ '. ''-..-'
_..'--'_..-_//--'_.' ,'
(il),-''(li),'((!.-'
telnet 10.0.0.1
("'-''-/").___..--''"'-._
'6_ 6 ) '-. ( ).'-.__.')
(_Y_.)' ._ ) '._ '. ''-..-'
_..'--'_..-_/ /--'_.' ,'
(il),-'' (li),' ((!.-'
6.4.8. validate-update-source
En los protocolos de enrutamiento RIP e IGRP la orden
"validate-update-source" comprueba que la dirección
origen de las actualizaciones de enrutamiento esté en la
misma red que la dirección de la interfaz por la que entre la
actualización:
274
router rip
validate-update-source
router igrp 99
validate-update-source
6.5. Logs
El registro (log) del router se habilita mediante la orden
"logging buffered" y se consulta con la instrucción "show
logging".
A la hora de configurar el log podemos indicar un tamaño y
la severidad de los eventos que queremos registrar: "logging
buffered [tamaño] [severidad]" El tamaño se especi-
fica en bytes (entre 4.096 y 2.147.483.647) y la severidad del
0 (máxima) al 7 (mínima). Se registrarán los eventos con una
gravedad igual o mayor a la especificada. La tabla 6.7 muestra
la severidad de los eventos.
275
Algunos procesos del router permiten enviar al registro
de eventos. Por ejemplo, si añadimos la instrucción log a la
lista de acceso, cómo en "access-list 1 permit host
10.0.0.3 log" se añadirán al registro de sucesos entradas
indicando los paquetes que encajan con la condición expre-
sada en la lista.
Algunos protocolos de routing permiten configurar el re-
gistro de eventos. Por ejemplo en EIGRP podemos registrar
los cambios de vecindad
router eigrp 120
eigrp log-neighbor-changes
eigrp log-neighbour-warnings
Y en OSPF los cambios de adyacencia
<Listados>router ospf 100
log-adjacency-changes
276
forzado sus ordenadores. Periódicamente su red almacenaba
un archivo con los eventos de seguridad. Era de esperar que de
una transmisión a otra los archivos resultasen más extensos,
de modo que cuando el fichero de registro se volvió inespera-
damente más corto concluyó que un intruso (Kevin Mitnick)
había accedido a sus ordenadores y borrado parte los registros
(logs) en un intento de cubrir sus huellas.
277
6.6.1. Criptografía
Ronald Rivest, coinventor del sistema RSA de criptografía
pública (la R de RSA), indica que "la criptografía trata de la
comunicación en presencia de adversarios". Zimmerman, autor
del programa PGP (Pretty Good Privacy), define la criptografía
como "la ciencia de usar las matemáticas para encriptar y des-
encriptar datos". Kent y Atkinson, arquitectos del protocolo
IPSec, definen la encriptación como el "mecanismo de segu-
ridad utilizado para transformar datos de una forma inteli-
gible (texto claro) a una forma ininteligible (texto cifrado) para
proporcionar confidencialidad". Para terminar recordaremos
que Bruce Schneier, inventor del algoritmo de encriptación
Blowfish, indica que existen dos tipos de criptografía: "la que
impedirá que tu hermana lea tus ficheros, y la que impedirá
que un gobierno lea tus ficheros".
IPSec es una arquitectura criptográfica que proporciona a
los protocolos de red IPv4 e IPv6 servicios de seguridad entre
equipos de distintos fabricantes. El concepto de SA, central
en IPSec, hace referencia a una "Asociación de Seguridad"
(Security Association, SA), una conexión que consigue servi-
cios de seguridad para el tráfico transportado. IPSec es mo-
dular: algunos de sus componentes proporcionan seguridad
al tráfico, como los protocolos AH (Authentication Header) y
ESP (Encapsulating Security Payload). Otros protocolos como
IKE (Internet Key Exchange) solucionan el problema de la
distribución de claves usadas para autentificar a las partes y
garantizar la integridad de los datos. IPSec posee mecanismos
tanto manuales como automáticos para garantizar la distri-
bución de las claves.
6.6.2. IPSec
Vemos a continuación en ejemplo de configuración de
IPSec. Tenga en cuenta que para configurar este servicio en
un router Cisco necesitaremos una versión de IOS que soporte
estas características (generalmente indicadas por una "k" en la
denominación de la IOS).
En primer lugar usaremos la orden "crypto isakmp" para
permitir el intercambio de claves: indicamos que la clave com-
partida por ambos extremos ha sido previamente distribuida
(pre-shared), especificamos la longitud de la clave con "group 2"
(el grupo 1 utiliza una clave de 768 bits, el grupo 2 una clave de
1024, a mayor longitud, mayor fortaleza, pero también mayor
278
coste en tiempo y uso de procesador). Con "lifetime 7200"
indicamos la frecuencia con la que se debe crear una nueva
Asociación de Seguridad (SA).
279
Para verificar la correcta configuración de la red virtual
privada use las órdenes "show crypto"
Sagan# show crypto isakmp policy
Protection suite priority 1
encryption algorithm: DES-Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 7200 seconds, no volume limit
Sagan# show crypto map interface serial 1
Crypto Map "conexion_cifrada" 2 ipsec-isakmp
Peer = 172.16.10.2
Extended IP access list 140
access-list 140 permit ip 192.168.5.0 0.0.0.255 192.168.10.0 0.0.0.255
Current peer: 172.16.10.2
[…Parte de la salida omitida…]
280
7
Configurando servicios
7.1. NAT
7.1.1. Fundamentos
NAT (Network Address Translation) es un mecanismo utili-
zado por los routers para hacer corresponder dos espacios de
direcciones, típicamente uno de uso interno o privado con uno
de uso externo o público.
NAT permite atajar tres importantes problemas de Internet:
la progresiva escasez de direcciones, los problemas de segu-
ridad derivados del uso comercial y la complejidad de gestión
del encaminamiento (routing). Estos problemas derivan de los
peculiares orígenes de Internet. NAT representa una magnífica
solución a corto plazo mientras se migra la red al nuevo (y
mucho más extenso) espacio de direcciones IPv6.
Las máquinas que se conectan a Internet se identifican por
medio de una dirección IP versión 4 (IPv4), un número de 32
bits que permite en principio identificar hasta 4.294.967.296
máquinas distintas. Sin embargo la forma de repartir esas
direcciones, agrupándolas en redes de distintas clases, junto
281
con la "generosidad" inicial en el reparto de direcciones así
como el éxito comercial e imprevisto de Internet ha conducido
hacia un progresivo agotamiento del espacio de direcciones
disponible.
La solución obvia, aumentar la longitud de las direcciones,
ya se está llevando a cabo: está en marcha la implantación de
la versión 6 del protocolo IP (IPv6) que utiliza direcciones de
128 bits. Esta versión también ha previsto mecanismos más
racionales de reparto del nuevo espacio de direcciones. No
obstante todavía llevará algunos años migrar la infraestructura
actual de Internet basada en IPv4 a IPv6.
NAT permite la "sobrecarga" (overload) de direcciones in-
ternas, permitiendo que muchas máquinas internas compartan
unas pocas direcciones públicas, quizás sólo una.
Esta dirección en muchos casos es "dinámica", una dirección
que forma parte de un conjunto (pool) más amplio propiedad
del ISP (Internet Service Provider, o Proveedor de Servicios de
Internet), que "alquilada" temporalmente al usuario, permite
una reutilización de la IP tan pronto como es liberada.
Como los sistemas de los usuarios finales siguen necesi-
tando tener una dirección única que los identifique pueden
usar en sus redes locales direcciones denominadas de uso
privado descritas en el RFC 1918 (Address Allocation for Private
Internets), que especifica que las redes 10.0.0.0 - 10.255.255.255,
172.16.0.0 - 172.31.255.255 y 192.168.0.0 - 192.168.255.255 no son
encaminadas por los routers en Internet, de forma que pueden
ser usadas sin conflicto por múltiples usuarios en distintos si-
tios. A la hora de salir a Internet el router NAT se encargará de
hacer las traducciones necesarias para que los "diálogos" con
el exterior de las máquinas con direcciones RFC 1918 parezcan
tener por origen la IP asignada por el ISP (de espacio público,
enrutable). De cara al exterior la red del usuario se presenta
como una única máquina.
Otra consecuencia derivada del crecimiento de Internet es
el aumento del tamaño de las tablas de rutas necesarias para el
encaminamiento (routing). Para que los paquetes viajen hasta
las máquinas destino los routers deben poseer rutas hacia los
destinos. Algunos de los routers del núcleo de Internet poseen
tablas de rutas de gran tamaño. El uso de NAT ha frenado el
crecimiento de estas tablas.
Al hablar de la administración de redes hay que mencionar
una importante ventaja de NAT, al permitir migrar redes de
forma transparente a los usuarios finales. Esto es especial-
mente útil cuando hay que unir dos redes que comparten el
282
mismo plan de numeración (redes superpuestas u "overlaping
networks"). El uso de redes de espacio RFC 1918 hace que estos
solapamientos ocurran de forma frecuente en las fusiones de
empresas.
Internet presenta una serie de problemas de seguridad que
han sido estudiados en diversas ocasiones. Estos problemas
pueden sorprender si consideramos que los orígenes militares
de Internet, pero se explican teniendo en cuenta el carácter
experimental de sus inicios, el énfasis en la funcionalidad por
encima de otros criterios y el entorno académico donde se
desarrollaron los protocolos fundamentales que componen la
pila de protocolos TCP/IP.
Al hacer pasar las comunicaciones por un punto común
(el router NAT) se puede concentrar una parte importante
del esfuerzo de seguridad en dicho punto. Desde el exterior
no será posible establecer comunicación con máquinas de la
red local si estas no han iniciado la conversación (el router
NAT no sabría a qué máquina interna remitir los paquetes
del exterior). Por supuesto que es posible definir traducciones
estáticas para ciertos servicios que necesitan ser identificados
con claridad, tales como servicios Web, FTP, etc... No obstante
la combinación de NAT con mecanismos de seguridad tales
como listas de acceso permiten ejercer un mayor control en el
uso de estos servicios.
7.1.2. Configuración
Para eliminar ambigüedad definiremos las redes internas
como aquellas conectadas a las interfaces del router NAT defi-
nidas como "inside" (por medio de la órden "ip nat inside").
De forma similar denominaremos redes externas a las que
conectan con el router NAT por las interfaces definidas como
"outside" (por medio de la órden "ip nat outside").
283
Figura 7.1. NAT: Inside y Outside.
284
Inside local address (interna local): la dirección IP asignada
a una máquina concreta de la red interna. Generalmente se
trata de una dirección de espacio reservado para uso privado
(RFC 1597).
Inside global address (interna global): la dirección IP que re-
presenta en el exterior una o más direcciones internas locales
(inside local address). Suelen ser direcciones IP públicas (en-
rutables) asignadas por un ISP.
Outside local address (externa local): la dirección IP de una
máquina externa tal como se ve desde la red interna. No tiene
por que ser una dirección IP pública, "legal".
Outside global address (externa global): la dirección IP de una
máquina externa tal como es asignada por el dueño de dicha
máquina. Esta IP es de espacio público.
Los paquetes originados en la parte interna de la red tienen
una "inside local address" como origen y una "outside local address"
como destino mientras el paquete viaja por la parte interna
de la red. Cuando el paquete es conmutado a la red externa el
origen del paquete es traducido a la "inside global address" y el
destino conocido como "outside global address" (Figura 7.3).
285
atraviese el router NAT y entre en la red interna el origen habrá
sido traducido por la "outside local address" y su destino como "in-
side local address" El encaminamiento (routing) de los paquetes en
un router NAT tiene lugar antes de la traducción cuando ésta es
de dentro a fuera (Inside-to-outside) y tiene lugar después cuando
la traducción es de fuera a dentro (Outside-to-inside).
Nota: Orden de Operación del NAT.
286
Hay dos clases de NAT: estático, en el que las direcciones
se mapean una a una de forma explícita, y dinámico, en el que
se crea un conjunto de direcciones disponibles (un pool) que se
usan y liberan cuando ya no se necesitan.
287
El ejemplo de NAT estático usado en el ejemplo anterior
es del tipo "nat inside source". En este tipo de NAT un paquete
con origen ip_local al atravesar una interfaz definida como
inside cambiará dicha ip origen por la ip_global. Igualmente, y
para que todo funcione correctamente, cuando un paquete con
destino ip_global llegue a una interfaz definida como outside
será cambiado a destino ip_local.
La forma general de la instrucción que permite definir este
mapeo es
ip nat inside source static ip_local ip_global
interface ethernet 0
ip nat inside
interface serial 0
ip nat outside
288
ip nat outside source static 9.0.0.4 10.0.0.4
interface serial 0
ip nat outside
interface ethernet 0
ip nat inside
289
interface Serial0
ip address 10.20.5.1 255.0.0.0
ip nat outside
7.1.3. Monitorización
Para comprobar el funcionamiento del NAT usamos la
orden "show ip nat translation".
Sagan# show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 10.20.5.2 192.168.5.2 --- ---
--- 10.20.5.3 192.168.5.3 --- ---
--- 10.20.5.4 192.168.5.4 --- ---
--- 10.20.5.5 192.168.5.5 --- ---
290
A continuación esta otra salida corresponde al balanceo
con "rotary":
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 192.168.1.100:80 192.168.1.101:80 192.168.2.27:11012 192.168.2.27:11012
tcp 192.168.1.100:80 192.168.1.102:80 192.168.2.27:11013 192.168.2.27:11013
tcp 192.168.1.100:80 192.168.1.103:80 192.168.2.27:11014 192.168.2.27:11014
tcp 192.168.1.100:80 192.168.1.104:80 192.168.2.27:11015 192.168.2.27:11015
tcp 192.168.1.100:80 192.168.1.105:80 192.168.2.27:11016 192.168.2.27:11016
tcp 192.168.1.100:80 192.168.1.101:80 192.168.2.27:11017 192.168.2.27:11017
tcp 192.168.1.100:80 192.168.1.102:80 192.168.2.27:11018 192.168.2.27:11018
291
y el tiempo que lo mantendrá una vez que recupere la línea
principal (10 y 120 segundos respectivamente)
interface serial 0
backup interface bri 0
backup delay 10 120
7.2.1. Fundamentos
HSRP (Hot Standby Routing Protocol) es un protocolo de
Cisco que permite a un conjunto de routers crear uno o varios
routers virtuales de forma que se pueda mantener la dispo-
nibilidad del servicio ante fallos de elementos de elementos
del cluster.
292
sistemas finales como el PC1, configurados estáticamente para
seguir saliendo por su puerta de enlace (default gateway), no se
podrán ajustar a la nueva topología y habrá que cambiarlos a
mano para que sigan funcionando.
293
En la figura 7.6 se ha añadido un router "HSRP". Este
router no existe físicamente, sino que está creado por medio
del protocolo HSRP. Este protocolo permite a un conjunto de
routers crear un router virtual, un router lógico que posee
las mismas características de uno "auténtico": dirección IP,
dirección MAC, etc… Las máquinas de la red como el PC1
apuntarán al router virtual. El protocolo HSRP sigue la pista
al estado de los routers que "construyen" el router lógico y
en caso de fallo pasan el testigo al router que estaba en modo
de espera (standby) para que asuma las funciones del router
principal (active).
7.2.2. Configuración
Tenemos dos routers RouterA y RouterB, con direcciones
IP 10.0.0.3 y 10.0.0.4 respectivamente. La siguiente configu-
ración consigue que entre ambos creen un router virtual con
dirección IP 10.0.0.1. Configuramos HSRP por medio de la
orden de configuración de interfaz "standby grupo ip ip-
virtual" y asignamos una prioridad con "standby grupo
priority".
RouterA#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)# interface FastEthernet 0/0
RouterA(config-if)# ip address 10.0.0.3 255.255.255.0
RouterA(config-if)# standby 1 ip 10.0.0.1
RouterA(config-if)# standby 1 priority 120
RouterA(config-if)# exit
RouterA(config)# end
RouterB#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)# interface FastEthernet 0/0
RouterB(config-if)# ip address 10.0.0.4 255.255.255.0
RouterB(config-if)# standby 1 ip 10.0.0.1
RouterB(config-if)# standby 1 priority 110
RouterB(config-if)# exit
RouterB(config)# end
294
Nota: Para usar múltiples grupos de HSRP necesita un hard-
ware y una versión de IOS que soporten esta característica.
RouterB#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)# interface FastEthernet0/0
RouterB(config-if)# ip address 10.0.0.4 255.255.255.0
RouterB(config-if)# standby 1 ip 10.0.0.1
RouterB(config-if)# standby 1 priority 110
RouterB(config-if)# standby 1 preempt
RouterB(config-if)# standby 2 ip 10.0.0.2
RouterB(config-if)# standby 2 priority 120
RouterB(config-if)# standby 2 preempt
RouterB(config-if)# exit
RouterB(config)# end
7.2.3. Monitorización
Con "show standby" comprobamos la información de los
grupos e interfaces:
RouterB#show standby
FastEthernet0/0 - Group 1
Local state is Standby, priority 110, may preempt
Hellotime 1 sec, holdtime 3 sec
Next hello sent in 0.251
Virtual IP address is 10.0.0.1 configured
295
Active router is 10.0.0.3, priority 255 expires in 1.325
Standby router is local
1 state changes, last state change 12:23:33
7.3. DHCP
7.3.1. Fundamentos
El protocolo DHCP (Dynamic Host Configuration Protocol)
se usa para permitir que los dispositivos finales consigan su
configuración de red de forma automática. Se basa en un pro-
tocolo anterior denominado BOOTP (Bootstrap Protocol), y usa
los puertos UDP 67 y 68.
7.3.2. Configuración
Para configurar un router Cisco como servidor DHCP de-
bemos decidir en primer lugar cual es el rango de direcciones
a repartir, en nuestro caso 10.0.0.0/24 a continuación configu-
raremos las órdenes "service dhcp" e "ip dhcp"
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# service dhcp
Router(config)# ip dhcp pool DHCPLOCAL
296
Router(dhcp-config)# network 10.0.0.0 255.255.255.0
Router(dhcp-config)# default-router 10.0.0.1
Router(dhcp-config)# exit
Router(config)# ip dhcp excluded-address 10.0.0.1 10.0.0.30
Router(config)# ip dhcp excluded-address 10.0.0.200 10.0.0.255
Router(config)# end
7.3.3. Monitorización
Una vez que el servidor DHCP está funcionandoel router
empieza a repartir IPs a los dispositivos, llevando la pista de
las direcciones repartidas a través de un proceso denbominado
297
binding, por el que enlaza las direcciones MAC de los dispo-
sitivos con las Ips disponibles en el pool. Con la orden "show
ip dhcp binding" podemos ver como va el reparto:
Router1#show ip dhcp binding
IP address Hardware address Lease expiration Type
172.16.1.51 0100.02a5.85e9.77 Jun 10 2005 06:45 PM Automatic
172.16.1.52 0100.20ba.216e.a1 Jun 10 2005 06:46 PM Automatic
172.16.1.53 0100.31c1.aeb1.e1 Jun 10 2005 06:48 PM Automatic
7.4. SNMP
7.4.1. Fundamentos
Una red se compone de muchos equipos distintos y dis-
persos. El protocolo SNMP (Simple Network Management
Protocol) proporciona un método para gestionar todos estos
equipos. La gestión puede ir desde la simple monitorización
(estado de las líneas, tráfico, condiciones ambientales) hasta
cambios remotos de la configuración. Un dispositivo SNMP
puede generar bajo determinadas circunstancias paquetes
SNMP (un trap) con información acerca del evento que lo ha
disparado.
7.4.2. Configuración
La orden para configurar el protocolo SNMP es "snmp-
server":
snmp-server community patos RO 10
snmp-server community salvajes RW 20
snmp-server contact redesyseguridad@gmail.com
snmp-server location Edificio1
298
snmp-server chassis-id 156258255AA
snmp-server host 10.0.0.1 salvajes
299
Tabla 7.1. Interrupciones de SNMP.
Identificador Acción
7.4.3. Monitorización
Para ver el estado del protocolo SNMP usaremos "show
snmp"
Sagan#show snmp
Chassis: 156258255AA
Contact: redesyseguridad@gmail.com
Location: Edificio1
40581 SNMP packets input
0 Bad SNMP version errors
306 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
298532 Number of requested variables
38 Number of altered variables
39854 Get-request PDUs
685 Get-next PDUs
38 Set-request PDUs
41722 SNMP packets output
0 Too big errors (Maximum packet size 1500)
0 No such name errors
0 Bad values errors
0 General errors
300
40275 Response PDUs
1447 Trap PDUs
7.5. NTP
7.5.1. Fundamentos
Vimos en apartados anteriores que el router puede regis-
trar eventos, pero para que estos queden registrados con la
hora correcta es preciso un mecanismo automático que per-
mita configurar la hora de una forma fiable y consistente en
los distintos dispositivos de red. El protocolo NTP (Network
Time Protocol) es un protocolo diseñado para sincronizar una
red de máquinas. NTP consigue la hora de una fuente fiable y
la distribuye. El protocolo NTP usa una medida que describe
a cuantos pasos (stratum) está una determinada máquina de
una fuente fiable. "stratum 1" toma la hora directamente de un
reloj atómico, "stratum 2" recibe vía NTP información directa
de un dispositivo "stratum 1", etc...
7.5.2. Configuración
Para configurar NTP use la orden "ntp access-group
peer" seguido de un número de lista de acceso. Con esta
orden permitimos al sistema que se sincronice con un sistema
cuya dirección pase el criterio indicado en la lista de acceso.
Con "ntp server" indicamos las fuentes de información NTP.
Indicamos en la lista de acceso las direcciones de las fuentes
de información horaria.
ntp access-group peer 5
ntp server 192.168.100.5
ntp server 192.168.100.6
access-list 5 permit host 192.168.100.5
access-list 5 permit host 192.168.100.6
301
7.5.3. Monitorización
Podemos comprobar el funcionamiento de NTP con las ór-
denes "show ntp status" y "show ntp association":
Sagan#sh ntp status
Clock is synchronized, stratum 5, reference is 192.168.200.60
nominal freq 249.5901 Hz,actual freq 250.0002 Hz,precision 2**16
reference time is C196B9F5.DC1980F5 (06:04:53.859 MET Tue Jun 3 2009)
clock offset is 465.9890 msec, root delay is 73.56 msec
root dispersion is 1229.55 msec, peer dispersion is 775.79 msec
7.6. SLB
El servicio SLB (Server Load Balancer) permite agrupar
una serie de servidores ofreciendo al exterior una IP virtual
a la que los clientes se conectan. A medida que se establecen
nuevas conexiones al servidor virtual SLB reparte las peti-
ciones entre los servidores mediante un mecanismo de re-
parto de carga.
7.6.1. Fundamentos
Existen varios mecanismos de reparto de carga. Tenemos
"Weighted round robin" por el que a cada servidor real se le
asigna un valor que indica cuantas conexiones recibirá hasta
que el balanceo pasa al siguiente servidor del pool, "Weighted
least connections" por el que SLB redirige la nueva conexión al
servidor real que presenta un menor número de conexiones
activas.
Se puede configurar el servidor virtual para que responda
a todos lo puertos TCP y UDP de la granja, o sólo a puertos
concretos. Mediante el mecanismo de conexiones persistentes
("Sticky connections") se puede configura SLB para que las
nuevas conexiones de un cliente ya existente se redirijan al
último servidor real que el cliente utilizó. SLB permite sacar
servidores de la granja "en caliente" (por ejemplo por nece-
sidades de mantenimiento), y previene algunos ataques de
denegación de servicio (SYN floods)
302
Figura 7.7. Router SLB.
7.6.2. Configuración
Tenemos un router SLB con IP local 10.0.0.1 e IP pública
9.1.1.1.
interface fastethernet 0/0
description Granja de servidores
ip address 10.0.0.1 255.255.255.0
303
real 10.0.0.12
weight 16
inservice
real 10.0.0.13
weight 8
inservice
7.6.3. Monitorización
Mediante la orden "show ip slb vserver" podemos ver la
información referente al servidor virtual, tales como su estado
o el número de conexiones.
304
router #show ip slb vserver
slb vserver protocal virtual state conns
----------------------------------------------------------------------
GranjaWeb TCP 9.1.1.100/32:80 OPERATIONAL 4
305
8
Resolución de Problemas
307
Para solucionar problemas de forma sistemática y efectiva no
sólo hacen falta técnicas: hay que seguir un método, una estra-
tegia que dirija las tácticas en la dirección adecuada. Cada per-
sona desarrolla un sistema propio basándose en su experiencia,
conocimientos y en observación. A medida que nos enfrentamos
a más problemas vamos aprendiendo de nuestros éxitos y fallos
y mejoramos. Vamos a examinar el método propuesto por el
matemático húngaro George Pólya en su libro "Cómo resolverlo".
Su sistema consta de cuatro pasos: entender el problema, diseñar
un plan, ejecutarlo y comprobar la solución.
308
Nota: En una larga entrevista publicada en el libro
"Programadores en acción" (Susan Lammers, Anaya
Multimedia 1988) Charles Simonyi, programador jefe de
Microsoft y responsable de productos como Word, des-
cribía como los programadores que contrataban recibían
dos libros el primer día de trabajo: "Uno de ellos, llamado
"Cómo resolverlo", de George Pólya [...] es como una lista
de comprobaciones para la resolución de problemas. Esto es
la lista de comprobaciones de prevuelo, la de despegue y la
de aterrizaje. No significa que esta lista vaya a enseñarte a
volar; pero, si no haces lo que dice, puedes estrellarte incluso
si ya sabes volar".
Puede leer en la página http://programmersatwork.wor-
dpress.com/programmers-at-work-charles-simonyi/ la en-
trevista original.
309
hecho mal. En estos casos el objetivo consiste en proporcionar
un nuevo servicio (de correo, de navegación, de descarga de
ficheros…) o en mejorar las condiciones en las que ese ser-
vicio se presta. En este contexto puede parecer innecesario el
preguntarse si ha habido cambios, pero si nos planteamos la
mejora de un servicio o su provisión como una tarea a realizar
de forma gradual y vamos probando cada paso de forma sis-
temática entonces la pregunta de si algo ha cambiado vuelve
a tener sentido.
310
las condiciones ideales puede que estas nunca se den. Aquí
lo más importante es armarse de paciencia e intentar ver con
claridad que cada paso dado es correcto.
Hay que tener en cuenta que pese a tener las líneas maes-
tras resueltas por el plan, puede haber muchos detalles por
resolver. Si el problema es demasiado grande conviene des-
componer su resolución en fases e ir comprobando las solu-
ciones parciales.
311
Figura 8.2. Modelo de referencia de redes.
312
Alan#sh int Serial0/0
Serial0/0 is up, line protocol is up
Hardware is HD64570
Internet address is 192.168.71.2 255.255.255.252
MTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,rely 255/255,load 205/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
Last input 0:00:05, output 0:00:00, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/142 (size/max/drops); Total output drops: 43770686
Output queue: 62/64/43770565 (size/threshold/drops)
Conversations 30/72 (active/max active)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 1263000 bits/sec, 339 packets/sec
5 minute output rate 1247000 bits/sec, 288 packets/sec
1152575636 packets input, 2665126293 bytes, 123 no buffer
Received 415629 broadcasts, 0 runts, 0 giants
3787 input errors,9 CRC,0 frame,1760 overrun,1760 ignored,6 abort
940698438 packets output, 1579834069 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets, 0 restarts
0 output buffer failures, 0 output buffers swapped out
6654 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
313
si está el otro lado activo. Compruebe el estado de la interfaz en
el extremo remoto. Esto no siempre es posible, puede necesitar
la cooperación del administrador del otro lado. Compruebe
el cableado y la calidad de la línea. En los casos en los que el
router ponga el reloj (sea DCE y no DTE) compruebe que esté
configurado para dar la señal con la orden "clockrate" y
que la velocidad sea consistente entre ambos extremos. Si la
salida fuera la de una interfaz Ethernet ("Ethernet0/0 is up, line
protocol is down") una caída del protocolo indica que el router
no detecta la red local (los keepalives no reciben respuesta y
la red está "caída a nivel de protocolo"). Generalmente esto
se debe a que el concentrador o conmutador de la red local
está apagado, el cable de red desconectado, problemas con el
transceiver, etc… También puede tratarse de un problema de
autenticación del protocolo PAP/CHAP.
"Serial0/0 is up, line protocol is up (looped)" indica que la in-
terfaz o el módem están en modo de prueba. Compruebe que
en la configuración no aparezca la orden "loopback" y si está
deshabilítela con "no loopback". Si es el módem el que está en
bucle (lo que puede venir indicado por indicadores como B2L,
B2R, B3L o 142) intente quitar el modo de prueba consultando
la documentación del mismo. A veces reseteando el módem
se terminan algunos de esos modos.
"Serial0/0 is up, line protocol is down (disabled)" muestra pro-
blemas derivados de una alta tasa de error en las interfaces o
en los dispositivos. Intercambie o sustituya componentes para
determinar cual es el que falla.
"Serial0/0 is administratively down, line protocol is down" sig-
nifica casi con seguridad que la interfaz está deshabilitada con
la orden "shutdown". Actívela con "no shutdown".
En el ejemplo vemos como a continuación aparece informa-
ción de la dirección IP asignada a la interfaz (información de
nivel de red). También tenemos información acerca del tipo de
hardware que equipa la interfaz. En nuestro ejemplo se trata de
una tarjeta HD64570, aunque encontrará una gran variedad en
este punto: QUICC, LANCE (LAN Controller Ethernet), AmdFE,
PQUICC_SAR, MCI, DEC21140A, M1T-T3+, oc3suni, ATM
Swi/Proc, etc… Seguidamente encontrará información acerca
de los valores de tamaño de paquete (MTU), ancho de banda
(BW), retraso (DLY), fiabilidad (rely) y carga (load):
MTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,rely 255/255,load 205/255
314
bastante alta (205/255, en torno al 80 por 100), lo que puede ser
un indicio si se presentan problemas de lentitud y pérdida de
paquetes. El grueso de la salida de esta orden hace referencia
a aspectos de nivel de enlace que veremos con más detalle
en el siguiente apartado, tales como el encapsulado, colas,
estadísticas de errores, tráfico, etc… En el ejemplo tenemos la
encapsulación HDLC:
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
315
no nosotros a ellos). En consecuencia es mucho más frecuente
encontrarnos con la siguiente combinación, que indica un pro-
blema con la línea o el módem:
DCD=down DSR=down DTR=up RTS=up CTS=down
El módem
Es el dispositivo que permite adaptar la línea física a los
equipos terminales de datos (DTE) como el router. Según el
modelo y tipo de línea también se les denominará CSU/DSU
(Channel Service Unit/Data Service Unit), UTR (Unidad de
Terminación de Red), ADI, etc… La tabla 8.2 muestra algunas
de las combinaciones de las luces de una unidad DSU/CSU
junto con su significado:
316
Estado Indicadores Medidas a adoptar
Los cables
Los cables son la red. Podemos tener los mejores routers
del mundo: si el cableado es malo, el rendimiento será peor.
Calidad aparte, los cables se deterioran de múltiples formas:
317
se parten, cortan, mojan, aplastan, estiran, queman, retuercen,
curvan, corroen y doblan. Las carcasas y los conectores de los
cables son puntos especialmente delicados y tampoco se es-
capan de estos rigores: patillas sucias, dobladas, partidas, todo
ello debido a mala manipulación, defectos de fabricación o fin
de la vida útil del producto por mencionar sólo algunos fac-
tores. Tampoco todos los entornos tratan por igual al cableado,
ni todos los cables van apantallados ante las interferencias
electromagnéticas (Electromagnetic Interference, EMI).
El recorrido que hagan los cables influye en el tipo de in-
terferencias que sufrirán. Los cables de red hacen de antena,
captando y emitiendo señales del entorno. Conviene por tanto
evitar en la medida de lo posible las fuentes de EMI: motores
eléctricos, lámparas fluorescentes, equipos de soldadura de
arco, otros ordenadores, termostatos, secadores, aspiradores,
radares y emisores de microondas por mencionar algunas
fuentes posibles de interferencia. Cuando un cable de red pasa
cerca de una fuente intermitente de EMI los efectos pueden
ser particularmente irritantes por lo difícil que puede llegar
a ser detectar las causas del fallo (por ejemplo, cuando una
determinada línea falla cada vez que se acciona un monta-
cargas en otra zona del edificio). Contra estas interferencias
puede usar cables blindados o pasar a fibra óptica los enlaces
expuestos a entornos demasiado hostiles electromagnética-
mente hablando.
318
señales y que "convierte" el cable directo en uno cruzado (suele
denominarse HUB-NO HUB, o TO HUB-TO PC). Algunas in-
terfaces de gama alta son capaces de detectar el tipo de cable
conectado y configurarse en consecuencia, pero en la mayoría
de los casos necesitaremos usar un cable específico para una
función determinada.
319
ruido, atenuación e incluso el tráfico. Estos comprobadores
se basan en la reflectometría en el dominio del tiempo (Time
Domain Reflectometry, o TDR). El comprobador manda un im-
pulso al dispositivo bajo estudio, que refleja la señal. Basándose
en esa reflexión se puede obtener información acerca de varias
características del dispositivo. Algunos modelos memorizan
las mediciones y con ayuda de un software proporcionado por
el fabricante permiten el volcado de los datos almacenados
simplificando la redacción de informes de certificación, docu-
mentación y verificación de instalaciones. En la publicidad de
estos productos se encuentran llamativas metáforas tales como
"radar para cables" o "estetoscopio para redes".
El router
Dependiendo del modelo su router Cisco poseerá unos
indicadores luminosos (LEDs). Muchos de estos indicadores
se encuentran situados en la parte trasera del equipo. El más
importante es el de OK, que se mantiene iluminado mien-
tras el funcionamiento general del sistema sea el correcto.
El resto de indicadores se corresponden con el estado de las
distintas interfaces y van situados a la derecha de los conec-
320
tores de la red local (AUI, Ethernet) y de los puertos serie
(Serial0, Serial0/0, etc), y se iluminan cuando hay actividad.
Otros routers también poseen indicadores en la parte frontal.
Igualmente los distintos adaptadores de medio (transceivers)
también llevan sus indicadores (power, link, etc…). Tenga en
cuenta que al encender el router éste pasa por un proceso de
arranque similar al de un PC (a este proceso se le denomina
POST, Power On Self Test) durante el cual, las luces pueden
presentar combinaciones inusuales. En la documentación que
acompaña al router encontrará el significado de cada indi-
cador. Recomendamos observar el estado de los indicadores
durante el funcionamiento correcto del equipo para tener un
punto de referencia.
Mediante la orden "show version" podrá conocer muchas
características del equipo (interfaces, versión IOS, caracterís-
ticas soportadas). Uno de los datos que podrá obtener también
con esta orden es cuanto tiempo lleva encendido el router (el
uptime) y la forma por la cual se encendió por última vez. La
causa más frecuente es sin duda por encendido (power on). Si
se le presenta esta situación con frecuencia tiene un problema
eléctrico. Recomendamos que revise la instalación e instale un
sistema de alimentación interrumpida (SAI).
Nureyev uptime is 4 weeks, 5 days, 17 hours, 49 minutes
System returned to ROM by power-on at 20:41:54 UTC Wed Nov 8 2000
321
de la temperatura y de la alimentación eléctrica. Observará que
el resultado de esta consulta es breve y conciso:
Coltrane#show environment
All measured values are normal
Temperature readings:
chassis inlet measured at 20C/68F
chassis outlet measured at 24C/75F
Voltage readings:
+3.45 V measured at +3.46 V
+5.15 V measured at +5.21 V
+12.15 measured at +12.29 V
-11.95 measured at -11.81 V
322
De nuevo la orden "show interfaces" proporciona va-
liosa información acera del estado del enlace, (line protocol is
up), así como del tipo de encapsulado y muchas estadísticas
acerca de los paquetes recibidos y transmitidos. Por ejemplo,
en la siguiente salida:
Serial1 is up, line protocol is up
Hardware is HD64570
Internet address is 192.168.71.2 255.255.255.252
MTU 1500 bytes,BW 1544 Kbit,DLY 20000 usec,rely 255/255,load 205/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
Last input 0:00:05, output 0:00:00, output hang never
Last clearing of "show interface" counters 4w1d.
Input queue: 0/75/142 (size/max/drops); Total output drops: 43770686
Output queue: 62/64/43770565 (size/threshold/drops)
Conversations 30/72 (active/max active)
Reserved Conversations 0/0 (allocated/max allocated)
5 minute input rate 1263000 bits/sec, 339 packets/sec
5 minute output rate 1247000 bits/sec, 288 packets/sec
1152575636 packets input, 2665126293 bytes, 123 no buffer
Received 415629 broadcasts, 0 runts, 0 giants
3487 input errors,9 CRC,0 frame,7360 overrun,7360 ignored,6 abort
940698438 packets output, 1579834069 bytes, 0 underruns
0 output errors, 0 collisions, 3 interface resets, 0 restarts
0 output buffer failures, 0 output buffers swapped out
6654 carrier transitions
DCD=up DSR=up DTR=up RTS=up CTS=up
323
Input queue: 0/75/142 (size/max/drops); Total output drops: 43770686
Output queue: 62/64/43770565 (size/threshold/drops)
Conversations 30/72 (active/max active)
Reserved Conversations 0/0 (allocated/max allocated)
324
Internet 172.16.1.53 7 0030.c1c5.77f1 ARPA Ethernet0/0
Internet 172.16.1.51 7 0000.c907.6f8b ARPA Ethernet0/0
Internet 172.16.1.81 7 0050.8b33.d0fc ARPA Ethernet0/0
Internet 172.16.1.83 7 0050.8bf4.4db6 ARPA Ethernet0/0
Internet 172.16.1.89 7 0008.c7ff.6ed0 ARPA Ethernet0/0
Ping
La orden "ping" (incluida también en Windows y UNIX)
es un mecanismo universal de comprobación la conectividad
a nivel de red.
325
Nota: Ping fue originalmente escrito por Mike Muus, quién
afirmaba de su propia invención que era "un programa inge-
nioso de mil líneas escrito en una tarde" ("a thousand lines
hack completed in about one evening"). Lea la historia de ping
por el propio Muus en la dirección http://ftp.arl.mil/~mike/
ping.html. Muus fue también el autor de ttcp, herramienta
para comprobar el rendimiento de las conexiones del nivel de
transporte TCP.
326
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.16.109.7, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 76/80/96 ms
327
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to172.16.45.160, timeout is 2 seconds:
.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!.!
Success rate is 50 percent(25/50),round-trip min/avg/max = 56/60/80ms
Traceroute
La orden "traceroute" muestra el camino que toman los
paquetes entre dos punto de una red IP.
328
Traceroute saca partido de este mecanismo de forma brillante
creando paquetes con valores pequeños de TTL: primero se fija
el TTL a 1 y el primer router del camino tira el paquete y manda
un mensaje (TIME_EXCEEDED) al emisor. A continuación se
fija el TTL a 2 y en esta ocasión es el segundo router el que lo tira
e informa al emisor, y así sucesivamente hasta que se prueba
con un TTL capaz de llegar al destino. Generalmente se pone
como puerto destino uno fuera de uso de forma que el último
sistema responde con un "PORT_UNREACHABLE". Con toda
la información que le llega de vuelta traceroute organiza una
tabla como la siguiente:
VanJacobson#trace 10.0.5.187
Type escape sequence to abort.
Tracing the route to 10.0.5.187
1 10.0.1.2 16 msec 16 msec 16 msec
2 10.0.2.2 32 msec 32 msec 32 msec
3 10.0.3.2 48 msec 48 msec 48 msec
4 10.0.4.2 64 msec 60 msec 60 msec
5 10.0.5.187 60 msec 60 msec 64 msec
Debug
Una de las herramientas más potentes (y veremos que
peligrosa) del router es la orden "debug". Por medio de esta
orden podemos monitorizar casi cualquier aspecto del com-
portamiento del router. De hecho, aunque la incluimos entre
las herramientas de análisis del nivel de red, las órdenes de de-
puración pueden examinar aspectos físicos de una interfaz así
como el comportamiento de protocolos de capas superiores.
Como contrapartida debemos decir que las salidas de esta
orden pueden ser muy extensas, de forma que hay que saber
exactamente que se está buscando para no perderse en un mar
de detalles. Además existe el peligro de bloquear el router con
algunos de los "debug". Nunca debe usar debug en routers con
mucho tráfico, siendo muy conveniente tener acceso físico al
router por el puerto de consola.
Uno de los "debug" que ofrece más información y que
precisamente por este motivo puede bloquear fácilmente un
router con tráfico es "debug ip packets". Precisamente por
329
ello se debe usar con precaución y asociando la depuración a
una lista de acceso (normal o extendida).
Veamos un par de ejemplos con las siguientes órdenes:
access-list 101 permit icmp host 10.0.0.1 host 10.0.0.2
debug ip packets detailed 101
! dirigimos la salida al terminal
ter mon
330
A continuación, terminaremos la depuración con "un-
debug all":
Sagan#unde all
All possible debugging has been turned off
331
número determinado de paquetes tras lo cual la aplicación se
detiene. En el ejemplo de la figura 8.6 hacemos uso de las op-
ciones "-npi": con "n" desactivamos la resolución DNS de forma
que muestra las direcciones en formato numérico (direcciones
IP), "p" pone la interfaz en modo promíscuo y la opción "i" con
la que indicamos que escuche una interfaz de red determinada
(la número 2 en nuestro caso). Otras opciones típicas son "-v"
(verbose) y "-x" (añade cabeceras y volcado del contenido del
paquete).
332
Figura 8.7. Wireshark: pantalla inicial.
333
Figura 8.10. Wireshark: tráfico capturado.
334
Nota: Para descargar Wireshark o consultar la documen-
tación que lo acompaña vaya a la página http://www.
wireshark.org/. En el estupendo blog "Seguridad y Redes
de Alfon" (http://seguridadyredes.nireblog.com/) tenemos
detalladas explicaciones del uso del Wireshark y muchas otras
herramientas.
8.3.1. Documentación
Resulta muy útil tener el sistema bien documentado, lo que
supone disponer de la información actualizada de los sistemas
que la componen, su disposición física, la arquitectura lógica
de la red, conocer el espacio de direcciones utilizado y las ca-
racterísticas de su funcionamiento en condiciones normales.
Parte de la documentación del sistema contiene la infor-
mación referente a las compras realizadas: facturas, garantías,
contratos, números de serie, identificadores de líneas, etc…
Por otro lado, muchos de los sistemas que adquiramos vienen
acompañados de materiales, manuales, CDROM, etc…y es
necesario guardar esta documentación de forma que esté lo-
calizable y accesible en caso de ser necesaria.
También debemos mantener por escrito los procedimientos
para realizar las principales tareas. Basta con copiar la configura-
ción de un router antes y después de un cambio, señalando por
ejemplo en negrita los cambios en la configuración y añadiendo
en cursiva comentarios acerca de la función de cada orden. Una
carpeta en red en la que los técnicos vayan dejando estos sencillos
documentos acerca de cómo resolvieron tareas como un NAT
estático, un route-map o una priorización por protocolo puede
resultar extremadamente útil, además de suponer un verdadero
estímulo para los que realizan esta tarea. Conviene realizar co-
pias de seguridad de toda esta información.
335
8.3.2. Mapas de la red
Un tipo muy especial de documentación la constituyen los
mapas de red donde se detallen la topología y las direcciones
de los dispositivos. Programas como Visio permiten realizar
esquemas con los que apreciar de un sólo golpe de vista las
principales características de la red a la que nos enfrentamos.
También hay herramientas que descubren la topología de una
red y la dibujan, pero en general necesitaremos retocar el re-
sultado de estos programas.
8.3.3. Configuraciones
Otra información fundamental la constituyen las configura-
ciones de los equipos de red. Es muy importante documentar
las configuraciones de los equipos (junto con la descripción
de su instalación) y mantener una copia de esa información
en un lugar seguro. Conviene tener una copia en papel de esta
información, dado que cuando la necesitemos puede ser preci-
samente cuando los sistemas informáticos no estén disponibles.
Esto es de especial aplicación en el caso de los sistemas funda-
mentales. En caso necesario podríamos reconstruir el sistema.
Esto implica llevar un control de los cambios realizados sobre
el sistema, evitando los cambios incontrolados e indocumen-
tados. A menudo se piden cambios "para ayer" que se hacen
sobre la marcha y que no quedan reflejados en ninguna parte.
Hay que habilitar mecanismos flexibles pero sistemáticos para
llevar un control de los cambios que tienen lugar.
La orden básica para copiar las configuraciones es "copy
origen destino". Vemos a continuación algunos de los po-
sibles destinos de la configuración de arranque:
Sagan#copy startup-config ?
ftp: Copy to ftp: file system
lex: Copy to lex: file system
null: Copy to null: file system
nvram: Copy to nvram: file system
rcp: Copy to rcp: file system
running-config Update (merge with) current system configuration
startup-config Copy to startup configuration
system: Copy to system: file system
tftp: Copy to tftp: file system
336
matizar estas tareas con scripts de forma que las descargas se
hagan automáticamente.
Fragments http://blogs.nil.com/
Packet Life http://packetlife.net/
Cisco Learning http://blog.sazza.de/
Cyber Risk http://tools.cisco.com/security/center/
cyberRiskReport.x
IOS Hints and Tricks http://blog.ioshints.info/
CiscoBlog http://www.ciscoblog.com/
From the Field http://www.networkworld.com/commu-
nity/morris
The Platform http://blogs.cisco.com/news
Netcordia http://connection.netcordia.com/blogs/
Should Have Gone http://shouldhavegonewithcisco.com/
With Cisco
Write mem http://www.wr-mem.com/
Networkeando http://networkeando.blogspot.com/
337
A
Apéndice
339
ciones y protocolos que actúan entre los dispositivos de red,
incluyendo los protocolos de enrutamiento (BGP, EIGRP,
OSPF, IS-IS...), los mecanismos que protegen del impacto de
las cargas de tráfico sobre la CPU, la securización de BGP, los
protocolos de enrutamiento interiores así como los protocolos
de redundancia de primer salto (GLBP, HSRP y VRRP).
El Plano de Gestión (Management Plane) es el que se encarga
de manejar el tráfico que se envía a los dispositivos de red para
gestionarlos y está hecho a partir de aplicaciones y protocolos
como Telnet, SSH, SNMP, FTP, TFTP, TACACS+, Radius,
NetFlow, NTP o Syslog. En este plano caen las listas (ACLs)
que controlan el acceso a la infraestructura, el uso de AAA, el
uso de protocolos seguros para acceder y transferir datos (ssh
vs telnet, scp vs ftp), fortificación de SNMP, logging y gestión
de las configuraciones.
El Plano de Datos (Data Plane) se encarga de mover la in-
formación por la red de origen a destino, excluyendo el tráfico
que se envía a los propios dispositivos (que caería en el ámbito
del plano de Gestión) y el que se envían entre los dispositivos
para mantener la infraestructura (que pertenecería el Plano
de Control). Trata de cómo filtrar tráfico por medio de ACLs,
técnicas Anti-Spoofing, mecanismos de limitación de impacto
sobre la CPU, identificación de tráfico, control de acceso me-
diante VLAN Maps y Port Access Control Lists y el uso de
VLANs privadas.
Por último tenemos el Plano de Servicios (Services plane),
similar al de Datos en el sentido de que porta tráfico hacia,
desde y entre los usuarios, servidores y otras entidades no
enrutadoras pero que se diferencia del Plano de Datos en la
forma en que se procesan los paquetes de los servicios que lo
componen: VPN tunneling (MPLS, IPsec, SSL, GRE), traduc-
ciones (IPv6-to-IPv4, NAT), firewalls, IDS/IPS, voz , vídeo...
Todos estos servicios son típicamente manejados por proce-
sadores adicionales que funcionan en capas por encima de las
del plano de Datos tradicional, y que precisan un manejo de
extremo a extremo (QoS).
340
Frame Relay para acceder a una nube MPLS (capítulo 4), todo
ello montado sobre el emulador GNS3.
341
Edc_Rojo_Barcelona
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Edc_Rojo_Barcelona
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
memory-size iomem 10
ip cef
!
interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description CONEXION POR SERIAL CON PE_MADRID
mtu 2098
no ip address
encapsulation frame-relay IETF
no fair-queue
clock rate 2000000
!
interface Serial0/0.260 point-to-point
ip address 172.16.2.2 255.255.255.252
frame-relay interface-dlci 260
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0.260
network 172.16.0.0
network 192.168.20.0
342
distribute-list 99 in FastEthernet0/0
distribute-list prefix 98 out Serial0/0.260
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Serial0/0.260
!
ip http server
no ip http secure-server
!
ip prefix-list 98 description Red Lan de Cliente
ip prefix-list 98 seq 15 permit 192.168.20.0/24
access-list 99 deny any
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
End
Edc_Rojo_Madrid
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Edc_Rojo_Madrid
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
memory-size iomem 10
ip cef
!
interface FastEthernet0/0
ip address 192.168.200.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description CONEXION POR SERIAL CON PE_MADRID
mtu 2098
no ip address
encapsulation frame-relay IETF
343
no fair-queue
clock rate 2000000
!
interface Serial0/0.260 point-to-point
ip address 172.16.1.2 255.255.255.252
frame-relay interface-dlci 260
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0.260
network 172.16.0.0
network 192.168.200.0
distribute-list 99 in FastEthernet0/0
distribute-list prefix 98 out Serial0/0.260
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Serial0/0.260
!
ip http server
no ip http secure-server
!
ip prefix-list 98 description Red Lan de Cliente
ip prefix-list 98 seq 15 permit 192.168.200.0/24
access-list 99 deny any
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
Edc_Verde_Barcelona
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
344
no service password-encryption
!
hostname Edc_Verde_Barcelona
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
memory-size iomem 10
ip cef
!
interface FastEthernet0/0
ip address 192.168.210.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description CONEXION POR SERIAL CON PE_MADRID
mtu 2098
no ip address
encapsulation frame-relay IETF
no fair-queue
clock rate 2000000
!
interface Serial0/0.260 point-to-point
ip address 172.16.2.6 255.255.255.252
frame-relay interface-dlci 260
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial0/1
no ip address
shutdown
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0.260
network 172.16.0.0
network 192.168.20.0
network 192.168.210.0
distribute-list 99 in FastEthernet0/0
distribute-list prefix 98 out Serial0/0.260
no auto-summary
!
345
ip route 0.0.0.0 0.0.0.0 Serial0/0.260
!
ip http server
no ip http secure-server
!
ip prefix-list 98 description Red Lan de Cliente
ip prefix-list 98 seq 15 permit 192.168.20.0/24
access-list 99 deny any
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
Edc_Verde_Madrid
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Edc_Verde_Madrid
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
memory-size iomem 10
ip cef
!
interface FastEthernet0/0
ip address 192.168.200.1 255.255.255.0
duplex auto
speed auto
!
interface Serial0/0
description CONEXION POR SERIAL CON PE_MADRID
mtu 2098
no ip address
encapsulation frame-relay IETF
no fair-queue
clock rate 2000000
!
interface Serial0/0.260 point-to-point
346
ip address 172.16.1.6 255.255.255.252
frame-relay interface-dlci 260
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
router rip
version 2
passive-interface default
no passive-interface Serial0/0.260
network 172.16.0.0
network 192.168.200.0
distribute-list 99 in FastEthernet0/0
distribute-list prefix 98 out Serial0/0.260
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 Serial0/0.260
!
ip http server
no ip http secure-server
!
ip prefix-list 98 description Red Lan de Cliente
ip prefix-list 98 seq 15 permit 192.168.200.0/24
access-list 99 deny any
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
End
PE_BARCELONA
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PE_BARCELONA
!
boot-start-marker
boot-end-marker
!
no aaa new-model
347
!
resource policy
!
ip subnet-zero
ip cef
!
ip vrf VPNIP_ROJA
rd 100:30
export map VPNIP_ROJA
route-target export 100:30
route-target import 100:30
!
ip vrf VPNIP_VERDE
rd 100:20
export map VPNIP_VERDE
route-target export 100:20
route-target import 100:20
!
mpls label protocol ldp
mpls ldp loop-detection
mpls ldp explicit-null
!
archive
log config
hidekeys
!
interface FastEthernet0/0
ip address 10.0.0.20 255.255.255.0
duplex full
speed 100
mpls ip
mpls mtu 1520
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial1/0
mtu 2098
no ip address
encapsulation frame-relay IETF
no fair-queue
serial restart-delay 0
clock rate 2016000
no dce-terminal-timing-enable
frame-relay lmi-type ansi
!
interface Serial1/0.101 point-to-point
ip vrf forwarding VPNIP_ROJA
348
ip address 172.16.2.1 255.255.255.252
frame-relay interface-dlci 101
!
interface Serial1/0.102 point-to-point
ip vrf forwarding VPNIP_VERDE
ip address 172.16.2.5 255.255.255.252
frame-relay interface-dlci 102
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
no dce-terminal-timing-enable
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
no dce-terminal-timing-enable
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
no dce-terminal-timing-enable
!
router rip
version 2
passive-interface default
no passive-interface Serial1/0.101
no passive-interface Serial1/0.102
network 172.16.0.0
no auto-summary
!
address-family ipv4 vrf VPNIP_VERDE
network 172.16.0.0
no auto-summary
version 2
exit-address-family
!
address-family ipv4 vrf VPNIP_ROJA
network 172.16.0.0
no auto-summary
version 2
exit-address-family
!
router bgp 65000
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 10.0.0.110 remote-as 65000
neighbor 10.0.0.110 update-source FastEthernet0/0
349
!
address-family ipv4
neighbor 10.0.0.110 activate
no auto-summary
no synchronization
exit-address-family
!
address-family vpnv4
neighbor 10.0.0.110 activate
neighbor 10.0.0.110 send-community extended
neighbor 10.0.0.110 route-reflector-client
exit-address-family
!
address-family ipv4 vrf VPNIP_VERDE
redistribute rip route-map FILTRO_WANS
no auto-summary
no synchronization
exit-address-family
!
address-family ipv4 vrf VPNIP_ROJA
redistribute rip
no auto-summary
no synchronization
exit-address-family
!
ip classless
no ip http server
no ip http secure-server
!
ip prefix-list WANS seq 5 permit 192.168.0.0/16
logging alarm informational
!
route-map FILTRO_WANS deny 10
match ip address prefix-list WANS
!
route-map FILTRO_WANS permit 20
!
mpls ldp router-id FastEthernet0/0
!
control-plane
!
gatekeeper
shutdown
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
password cisco
350
login
!
!
End
PE_MADRID
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname PE_MADRID
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
ip vrf VPNIP_ROJA
rd 100:30
export map VPNIP_ROJA
route-target export 100:30
route-target import 100:30
!
ip vrf VPNIP_VERDE
rd 100:20
export map VPNIP_VERDE
route-target export 100:20
route-target import 100:20
!
mpls label protocol ldp
mpls ldp loop-detection
mpls ldp explicit-null
!
archive
log config
hidekeys
!
interface FastEthernet0/0
ip address 10.0.0.10 255.255.255.0
duplex full
speed 100
mpls ip
mpls mtu 1520
!
351
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface Serial1/0
mtu 2098
no ip address
encapsulation frame-relay IETF
no fair-queue
serial restart-delay 0
clock rate 2016000
no dce-terminal-timing-enable
frame-relay lmi-type ansi
!
interface Serial1/0.101 point-to-point
ip vrf forwarding VPNIP_ROJA
ip address 172.16.1.1 255.255.255.252
frame-relay interface-dlci 101
!
interface Serial1/0.102 point-to-point
ip vrf forwarding VPNIP_VERDE
ip address 172.16.1.5 255.255.255.252
frame-relay interface-dlci 102
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
no dce-terminal-timing-enable
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
no dce-terminal-timing-enable
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
no dce-terminal-timing-enable
!
router rip
version 2
passive-interface default
no passive-interface Serial1/0.101
no passive-interface Serial1/0.102
network 172.16.0.0
no auto-summary
352
!
address-family ipv4 vrf VPNIP_VERDE
network 172.16.0.0
no auto-summary
version 2
exit-address-family
!
address-family ipv4 vrf VPNIP_ROJA
network 172.16.0.0
no auto-summary
version 2
exit-address-family
!
router bgp 65000
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 10.0.0.110 remote-as 65000
neighbor 10.0.0.110 update-source FastEthernet0/0
!
address-family ipv4
neighbor 10.0.0.110 activate
no auto-summary
no synchronization
exit-address-family
!
address-family vpnv4
neighbor 10.0.0.110 activate
neighbor 10.0.0.110 send-community extended
neighbor 10.0.0.110 route-reflector-client
exit-address-family
!
address-family ipv4 vrf VPNIP_VERDE
redistribute rip route-map FILTRO_WANS
no auto-summary
no synchronization
exit-address-family
!
address-family ipv4 vrf VPNIP_ROJA
redistribute rip
no auto-summary
no synchronization
exit-address-family
!
ip classless
no ip http server
no ip http secure-server
!
ip prefix-list WANS seq 5 permit 192.168.0.0/16
logging alarm informational
!
route-map FILTRO_WANS deny 10
353
match ip address prefix-list WANS
!
route-map FILTRO_WANS permit 20
!
mpls ldp router-id FastEthernet0/0
!
control-plane
!
gatekeeper
shutdown
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
End
REFLECTOR1
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname REFLECTOR1
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
interface FastEthernet0/0
ip address 10.0.0.110 255.255.255.0
duplex half
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
router bgp 65000
354
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 10.0.0.10 remote-as 65000
neighbor 10.0.0.20 remote-as 65000
!
address-family ipv4
neighbor 10.0.0.10 activate
neighbor 10.0.0.10 route-reflector-client
neighbor 10.0.0.20 activate
neighbor 10.0.0.20 route-reflector-client
no auto-summary
no synchronization
exit-address-family
!
address-family vpnv4
neighbor 10.0.0.10 activate
neighbor 10.0.0.10 send-community extended
neighbor 10.0.0.10 route-reflector-client
neighbor 10.0.0.20 activate
neighbor 10.0.0.20 send-community extended
neighbor 10.0.0.20 route-reflector-client
bgp redistribute-internal
exit-address-family
!
ip classless
no ip http server
no ip http secure-server
!
logging alarm informational
!
control-plane
!
gatekeeper
shutdown
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
end
355
Message Processors) instalados en la Universidad de California
- Los Ángeles (UCLA), el Stanford Research Institute (SRI), en
la Universidad de California – Santa Bárbara (UCSB) y en la
Universidad de Utah.
356
SRI#show ip interfaces brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0 192.168.2.1 YES manual up up
Serial0 172.16.0.10 YES manual up up
Serial1 172.16.0.2 YES manual up up
Serial2 172.16.0.13 YES manual up up
ROUTER UTAH
UTAH#sh run
Building configuration...
357
ip classless
!
line con 0
stopbits 1
line vty 0 4
password cisco
login
!
End
ROUTER SRI
SRI#sh run
Building configuration...
358
ip address 172.16.0.13 255.255.255.252
!
router rip
version 2
network 172.16.0.0
network 192.168.2.0
no auto-summary
!
ip classless
no ip http server
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
no scheduler allocate
end
ROUTER UCSB
UCSB#sh run
Building configuration...
359
interface Serial0
description Conexion con SRI
ip address 172.16.0.9 255.255.255.252
no fair-queue
!
interface Serial1
description Conexion con UCLA
ip address 172.16.0.6 255.255.255.252
clockrate 125000
!
router rip
version 2
network 172.16.0.0
network 192.168.3.0
no auto-summary
!
ip http server
ip classless
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
password cisco
login
!
end
ROUTER UCLA
UCLA#sh run
Building configuration...
360
ip address 172.16.0.1 255.255.255.252
no fair-queue
!
interface Serial1
ip address 172.16.0.5 255.255.255.252
!
router rip
version 2
network 172.16.0.0
network 192.168.1.0
no auto-summary
!
ip classless
ip http server
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
End
361
Puerto/protocolo Descripción
362
Puerto/protocolo Descripción
363
Puerto/protocolo Descripción
364
Puerto/protocolo Descripción
365
Puerto/protocolo Descripción
6348/udp Gnutella
6349/udp Gnutella
6350/udp Gnutella
6355/udp Gnutella
6667/tcp IRC IRCU Internet Relay Chat
6881/tcp BitTorrent puerto por defecto
6969/tcp BitTorrent puerto de tracker
7100/tcp Servidor de Fuentes X11
7100/udp Servidor de Fuentes X11
8000/tcp iRDMI, usado erróneamente en sustitución
de 8080.
8080/tcp HTTP HTTP-ALT ver puerto 80.
8118/tcp privoxy
9009/tcp Pichat peer-to-peer chat server
9898/tcp Gusano Dabber (troyano/virus)
10000/tcp Webmin (administración remota web)
19226/tcp Panda Security, comunicaciones de Panda
Agent.
12345/tcp NetBus en:NetBus (troyano/virus)
31337/tcp Back Orifice, administración remota (tro-
yanos)
Fuentes:
http://es.wikipedia.org/wiki/Lista_de_
números_de_puerto
http://www.iana.org/assignments/
port-numbers
http://www.ietf.org/rfc/rfc1700.txt
366
En primer lugar nos conectamos con un software de emu-
lación de terminal como Hyperterminal o Putty al puerto de
consola del router con los parámetros habituales:
Velocidad 9600 (baud rate)
Sin paridad (No parity)
Ocho bits de datos (8 data bits)
Un bit de parada (1 stop bit)
Sin control de flujo (No flow control)
Apagamos y encendemos el router y paramos la secuencia
de arranque en los sesenta segundos transcurridos desde el
encendido.
You must reset or power cycle for new config to take effect
367
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
368
00:00:52: %LINK-5-CHANGED: Interface Serial0/1,
changed state to administratively down
00:00:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0,
changed state to down
00:00:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/1,
changed state to down
Router>
369
Ethernet0/1 unassigned YES TFTP administratively down down
Serial0/1 unassigned YES TFTP administratively down down
Loopback0 193.251.121.157 YES TFTP up up
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# interface Ethernet0/0
Router(config-if)# no shutdown
Router(config-if)#
00:02:14: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
00:02:15: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0,
changed state to up
Router(config-if)# interface BRI0/0
Router(config-if)# no shutdown
Router(config-if)#
00:02:26: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to down
00:02:26: %LINK-3-UPDOWN: Interface BRI0/0:2, changed state to down
00:02:26: %LINK-3-UPDOWN: Interface BRI0/0, changed state to up
00:02:115964116991: %ISDN-6-LAYER2UP: Layer 2 for Interface BR0/0,
TEI 68 changed to up
Router(config-if)# ^Z
Router#
00:02:35: %SYS-5-CONFIG_I: Configured from console by console
Router#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE
SOFTWARE (fc2)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Tue 07-Dec-99 02:21 by phanguye
Image text-base: 0x80008088, data-base: 0x80C524F8
370
X.25 software, Version 3.0.0.
Basic Rate ISDN software, Version 1.1.
Router#
371
Figura A.8. Cabecera IPv4, cortesía de Matt Baxter
(http://www.fatpipe.org/~mjb/Drawings/)
372
Figura A.10. Cabecera TCP, cortesía de Matt Baxter
(http://www.fatpipe.org/~mjb/Drawings/)
373
Índice alfabético
375
376
377
378
379
380
381
382
383
384