Apuntes CCNA (3)
LISTAS DE ACCESO ESTÁNDAR
Las listas de acceso IP estándar comprueban las direcciones de
origen de los paquetes que solicitan enrutamiento. El resultado es el
permiso o la denegación de la salida del paquete por parte del
protocolo, basándose en la dirección IP de la red-subred-host de
origen.
LISTAS DE ACCESO EXTENDIDAS
Las listas de acceso comprueban tanto la dirección de origen
como la de destino de cada paquete. También pueden verificar
protocolos especificados, números de puerto y otros parámetros.
Las listas de acceso pueden aplicarse de las siguientes formas:
LISTAS DE ACCESO DE ENTRADA
Los paquetes entrantes son procesados antes de ser enrutados a
una interfaz de salida, si el paquete pasa las pruebas de filtrado,
será procesado para su enrutamiento.(evita la sobrecarga asociada a
las búsquedas en las tablas de enrutamiento si el paquete ha de ser
descartado por las pruebas de filtrado).
LISTAS DE ACCESO DE SALIDA
Los paquetes entrantes son enrutados a la interfaz de salida y
después son procesados por medio de la lista de acceso de salida antes
de su transmisión.
Las listas de acceso expresan el conjunto de reglas que proporcionan
un control añadido para los paquetes que entran en interfaces de
entrada, paquetes que se trasmiten por el router, y paquetes que salen
de las interfaces de salida del router.
Las listas de acceso no actúan sobre paquetes originados en el propio
router, como las actualizaciones de enrutamiento a las sesiones Telnet
salientes.
OPERATIVIDAD DE LAS LISTAS DE ACCESO
Cuando un paquete llega a una interfaz, el router comprueba si
el paquete puede ser retransmitido verificando su tabla de
enrutamiento. Si no existe ninguna ruta hasta la dirección de destino,
el paquete es descartado.
A continuación, el router comprueba si la interfaz de destino
esta agrupada en alguna lista de acceso. De no ser así, el paquete
puede ser enviado al búfer de salida.
Si el paquete de salida está destinado a un puerto, que no ha
sido agrupado a ninguna lista de acceso de salida, dicho paquete ser á
enviado directamente al puerto destinado.
Si el paquete de salida está destinado a un puerto ha sido
agrupado en una lista de acceso outbound, antes de que el paquete
pueda ser enviado al puerto destinado será verificado por una serie de
instrucciones de la lista de acceso asociada con dicha interfaz.
Dependiendo del resultado de estas pruebas, el paquete será admitido o
denegado.
Para las listas de salida permit significa enviar al búfer de
salida, mientras que deny se traduce en descartar el paquete.
Para las listas de entrada permit significa continuar el procesamiento
del paquete tras su recepción en una interfaz, mientras que deny
significa descartar el paquete.
Cuando se descarta un paquete IP, ICMP devuelve un paquete
especial notificando al remitente que el destino ha sido inalcanzable.
PRUEBA DE CONDICIONES EN LISTAS DE ACCESO
Las instrucciones de una lista de acceso operan en un orden
lógico secuencial.
Evalúan los paquetes de principio a fin, instrucción a instrucción.
Si la cabecera de un paquete se ajusta a una instrucción de la lista
de acceso, el resto de las instrucciones de la lista serán omitidas, y
el paquete será permitido o denegado según se especifique en la
instrucción competente.
Si la cabecera de un paquete no se ajusta a una instrucción de
la lista de acceso, la prueba continua con la siguiente instrucci ón de
la lista.
El proceso de comparación sigue hasta llegar al final de la lista,
cuando el paquete será denegado implícitamente.
Una vez que se produce una coincidencia, se aplica la opción de
permiso o denegación y se pone fin a las pruebas de dicho paquete.
Esto significa que una condición que deniega un paquete en una
instrucción no puede ser afinada en otra instrucción posterior.
La implicación de este modo de comportamiento es que el orden en
que figuran las instrucciones en la lista de acceso es esencial.
Hay una instrucción final que se aplica a todos los paquetes que no
han pasado ninguna de las pruebas anteriores. Esta condición final se
aplica a todos esos paquetes y se traducen en una condición de
denegación del paquete.
En lugar de salir por alguna interfaz, todos los paquetes que no
satisfacen las instrucciones de la lista de acceso son descartadas.
Esta instrucción final se conoce como la denegación implícita de
todo, al final de cada lista de acceso. Aunque esta instrucción no
aparece en la configuración del router, siempre esta activa. Debido a
dicha condición, es necesaria que en toda lista de acceso exista al
menos una instrucción permit, en caso contrario la lista de acceso
bloquearía todo el tráfico.
IMPLEMENTACIÓN DE LISTAS DE ACCESO
Una lista de acceso puede ser aplicada a múltiples interfaces.
Sin embargo, sólo puede haber una lista de acceso por protocolo, por
dirección y por interfaz.
Utilice sólo números de listas de acceso dentro del rengo definido por
CISCO para el protocolo y el tipo de listas que va ha crear.
Sólo se permite una lista por protocolo, dirección e interfaz. Es posible
tener varias listas para una interfaz, pero cada una debe pertenecer a un
protocolo diferente.
Procesamiento de principio a fin:
- Organice las listas de acceso de modo que las referencias m ás específicas
a una red o subred aparezcan delante de las más generales. Coloque las
condiciones de cumplimiento más frecuente antes de las menos habituales.
- Las adiciones a las listas se agregan siempre al final de éstas, pero
siempre delante de la condición de denegación implícita.
- No es posible agregar a eliminar selectivamente instrucciones de una
lista cuando se usan listas de acceso numeradas, pero sí cuando se usan
listas de acceso IP con nombre(característica de Cisco IOS v.11.2)
Denegación implícita de todo:
- A menos que termine una lista de acceso con una condición de permiso
implícito de todo, se denegará todo el trafico que no cumpla ninguna de
las condiciones establecidas en la lista.
- Toda lista de acceso deben incluir al menos una instrucción permit. En
caso contrario, todo el trafico será denegado.
Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz
con una lista de acceso inexistente o indefinida aplicada al mismo dar á
paso(permitirá) a todo el trafico.
Las listas de acceso permiten filtrar sólo el tráfico que pasa por el
router. No pueden hacer de filtro para el tráfico originado por el propio
router.
COMANDOS BASICOS DE LISTAS DE ACCESO
Las listas de acceso contienen instrucciones globales que se
aplican para identificar paquetes. Estas listas se crean con el
comando access-list.
El comando de configuración de interfaz ip access-group activa
la lista de acceso IP en una interfaz.
Router(config)#access-list[nº de lista de
acceso][permit|deny][condiciones de prueba]
La opción permit significa que al paquete le será permitido
pasar a través de las interfaces que se apliquen en la lista.
La opción deny significa que el router descartará el paquete.
Los últimos parámetros de la instrucción especifican las condiciones
de pruebas.
La prueba puede ser tan simple como comprobar una dirección de
origen individual, la lista puede expandirse para incluir varias
condiciones de prueba.
Router(config)#[protocolo]access-group[nº de lista de acceso][in|out]
Se activa una lista de acceso IP en una interfaz.
Listas de acceso IP Rango numérico identificador
Estándar 1 a 99
Extendida 100 a 199
Con nombre Nombre(Cisco IOS 11.2 y posterior)
Listas de acceso IPX Rango numérico identificador
Estándar 800 a 899
Extendida 900 a 999
Filtros SAP 1000 a 1099
Con nombre Nombre (Cisco IOS 11.2F y posterior)
LISTAS DE ACCESO TCP/IP
Una lista de acceso aplicada a una interfaz hace que el router
busque en la cabecera de la capa 3 y posiblemente en la cabecera de la
capa 4 un paquete del tráfico de la red al que aplicar las condiciones
de prueba.
Las listas de acceso IP estándar verifican sólo la dirección de
origen en la cabecera del paquete(Capa 3).
Las listas de acceso IP extendidas pueden verificar otros muchos
elementos, incluidas opciones de la cabecera del segmento(Capa 4),
como los números de puerto.
Para el filtrado de paquetes TCP/IP, las listas de acceso IP
verifica las cabeceras del paquete y de la capa superior, para
detectar lo siguiente:
Direcciones IP de origen para listas de acceso estándar. Las listas
de acceso estándar están identificadas por los números entre 1 y 99.
Direcciones IP de origen y destino, protocolos específicos y
números de puerto TCP y UDP, con listas de acceso extendidas. Las
listas de acceso extendidas están identificadas por los números
entre 10 y 199.
Puede ser necesario probar condiciones para un grupo o rengo de
direcciones IP, o bien para una dirección IP individual.
La comparación de direcciones tiene lugar usando máscaras que actúan a
modo de comodines en las direcciones de la lista de acceso, para
identificar los bits de la dirección IP que han de coincidir
explícitamente y cuales pueden ser ignorados.
El enmascaramiento wildcard para los bits de direcciones IP
utiliza los números 1 y 0 para referirse a los bits de la dirección.
Un bit de máscara wildcard 0 significa “comprobar el valor
correspondiente”
Un bit de mascara wildcard 1 significa “No comprobar(ignorar) el
valor del bit correspondiente”
Para los casos más frecuentes de enmascaramiento wildcard se
pueden utilizar abreviaturas.
Host = mascara comodín 0.0.0.0
Any = 0.0.0.0 255.255.255.255
Router(config)#access-list[nº de lista de
acceso][permit|deny][dirección de origen][mascara comodín]
Numero de lista de acceso Identifica la lista a la que pertenece la
entrada. Se trata de un número entre 1 y 99.
Permit|deny indica si esta entrada permitirá o bloqueará el tráfico
a partir de la dirección especificada.
Dirección de origen identifica la dirección IP de origen.
Mascara wildcard identifica los bits del campo de la dirección que
serán comprobados.
La mascara predeterminada es 0.0.0.0(coincidencia de todos los bits).
Router(config)#ip access-group[nº de lista de acceso][in|out]
Número de lista de acceso indica el número de lista de acceso que
será aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicará como filtro de
entrada o de salida.
Si no se especifica nada, se adoptará la opción out por omisión.
ELIMINAR UNA LISTA DE ACCESO DE UNA INTERFAZ
1. no ip access-group[nº de lista de acceso] en la interfaz
2. no access-list[nº de lista de acceso] comando global
CONTROL DE ACCESO VTY
Líneas de terminal virtual. Existen por omisión, cinco de estas
líneas de terminal virtual numeradas del 0 al 4.
Una lista de acceso extendida para Telnet de salida no impide sesiones
Telnet iniciadas en el router.
El filtrado de Telnet se considera normalmente una función de
lista de acceso IP extendida, debido a que está filtrando un protocolo
de nivel superior.
Se puede crear una lista de acceso estándar donde se identifique la
dirección de origen y se aplica a las líneas vty usando el comando
access-class.
El comando access-class se aplica también a listas IP estándar
para filtrar sesiones Telnet salientes del router mediante l íneas vty.
COMO APLICAR UNA LISTA DE ACCESO ESTÁNDAR A LOS PUERTOS
TELNET.
router(config)#line vty[#|rango vty]
# indica una línea vty especifica a configurar.
Rango-vty indica un rango de líneas vty a las que se aplicará la
configuración.
Utilice el comando access-class para enlazar la lista de acceso
existente a una línea o rango de líneas de terminal.
router(config-line)#access-class[nº de lista de acceso][in|out]
Número de lista de acceso indica el número de la lista de acceso a
vincular a una línea de terminal. Este es un valor decimal entre 1 y
99.
In impide que el router pueda recibir conexiones Telnet desde las
direcciones de origen que aparecen en la lista de acceso.
Out impide que los puertos vty del router pueden iniciar conexiones
Telnet a las direcciones definidas en la lista de acceso est ándar.
Tenga en cuenta que la dirección de origen especificada en la lista de
acceso estándar se considera como una dirección de destino cuando se
usa access-class out.
La denegación implícita a todo se sigue aplicando a la lista de
acceso.
LISTAS DE ACCESO IP EXTENDIDAS
Las listas de acceso estándar realizan el filtrado basándose en
una máscara y una dirección de origen.
Este tipo de listas permiten o deniegan el acceso a todo el protocolo
TCP/IP.
Las instrucciones de las listas de acceso IP extendidas permiten
verificar direcciones tanto origen como destino.
Estándar
Filtros basados sólo en una dirección de origen.
Permite o deniega todo el protocolo TCP/IP.
Rango de 1 a 99.
Extendida
Filtros basados en direcciones de origen y destino y números de
puerto de origen y destino.
Especifica un protocolo IP y un número de puerto.
Rango de 100 a 199.
Al final se puede conseguir una mayor precisión en el filtrado
especificando el protocolo y los números de puerto UDP o TCP
opcionales.
Utilizando el protocolo y número de puerto UDP o TCP opcional,
se puede especificar el tipo de operación lógica que la lista de
acceso extendida ha de realizar en los protocolos indicados.
CONFIGURACION DE UNA LISTA DE ACCESO EXTENDIDA.
Agregar una lista de acceso extendida a un router a modo de
filtro de paquetes es una proceso que consta de dos pasos:
En primer lugar, se ha de crear la lista de acceso. A continuaci ón, se
debe aplicar la lista a una interfaz.
Utilice el comando access-list para crear una entrada que
exprese una condición en un filtro complejo:
Router(config)#access-list[nº de lista de
acceso][permit|deny][protocol][dirección de origen][mascara
comodín][puerto del operador][dirección de destino][mascara de
destino][puerto del operador][establisehed][log]
Numero de lista de acceso: identifica la lista mediante un numero
entre 100 y 199.
Permit|deny: indica si la entrada permitirá o bloqueara la dirección
especificada.
Protocolo: puede ser IP, TCP, UDP, ICMP, GRE o IGRP.
Origen y destino: identifican direcciones IP de origen y destino.
Mascara origen y mascara destino: Son las mascaras comodín. Las 0
indican las posiciones que deben coincidir, y los 1 las “que no
importan”.
Puerto del operador: puede ser: lt(menor que)gt(mayor que)eq(igual a)o
neq(distinto que) y un número de puerto de protocolo.
Establisehed Se usa solo para TCP de entrada. Esto permite que él
trafico TCP pase si el paquete utiliza una conexión ya establecida(por
ejemplo posee un conjunto de bits ACK)
Log Envía un mensaje de registro a la consola.
El comando ip access-group aplica una lista de acceso extendida
existente a una interfaz. Solo se puede hacer una lista de acceso por
protocolo, dirección e interfaz.
Router(config-if)#ip access-group[nº de lista de acceso][in|out]
Nº de lista de acceso indica el número de la lista de acceso que será
aplicado a ese interfaz.
In|out selecciona si la lista de acceso se aplicará como filtro de
entrada o de salida. Si no se especifica nada se adoptará la opción
out por omisión.
LISTAS DE ACCESO IP CON NOMBRE
Característica que apareció en CISCO IOS 11.2, permite
identificar lista de acceso IP estándar y extendidas mediante cadenas
alfanuméricas(nombres) en lugar de números de 1 a 199.
Con listas de acceso IP numeradas, para modificar una lista
tendría que borrar primero la lista de acceso numerada y volver a
introducirla de nuevo con las correcciones necesarias.
En una lista de acceso numerada no es posible borrar instrucciones
individuales.
Las listas de acceso IP con nombre permiten eliminar entradas
individuales de una lista especifica. El borrado de entradas
individuales permite modificar las listas de acceso sin tener que
eliminarlas y volver a configurarlas desde el principio. Sin embargo
no es posible insertar elementos selectivamente en una lista.
Si se agrega un elemento a la lista, este se coloca al final de
la misma.
No es posible usar el mismo nombre para varias listas de acceso.
Las listas de acceso de diferentes tipos tampoco pueden
compartir nombre.
CREAR Y ACTIVAR UNA LISTA DE ACCESO IP CON NOMBRE
Router(config)#ip access-list[standard|extended][nombre]nombre único
Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba]
Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba]
Router(config-if)#ip access-group[nombre][in|out]
Para eliminar una instrucción individual, anteponga no a la
condición de prueba.
DIRECTRICES PARA LA IMPLEMENTACION DE LISTAS DE ACCESO
ESTANDAR, EXTENDIDAS Y CON NOMBRE.
El orden en el que aparecen las instrucciones en la lista de
acceso es fundamental para un filtrado correcto. La practica
recomendada consiste en crear las listas de acceso en un servidor TFTP
usando un editor de texto y descargarlas después en un router vía
TFTP.
Las listas de acceso se procesan de arriba abajo. Si coloca las
pruebas más especificas y las que se verificaran con mas frecuencia al
comienzo de la lista de acceso, se reducirá la carga de procesamiento.
Solo las listas de acceso con nombre permiten la supresión, aunque no
la alteración del orden de instrucciones individuales en la lista. Si
desea reordenar las instrucciones de una lista de acceso, deber á
eliminar la lista completa y volver a crearla en el orden apropiado o
con las instrucciones correctas.
Todas las listas de acceso terminan con una instrucción
implícita “denegar todo”.
Las listas de acceso extendidas, deben colocarse normalmente lo
más cerca posible del origen del trafico que será denegado.
VERIFICACION Y CONTROL DE LISTAS DE ACCESO.
Router#show ip interface[tipo de interfaz][nº de interfaz]verifica si
una lista de acceso esta asociada a un interfaz. Muestra informaci ón
de la interfaz IP.
Router#show access-list muestra contenido de todas las listas de
acceso.
Router#show[protocolo]access-list[nº lista de acceso|nombre]
Las capacidades de filtrado de paquetes de las listas de acceso
IP del software IOS permite las restricción del flujo de paquetes
según los siguientes criterios:
Dirección IP de origen.
Dirección IP de origen y destino.
Tipos de protocolos IP, incluyendo TCP, UDP e ICMP.
Servicios de protocolo TCP origen y destino, como envío de
correo electrónico y Telnet.
Servicios de protocolo UDP de origen y destino, como bootp y
NetBIOS datagram.
Servicios de protocolo ICMP, como Eco ICMP y Puerto inalcanzable
ICMP.
La lista anterior no esta completa. La flexibilidad de las
listas de acceso IP le ofrece al administrador una decisión muy amplia
en cuanto a lo que se filtra y cómo se aplican los filtros. La clave
para comprender las listas de acceso IP en el software IOS reside en
que la tares de filtrado de paquetes está dividida en dos pasos muy
diferentes. En primer lugar, el criterio de filtrado se define
mediante el uso de los comandos access-list e ip access-list. En
segundo lugar, el criterio de filtrado se aplica a las interfaces
elegidas. Ya hemos considerado un método de aplicar el filtrado de
lista de acceso, en conjunción con el comando distribute-list para
filtrar la información de enrutamiento. En los apartados que aparecen
a continuación, nos centraremos en la utilización de las listas de
acceso en conjunción con el comando ip access-group.
DEFINICIÓN DE LAS LISTAS DE ACCESO.
Los criterios de filtrado se definen en una lista de
instrucciones de permiso y denegación que se llama lista de acceso.
Cada línea de esa lista de acceso se contrasta consecutivamente con
las direcciones IP y demás información de un paquete de datos hasta
que hay una coincidencia. Tan pronto como ocurre dicha coincidencia,
se sale de la lista. Este proceso hace que las listas de acceso tengan
una gran dependencia del orden.
Cuando se desarrolló originalmente, el software IOS sólo
disponía de un comando para crear listas de acceso, el comando accesslist.
Mediante el uso de este comando y una serie de rangos relevantes
de números, el administrador de red puede especificar el protocolo de
red para el que se crea la lista.
Un rango numérico 1 a 99 denota una lista de acceso IP estándar
y el rango 900 a 999 denota un filtro de paquetes IPX.
Alegando la necesidad de una mayor flexibilidad y un mayor
número de listas de acceso, los diseñadores del software IOS crearon
versiones del comando access-list para IP e IPX que permiten litas de
acceso con nombre asignado. Puede utilizar una cadena arbitraria de
caracteres en vez de un número para identificar la lista de acceso.
El comando para crear listas de acceso IP con nombre asignado es
ip access-list, también existe el comando ipx access-list para listas
IPX con nombre asignado.
Ya sea numerada o con nombre asignado, las listas de acceso IP
pertenecen a una de estas dos categorías: estándar o extendida. Una
lista de acceso IP estándar evalúa sólo la dirección IP de origen de
un paquete, mientras que la lista de acceso extendida puede evaluar
las direcciones IP de origen y destino, el tipo de protocolo IP y los
puertos de origen y de destino de la capa de transporte.
Use el comando de configuración global de IOS access-list para
establecer una lista de acceso numerada.
Como se explicó con anterioridad, el comando access-list toma
como parámetro un número de lista. Las listas de acceso IP estándar se
establecen por un número en el rango 1 a 99. Las listas de acceso IP
extendidas se ven por un número en el rango 100 a 199. Tras el número
de lista de cada línea de la lista de acceso encontrará la palabra
clave permit o deny, seguida de la dirección, la máscara wildcard, el
protocolo y el número de puerto del protocolo que se filtra.
Router#configure t
Router(config)#access-list[número][deny|permit][dirección IP]
Router(config)# access-list[número][deny|permit][dirección IP][máscara
wildcard]
Router(config)#^Z
El orden de las líneas de la lista de acceso determina el
funcionamiento del filtro.
Sugerencia_
Las listas de acceso hacen uso del concepto conocido como
máscara wildcard. Aunque parece similar a la máscara de red, la
máscara wildcard se diferencia en que las posiciones de bit
establecidas a 1 coinciden con cualquier valor. Una máscara wildcard
de 0.0.0.255 coincide con cualquier número en el rango 0 a 255 que
aparezca en el cuarto octeto de una dirección IP. Una máscara wildcard
de 0.0.3.255 coincide con cualquier dirección IP que tenga un 0, 1, ó
3 en el tercer octeto y cualquier número en el cuarto octeto basado en
la computación binaria. Las máscaras wildcard permiten que el
administrador de red especifique rangos de direcciones que entran en
los limites de bit de los números binarios.
Sugerencia_
Todas las listas de acceso tienen un deny implícito al final de
la lista. Esto significa que cualquier paquete que no coincida con el
criterio de filtrado de alguna de las líneas de la lista de acceso
será denegado. Para una mejor resolución de problemas y un mayor
control administrativo de la seguridad de la red, le recomendamos que
ponga un deny explicito al final de la lista con la palabra clave
opcional log. Esta acción hace que los paquetes que no coincidan con
la lista queden registrados como una violación en la consola, o si
tiene activado el registro de sistema(syslogging), en el servidor
syslog. También puede aplicar la palabra clave opcional log a
cualquier línea de la lista de acceso para que el administrador desee
tener información de registro grabada.
Las listas de acceso IP con nombre asignado se crean con el
comando de configuración ip access-list. Este comando toma como
parámetros las palabras clave extended o standard para denotar el tipo
de lista de acceso con nombre asignado que se crea y nombre mismo de
dicha lista.
El comando ip access-list hace que la configuración del software
IOS conmute al submodo de configuración de lista de acceso. Una vez en
el submodo de configuración de lista de acceso, sólo se tienen que
proporcionar los estados permit y deny, junto con la dirección de red
y otros criterios de filtrado. No necesita repetirse el nombre de la
lista de acceso con nombre designado en todas las líneas de la lista.
Ya sean numeradas o con nombre asignado, uno de los desafíos de
la gestión de listas de acceso radica en recordar por qué determinados
host, redes o servicios tienen el acceso permitido o denegado. A lo
largo del tiempo, pueden cambiar los administradores de la red que
deben responsabilizarse de mantener las listas de acceso en varios
dispositivos de la red y las razones de determinar entradas de las
listas de acceso pueden olvidarse.
En las primeras versiones del software IOS, la única manera de
documentar la información sobre las listas de acceso(o cualquier
comando de configuración) consistía en agregar comentarios a una copia
del archivo de la configuración de inicio que se almacenaba en el
servidor. Desgraciadamente, dichos comentarios se ignoran cuando el
archivo de configuración se carga en la memoria del router, así que no
existe en la NVRAM o memoria de ejecución.
Las versiones más recientes del software IOS han introducido la
capacidad de agregar comentarios a los comandos de las listas de
acceso numeradas y con nombre asignado.
Para agregar comentarios a las listas de acceso numeradas se usa
la palabra clave remark en lugar de permit o deny tras el comando de
configuración global de IOS access-list y el número de la lista. Los
comentarios se pueden colocar en cualquier lugar de la lista de acceso
y pueden tener una longitud máxima de 100 caracteres.
Router#configure t
Router(config)#access-list [número] remark [comentario]
Router(config)#access-list [número] [permit|deny][protocolo][dirección
origen][dirección destino][condición][protocolo]
Router(config)#^Z
Para agregar comentarios a las listas de acceso con nombre
asignado, se utiliza el comando de submodo de configuración de listas
de acceso IP remark. De igual manera que con los estados permit y
deny que se usan en este subcomando, el comando remark se utiliza
después de entrar en el submodo de configuración de listas de acceso
con el comando ip access-list seguido del nombre de la lista. Como en
el caso de los comentarios de las listas de acceso numeradas, estos
comentarios pueden tener una longitud máxima de 100 caracteres.
APLICACIÓN DE LISTAS DE ACCESO
Una vez definidos los criterios de filtrado de la lista de
acceso, se deben aplicar a una o más interfaces para que se puedan
filtrar los paquetes. La lista de acceso se puede aplicar en direcci ón
entrante o saliente en la interfaz. Cuando una paquete viaja en
dirección entrante, entra en el router desde la interfaz. Cuando
viajen en dirección saliente, abandonan el router y se dirigen a la
interfaz. La lista de acceso se aplica mediante el subcomando de
configuración de interfaz de IOS ip access-group. Este comando toma
como parámetro la palabra clave in u out. Si no se proporciona un
parámetro, se presupone la palabra clave out.
Router#configure t
Router(config)#interface[tipo][número]
Router(config)#ip access-group [número de lista de acceso] [in|out]
Router(config)#^Z
Una vez configuradas, se pueden ver y verificar las listas de
acceso con los comandos ejecutables de IOS show access-list y show ip
access-list. El primer comando muestra todas las listas de acceso
definidas en el router, mientras que el segundo sólo muestra las
listas de acceso IP definidas en el router, mientras que el segundo
sólo muestra las listas de acceso IP definidas en el router, ya sean
numeradas o con nombre asignado. Cada comando puede tomar como
parámetro una lista de acceso numerada o con nombre asignado
específica y sólo se puede visualizar el contenido de esa lista. Si se
proporciona un parámetro, se mostrarán todas las listas.
Router#show access-list
Los comandos show access-list y show ip access-list cuentan el
número de coincidencias de cada línea de la lista de acceso y muestra
ese número entre paréntesis. Esta información puede resultar útil para
determinar las líneas de la lista de acceso que están sirviendo al
propósito para el que fueron creadas. También puede ayudar a resolver
problemas y revelar los posibles errores de configuración de las
listas de acceso.
Los contadores de coincidencias de los comandos show access-list
y show ip access-list se pueden reiniciar con el comando ejecutable de
IOS clear ip access-list counters. Este comando toma un parámetro
opcional del número o nombre de una lista de acceso IP en la que
quiera reiniciar los contadores de coincidencias. Si no se especifica
un parámetro, se reinician los contadores de coincidencias de todas
las listas de acceso IP.
Router#clear ip access-list counters [número de lista o nombre]
Es un poco difícil de terminar dónde utilizar las listas de
acceso. Cuando se aplican como filtros de paquetes con el comando ip
access-group, la salida del comando show ip interfaces muestra las
listas de acceso aplicadas y las interfaces en las que se han
aplicado.
Cuando las listas de acceso se aplican como filtros de paquetes
con el comando distribute-list, la salida del comando show ip
protocols indica la aplicación entrante o saliente de los filtros a
los protocolos de enrutamiento específicos. Esta explicación de los
comandos para ver y verificar las listas de acceso no está completa,
porque las listas de acceso funcionan como el activador para muchas de
las funciones de filtrado del software IOS. Cada aplicación específica
de las listas de acceso tiene sus comandos de verificación
correspondientes.
Las capacidades de filtrado de paquetes IP del software Cisco
IOS proporcionan herramientas muy poderosas para limitar el acceso a
los recursos, tanto dentro como fuera de la red de una entidad. No
obstante el diseño de un esquema de protección firewall es una tares
importante y compleja.
CONFIGURACIÓN DE LOS SERVICIOS BÁSICOS DE ACCESO TELEFONICO
POR IP.
El software IOS permite el acceso remoto en los routers y
servidores de acceso. La capacidad de acceso remoto se encuentra
disponible tanto en el acceso telefónico asíncrono mediante módulos de
módems integrados y externos, como a través de RBSI(ISDN). El acceso
remoto ofrece a los usuarios y a los routers remotos la capacidad de
conectarse con servicios de red IP cuando no están conectados
directamente a una red a través de una interfaz de LAN o de WAN.
Hay numerosos productos basados en IOS compatibles con los
servicios de acceso remoto. Estos productos ofrecen muchas opciones de
configuración, tanto en su hardware como en las características del
software IOS.
Para asegurarse de la fiabilidad de la conexión a través de un
servicio de acceso telefónico, como, por ejemplo un módem o RDSI, IP
se transporta en un protocolo de capa de enlace a través del servicio
de acceso telefónico. Hay varios protocolos de la capa de enlace de
datos compatibles con los servicios de acceso telefónico, entre los
que se incluyen PPP, DIC, SLIP(Serial Line IP) y Frame Relay.
La configuración de los servicios de acceso remoto puede
dividirse en tres campos principales:
La configuración de la línea o la interfaz.
La configuración de la seguridad.
La configuración del protocolo IP.
CONFIGURACIÓN DE ACCESO TELEFÓNICO ASÍNCRONO
El acceso telefónico asíncrono implica la utilización de módems
analógicos para convertir los datos en cadenas de información que se
puedan trasladar a través de las líneas telefónicas. Estos módems
pueden estar integrados en el producto, como en el caso de servidor de
acceso Cisco AS5200 y el router 3600, o bien conectarse externamente,
como en el caso del servidor de acceso 2511 y el puerto auxiliar de la
mayoría de los routers Cisco.
Hay líneas serie asíncronas físicas conectadas a los módems o
líneas virtuales dentro de los módulos de módems integrados, las
líneas y los módems deben estar correctamente configurados para
asegurar una comunicación adecuada. La velocidad de la línea, el
método de control de flujo, la dirección de la llamada telefónica y el
tipo de módem conectado son algunos de los aspectos más importantes a
configurar.
Para establecer la velocidad a la que el servidor se comunica
con los módems, utilizamos el subcomando de configuración de línea de
IOS speed. El comando toma como parámetro un entero que representa la
velocidad, como número de bits por segundo, a la que transmitir y
recibir. La velocidad debería establecerse a la mayor que admita el
puerto de datos del módem(la mayor velocidad que admite el servidor de
acceso es de 115.200 bps).
A fin de definir el método que se utiliza para controlar el
flujo de información desde el servidor de acceso a los módems,
utilizamos el subcomando de configuración de línea de IOS flowcontrol.
El comando toma como parámetro la palabra clave hardware o software.
Estas palabras clave representan los dos tipos de control de flujo
compatibles. Con velocidades superiores a los 9.600 bps se recomienda
el uso de control de flujo del hardware.
Router#configure t
Router(config)#line[rango de líneas]
Router(config-line)#speed 115200
Router(config-line)#flowcontrol [hardware | software]
Router(config-line)#^Z
Una vez seleccionados los métodos de control de la velocidad y
del control de flujo, hay que proporcionarle al servidor de acceso la
información relativa al tipo de módem conectado y a la dirección del
acceso telefónico. La información sobre el tipo de módem facilita la
tarea de configuración de acceso telefónico al eliminar la necesidad
de configurar los valores del módem de forma manual. Además, el
servidor de acceso puede restablecer los valores del módem tras cada
llamada para asegurar el funcionamiento adecuado del conjunto de
accesos telefónicos.
La información relativa a la configuración del acceso telefónico
le dice al servidor de acceso cómo reaccionar a las señales enviadas
por el módem durante el establecimiento de la llamada. El subcomando
de configuración de línea de IOS modem se utiliza para configurar
tanto el tipo de módem conectado como la dirección de acceso
telefónico. Para configurar el tipo de módem utilizamos el comando
modem autoconfigure. Este comando toma como parámetro la palabra clave
discovery o type. La palabra clave discovery le da instrucciones al
servidor al servidor de acceso para que intente determinar el tipo de
módem conectado a fin de seleccionar los valores del mismo. La palabra
clave type, seguida de uno de los tipos de módem predefinidos o
definidos por el usuario, le da instrucciones al servidor de acceso
para que seleccione los valores del módem del tipo con nombre.
El software IOS admite muchos tipos de módems, entre los que se
incluyen U.S Robotics Courier, el U.S Robotics Sportster Y Telebit
T3000. Si no esta definido previamente el tipo, el usuario puede
establecer tipos adicionales y los valores correspondientes mediante
el comando de configuración de IOS modencap. Para establecer la
dirección del acceso telefónico usamos como parámetro las palabras
clave dialin o inout con el comando modem.
Sugerencia_
Aunque las líneas asíncronas se utilicen solamente para dial-in,
le recomendamos que establezca las líneas para operaciones inout
durante la configuración inicial y la resolución de problemas. Esto le
proporciona acceso al terminal virtual a través del protocolo Telnet
directamente a la línea asíncrona para la configuración y la
verificación manual del módem. Este método de acceso virtual se conoce
como Telnet inverso.
Una vez finalizada la configuración de la línea asíncrona, la
seguridad del servidor de acceso es el siguiente paso del proceso de
configuración.
La primera es el proceso de autenticación, el proceso de
identificar quien intenta acceder. La segunda fase es autorizar al
usuario identificado para que realice tareas especificadas o darle al
usuario acceso a servicios específicos. Para los propósitos de acceso
telefónico por IP, introducimos un tipo de autenticación y un tipo de
autorización que hace uso de la información del usuario configurado
localmente.
Estos comandos de autenticación y autorización hacen uso de la
información del usuario configurada localmente. De manera opcional,
podría utilizarse un servidor de acceso como TACACS+ o un RADIUS en
lugar de la información configurada a nivel local.
Para autenticar a los usuarios que intentan acceder a los
servicios de IP a través de PPP, se utiliza el tipo de autenticación
AAA de ppp. Se activa mediante el comando de configuración de IOS aaa
authentication ppp. El comando toma como parámetro un nombre de lista
de autenticación o la palabra clave default y uno o varios métodos de
autenticación, como local o, TACACS+.
Una vez identificado el usuario PPP, hay que autorizar a dicho
usuario para que pueda utilizar los servicios de red(uno de los cuales
es PPP). Para autorizar el uso de los servicios de la red, utilizamos
el comando aaa authorization network. Este comando toma como parámetro
uno o varios tipos de autorización.
Router#configure t
Router(config)# aaa authentication default ppp local
Router(config)# aaa authorization network default if-authenticated
Router(config)#^Z
La información de la autenticación para los usuarios PPP se
configura a nivel local, por lo que hay que configurar los nombres de
usuario y las contraseñas reales para autenticación. Esta información
se configura mediante el comando de configuración global de IOS
username. El comando toma como parámetro la identificación del usuario
a utilizar para la autenticación, la palabra clave password y la
contraseña a utilizar para autentificar al usuario. Aunque la
contraseña se escribe en texto perfectamente legible, se convierte en
una cadena cifrada si está activado el cifrado de contraseña.
Router#configure t
Router(config)#username [nombre de usuario]password [clave]
Router(config)# username [nombre de usuario]password [clave]
Router(config)#^Z
El paso final para configurar los servicios de acceso telef ónico
asíncronos de IP es ofrecer la información sobre el protocolo IP que
se usa para establecer y mantener la sesión de acceso telefónico
mediante IP. En vez de introducirse la información sobre el protocolo
IP como subcomando de línea, la información del protocolo se asocia
con el tipo de interfaz que representa la línea asíncrona, igual que
con cualquier otro medio LAN o WAN. Este tipo de interfaz se denomina
interfaz asíncrona, y cada línea asíncrona del servidor de acceso
tiene una interfaz asíncrona correspondiente. La información del
protocolo IP puede introducirse individualmente en cada interfaz
asíncrona en la que pueden ocurrir sesiones de acceso telefónico, o
sólo una vez mediante una interfaz asíncrona colectiva denominada
interfaz asíncrona de grupo.
La interfaz asíncrona de grupo puede utilizarse para simplificar
las tareas de configuración cuando se apliquen los mismos comandos de
configuración a varias interfaces asíncronas. Cuando se utiliza la
interfaz de IOS group-range para identificar qué interfaces asíncronas
individuales deberían incluirse en la estructura del grupo.
La información del protocolo IP que se asigna a las interfaces
asíncronas se divide en tres categorías:
La configuración de la dirección IP para la interfaz asíncrona.
La información de la dirección IP que se ofrece a los usuarios
de acceso telefónico.
La información relativa a cómo debería funcionar IP y PPP en la
interfaz asíncrona.
Empezamos por examinar los comandos de funcionamiento de PPP e
IP. En primer lugar hay que indicarle a la interfaz asíncrona que
utilice PPP como método de encapsulación para los servicios IP. Para
especificar el tipo de encapsulación, utilizamos el comando de
configuración de interfaz de IOS encapsulation. El comando toma como
parámetro una palabra clave(por ejemplo, pppo slip) que defina el tipo
de encapsulación que se utiliza en la interfaz.
Una vez configurado PPP, el administrador de la red tiene la
opción de configurar la línea asíncrona para que funcione solamente
como un puerto de servicios de red de acceso telefónico(es decir, al
usuario sólo se le permite utilizar los servicios de red configurados
en el puerto, como PPP o SLIP) o permitir que el usuario reciba un
indicativo ejecutable en el acceso telefónico y elija manualmente que
servicio ejecutar. Para especificar el funcionamiento deseado,
utilizamos el subcomando de configuración de interfaz de IOS async
mode. El comando toma como parámetros la palabra clave interactive o
dedicated para definir el funcionamiento deseado.
El nivel de conocimientos del usuario de acceso telefónico y la
manera de utilizar la interfaz asíncrona suelen determinar el modo a
elegir: interactivo o dedicado. Si se configura un funcionamiento
dedicado, se impide que el administrador de la red acceda
telefónicamente y se le autorice a utilizar los comandos ejecutables.
El modo interactivo puede admitir tanto comandos ejecutables como
servicios de red. Sin embargo, el inconveniente del modo interactivo
es que los usuarios poco experimentados pueden configurar mal su
software de acceso telefónico y situarse en un indicativo ejecutable
sin darse cuenta.
Cuando se usa el modo interactivo, un conjunto adicional de
comandos de línea simplifica el proceso de acceso telefónico para el
usuario. Estos comandos permiten que el servidor de acceso determine
el tipo de conexión que se está intentando sin exigir que el usuario
especifique el servicio en un indicativo ejecutable. A ese proceso se
le denomina selección automática. Se activa mediante el subcomando de
configuración de línea de IOS autoselect. Este comando toma como
parámetro una palabra clave que describe el protocolo de capa de
enlace que se seleccionará automáticamente o el momento en que se
realiza la selección automática (normalmente en el momento de
autenticación del usuario).
Usar la selección automática cuando está configurado el modo
interactivo ofrece el método más sencillo para la mayoría de los
usuarios para acceder a los servicios PPP e IP en el servidor de
acceso.
El último comando de operaciones PPP que se necesita en la
interfaz le da instrucciones a PPP para que realice la autenticaci ón y
autorización de los usuarios de acceso telefónico antes de establecer
los servicios PPP e IP. Así se asegura que sólo obtienen acceso a los
servicios de la red disponibles en el servidor de acceso los usuarios
autorizados.
Este comando también informa al servidor de acceso del protocolo
de autenticación que se van ha utilizar entre el servidor de acceso y
el cliente de acceso telefónico. Se pueden usar tres protocolos:
Protocolo de autenticación de intercambio de señales de
desafio(Challenge Handshake Authentication Protocolo, CHAP), Protocolo
de Autenticación de intercambio de señales de desafió de Microsoft
(Microsoft Challenge Handshake Authentication Protocolo, MS-CHAP) y
Protocolo de autenticación de contraseña (Password Authentication
Protcol, PAP).
El subcomando de configuración de interfaz de IOS ppp
authentication le da instrucciones el servidor de acceso para que
realice el proceso de autenticación. El comando toma como parámetro la
palabra clave chap, ms-chap o pap para especificar el protocolo de
autenticación. En el mismo comando de configuración es posible
especificar un solo protocolo o una combinación de varios si los
usuarios de acceso telefónico acceden con varios protocolos de
autenticación. El comando toma también una palabra clave opcional,
calling, que le da instrucciones al servidor de acceso para que lleve
a cavo la autenticación inicial solamente en las llamadas de acceso
telefónico entrantes. El valor predeterminado es realizar la
autenticación inicial tanto en las llamadas entrantes como en las
salientes. Las implementaciones de algunos fabricantes no responden a
las autenticaciones iniciales si reciben una llamada entrante.
Con el gran número de usuarios de acceso telefónico de Microsoft
de hoy en día, el administrador de la red podría elegir añadir
compatibilidad con Microsoft Point-to-Point Compresión, (MPPC). La
compresión optimiza la transmisión de información a través de un medio
como la línea de acceso telefónico, lo que permite que se transmita
más información de la que sería posible normalmente. En líneas de
acceso telefónico relativamente lentas que funcionan entre 28.800 y
53.000 bps, la compresión puede acelerar la velocidad a la que se
transmite la información casi al doble.
La compresión para los usuarios de acceso telefónico se realiza
mediante el subcomando de configuración de interfaz de IOS compress.
El comando compress toma como parámetro la palabra clave mmpc, stac o
predictor para indicar el tipo de compresión que se ha de negociar
cuando un usuario de acceso telefónico establece una conexión. Las
palabras clave stac y predictor indican la utilización de los
algoritmos de compresión STAC o Predictor. STAC es un algoritmo de
compresión habitual que admiten muchos clientes de acceso telefónico,
incluyendo sistemas de Windows 95 y sería una buena elección si se
admite un grupo grande de usuarios de acceso telefónico de Windows 95
o que sean de Microsoft. Predictor es un algoritmo mucho menos
habitual. La selección de Microsoft Point-to-Point Compresión se
realiza mediante la palabra clave mppc. Dado que Windows NT solamente
es compatible con MPPC y que Windows 95/98 admite tanto la compresi ón
MPPC como la STAC, la selección de este algoritmo de compresión le
ofrece la mayor flexibilidad al administrador de una red que integre
varios sistemas operativos de Microsoft.
Router#configure t
Router(config)#interface group-async 1
Router(config-if)#group-range 1 16
Router(config-if)#encapsulation ppp
Router(config-if)#async mode interactive
Router(config-if)#ppp authentication chap ms-chap pap callin
Router(config-if)#compress mppc
Router(config-if)#line 1 16
Router(config-line)#autoselect ppp
Router(config-line)#autoselect during-login
Router(config-line)#^Z
Teniendo definido el modo operativo de PPP, ahora es posible
realizar el direccionamiento IP en las interfaces asíncronas.
Normalmente, los usuarios de acceso telefónico por IP sólo cuentan con
una dirección IP asociada con sus estaciones de trabajo. Lo podemos
contrastar un router de acceso telefónico, que tiene todo un segmento
de LAN conectado y necesita realizar enrutamiento con éxito en el
sitio central para una comunicación adecuada. Como cada usuario de
acceso telefónico individual utiliza una dirección IP en una conexión
de acceso telefónico separada y, por tanto, una interfaz asíncrona
separada, la dirección IP real de la interfaz asíncrona no resulta
importante. De hecho, cada una de las interfaces asíncronas pueden
tratarse como si residiera en el mismo espacio de dirección IP en una
conexión de acceso telefónico separada y, por tanto una interfaz
asíncrona separada, la dirección IP real de la interfaz asíncrona no
resulta importante. De hecho cada una de las interfaces asíncronas
puede tratarse como si residiera en el mismo espacio de direcci ón IP
que la interfaz de LAN conectada. Estas interfaces asíncronas pueden
tratarse incluso como si la dirección IP del usuario de acceso
telefónico se asignara desde dicho espacio de dirección. Mirándolo
desde una perspectiva diferente, el usuario de acceso telef ónico esta
conectado lógicamente al segmento de LAN mediante un cable de gran
longitud, la línea telefónica. No se asigna ninguna dirección IP a la
línea telefónica de la misma forma que una estación de trabajo de LAN
se conecta mediante un cable 10BaseT.
La estación de trabajo recibe una dirección IP del mismo espacio
de direcciones de red IP que está asignado a la interfaz de LAN del
servidor de acceso. El servidor de acceso tiene la responsabilidad de
aceptar paquetes desde la LAN en nombre del usuario de acceso
telefónico. Dirige dichos paquetes a la llamada telefónica de acceso
adecuada. El servidor de acceso logra inyectando una ruta de host(una
ruta de red con una máscara de red de 32 bits) en la tabla de
enrutamiento del servidor de acceso cuando se establece una conexi ón
de acceso telefónico y respondiendo a solicitudes ARP de las
direcciones IP asignadas a las sesiones de acceso telefónico.
Las interfaces asíncronas en si no tienen direcciones IP cuando
utilizan el método anterior, así que puede usarse el subcomando de
configuración de interfaz de IOS ip unnumbered para activar el
procesamiento de IP en las interfaces asíncronas.
Se utiliza para especificar la interfaz LAN del servidor de acceso
como la interfaz de referencia.
La ultima fase a la hora de establecer la conexión de acceso
telefónico por IP en la interfaz asíncrona es configurar qué
direcciones IP se asignan a un cliente de acceso telefónico en el
momento de la conexión. El subcomando de configuración de interfaz de
IOS peer default ip address determina el método utilizado para asignar
una dirección IP al cliente de acceso telefónico. Especificando una
dirección IP en particular como parámetro para el comando, es posible
asignar direcciones IP individuales a cada interfaz asíncrona. Sin
embargo, se precisa que cada una de las interfaces asíncronas se
configure manualmente con la dirección IP que se asignará a los
clientes de acceso telefónico que se conecten en esa interfaz.
Un método más flexible consiste en asignar direcciones IP de uno
o varios grupos de direcciones que se hayan establecido en el servidor
de acceso con el comando parameter poll. Este método les ofrece
también a los usuarios que han asignado direcciones IP permanentemente
la flexibilidad de acceder a cualquier puerto del módem, ya que el
servidor de acceso acepta la dirección IP sugerida del cliente de
acceso telefónico si se encuentra en un grupo de direcciones
predefinido. Cuando se especifica el método de grupos, va acompañado
por un nombre específico de grupo de direcciones.
Los grupos de direcciones se definen mediante el comando de
configuración global de IOS ip local poll. Este comando toma como
parámetro un nombre de grupo y las dicciones IP inicial y final que
forman dicho grupo. Las direcciones IP deben ser de la misma red IP
que la interfaz de LAN del servidor de acceso. Por supuesto, estas
direcciones no deberían asignarse a ninguna estación de trabajo que
resida en el segmento LAN.
Aunque los grupos de direcciones son el método más flexible para
asignar direcciones IP, no existe ningún método para coordinar la
asignación a través de varios servidores de acceso. En esta situación,
puede resultar mejor asignar direcciones desde un servidor central de
autoridad de direcciones, como por ejemplo un servidor DHCP. Para
adoptar este método, el software IOS actúa como un cliente DHCP proxy,
solicitando una dirección IP del servidor DHCP en nombre del cliente
de acceso telefónico. Este método de configuración se activa
especificando el parámetro de palabra clave dhcp en el comando peer
default ip address. El servidor de acceso debe estar también
configurado con la dirección IP de un servidor DHCP para solicitar
direcciones a través del comando de configuración global de IOS ip
dhcp-server. Los grupos de direcciones definidos en el servidor DHCP
contendrían direcciones de la dirección de red IP de la interfaz de
LAN del servidor de acceso.
Muchas implementaciones de PPP de clientes de acceso telefónico
hacen uso de un método no estándar para obtener direcciones IP de los
servidores de nombres DNS y NetBIOS/WINS durante el proceso de
establecimiento de la llamada. Este método se describe en la RFC
informativa 1877, “PPP Internet Protocol Control Potrocol Extensions
for Name server Addresses”. Aunque no es un estándar este método se ha
instalado profusamente sobre todo en las implementaciones de acceso de
Microsoft.
El servidor de acceso puede admitir también los métodos
descritos en la RFC 1877 para suministrar tanto las direcciones de
nombres de usuario DNS como NetBIOS/WINS. Las implementaciones m ás
antiguas utilizan el comando de configuración global de IOS asyncbootp
para configurar estas opciones. Cuando se configuran las
direcciones IP de los servidores DNS, el comando toma como par ámetro
la palabra clave nbns-server, seguida de una o varias direcciones IP.
Nota_
Aunque proporcionar direcciones de los servidores de nombres DNS
y NetBIOS/WINS tienen poco que ver con BOOTP, se utilizó el comando
async-bootp para activar esta característica en el software IOS
añadiendo extensiones a los comandos del protocolo de negociaci ón SLIP
BOOTP existentes. Este método se eligió en su momento en vez de crear
comandos PPP y mecanismos separados para implementar una RFC no
estándar.
El inconveniente de usar el comando async-bootp para
proporcionar direcciones de los servidores DNS y NetBIOS/WINS es que
dicho comando es de configuración global de IOS. Esto conlleva que las
direcciones configuradas mediante el comando se ofrezcan a todos los
usuarios de acceso telefónico del servidor de acceso, sea cual sea la
interfaz de acceso a la que puedan estar conectados. Ha demostrado
ser un método poco flexible para los administradores de red que desean
admitir varios tipos de conexiones de acceso telefónico o diferentes
clases de usuarios y que desean proporcionar diferentes direcciones de
servidor para dichas conexiones o usuarios. En las versiones m ás
modernas del software IOS, el subcomando de configuración de interfaz
de IOS ppp ipcp le ofrece al administrador de la red un control más
granular de estas opciones por interfaz. Cuando se configuran las
direcciones IP de los servidores DNS, el comando toma como par ámetro
la palabra clave dns, seguida de una o dos direcciones IP.
Router#configure t
Router(config)#interface group-async 1
Router(config-if)#ppp ipcp dns [dirección ip][dirección ip]
Router(config-if)#ppp ipcp wins [dirección ip]
Router(config-if)#^Z
CONEXIONES RDSI(ISDN)
Al igual que el acceso telefónico asíncrono, el acceso
RDSI(ISDN) supone la utilización de la red telefónica pública para
permitir que los usuarios de las estaciones de trabajo remotas accedan
a los servicios de una red cuando no están conectados directamente
mediante una interfaz LAN o de WAN. RDSI se diferencia del acceso
telefónico asíncrono en que las llamadas se transmiten usando señales
digitales síncronas. Los datos se transforman en cadenas de
información digital mediante las interfaces RDSI integradas en el
router o mediante la utilización de dispositivos de conexión externos
RDSI que se denominan adaptadores de terminal (TA).
Los usuarios de las estaciones de trabajo remotas también pueden
usar placas de PC RDSI integradas o TA externas para conectarse con el
servicio RDSI.
Muchas de las tareas de configuración necesarias para configurar
los servicios de acceso telefónico asíncrono por IP se necesitan
también para establecer los servicios de acceso telefónico RDSI por
IP. Sin embargo, a diferencia de la configuración asíncrona, no se
precisan comandos de línea porque el router tiene una interfaz RDSI
integrada directamente o porque el TA está conectado directamente a
una interfaz serie asíncrona. Si el router tiene una interfaz RDSI
integrada, cualquier comando que controle la interacción de la
interfaz RDSI con la red RDSI se aplica directamente a la interfaz. Si
el router se conecta a la red RDSI mediante un TA externo, se
configura a través de sus propios métodos para la correcta interacción
con la red RDSI. Esto reduce la configuración de los servicios de
acceso telefónico RDSI por IP a dos tareas: establecer la seguridad y
definir la información de IP.
Al igual que las interfaces asíncronas, las interfaces RDSI
pueden configurarse individualmente o como un grupo. Cuando se
configuran como un grupo, los comandos de configuración para las
diferentes interfaces RDSI están asociados con un tipo de interfaz
denominada interfaz del que realiza la llamada. Las interfaces RDSI
individuales se siguen configurando con sus comandos específicos de
RDSI, como por ejemplo la información SPID. Sin embargo, los comandos
operativos y del protocolo PPP y IP se configuran en la interfaz de
quien realiza la llamada. Cada una de las interfaces RDSI incluida en
la estructura de interfaces de quien realiza la llamada se configura
con el comando dialer rotary-group. Este comando toma como parámetro
un entero que representa a la interfaz de quien realiza la llamada a
la que pertenece la interfaz.
Al igual que con el acceso telefónico asíncrono, la
autenticación de PPP y la autorización de red se realizan
respectivamente con los comandos de configuración global de IOS aaa
authentication ppp y aaa authorization network. El comando de
configuración global de IOS username se utiliza para definir los
nombres de usuario remotos que acceden a la red.
Al igual que en las interfaces asíncronas, la información del
protocolo IP que se asigna a las interfaces RDSI se divide en tres
categorías:
La información relativa a cómo debería funcionar IP y PPP en la
interfaz RDSI.
La configuración de la dirección IP para la interfaz RDSI.
La información de la dirección IP que se ofrece a los usuarios
de acceso telefónico.
Como hemos visto con IP asíncrono, para establecer PPP como
protocolo de capa de enlace de datos para IP en las interfaces RDSI
usamos el subcomando de configuración de interfaz de IOS
encapsulation.
La activación de la autenticación de PPP antes de comenzar los
servicios de red por IP y la especificación del protocolo de
autenticación se realiza con el subcomando de configuración de
interfaz de IOS ppp authentication. De forma opcional, puede añadirse
compresión de Microsoft con el subcomando de configuración de interfaz
de IOS compress mppc.
RDSI es un servicio canalizado, es decir, que puede admitir
varias conexiones a través de la misma interfaz física. Ello permite
que los clientes de RDSI de acceso telefónico puedan establecer más de
una conexión a la vez con un servidor de acceso. Esta capacidad ofrece
a la estación RDSI de acceso telefónico acceso al doble de la
capacidad de línea usando una sola interfaz física. La utilización
eficaz de varios canales se realiza con una multiplexión de los datos
a través de las diferentes conexiones usando un algoritmo de software
para PPP denominado multienlace. El multienlace PPP puede activarse
mediante el subcomando de configuración de interfaz de IOS ppp
multilink.
Para controlar cuándo están en funcionamiento o apagados los
canales RDSI, se define una lista de paquetes interesantes mediante el
comando de configuración global de IOS dialer-list. Este comando toma
como parámetro protocolos de redes específicas que se deberían
considerar interesantes para el propósito de hacer(o mantener) activo
un canal. Además, pueden usarse listas de acceso para proporcionar
mayor granulidad, a nivel de direcciones IP específicas y de tipos de
servio de protocolo de transporte. Las reglas dialer-list se aplican a
una interfaz a través del subcomando de configuración de interfaz de
IOS dialer-group, que específica el número de la lista como parámetro
del comando.
Nota_
Un mayor control de la asignación del ancho de banda mediante
el uso de varios canales RDSI se define en la RFC 2125 “Bandwidth
Allocation Protocol (BACP)”. El protocolo de asignación de ancho de
banda(Bandwidth Allocation Protocol, BAP), que es un subconjunto de
BACH, ofrece un conjunto de reglas que rigen la asignación dinámica
del ancho de banda por medio de un control de las llamadas (un m étodo
estándar para incorporar y eliminar enlaces desde un conjunto
multienlace). Los servidores de acceso y los clientes de acceso
telefónico negocian las reglas bajo las que se añade o se elimina
ancho de banda dinámico durante una sesión. BACH es una característica
que se incorporó en la versión 11.4 del software IOS.
La asignación de las direcciones IP de las interfaces RDSI del
servidor de acceso y de las estaciones de trabajo de acceso telef ónico
remoto funciona de la misma forma que con las interfaces as íncronas.
No es necesario asignar direcciones IP específicas a las interfaces
RDSI del servidor de acceso telefónico RDSI. La interfaz puede
configurarse sin numeración mediante el subcomando de configuración de
interfaz de Cisco IOS ip unnumbered. Es posible asignar las
direcciones IP de los clientes de acceso telefónico remoto con
cualquiera de los tres métodos examinados anteriormente usando el
subcomando peer default ip addres.
Entre estos métodos se incluye asignar una dirección IP remota
individual asociada con cada una de las interfaces RDSI, usando un
grupo de direcciones IP que se asignarán a los clientes RDSI remotos o
asignando las direcciones IP obtenidas del servidor DHCP a los
clientes RDSI remotos.
También pueden proporcionarse direcciones IP de los servidores
de nombres DNS y NetBIOS/WINS a los clientes de acceso telef ónico por
RDSI usando los métodos de la RFC 1877. Al igual que con las
interfaces asíncronas, a los clientes RDSI se les ofrece esas
direcciones configurando los comandos de configuración global de IOS
async-bootp dns-server y async-bootp nbns-server, o los subcomandos de
configuración de interfaz de IOS ppp ipcp dns y ppp ipcp wins. Usando
cualquiera de los métodos, se ofrecen direcciones IP como parámetros
de comandos.
No hay comentarios:
Publicar un comentario