LISTAS DE ACCESO EXTENDIDAS
Las listas de acceso comprueban tanto la dirección de origen
como la de destino de cada paquete. También pueden verificar
protocolos especificados, números de puerto y otros parámetros.
Las listas de acceso pueden aplicarse de las siguientes formas:
LISTAS DE ACCESO DE ENTRADA
Los paquetes entrantes son procesados antes de ser enrutados a
una interfaz de salida, si el paquete pasa las pruebas de filtrado,
será procesado para su enrutamiento.(evita la sobrecarga asociada a
las búsquedas en las tablas de enrutamiento si el paquete ha de ser
descartado por las pruebas de filtrado).
LISTAS DE ACCESO DE SALIDA
Los paquetes entrantes son enrutados a la interfaz de salida y
después son procesados por medio de la lista de acceso de salida antes
de su transmisión.
Las listas de acceso expresan el conjunto de reglas que proporcionan
un control añadido para los paquetes que entran en interfaces de
entrada, paquetes que se trasmiten por el router, y paquetes que salen
de las interfaces de salida del router.
Las listas de acceso no actúan sobre paquetes originados en el propio
router, como las actualizaciones de enrutamiento a las sesiones Telnet
salientes.
OPERATIVIDAD DE LAS LISTAS DE ACCESO
Cuando un paquete llega a una interfaz, el router comprueba si
el paquete puede ser retransmitido verificando su tabla de
enrutamiento. Si no existe ninguna ruta hasta la dirección de destino,
el paquete es descartado.
A continuación, el router comprueba si la interfaz de destino
esta agrupada en alguna lista de acceso. De no ser así, el paquete
puede ser enviado al búfer de salida.
Si el paquete de salida está destinado a un puerto, que no ha
sido agrupado a ninguna lista de acceso de salida, dicho paquete ser á
enviado directamente al puerto destinado.
Si el paquete de salida está destinado a un puerto ha sido
agrupado en una lista de acceso outbound, antes de que el paquete
pueda ser enviado al puerto destinado será verificado por una serie de
instrucciones de la lista de acceso asociada con dicha interfaz.
Dependiendo del resultado de estas pruebas, el paquete será admitido o
denegado.
Para las listas de salida permit significa enviar al búfer de
salida, mientras que deny se traduce en descartar el paquete.
Para las listas de entrada permit significa continuar el procesamiento
del paquete tras su recepción en una interfaz, mientras que deny
significa descartar el paquete.
Cuando se descarta un paquete IP, ICMP devuelve un paquete
especial notificando al remitente que el destino ha sido inalcanzable.
PRUEBA DE CONDICIONES EN LISTAS DE ACCESO
Las instrucciones de una lista de acceso operan en un orden
lógico secuencial.
Evalúan los paquetes de principio a fin, instrucción a instrucción.
Si la cabecera de un paquete se ajusta a una instrucción de la lista
de acceso, el resto de las instrucciones de la lista serán omitidas, y
el paquete será permitido o denegado según se especifique en la
instrucción competente.
Si la cabecera de un paquete no se ajusta a una instrucción de
la lista de acceso, la prueba continua con la siguiente instrucci ón de
la lista.
El proceso de comparación sigue hasta llegar al final de la lista,
cuando el paquete será denegado implícitamente.
Una vez que se produce una coincidencia, se aplica la opción de
permiso o denegación y se pone fin a las pruebas de dicho paquete.
Esto significa que una condición que deniega un paquete en una
instrucción no puede ser afinada en otra instrucción posterior.
La implicación de este modo de comportamiento es que el orden en
que figuran las instrucciones en la lista de acceso es esencial.
Hay una instrucción final que se aplica a todos los paquetes que no
han pasado ninguna de las pruebas anteriores. Esta condición final se
aplica a todos esos paquetes y se traducen en una condición de
denegación del paquete.
En lugar de salir por alguna interfaz, todos los paquetes que no
satisfacen las instrucciones de la lista de acceso son descartadas.
Esta instrucción final se conoce como la denegación implícita de
todo, al final de cada lista de acceso. Aunque esta instrucción no
aparece en la configuración del router, siempre esta activa. Debido a
dicha condición, es necesaria que en toda lista de acceso exista al
menos una instrucción permit, en caso contrario la lista de acceso
bloquearía todo el tráfico.
IMPLEMENTACIÓN DE LISTAS DE ACCESO
Una lista de acceso puede ser aplicada a múltiples interfaces.
Sin embargo, sólo puede haber una lista de acceso por protocolo, por
dirección y por interfaz.
Utilice sólo números de listas de acceso dentro del rengo definido por
CISCO para el protocolo y el tipo de listas que va ha crear.
Sólo se permite una lista por protocolo, dirección e interfaz. Es posible
tener varias listas para una interfaz, pero cada una debe pertenecer a un
protocolo diferente.
Procesamiento de principio a fin:
- Organice las listas de acceso de modo que las referencias m ás específicas
a una red o subred aparezcan delante de las más generales. Coloque las
condiciones de cumplimiento más frecuente antes de las menos habituales.
- Las adiciones a las listas se agregan siempre al final de éstas, pero
siempre delante de la condición de denegación implícita.
- No es posible agregar a eliminar selectivamente instrucciones de una
lista cuando se usan listas de acceso numeradas, pero sí cuando se usan
listas de acceso IP con nombre(característica de Cisco IOS v.11.2)
Denegación implícita de todo:
- A menos que termine una lista de acceso con una condición de permiso
implícito de todo, se denegará todo el trafico que no cumpla ninguna de
las condiciones establecidas en la lista.
- Toda lista de acceso deben incluir al menos una instrucción permit. En
caso contrario, todo el trafico será denegado.
Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz
con una lista de acceso inexistente o indefinida aplicada al mismo dar á
paso(permitirá) a todo el trafico.
Las listas de acceso permiten filtrar sólo el tráfico que pasa por el
router. No pueden hacer de filtro para el tráfico originado por el propio
router.
COMANDOS BASICOS DE LISTAS DE ACCESO
Las listas de acceso contienen instrucciones globales que se
aplican para identificar paquetes. Estas listas se crean con el
comando access-list.
El comando de configuración de interfaz ip access-group activa
la lista de acceso IP en una interfaz.
Router(config)#access-list[nº de lista de
acceso][permit|deny][condiciones de prueba]
La opción permit significa que al paquete le será permitido
pasar a través de las interfaces que se apliquen en la lista.
La opción deny significa que el router descartará el paquete.
Los últimos parámetros de la instrucción especifican las condiciones
de pruebas.
La prueba puede ser tan simple como comprobar una dirección de
origen individual, la lista puede expandirse para incluir varias
condiciones de prueba.
Router(config)#[protocolo]access-group[nº de lista de acceso][in|out]
Se activa una lista de acceso IP en una interfaz.
Listas de acceso IP Rango numérico identificador
Estándar 1 a 99
Extendida 100 a 199
Con nombre Nombre(Cisco IOS 11.2 y posterior)
Listas de acceso IPX Rango numérico identificador
Estándar 800 a 899
Extendida 900 a 999
Filtros SAP 1000 a 1099
Con nombre Nombre (Cisco IOS 11.2F y posterior)
LISTAS DE ACCESO TCP/IP
Una lista de acceso aplicada a una interfaz hace que el router
busque en la cabecera de la capa 3 y posiblemente en la cabecera de la
capa 4 un paquete del tráfico de la red al que aplicar las condiciones
de prueba.
Las listas de acceso IP estándar verifican sólo la dirección de
origen en la cabecera del paquete(Capa 3).
Las listas de acceso IP extendidas pueden verificar otros muchos
elementos, incluidas opciones de la cabecera del segmento(Capa 4),
como los números de puerto.
Para el filtrado de paquetes TCP/IP, las listas de acceso IP
verifica las cabeceras del paquete y de la capa superior, para
detectar lo siguiente:
Direcciones IP de origen para listas de acceso estándar. Las listas
de acceso estándar están identificadas por los números entre 1 y 99.
Direcciones IP de origen y destino, protocolos específicos y
números de puerto TCP y UDP, con listas de acceso extendidas. Las
listas de acceso extendidas están identificadas por los números
entre 10 y 199.
Puede ser necesario probar condiciones para un grupo o rengo de
direcciones IP, o bien para una dirección IP individual.
La comparación de direcciones tiene lugar usando máscaras que actúan a
modo de comodines en las direcciones de la lista de acceso, para
identificar los bits de la dirección IP que han de coincidir
explícitamente y cuales pueden ser ignorados.
El enmascaramiento wildcard para los bits de direcciones IP
utiliza los números 1 y 0 para referirse a los bits de la dirección.
Un bit de máscara wildcard 0 significa “comprobar el valor
correspondiente”
Un bit de mascara wildcard 1 significa “No comprobar(ignorar) el
valor del bit correspondiente”
Para los casos más frecuentes de enmascaramiento wildcard se
pueden utilizar abreviaturas.
Host = mascara comodín 0.0.0.0
Any = 0.0.0.0 255.255.255.255
Router(config)#access-list[nº de lista de
acceso][permit|deny][dirección de origen][mascara comodín]
Numero de lista de acceso Identifica la lista a la que pertenece la
entrada. Se trata de un número entre 1 y 99.
Permit|deny indica si esta entrada permitirá o bloqueará el tráfico
a partir de la dirección especificada.
Dirección de origen identifica la dirección IP de origen.
Mascara wildcard identifica los bits del campo de la dirección que
serán comprobados.
La mascara predeterminada es 0.0.0.0(coincidencia de todos los bits).
Router(config)#ip access-group[nº de lista de acceso][in|out]
Número de lista de acceso indica el número de lista de acceso que
será aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicará como filtro de
entrada o de salida.
Si no se especifica nada, se adoptará la opción out por omisión.
ELIMINAR UNA LISTA DE ACCESO DE UNA INTERFAZ
1. no ip access-group[nº de lista de acceso] en la interfaz
2. no access-list[nº de lista de acceso] comando global
CONTROL DE ACCESO VTY
Líneas de terminal virtual. Existen por omisión, cinco de estas
líneas de terminal virtual numeradas del 0 al 4.
Una lista de acceso extendida para Telnet de salida no impide sesiones
Telnet iniciadas en el router.
El filtrado de Telnet se considera normalmente una función de
lista de acceso IP extendida, debido a que está filtrando un protocolo
de nivel superior.
Se puede crear una lista de acceso estándar donde se identifique la
dirección de origen y se aplica a las líneas vty usando el comando
access-class.
El comando access-class se aplica también a listas IP estándar
para filtrar sesiones Telnet salientes del router mediante l íneas vty.
COMO APLICAR UNA LISTA DE ACCESO ESTÁNDAR A LOS PUERTOS
TELNET.
router(config)#line vty[#|rango vty]
# indica una línea vty especifica a configurar.
Rango-vty indica un rango de líneas vty a las que se aplicará la
configuración.
Utilice el comando access-class para enlazar la lista de acceso
existente a una línea o rango de líneas de terminal.
router(config-line)#access-class[nº de lista de acceso][in|out]
Número de lista de acceso indica el número de la lista de acceso a
vincular a una línea de terminal. Este es un valor decimal entre 1 y
99.
In impide que el router pueda recibir conexiones Telnet desde las
direcciones de origen que aparecen en la lista de acceso.
Out impide que los puertos vty del router pueden iniciar conexiones
Telnet a las direcciones definidas en la lista de acceso est ándar.
Tenga en cuenta que la dirección de origen especificada en la lista de
acceso estándar se considera como una dirección de destino cuando se
usa access-class out.
La denegación implícita a todo se sigue aplicando a la lista de
acceso.
LISTAS DE ACCESO IP EXTENDIDAS
Las listas de acceso estándar realizan el filtrado basándose en
una máscara y una dirección de origen.
Este tipo de listas permiten o deniegan el acceso a todo el protocolo
TCP/IP.
Las instrucciones de las listas de acceso IP extendidas permiten
verificar direcciones tanto origen como destino.
Estándar
Filtros basados sólo en una dirección de origen.
Permite o deniega todo el protocolo TCP/IP.
Rango de 1 a 99.
Extendida
Filtros basados en direcciones de origen y destino y números de
puerto de origen y destino.
Especifica un protocolo IP y un número de puerto.
Rango de 100 a 199.
Al final se puede conseguir una mayor precisión en el filtrado
especificando el protocolo y los números de puerto UDP o TCP
opcionales.
Utilizando el protocolo y número de puerto UDP o TCP opcional,
se puede especificar el tipo de operación lógica que la lista de
acceso extendida ha de realizar en los protocolos indicados.
CONFIGURACION DE UNA LISTA DE ACCESO EXTENDIDA.
Agregar una lista de acceso extendida a un router a modo de
filtro de paquetes es una proceso que consta de dos pasos:
En primer lugar, se ha de crear la lista de acceso. A continuaci ón, se
debe aplicar la lista a una interfaz.
Utilice el comando access-list para crear una entrada que
exprese una condición en un filtro complejo:
Router(config)#access-list[nº de lista de
acceso][permit|deny][protocol][dirección de origen][mascara
comodín][puerto del operador][dirección de destino][mascara de
destino][puerto del operador][establisehed][log]
Numero de lista de acceso: identifica la lista mediante un numero
entre 100 y 199.
Permit|deny: indica si la entrada permitirá o bloqueara la dirección
especificada.
Protocolo: puede ser IP, TCP, UDP, ICMP, GRE o IGRP.
Origen y destino: identifican direcciones IP de origen y destino.
Mascara origen y mascara destino: Son las mascaras comodín. Las 0
indican las posiciones que deben coincidir, y los 1 las “que no
importan”.
Puerto del operador: puede ser: lt(menor que)gt(mayor que)eq(igual a)o
neq(distinto que) y un número de puerto de protocolo.
Establisehed Se usa solo para TCP de entrada. Esto permite que él
trafico TCP pase si el paquete utiliza una conexión ya establecida(por
ejemplo posee un conjunto de bits ACK)
Log Envía un mensaje de registro a la consola.
El comando ip access-group aplica una lista de acceso extendida
existente a una interfaz. Solo se puede hacer una lista de acceso por
protocolo, dirección e interfaz.
Router(config-if)#ip access-group[nº de lista de acceso][in|out]
Nº de lista de acceso indica el número de la lista de acceso que será
aplicado a ese interfaz.
In|out selecciona si la lista de acceso se aplicará como filtro de
entrada o de salida. Si no se especifica nada se adoptará la opción
out por omisión.
LISTAS DE ACCESO IP CON NOMBRE
Característica que apareció en CISCO IOS 11.2, permite
identificar lista de acceso IP estándar y extendidas mediante cadenas
alfanuméricas(nombres) en lugar de números de 1 a 199.
Con listas de acceso IP numeradas, para modificar una lista
tendría que borrar primero la lista de acceso numerada y volver a
introducirla de nuevo con las correcciones necesarias.
En una lista de acceso numerada no es posible borrar instrucciones
individuales.
Las listas de acceso IP con nombre permiten eliminar entradas
individuales de una lista especifica. El borrado de entradas
individuales permite modificar las listas de acceso sin tener que
eliminarlas y volver a configurarlas desde el principio. Sin embargo
no es posible insertar elementos selectivamente en una lista.
Si se agrega un elemento a la lista, este se coloca al final de
la misma.
No es posible usar el mismo nombre para varias listas de acceso.
Las listas de acceso de diferentes tipos tampoco pueden
compartir nombre.
CREAR Y ACTIVAR UNA LISTA DE ACCESO IP CON NOMBRE
Router(config)#ip access-list[standard|extended][nombre]nombre único
Router(config[std|ext]nac1)#[permit|deny][condiciones de prueba]
Router(config[std|ext]nac1)#no[permit|deny][condiciones de prueba]
Router(config-if)#ip access-group[nombre][in|out]
Para eliminar una instrucción individual, anteponga no a la
condición de prueba.
DIRECTRICES PARA LA IMPLEMENTACION DE LISTAS DE ACCESO
ESTANDAR, EXTENDIDAS Y CON NOMBRE.
El orden en el que aparecen las instrucciones en la lista de
acceso es fundamental para un filtrado correcto. La practica
recomendada consiste en crear las listas de acceso en un servidor TFTP
usando un editor de texto y descargarlas después en un router vía
TFTP.
Las listas de acceso se procesan de arriba abajo. Si coloca las
pruebas más especificas y las que se verificaran con mas frecuencia al
comienzo de la lista de acceso, se reducirá la carga de procesamiento.
Solo las listas de acceso con nombre permiten la supresión, aunque no
la alteración del orden de instrucciones individuales en la lista. Si
desea reordenar las instrucciones de una lista de acceso, deber á
eliminar la lista completa y volver a crearla en el orden apropiado o
con las instrucciones correctas.
Todas las listas de acceso terminan con una instrucción
implícita “denegar todo”.
Las listas de acceso extendidas, deben colocarse normalmente lo
más cerca posible del origen del trafico que será denegado.
VERIFICACION Y CONTROL DE LISTAS DE ACCESO.
Router#show ip interface[tipo de interfaz][nº de interfaz]verifica si
una lista de acceso esta asociada a un interfaz. Muestra informaci ón
de la interfaz IP.
Router#show access-list muestra contenido de todas las listas de
acceso.
Router#show[protocolo]access-list[nº lista de acceso|nombre]
Las capacidades de filtrado de paquetes de las listas de acceso
IP del software IOS permite las restricción del flujo de paquetes
según los siguientes criterios:
Dirección IP de origen.
Dirección IP de origen y destino.
Tipos de protocolos IP, incluyendo TCP, UDP e ICMP.
Servicios de protocolo TCP origen y destino, como envío de
correo electrónico y Telnet.
Servicios de protocolo UDP de origen y destino, como bootp y
NetBIOS datagram.
Servicios de protocolo ICMP, como Eco ICMP y Puerto inalcanzable
ICMP.
La lista anterior no esta completa. La flexibilidad de las
listas de acceso IP le ofrece al administrador una decisión muy amplia
en cuanto a lo que se filtra y cómo se aplican los filtros. La clave
para comprender las listas de acceso IP en el software IOS reside en
que la tares de filtrado de paquetes está dividida en dos pasos muy
diferentes. En primer lugar, el criterio de filtrado se define
mediante el uso de los comandos access-list e ip access-list. En
segundo lugar, el criterio de filtrado se aplica a las interfaces
elegidas. Ya hemos considerado un método de aplicar el filtrado de
lista de acceso, en conjunción con el comando distribute-list para
filtrar la información de enrutamiento. En los apartados que aparecen
a continuación, nos centraremos en la utilización de las listas de
acceso en conjunción con el comando ip access-group.
DEFINICIÓN DE LAS LISTAS DE ACCESO.
Los criterios de filtrado se definen en una lista de
instrucciones de permiso y denegación que se llama lista de acceso.
Cada línea de esa lista de acceso se contrasta consecutivamente con
las direcciones IP y demás información de un paquete de datos hasta
que hay una coincidencia. Tan pronto como ocurre dicha coincidencia,
se sale de la lista. Este proceso hace que las listas de acceso tengan
una gran dependencia del orden.
Cuando se desarrolló originalmente, el software IOS sólo
disponía de un comando para crear listas de acceso, el comando accesslist.
Mediante el uso de este comando y una serie de rangos relevantes
de números, el administrador de red puede especificar el protocolo de
red para el que se crea la lista.
Un rango numérico 1 a 99 denota una lista de acceso IP estándar
y el rango 900 a 999 denota un filtro de paquetes IPX.
Alegando la necesidad de una mayor flexibilidad y un mayor
número de listas de acceso, los diseñadores del software IOS crearon
versiones del comando access-list para IP e IPX que permiten litas de
acceso con nombre asignado. Puede utilizar una cadena arbitraria de
caracteres en vez de un número para identificar la lista de acceso.
El comando para crear listas de acceso IP con nombre asignado es
ip access-list, también existe el comando ipx access-list para listas
IPX con nombre asignado.
Ya sea numerada o con nombre asignado, las listas de acceso IP
pertenecen a una de estas dos categorías: estándar o extendida. Una
lista de acceso IP estándar evalúa sólo la dirección IP de origen de
un paquete, mientras que la lista de acceso extendida puede evaluar
las direcciones IP de origen y destino, el tipo de protocolo IP y los
puertos de origen y de destino de la capa de transporte.
Use el comando de configuración global de IOS access-list para
establecer una lista de acceso numerada.
Como se explicó con anterioridad, el comando access-list toma
como parámetro un número de lista. Las listas de acceso IP estándar se
establecen por un número en el rango 1 a 99. Las listas de acceso IP
extendidas se ven por un número en el rango 100 a 199. Tras el número
de lista de cada línea de la lista de acceso encontrará la palabra
clave permit o deny, seguida de la dirección, la máscara wildcard, el
protocolo y el número de puerto del protocolo que se filtra.
Router#configure t
Router(config)#access-list[número][deny|permit][dirección IP]
Router(config)# access-list[número][deny|permit][dirección IP][máscara
wildcard]
Router(config)#^Z
El orden de las líneas de la lista de acceso determina el
funcionamiento del filtro.
Sugerencia_
Las listas de acceso hacen uso del concepto conocido como
máscara wildcard. Aunque parece similar a la máscara de red, la
máscara wildcard se diferencia en que las posiciones de bit
establecidas a 1 coinciden con cualquier valor. Una máscara wildcard
de 0.0.0.255 coincide con cualquier número en el rango 0 a 255 que
aparezca en el cuarto octeto de una dirección IP. Una máscara wildcard
de 0.0.3.255 coincide con cualquier dirección IP que tenga un 0, 1, ó
3 en el tercer octeto y cualquier número en el cuarto octeto basado en
la computación binaria. Las máscaras wildcard permiten que el
administrador de red especifique rangos de direcciones que entran en
los limites de bit de los números binarios.
Sugerencia_
Todas las listas de acceso tienen un deny implícito al final de
la lista. Esto significa que cualquier paquete que no coincida con el
criterio de filtrado de alguna de las líneas de la lista de acceso
será denegado. Para una mejor resolución de problemas y un mayor
control administrativo de la seguridad de la red, le recomendamos que
ponga un deny explicito al final de la lista con la palabra clave
opcional log. Esta acción hace que los paquetes que no coincidan con
la lista queden registrados como una violación en la consola, o si
tiene activado el registro de sistema(syslogging), en el servidor
syslog. También puede aplicar la palabra clave opcional log a
cualquier línea de la lista de acceso para que el administrador desee
tener información de registro grabada.
Las listas de acceso IP con nombre asignado se crean con el
comando de configuración ip access-list. Este comando toma como
parámetros las palabras clave extended o standard para denotar el tipo
de lista de acceso con nombre asignado que se crea y nombre mismo de
dicha lista.
El comando ip access-list hace que la configuración del software
IOS conmute al submodo de configuración de lista de acceso. Una vez en
el submodo de configuración de lista de acceso, sólo se tienen que
proporcionar los estados permit y deny, junto con la dirección de red
y otros criterios de filtrado. No necesita repetirse el nombre de la
lista de acceso con nombre designado en todas las líneas de la lista.
Ya sean numeradas o con nombre asignado, uno de los desafíos de
la gestión de listas de acceso radica en recordar por qué determinados
host, redes o servicios tienen el acceso permitido o denegado. A lo
largo del tiempo, pueden cambiar los administradores de la red que
deben responsabilizarse de mantener las listas de acceso en varios
dispositivos de la red y las razones de determinar entradas de las
listas de acceso pueden olvidarse.
En las primeras versiones del software IOS, la única manera de
documentar la información sobre las listas de acceso(o cualquier
comando de configuración) consistía en agregar comentarios a una copia
del archivo de la configuración de inicio que se almacenaba en el
servidor. Desgraciadamente, dichos comentarios se ignoran cuando el
archivo de configuración se carga en la memoria del router, así que no
existe en la NVRAM o memoria de ejecución.
Las versiones más recientes del software IOS han introducido la
capacidad de agregar comentarios a los comandos de las listas de
acceso numeradas y con nombre asignado.
Para agregar comentarios a las listas de acceso numeradas se usa
la palabra clave remark en lugar de permit o deny tras el comando de
configuración global de IOS access-list y el número de la lista. Los
comentarios se pueden colocar en cualquier lugar de la lista de acceso
y pueden tener una longitud máxima de 100 caracteres.
Router#configure t
Router(config)#access-list [número] remark [comentario]
Router(config)#access-list [número] [permit|deny][protocolo][dirección
origen][dirección destino][condición][protocolo]
Router(config)#^Z
Para agregar comentarios a las listas de acceso con nombre
asignado, se utiliza el comando de submodo de configuración de listas
de acceso IP remark. De igual manera que con los estados permit y
deny que se usan en este subcomando, el comando remark se utiliza
después de entrar en el submodo de configuración de listas de acceso
con el comando ip access-list seguido del nombre de la lista. Como en
el caso de los comentarios de las listas de acceso numeradas, estos
comentarios pueden tener una longitud máxima de 100 caracteres.
APLICACIÓN DE LISTAS DE ACCESO
Una vez definidos los criterios de filtrado de la lista de
acceso, se deben aplicar a una o más interfaces para que se puedan
filtrar los paquetes. La lista de acceso se puede aplicar en direcci ón
entrante o saliente en la interfaz. Cuando una paquete viaja en
dirección entrante, entra en el router desde la interfaz. Cuando
viajen en dirección saliente, abandonan el router y se dirigen a la
interfaz. La lista de acceso se aplica mediante el subcomando de
configuración de interfaz de IOS ip access-group. Este comando toma
como parámetro la palabra clave in u out. Si no se proporciona un
parámetro, se presupone la palabra clave out.
Router#configure t
Router(config)#interface[tipo][número]
Router(config)#ip access-group [número de lista de acceso] [in|out]
Router(config)#^Z
Una vez configuradas, se pueden ver y verificar las listas de
acceso con los comandos ejecutables de IOS show access-list y show ip
access-list. El primer comando muestra todas las listas de acceso
definidas en el router, mientras que el segundo sólo muestra las
listas de acceso IP definidas en el router, mientras que el segundo
sólo muestra las listas de acceso IP definidas en el router, ya sean
numeradas o con nombre asignado. Cada comando puede tomar como
parámetro una lista de acceso numerada o con nombre asignado
específica y sólo se puede visualizar el contenido de esa lista. Si se
proporciona un parámetro, se mostrarán todas las listas.
Router#show access-list
Los comandos show access-list y show ip access-list cuentan el
número de coincidencias de cada línea de la lista de acceso y muestra
ese número entre paréntesis. Esta información puede resultar útil para
determinar las líneas de la lista de acceso que están sirviendo al
propósito para el que fueron creadas. También puede ayudar a resolver
problemas y revelar los posibles errores de configuración de las
listas de acceso.
Los contadores de coincidencias de los comandos show access-list
y show ip access-list se pueden reiniciar con el comando ejecutable de
IOS clear ip access-list counters. Este comando toma un parámetro
opcional del número o nombre de una lista de acceso IP en la que
quiera reiniciar los contadores de coincidencias. Si no se especifica
un parámetro, se reinician los contadores de coincidencias de todas
las listas de acceso IP.
Router#clear ip access-list counters [número de lista o nombre]
Es un poco difícil de terminar dónde utilizar las listas de
acceso. Cuando se aplican como filtros de paquetes con el comando ip
access-group, la salida del comando show ip interfaces muestra las
listas de acceso aplicadas y las interfaces en las que se han
aplicado.
Cuando las listas de acceso se aplican como filtros de paquetes
con el comando distribute-list, la salida del comando show ip
protocols indica la aplicación entrante o saliente de los filtros a
los protocolos de enrutamiento específicos. Esta explicación de los
comandos para ver y verificar las listas de acceso no está completa,
porque las listas de acceso funcionan como el activador para muchas de
las funciones de filtrado del software IOS. Cada aplicación específica
de las listas de acceso tiene sus comandos de verificación
correspondientes.
Las capacidades de filtrado de paquetes IP del software Cisco
IOS proporcionan herramientas muy poderosas para limitar el acceso a
los recursos, tanto dentro como fuera de la red de una entidad. No
obstante el diseño de un esquema de protección firewall es una tares
importante y compleja.
CONFIGURACIÓN DE LOS SERVICIOS BÁSICOS DE ACCESO TELEFONICO
POR IP.
El software IOS permite el acceso remoto en los routers y
servidores de acceso. La capacidad de acceso remoto se encuentra
disponible tanto en el acceso telefónico asíncrono mediante módulos de
módems integrados y externos, como a través de RBSI(ISDN). El acceso
remoto ofrece a los usuarios y a los routers remotos la capacidad de
conectarse con servicios de red IP cuando no están conectados
directamente a una red a través de una interfaz de LAN o de WAN.
Hay numerosos productos basados en IOS compatibles con los
servicios de acceso remoto. Estos productos ofrecen muchas opciones de
configuración, tanto en su hardware como en las características del
software IOS.
Para asegurarse de la fiabilidad de la conexión a través de un
servicio de acceso telefónico, como, por ejemplo un módem o RDSI, IP
se transporta en un protocolo de capa de enlace a través del servicio
de acceso telefónico. Hay varios protocolos de la capa de enlace de
datos compatibles con los servicios de acceso telefónico, entre los
que se incluyen PPP, DIC, SLIP(Serial Line IP) y Frame Relay.
La configuración de los servicios de acceso remoto puede
dividirse en tres campos principales:
La configuración de la línea o la interfaz.
La configuración de la seguridad.
La configuración del protocolo IP.
CONFIGURACIÓN DE ACCESO TELEFÓNICO ASÍNCRONO
El acceso telefónico asíncrono implica la utilización de módems
analógicos para convertir los datos en cadenas de información que se
puedan trasladar a través de las líneas telefónicas. Estos módems
pueden estar integrados en el producto, como en el caso de servidor de
acceso Cisco AS5200 y el router 3600, o bien conectarse externamente,
como en el caso del servidor de acceso 2511 y el puerto auxiliar de la
mayoría de los routers Cisco.
Hay líneas serie asíncronas físicas conectadas a los módems o
líneas virtuales dentro de los módulos de módems integrados, las
líneas y los módems deben estar correctamente configurados para
asegurar una comunicación adecuada. La velocidad de la línea, el
método de control de flujo, la dirección de la llamada telefónica y el
tipo de módem conectado son algunos de los aspectos más importantes a
configurar.
Para establecer la velocidad a la que el servidor se comunica
con los módems, utilizamos el subcomando de configuración de línea de
IOS speed. El comando toma como parámetro un entero que representa la
velocidad, como número de bits por segundo, a la que transmitir y
recibir. La velocidad debería establecerse a la mayor que admita el
puerto de datos del módem(la mayor velocidad que admite el servidor de
acceso es de 115.200 bps).
A fin de definir el método que se utiliza para controlar el
flujo de información desde el servidor de acceso a los módems,
utilizamos el subcomando de configuración de línea de IOS flowcontrol.
El comando toma como parámetro la palabra clave hardware o software.
Estas palabras clave representan los dos tipos de control de flujo
compatibles. Con velocidades superiores a los 9.600 bps se recomienda
el uso de control de flujo del hardware.
Router#configure t
Router(config)#line[rango de líneas]
Router(config-line)#speed 115200
Router(config-line)#flowcontrol [hardware | software]
Router(config-line)#^Z
Una vez seleccionados los métodos de control de la velocidad y
del control de flujo, hay que proporcionarle al servidor de acceso la
información relativa al tipo de módem conectado y a la dirección del
acceso telefónico. La información sobre el tipo de módem facilita la
tarea de configuración de acceso telefónico al eliminar la necesidad
de configurar los valores del módem de forma manual. Además, el
servidor de acceso puede restablecer los valores del módem tras cada
llamada para asegurar el funcionamiento adecuado del conjunto de
accesos telefónicos.
La información relativa a la configuración del acceso telefónico
le dice al servidor de acceso cómo reaccionar a las señales enviadas
por el módem durante el establecimiento de la llamada. El subcomando
de configuración de línea de IOS modem se utiliza para configurar
tanto el tipo de módem conectado como la dirección de acceso
telefónico. Para configurar el tipo de módem utilizamos el comando
modem autoconfigure. Este comando toma como parámetro la palabra clave
discovery o type. La palabra clave discovery le da instrucciones al
servidor al servidor de acceso para que intente determinar el tipo de
módem conectado a fin de seleccionar los valores del mismo. La palabra
clave type, seguida de uno de los tipos de módem predefinidos o
definidos por el usuario, le da instrucciones al servidor de acceso
para que seleccione los valores del módem del tipo con nombre.
El software IOS admite muchos tipos de módems, entre los que se
incluyen U.S Robotics Courier, el U.S Robotics Sportster Y Telebit
T3000. Si no esta definido previamente el tipo, el usuario puede
establecer tipos adicionales y los valores correspondientes mediante
el comando de configuración de IOS modencap. Para establecer la
dirección del acceso telefónico usamos como parámetro las palabras
clave dialin o inout con el comando modem.
Sugerencia_
Aunque las líneas asíncronas se utilicen solamente para dial-in,
le recomendamos que establezca las líneas para operaciones inout
durante la configuración inicial y la resolución de problemas. Esto le
proporciona acceso al terminal virtual a través del protocolo Telnet
directamente a la línea asíncrona para la configuración y la
verificación manual del módem. Este método de acceso virtual se conoce
como Telnet inverso.
Una vez finalizada la configuración de la línea asíncrona, la
seguridad del servidor de acceso es el siguiente paso del proceso de
configuración.
La primera es el proceso de autenticación, el proceso de
identificar quien intenta acceder. La segunda fase es autorizar al
usuario identificado para que realice tareas especificadas o darle al
usuario acceso a servicios específicos. Para los propósitos de acceso
telefónico por IP, introducimos un tipo de autenticación y un tipo de
autorización que hace uso de la información del usuario configurado
localmente.
Estos comandos de autenticación y autorización hacen uso de la
información del usuario configurada localmente. De manera opcional,
podría utilizarse un servidor de acceso como TACACS+ o un RADIUS en
lugar de la información configurada a nivel local.
Para autenticar a los usuarios que intentan acceder a los
servicios de IP a través de PPP, se utiliza el tipo de autenticación
AAA de ppp. Se activa mediante el comando de configuración de IOS aaa
authentication ppp. El comando toma como parámetro un nombre de lista
de autenticación o la palabra clave default y uno o varios métodos de
autenticación, como local o, TACACS+.
Una vez identificado el usuario PPP, hay que autorizar a dicho
usuario para que pueda utilizar los servicios de red(uno de los cuales
es PPP). Para autorizar el uso de los servicios de la red, utilizamos
el comando aaa authorization network. Este comando toma como parámetro
uno o varios tipos de autorización.
Router#configure t
Router(config)# aaa authentication default ppp local
Router(config)# aaa authorization network default if-authenticated
Router(config)#^Z
La información de la autenticación para los usuarios PPP se
configura a nivel local, por lo que hay que configurar los nombres de
usuario y las contraseñas reales para autenticación. Esta información
se configura mediante el comando de configuración global de IOS
username. El comando toma como parámetro la identificación del usuario
a utilizar para la autenticación, la palabra clave password y la
contraseña a utilizar para autentificar al usuario. Aunque la
contraseña se escribe en texto perfectamente legible, se convierte en
una cadena cifrada si está activado el cifrado de contraseña.
Router#configure t
Router(config)#username [nombre de usuario]password [clave]
Router(config)# username [nombre de usuario]password [clave]
Router(config)#^Z
El paso final para configurar los servicios de acceso telef ónico
asíncronos de IP es ofrecer la información sobre el protocolo IP que
se usa para establecer y mantener la sesión de acceso telefónico
mediante IP. En vez de introducirse la información sobre el protocolo
IP como subcomando de línea, la información del protocolo se asocia
con el tipo de interfaz que representa la línea asíncrona, igual que
con cualquier otro medio LAN o WAN. Este tipo de interfaz se denomina
interfaz asíncrona, y cada línea asíncrona del servidor de acceso
tiene una interfaz asíncrona correspondiente. La información del
protocolo IP puede introducirse individualmente en cada interfaz
asíncrona en la que pueden ocurrir sesiones de acceso telefónico, o
sólo una vez mediante una interfaz asíncrona colectiva denominada
interfaz asíncrona de grupo.
La interfaz asíncrona de grupo puede utilizarse para simplificar
las tareas de configuración cuando se apliquen los mismos comandos de
configuración a varias interfaces asíncronas. Cuando se utiliza la
interfaz de IOS group-range para identificar qué interfaces asíncronas
individuales deberían incluirse en la estructura del grupo.
La información del protocolo IP que se asigna a las interfaces
asíncronas se divide en tres categorías:
La configuración de la dirección IP para la interfaz asíncrona.
La información de la dirección IP que se ofrece a los usuarios
de acceso telefónico.
La información relativa a cómo debería funcionar IP y PPP en la
interfaz asíncrona.
Empezamos por examinar los comandos de funcionamiento de PPP e
IP. En primer lugar hay que indicarle a la interfaz asíncrona que
utilice PPP como método de encapsulación para los servicios IP. Para
especificar el tipo de encapsulación, utilizamos el comando de
configuración de interfaz de IOS encapsulation. El comando toma como
parámetro una palabra clave(por ejemplo, pppo slip) que defina el tipo
de encapsulación que se utiliza en la interfaz.
Una vez configurado PPP, el administrador de la red tiene la
opción de configurar la línea asíncrona para que funcione solamente
como un puerto de servicios de red de acceso telefónico(es decir, al
usuario sólo se le permite utilizar los servicios de red configurados
en el puerto, como PPP o SLIP) o permitir que el usuario reciba un
indicativo ejecutable en el acceso telefónico y elija manualmente que
servicio ejecutar. Para especificar el funcionamiento deseado,
utilizamos el subcomando de configuración de interfaz de IOS async
mode. El comando toma como parámetros la palabra clave interactive o
dedicated para definir el funcionamiento deseado.
El nivel de conocimientos del usuario de acceso telefónico y la
manera de utilizar la interfaz asíncrona suelen determinar el modo a
elegir: interactivo o dedicado. Si se configura un funcionamiento
dedicado, se impide que el administrador de la red acceda
telefónicamente y se le autorice a utilizar los comandos ejecutables.
El modo interactivo puede admitir tanto comandos ejecutables como
servicios de red. Sin embargo, el inconveniente del modo interactivo
es que los usuarios poco experimentados pueden configurar mal su
software de acceso telefónico y situarse en un indicativo ejecutable
sin darse cuenta.
Cuando se usa el modo interactivo, un conjunto adicional de
comandos de línea simplifica el proceso de acceso telefónico para el
usuario. Estos comandos permiten que el servidor de acceso determine
el tipo de conexión que se está intentando sin exigir que el usuario
especifique el servicio en un indicativo ejecutable. A ese proceso se
le denomina selección automática. Se activa mediante el subcomando de
configuración de línea de IOS autoselect. Este comando toma como
parámetro una palabra clave que describe el protocolo de capa de
enlace que se seleccionará automáticamente o el momento en que se
realiza la selección automática (normalmente en el momento de
autenticación del usuario).
Usar la selección automática cuando está configurado el modo
interactivo ofrece el método más sencillo para la mayoría de los
usuarios para acceder a los servicios PPP e IP en el servidor de
acceso.
El último comando de operaciones PPP que se necesita en la
interfaz le da instrucciones a PPP para que realice la autenticaci ón y
autorización de los usuarios de acceso telefónico antes de establecer
los servicios PPP e IP. Así se asegura que sólo obtienen acceso a los
servicios de la red disponibles en el servidor de acceso los usuarios
autorizados.
Este comando también informa al servidor de acceso del protocolo
de autenticación que se van ha utilizar entre el servidor de acceso y
el cliente de acceso telefónico. Se pueden usar tres protocolos:
Protocolo de autenticación de intercambio de señales de
desafio(Challenge Handshake Authentication Protocolo, CHAP), Protocolo
de Autenticación de intercambio de señales de desafió de Microsoft
(Microsoft Challenge Handshake Authentication Protocolo, MS-CHAP) y
Protocolo de autenticación de contraseña (Password Authentication
Protcol, PAP).
El subcomando de configuración de interfaz de IOS ppp
authentication le da instrucciones el servidor de acceso para que
realice el proceso de autenticación. El comando toma como parámetro la
palabra clave chap, ms-chap o pap para especificar el protocolo de
autenticación. En el mismo comando de configuración es posible
especificar un solo protocolo o una combinación de varios si los
usuarios de acceso telefónico acceden con varios protocolos de
autenticación. El comando toma también una palabra clave opcional,
calling, que le da instrucciones al servidor de acceso para que lleve
a cavo la autenticación inicial solamente en las llamadas de acceso
telefónico entrantes. El valor predeterminado es realizar la
autenticación inicial tanto en las llamadas entrantes como en las
salientes. Las implementaciones de algunos fabricantes no responden a
las autenticaciones iniciales si reciben una llamada entrante.
Con el gran número de usuarios de acceso telefónico de Microsoft
de hoy en día, el administrador de la red podría elegir añadir
compatibilidad con Microsoft Point-to-Point Compresión, (MPPC). La
compresión optimiza la transmisión de información a través de un medio
como la línea de acceso telefónico, lo que permite que se transmita
más información de la que sería posible normalmente. En líneas de
acceso telefónico relativamente lentas que funcionan entre 28.800 y
53.000 bps, la compresión puede acelerar la velocidad a la que se
transmite la información casi al doble.
La compresión para los usuarios de acceso telefónico se realiza
mediante el subcomando de configuración de interfaz de IOS compress.
El comando compress toma como parámetro la palabra clave mmpc, stac o
predictor para indicar el tipo de compresión que se ha de negociar
cuando un usuario de acceso telefónico establece una conexión. Las
palabras clave stac y predictor indican la utilización de los
algoritmos de compresión STAC o Predictor. STAC es un algoritmo de
compresión habitual que admiten muchos clientes de acceso telefónico,
incluyendo sistemas de Windows 95 y sería una buena elección si se
admite un grupo grande de usuarios de acceso telefónico de Windows 95
o que sean de Microsoft. Predictor es un algoritmo mucho menos
habitual. La selección de Microsoft Point-to-Point Compresión se
realiza mediante la palabra clave mppc. Dado que Windows NT solamente
es compatible con MPPC y que Windows 95/98 admite tanto la compresi ón
MPPC como la STAC, la selección de este algoritmo de compresión le
ofrece la mayor flexibilidad al administrador de una red que integre
varios sistemas operativos de Microsoft.
Router#configure t
Router(config)#interface group-async 1
Router(config-if)#group-range 1 16
Router(config-if)#encapsulation ppp
Router(config-if)#async mode interactive
Router(config-if)#ppp authentication chap ms-chap pap callin
Router(config-if)#compress mppc
Router(config-if)#line 1 16
Router(config-line)#autoselect ppp
Router(config-line)#autoselect during-login
Router(config-line)#^Z
Teniendo definido el modo operativo de PPP, ahora es posible
realizar el direccionamiento IP en las interfaces asíncronas.
Normalmente, los usuarios de acceso telefónico por IP sólo cuentan con
una dirección IP asociada con sus estaciones de trabajo. Lo podemos
contrastar un router de acceso telefónico, que tiene todo un segmento
de LAN conectado y necesita realizar enrutamiento con éxito en el
sitio central para una comunicación adecuada. Como cada usuario de
acceso telefónico individual utiliza una dirección IP en una conexión
de acceso telefónico separada y, por tanto, una interfaz asíncrona
separada, la dirección IP real de la interfaz asíncrona no resulta
importante. De hecho, cada una de las interfaces asíncronas pueden
tratarse como si residiera en el mismo espacio de dirección IP en una
conexión de acceso telefónico separada y, por tanto una interfaz
asíncrona separada, la dirección IP real de la interfaz asíncrona no
resulta importante. De hecho cada una de las interfaces asíncronas
puede tratarse como si residiera en el mismo espacio de direcci ón IP
que la interfaz de LAN conectada. Estas interfaces asíncronas pueden
tratarse incluso como si la dirección IP del usuario de acceso
telefónico se asignara desde dicho espacio de dirección. Mirándolo
desde una perspectiva diferente, el usuario de acceso telef ónico esta
conectado lógicamente al segmento de LAN mediante un cable de gran
longitud, la línea telefónica. No se asigna ninguna dirección IP a la
línea telefónica de la misma forma que una estación de trabajo de LAN
se conecta mediante un cable 10BaseT.
La estación de trabajo recibe una dirección IP del mismo espacio
de direcciones de red IP que está asignado a la interfaz de LAN del
servidor de acceso. El servidor de acceso tiene la responsabilidad de
aceptar paquetes desde la LAN en nombre del usuario de acceso
telefónico. Dirige dichos paquetes a la llamada telefónica de acceso
adecuada. El servidor de acceso logra inyectando una ruta de host(una
ruta de red con una máscara de red de 32 bits) en la tabla de
enrutamiento del servidor de acceso cuando se establece una conexi ón
de acceso telefónico y respondiendo a solicitudes ARP de las
direcciones IP asignadas a las sesiones de acceso telefónico.
Las interfaces asíncronas en si no tienen direcciones IP cuando
utilizan el método anterior, así que puede usarse el subcomando de
configuración de interfaz de IOS ip unnumbered para activar el
procesamiento de IP en las interfaces asíncronas.
Se utiliza para especificar la interfaz LAN del servidor de acceso
como la interfaz de referencia.
La ultima fase a la hora de establecer la conexión de acceso
telefónico por IP en la interfaz asíncrona es configurar qué
direcciones IP se asignan a un cliente de acceso telefónico en el
momento de la conexión. El subcomando de configuración de interfaz de
IOS peer default ip address determina el método utilizado para asignar
una dirección IP al cliente de acceso telefónico. Especificando una
dirección IP en particular como parámetro para el comando, es posible
asignar direcciones IP individuales a cada interfaz asíncrona. Sin
embargo, se precisa que cada una de las interfaces asíncronas se
configure manualmente con la dirección IP que se asignará a los
clientes de acceso telefónico que se conecten en esa interfaz.
Un método más flexible consiste en asignar direcciones IP de uno
o varios grupos de direcciones que se hayan establecido en el servidor
de acceso con el comando parameter poll. Este método les ofrece
también a los usuarios que han asignado direcciones IP permanentemente
la flexibilidad de acceder a cualquier puerto del módem, ya que el
servidor de acceso acepta la dirección IP sugerida del cliente de
acceso telefónico si se encuentra en un grupo de direcciones
predefinido. Cuando se especifica el método de grupos, va acompañado
por un nombre específico de grupo de direcciones.
Los grupos de direcciones se definen mediante el comando de
configuración global de IOS ip local poll. Este comando toma como
parámetro un nombre de grupo y las dicciones IP inicial y final que
forman dicho grupo. Las direcciones IP deben ser de la misma red IP
que la interfaz de LAN del servidor de acceso. Por supuesto, estas
direcciones no deberían asignarse a ninguna estación de trabajo que
resida en el segmento LAN.
Aunque los grupos de direcciones son el método más flexible para
asignar direcciones IP, no existe ningún método para coordinar la
asignación a través de varios servidores de acceso. En esta situación,
puede resultar mejor asignar direcciones desde un servidor central de
autoridad de direcciones, como por ejemplo un servidor DHCP. Para
adoptar este método, el software IOS actúa como un cliente DHCP proxy,
solicitando una dirección IP del servidor DHCP en nombre del cliente
de acceso telefónico. Este método de configuración se activa
especificando el parámetro de palabra clave dhcp en el comando peer
default ip address. El servidor de acceso debe estar también
configurado con la dirección IP de un servidor DHCP para solicitar
direcciones a través del comando de configuración global de IOS ip
dhcp-server. Los grupos de direcciones definidos en el servidor DHCP
contendrían direcciones de la dirección de red IP de la interfaz de
LAN del servidor de acceso.
Muchas implementaciones de PPP de clientes de acceso telefónico
hacen uso de un método no estándar para obtener direcciones IP de los
servidores de nombres DNS y NetBIOS/WINS durante el proceso de
establecimiento de la llamada. Este método se describe en la RFC
informativa 1877, “PPP Internet Protocol Control Potrocol Extensions
for Name server Addresses”. Aunque no es un estándar este método se ha
instalado profusamente sobre todo en las implementaciones de acceso de
Microsoft.
El servidor de acceso puede admitir también los métodos
descritos en la RFC 1877 para suministrar tanto las direcciones de
nombres de usuario DNS como NetBIOS/WINS. Las implementaciones m ás
antiguas utilizan el comando de configuración global de IOS asyncbootp
para configurar estas opciones. Cuando se configuran las
direcciones IP de los servidores DNS, el comando toma como par ámetro
la palabra clave nbns-server, seguida de una o varias direcciones IP.
Nota_
Aunque proporcionar direcciones de los servidores de nombres DNS
y NetBIOS/WINS tienen poco que ver con BOOTP, se utilizó el comando
async-bootp para activar esta característica en el software IOS
añadiendo extensiones a los comandos del protocolo de negociaci ón SLIP
BOOTP existentes. Este método se eligió en su momento en vez de crear
comandos PPP y mecanismos separados para implementar una RFC no
estándar.
El inconveniente de usar el comando async-bootp para
proporcionar direcciones de los servidores DNS y NetBIOS/WINS es que
dicho comando es de configuración global de IOS. Esto conlleva que las
direcciones configuradas mediante el comando se ofrezcan a todos los
usuarios de acceso telefónico del servidor de acceso, sea cual sea la
interfaz de acceso a la que puedan estar conectados. Ha demostrado
ser un método poco flexible para los administradores de red que desean
admitir varios tipos de conexiones de acceso telefónico o diferentes
clases de usuarios y que desean proporcionar diferentes direcciones de
servidor para dichas conexiones o usuarios. En las versiones m ás
modernas del software IOS, el subcomando de configuración de interfaz
de IOS ppp ipcp le ofrece al administrador de la red un control más
granular de estas opciones por interfaz. Cuando se configuran las
direcciones IP de los servidores DNS, el comando toma como par ámetro
la palabra clave dns, seguida de una o dos direcciones IP.
Router#configure t
Router(config)#interface group-async 1
Router(config-if)#ppp ipcp dns [dirección ip][dirección ip]
Router(config-if)#ppp ipcp wins [dirección ip]
Router(config-if)#^Z
CONEXIONES RDSI(ISDN)
Al igual que el acceso telefónico asíncrono, el acceso
RDSI(ISDN) supone la utilización de la red telefónica pública para
permitir que los usuarios de las estaciones de trabajo remotas accedan
a los servicios de una red cuando no están conectados directamente
mediante una interfaz LAN o de WAN. RDSI se diferencia del acceso
telefónico asíncrono en que las llamadas se transmiten usando señales
digitales síncronas. Los datos se transforman en cadenas de
información digital mediante las interfaces RDSI integradas en el
router o mediante la utilización de dispositivos de conexión externos
RDSI que se denominan adaptadores de terminal (TA).
Los usuarios de las estaciones de trabajo remotas también pueden
usar placas de PC RDSI integradas o TA externas para conectarse con el
servicio RDSI.
Muchas de las tareas de configuración necesarias para configurar
los servicios de acceso telefónico asíncrono por IP se necesitan
también para establecer los servicios de acceso telefónico RDSI por
IP. Sin embargo, a diferencia de la configuración asíncrona, no se
precisan comandos de línea porque el router tiene una interfaz RDSI
integrada directamente o porque el TA está conectado directamente a
una interfaz serie asíncrona. Si el router tiene una interfaz RDSI
integrada, cualquier comando que controle la interacción de la
interfaz RDSI con la red RDSI se aplica directamente a la interfaz. Si
el router se conecta a la red RDSI mediante un TA externo, se
configura a través de sus propios métodos para la correcta interacción
con la red RDSI. Esto reduce la configuración de los servicios de
acceso telefónico RDSI por IP a dos tareas: establecer la seguridad y
definir la información de IP.
Al igual que las interfaces asíncronas, las interfaces RDSI
pueden configurarse individualmente o como un grupo. Cuando se
configuran como un grupo, los comandos de configuración para las
diferentes interfaces RDSI están asociados con un tipo de interfaz
denominada interfaz del que realiza la llamada. Las interfaces RDSI
individuales se siguen configurando con sus comandos específicos de
RDSI, como por ejemplo la información SPID. Sin embargo, los comandos
operativos y del protocolo PPP y IP se configuran en la interfaz de
quien realiza la llamada. Cada una de las interfaces RDSI incluida en
la estructura de interfaces de quien realiza la llamada se configura
con el comando dialer rotary-group. Este comando toma como parámetro
un entero que representa a la interfaz de quien realiza la llamada a
la que pertenece la interfaz.
Al igual que con el acceso telefónico asíncrono, la
autenticación de PPP y la autorización de red se realizan
respectivamente con los comandos de configuración global de IOS aaa
authentication ppp y aaa authorization network. El comando de
configuración global de IOS username se utiliza para definir los
nombres de usuario remotos que acceden a la red.
Al igual que en las interfaces asíncronas, la información del
protocolo IP que se asigna a las interfaces RDSI se divide en tres
categorías:
La información relativa a cómo debería funcionar IP y PPP en la
interfaz RDSI.
La configuración de la dirección IP para la interfaz RDSI.
La información de la dirección IP que se ofrece a los usuarios
de acceso telefónico.
Como hemos visto con IP asíncrono, para establecer PPP como
protocolo de capa de enlace de datos para IP en las interfaces RDSI
usamos el subcomando de configuración de interfaz de IOS
encapsulation.
La activación de la autenticación de PPP antes de comenzar los
servicios de red por IP y la especificación del protocolo de
autenticación se realiza con el subcomando de configuración de
interfaz de IOS ppp authentication. De forma opcional, puede añadirse
compresión de Microsoft con el subcomando de configuración de interfaz
de IOS compress mppc.
RDSI es un servicio canalizado, es decir, que puede admitir
varias conexiones a través de la misma interfaz física. Ello permite
que los clientes de RDSI de acceso telefónico puedan establecer más de
una conexión a la vez con un servidor de acceso. Esta capacidad ofrece
a la estación RDSI de acceso telefónico acceso al doble de la
capacidad de línea usando una sola interfaz física. La utilización
eficaz de varios canales se realiza con una multiplexión de los datos
a través de las diferentes conexiones usando un algoritmo de software
para PPP denominado multienlace. El multienlace PPP puede activarse
mediante el subcomando de configuración de interfaz de IOS ppp
multilink.
Para controlar cuándo están en funcionamiento o apagados los
canales RDSI, se define una lista de paquetes interesantes mediante el
comando de configuración global de IOS dialer-list. Este comando toma
como parámetro protocolos de redes específicas que se deberían
considerar interesantes para el propósito de hacer(o mantener) activo
un canal. Además, pueden usarse listas de acceso para proporcionar
mayor granulidad, a nivel de direcciones IP específicas y de tipos de
servio de protocolo de transporte. Las reglas dialer-list se aplican a
una interfaz a través del subcomando de configuración de interfaz de
IOS dialer-group, que específica el número de la lista como parámetro
del comando.
Nota_
Un mayor control de la asignación del ancho de banda mediante
el uso de varios canales RDSI se define en la RFC 2125 “Bandwidth
Allocation Protocol (BACP)”. El protocolo de asignación de ancho de
banda(Bandwidth Allocation Protocol, BAP), que es un subconjunto de
BACH, ofrece un conjunto de reglas que rigen la asignación dinámica
del ancho de banda por medio de un control de las llamadas (un m étodo
estándar para incorporar y eliminar enlaces desde un conjunto
multienlace). Los servidores de acceso y los clientes de acceso
telefónico negocian las reglas bajo las que se añade o se elimina
ancho de banda dinámico durante una sesión. BACH es una característica
que se incorporó en la versión 11.4 del software IOS.
La asignación de las direcciones IP de las interfaces RDSI del
servidor de acceso y de las estaciones de trabajo de acceso telef ónico
remoto funciona de la misma forma que con las interfaces as íncronas.
No es necesario asignar direcciones IP específicas a las interfaces
RDSI del servidor de acceso telefónico RDSI. La interfaz puede
configurarse sin numeración mediante el subcomando de configuración de
interfaz de Cisco IOS ip unnumbered. Es posible asignar las
direcciones IP de los clientes de acceso telefónico remoto con
cualquiera de los tres métodos examinados anteriormente usando el
subcomando peer default ip addres.
Entre estos métodos se incluye asignar una dirección IP remota
individual asociada con cada una de las interfaces RDSI, usando un
grupo de direcciones IP que se asignarán a los clientes RDSI remotos o
asignando las direcciones IP obtenidas del servidor DHCP a los
clientes RDSI remotos.
También pueden proporcionarse direcciones IP de los servidores
interfaces asíncronas, a los clientes RDSI se les ofrece esas
direcciones configurando los comandos de configuración global de IOS
async-bootp dns-server y async-bootp nbns-server, o los subcomandos de
configuración de interfaz de IOS ppp ipcp dns y ppp ipcp wins. Usando
cualquiera de los métodos, se ofrecen direcciones IP como parámetros
de comandos.
de nombres DNS y NetBIOS/WINS a los clientes de acceso telef ónico por
RDSI usando los métodos de la RFC 1877. Al igual que con las
interfaces asíncronas, a los clientes RDSI se les ofrece esas
direcciones configurando los comandos de configuración global de IOS
async-bootp dns-server y async-bootp nbns-server, o los subcomandos de
configuración de interfaz de IOS ppp ipcp dns y ppp ipcp wins. Usando
cualquiera de los métodos, se ofrecen direcciones IP como parámetros
de comandos.
direcciones IP.
La asignación de nombre estático a dirección IP se configura con
el comando de configuración global de IOS ip host. El comando ip host
toma como parámetros un nombre de host, un puerto opcional del
protocolo Telnet y una o varias direcciones IP a las que se puede
convertir el nombre de host.
Las asignaciones estáticas de nombre de host a dirección IP
pueden verificarse también mediante el comando show host.
Las entradas estáticas de la tabla de nombres de host pueden
distinguirse de las que se conocen mediante DNS por el campo Flags
para la entrada del nombre de host. Un tipo de indicador Temp. Indica
que el nombre se conoció de forma dinámica mediante DNS y ha salido
temporalmente de la tabla tras un periodo de tiempo. Un tipo de
indicador perm indica que el nombre se configuró estáticamente y nunca
se suprimirá de la tabla con el tiempo.
Las entradas temporales de la tabal de host IP pueden borrarse
mediante el comando ejecutable de IOS clear host. Las asignaciones
individuales de nombres de host pueden borrarse introduciendo un
nombre de host como parámetro para el comando. Si se introduce un
asterisco como parámetro, pueden borrarse todas las entradas de host
temporales.
REENVÍO DE DIFUSIÓN IP
Una de las ventajas que ofrecen los routers en una red es la
restricción de los paquetes de difusión IP y MAC al segmento de LAN
local. La mayoría de las difusiones se utilizan para solicitar
información como una dirección MAC desconocida para una dirección IP
(ARP) en un segmento local, por lo que aislar las difusiones al
segmento de LAN local no presenta problemas inherentes y es altamente
beneficioso para el rendimiento de la red.
En algunas situaciones las estaciones IP utilizan las difusiones
UDP para localizar servicios que pueden no estar en el segmento de LAN
local. Por ejemplo, las aplicaciones que utilizan NetBIOS sobre IP
usan difusiones UDP para localizar el tipo de servicio particular que
necesita el usuario. Si el servicio reside en un segmento de LAN que
no sea al que está conectado la estación del usuario, el router
bloquea la difusión, con lo que el servicio deja de estar disponible.
Otros servicios, como DCHP y Bootstrap Protocol (BOOTP), env ían
difusiones UDP para ayudar a las estaciones IP a determinar sus
direcciones IP durante el proceso de inicio; las difusiones las
reciben servidores que asignan direcciones.
Si dichos servidores residen fuera del segmento de LAN local, una
estación IP no puede recibir una dirección IP asignada por el usuario.
Para compensar las características de aislamiento de la difusión
del router, el software IOS tiene la capacidad de reenviar difusiones
UDP a un host o subred específica. Esta característica, que se
denomina reenvío de difusión de IP, se activa utilizando el subcomando
de configuración de interfaz de IOS ip helper-address y el comando de
configuración global de IOS ip forward-protocol.
Una aplicación habitual de estos comandos es reenviar las
peticiones de direcciones DCHP desde un segmento de LAN local al
segmento de LAN en el que reside el servidor DCHP.
Para activar el reenvío de difusiones, podemos aplicar el
comando ip helper-address a los segmentos en los que el router recibe
las difusiones. El comando ip helper-address toma como parámetro una
dirección IP de host de host o una dirección IP de difusión. La
dirección que se introduce es una dirección de host del servidor DCHP
específico o la dirección de difusión del segmento de LAN en el que
reside el servidor DCHP.
En vez de reenviarse directamente al servidor DCHP, la difusi ón
podría reenviarse al segmento de LAN en el que reside el servidor
DCHP. Esta alternativa resulta de gran utilidad cuando hay m ás de un
servidor DCHP que podría contestar a la petición.
El comando ip helper-address se utiliza para especificar dónde
se deberían reenviar las difusiones. El comando ip forward-protocol se
utiliza para controlar qué emisiones UDP se reenvían. De manera
predeterminada, se reenvían varios tipos de difusión UDP siempre que
se aplica a la interfaz el comando ip halper-address:
Protocolo de transferencia de archivos trivial(trivial File
Transfer Protocol, TFTP) (puerto 69).
Sistema de denominación de dominio(puerto 53).
Servicio de tiempo(puerto 37).
Servidores de nombres NetBIOS(puerto 137).
Servidor de datagramas NetBIOS(puerto 138).
Datagramas de clientes y servidores del protocolo
Boot(BOOTP)(puertos 67 y 68).
Servicio TACCS(puerto 49).
Si hay una aplicación que emita en un puerto que no aparezca en
la lista y hay que reenviar sus difusiones, utilizamos el comando ip
forward-protocol para especificar que el tipo de difusión particular
debería incluirse entre los que se reenvían. Con la incorporación de
la palabra clave no, también es posible utilizar este comando para
restringir que se reenvíe cualquiera de los protocolos
predeterminados. El comando ip forward-protocol toma como parámetro el
tipo de reenvío a realizar(como por ejemplo, UDP) y el número de
puerto específico de protocolo a reenviar.
La configuraciones de ip helper-address se puedenverificar con
el comando show interface.
Nota_
Otras referencias: otras aplicaciones de difusión
La técnico de reenvío de difusión que hemos visto esta diseñada
para satisfacer las demandas de un entorno de reenvío de difusión
limitado. Se ajusta a la perfección a tareas como el reenvío de
peticiones de direcciones IP mediante DCHP o BOOTP a un servidor o
grupo de servidores que residan en una ubicación central de la red.
Existen otras aplicaciones para las que se puede necesitar un
reenvío de más considerable. Estas aplicaciones suelen utilizar
difusiones para compartir información entre un elevado grupo de
usuarios de estaciones de trabajo a través de una gran parte de la
red. Dichas aplicaciones no son muy convenientes para el modelo de
direcciones helper. En su lugar, necesitan técnicas avanzadas, como el
desbordamiento de UDP y la duplicación difusión a multidifusión, para
evitar que se inunde la CPU del router por el trafico y la duplicaci ón
de paquetes de difusión.
ASIGNACIÓN DE DIRECCIONES DINÁMICAS CON UN SERVIDOR DCHP DE
IOS.
En la sección anterior tratamos el reenvío de peticiones de
asignación de direcciones DCHP como una de las aplicaciones para el
reenvío de difusión de IP. Cuando un router reenvía estas peticiones
de asignación de dirección, se dice que actúa como un agente de
retransmisión DCHP. El papel del agente de retransmisión DCHP es
recibir las difusiones locale de las LAN para la asignación de
direcciones y reenviarlas a un servidor DCHP identificado previamente.
El servidor DCHP suele ser una estación de trabajo o un servidor como
un sistema UNIX o Windows NT que ejecuta un paquete de software o un
servicio de servidor DCHP. De forma alternativa, un router o un
servidor de acceso basado en IOS puede servir como fuente para las
asignaciones dinámicas de direcciones.
El servidor DCHP del software IOS funciona de forma similar a
los servidores DCHP basados en estaciones de trabajo, aceptando
peticiones/renovaciones de asignación de direcciones y asignando las
direcciones desde grupos predefinidos de direcciones denominados
conjuntos. Los conjuntos de direcciones pueden configurarse para
proporcionar información adicional al cliente que lo solicite, como
la(s) dirección(es) de los servidores DNS, el router predeterminado y
otro tipo de información útil. El servidor DCHP de IOS pueden aceptar
difusiones de segmentos LAN conectados a nivel local o de peticiones
DCHP que hayan reenviado otros agentes de retransmisión DCHP dentro de
la red.
Nota_
Aparte del servidor DCHP basado en el software IOS, Cisco
Systems fabrica un servidor DNS y DCHP basado en estaciones de trabajo
denominado Cisco Network Registrar que se ejecuta en sistemas
operativos como Solaris, HP-UX y Microsoft Windows. Para tomar la
decisión de utilizar el servidor DCHP basado en IOS o un servidor DCHP
basado en estaciones de trabajo, hay que tener en cuenta muchos
factores, incluyendo el tamaño de la red, el número de nodos que
necesitan direcciones dinámicas, la frecuencia de las peticiones y
renovaciones de direcciones, la necesidad de redundancia y los costes.
En general, el servidor DCHP basado en IOS es más práctico en redes
pequeñas o de mediano tamaño para un modelo descentralizado, como, por
ejemplo varias oficinas remotas. Los servidores DCHP basados en
estaciones de trabajo son más apropiados para grandes organizaciones
que necesiten redundancia y un esquema de administración muy
centralizado.
El servidor DCHP de IOS participará normalmente en dos fases del
proceso de asignación de direcciones: la DHCPOFFER y la DHCPACK.
Cuando un cliente DHCP solicita una dirección del servidor DCHP.
El cliente DCHP envía un mensaje de difusión DHCPDISCOVER para
localizar a un servidor DCHP. Un servidor DCHP ofrece parámetros de
asignación de direcciones al cliente en una respuesta de unidifusión
DCHPOFFER. El cliente DCHP le devuelve entonces un mensaje de difusi ón
formal DCHPREQUEST para la asignación de direcciones ofertada al
servidor DCHP. El servidor DCHP envía una respuesta de unidifusión
DCHPPACK para indicar que las direcciones solicitadas se le han
asignado al cliente. Los cuatro pasos que se ilustran en la figura
representan el proceso normal de negociación de direcciones sin
errores ni conflictos. El proceso completo de asignación de
direcciones, incluyendo el tratamiento de los mensajes DCHPDECLINE, se
describe en la RFC 2131, “Dynamic Host Configuration Protocol”.
Para activar que el router basado en IOS o el servidor de acceso
Haga de servidor DCHP, hay que realizar cuatro fases de configuraci ón
principales:
Identificar la ubicación para registrar la información de las
asignaciones DCHP.
Crear una lista de direcciones IP que excluir de la asignaci ón
dinámica.
Crear un conjunto de direcciones que utilizar para la asignaci ón
dinámica.
Añadir atributos adicionales a los conjuntos de direcciones que
se proporcionarán a las estaciones que lo soliciten.
El primer paso para activar el servidor DCHP de Ios es
configurar una ubicación en la red para registrar y almacenar las
asignaciones de direcciones DCHP (denominadas también conjuntos). Esta
ubicación suele ser una estación de trabajo o un servidor que admita
TFTP, FTP o el protocolo de transferencia de archivos RCP.
Especificar esta ubicación permite que el router o el servidor
de acceso se reinicie sin perder información sobre que direcciones
están asignadas a qué sistemas de cliente DCHP.
Además, proporciona una ubicación para registrar los conflictos
de asignación de direcciones que pueden surgir durante el proceso de
negociación de DCHP. Para especificar la ubicación, utilizamos el
comando de configuración global de IOS ip dchp database. El comando
toma como parámetro un URL que especifica la dirección y el nombre de
archivo de servidor que utiliza para el registro. El comando de
configuración puede repetirse varias veces para determinar el
almacenamiento de varios conjuntos en múltiples servidores.
Durante el de asignación de direcciones, el servidor DCHP de IOS
pretende asegurar que la dirección IP que se ofrece no está en uso. Lo
hace enviando una serie de paquetes ping a la dirección que se ofrece
antes de responder al cliente DCHP. Si la dirección está en uso, se
registra como un conflicto y no se ofrece hasta que el administrador
de la red lo resuelve.
Si no hay ningún servidor disponible para el registro de
conjuntos de direcciones DCHP y el comando ip dchp database no está
configurado, también debe desactivarse el registro de los conflictos
DCHP. La desactivación del registro de conflictos se lleva a cabo con
el comando de configuración global de IOS no ip dchp conflict
logging.
Cuando se establece una ubicación para registrar los conjuntos,
se crea una lista de direcciones que se deberían excluir como
asignaciones ofertadas de forma dinámica. Esta lista incluye la
dirección de los routers en un rango de direcciones determinado,
cualquier dirección asignada de manera estática o una dirección que
debería estar reservada y no ofrecerse a ningún cliente DCHP. Para
construir estas listas, utilizamos el comando de configuraci ón global
de IOS ip dchp excluded-address. El comando puede representar las
direcciones inicial y final de un rango de direcciones IP. El comando
puede repetirse varias veces en la configuración para excluir varias
direcciones IP que no sean continuas o que abarquen varios conjuntos
de asignación de direcciones IP.
El paso final para activar el servidor DCHP de IOS es la
definición de los conjuntos de asignaciones de direcciones IP que se
utilizan para proporcionar las direcciones dinámicas. Como mínimo, el
conjunto de direcciones DCHP especifica el rango de direcciones que se
ofrecerán a los clientes DCHP que soliciten direcciones (sin incluir
las direcciones excluidas). Es posible definir más de un conjunto en
el servidor DCHP de IOS si hay varios segmentos de LAN conectados al
router o servidor de acceso que actúa como servidor DCHP o si sirve
direcciones para varios segmentos de LAN en cualquier parte de la red.
El comando de configuración global de IOS ip dchp pool establece
un conjunto de asignaciones de direcciones. El comando toma como
parámetro o una cadena arbitraria que describa el conjunto, o un
número entero. Una vez definidos, los comandos de conjuntos de
direcciones adicionales se introducen desde el modo de subcomando de
configuración de DCHP, que denota el indicador (config-dchp)#.
El subcomando de configuración DCHP de IOS network se utiliza
para definir el rango de direcciones que ofrecerá a los clientes DCHP
un determinado conjunto de direcciones. El subcomando network precisa
dos parámetros, una dirección de red IP y un máscara de red o máscara
de recuento de bits. Las direcciones de red y las máscaras
especificadas para un conjunto determinado deberían corresponderse con
la dirección de red y la máscara del segmento de LAN para las que
ofrecerá direcciones este conjunto. Cuando el servidor DCHP
proporcione direcciones para varios segmentos de LAN, deber ían
definirse conjuntos DCHP separados, cada uno con un comando network
con la dirección y la máscara apropiada para dicho segmento de LAN.
Otros subcomandos de configuración de DCHP permiten que el
administrador de la red configure el servidor de IOS de forma que
proporcione información suplementaria al cliente DCHP utilizando el
proceso de negociación de direcciones. La información adicional suele
ser la(s) dirección(es) del router predeterminado del cliente en el
segmento de Lan, las direcciones de los servidores DNS, las
direcciones de los servidores NetBIOS/WINS y otro tipo de informaci ón
que tendría que configurar manualmente en cada uno de los clientes
bien el usuario, bien el administrador de la red. La siguiente es la
lista de los subcomandos de configuración DCHP que se configuran más
frecuentemente:
Subcomando domain-name. Especifica el nombre del dominio DNS
al que pertenece este cliente.
Subcomando dns-server. Especifica una o varias direcciones IP
de los servidores DNS que puede solicitar el cliente para
resolver los nombres de direcciones IP.
Subcomando netbios-name-server. Especifica una o varias
direcciones IP de servidores NetBIOS/WINS a los que pueden
preguntar los clientes NetBIOS(normalmente estaciones de
trabajo de Microsoft) para localizar los recursos de red.
Subcomando default-router. Especifica una o varias
direcciones IP de un router predeterminado a las que los
clientes pueden reenviar los paquetes para los destinos
desconocidos.
Subcomando lease. Especifica cuánto tiempo es válida una
dirección asignada DCHP (un contrato) antes de necesitar
renovación.
Los subcomandos dns-server, netbios-name-server y default-router
toman como parámetros de una u ocho direcciones IP con las que puede
contactar el cliente para cada una de dichas funciones. El subcomando
domain-name toma como parámetro una cadena arbitraria que representa
el nombre del dominio DNS para el cliente. El subcomando lease toma
como parámetros hasta tres enteros para especificar el número de días,
horas y minutos que es válida una dirección asignada.
También puede usarse la palabra clave infinite para especificar
que un contrato es válido un periodo limitado de tiempo. El subcomando
netbios-node-type toma como parámetro los valores de los caracteres b,
p, m, o h, que representan un nodo de difusión de NetBIOS, un nodo
igual a igual, un nodo mixto o un nodo híbrido , respectivamente, para
indicar el modo operativo del cliente. Si no esta familiarizado con
estos modos operativos, se recomienda seleccionar el modo h íbrido.
Como mencionamos anteriormente, es posible configurar varios
conjuntos de direcciones DCHP en el mismo servidor DCHP de IOS. A la
colección del conjunto de direcciones DCHP en dicho servidor se la
conoce como base de datos DCHP. La base de datos DCHP está organizada
en una estructura jerárquica o de árbol, de modo que un conjunto de
direcciones puede ser una subred de la dirección de red del conjunto
de direcciones DCHP diferente. La estructura jerárquica permite que
las propiedades las herede el conjunto de direcciones, que es una
subred de la otra. Las propiedades comunes a varios conjuntos deber ían
definirse como el nivel de red o de subred más alto apropiado para el
servidor DCHP o la red que se esta configurando.
Cuando estén definidos los conjuntos de direcciones y sus
propiedades, y el servidor DCHP de IOS haya comenzado a asignar
direcciones IP, se puede verificar el funcionamiento del servidor DCHP
utilizando varios comandos ejecutables de IOS. La verificaci ón de que
el servidor DCHP de IOS registra la información de las asociaciones y
los conflictos en la estación de trabajo o servidor configurado se
realiza a través del comando ejecutable de IOS show ip dchp database.
Este comando utiliza como parámetro la dirección URL para mostrar la
información acerca de una ubicación específica para las bases de datos
del registro. Si no se introduce ninguna, aparece la informaci ón de
todas las ubicaciones.
La salida del comando show ip dchp database indica la ubicación
en la que se escribe la información de las asociaciones, la fecha y
hora en la que se leyó o se escribió por última vez en la base de
datos de asociaciones, el estado de la última lectura o escritura, y
el número de veces que se ha conseguido o no escribir en la base de
datos de asociaciones.
Es posible ver determinadas asignaciones de direcciones con el
comando ejecutable de IOS show ip dchp binding. Si se introduce en el
comando una dirección IP como parámetro opcional, sólo se mostrará la
información de las asociaciones de dicha dirección; en caso contrario,
aparecerá la de todas.
La información de los conflictos de direcciones que se han
producido cuando el servidor DCHP de Ios intentaba asignar una
dirección a un cliente DCHP se pueden ver con el comando show ip dchp
conflic. Si se introduce en el comando una dirección IP como parámetro
opcional, sólo se mostrará la información de los conflictos de dicha
dirección (si hay información); en caso contrario, aparecerá la de
todas.
La columna Detection Meted indica qué método ha utilizado el
servidor DCHP de IOS para determinar que la dirección estaba en
conflicto. El método de detección ping indica que antes de la
asignación de direcciones, el servidor DCHP de IOS ha intentado hacer
un ping a la dirección y ha recibido una respuesta correcta. El método
de detección Gratuitous ARP indica que antes de la asignación de
direcciones, el servidor DCHP de IOS ha detectado una entrada ARP
activa y válida para la dirección en su tabla ARP. Cualquiera de estos
métodos de detección indica que es posible que la dirección se esta
utilizando(quizás a causa de un uso no autorizado o porque alguien
olvidó añadirla a la lista de direcciones excluidas).
La verificación de que el servidor DCHP de IOS está recibiendo y
respondiendo a las solicitudes de DCHP se puede lograr con el comando
ejecutable de IOS show ip dchp server statistics. El comando ofrece
información útil, como el número de conjuntos de direcciones
configuradas, la cantidad de memoria que consume la base de datos de
asociaciones de DCHP y los contadores que indican el número de
distintos tipos de mensajes de DCHP que se han enviado y recibido.
REDUNDANCIA DE IP CON EL HOST STANDBY ROUTER PROTOCOL
A mochos administradores de red le preocupa tener puntos de
fallo únicos en la red. Desean proporcionar tanto rutas de acceso
redundantes como equipo redundante en lugares clave de la red para
evitar que cualquier dispositivo cause que los recursos vitales de la
red dejen de poder utilizarse. Los routers(y algunos servidores)
gestionan perfectamente varias rutas de acceso IP mediante el
intercambio de información de enrutamiento acerca de las distintas
rutas de acceso de la red, seleccionando las mejores rutas de acceso
en cualquier momento y volviendo a enrutarlas cuando haya alg ún cambio
en las rutas de acceso a causa de algún fallo del circuito o del
equipo.
Si embargo, muchas implementaciones de las estaciones de
trabajo, de los servidores y de las impresoras no pueden intercambiar
información de enrutamiento dinámico. Estos dispositivos se suelen
configurar con la dirección IP del gateway predeterminado, que sirve
como conducto al resto de la red. Si falla el router que es el gateway
predeterminado, el dispositivo se limita a comunicarse solamente con
el segmento local de red IP y está incomunicado con el resto de la
red. Aunque exista un router redundante que pudiera servir como
gateway predeterminado, no hay método dinámico que pueda utilizar las
estaciones de trabajo para conmutar a otra dirección IP del gateway
predeterminado y la reconfiguración manual suele desbordar los
conocimientos técnicos del usuario.
Para ayudar a los administradores de redes en esta problemática
situación, Cisco Systems ha desarrollado el Hot Standby Router
Protocol (HRSP). HRSP se ha desarrollado para el segmento LAN, donde
hay una gran cantidad de routers y dispositivos que utilizan solamente
una dirección IP estática del gateway predeterminado.
El concepto de SEP es bastante simple. El administrador crea una
dirección virtual para el gateway predeterminado y la asigna a los
routers redundantes que participan en el protocolo SEP en el segmento
LAN específico. Los dispositivos IP están configurados para utilizar
la dirección virtual del gateway como gateway predeterminado. Los
routers administran esta dirección, comunicándose entre ellos para
determinar que router es el responsable del reenvío del trafico
enviado a la dirección IP virtual. A intervalos regulares,
intercambian información para determinar que routers siguen estando
presentes y son capaces de reenviar trafico. Si falla el router
principal, o primario, de un grupo de routers con SEP, hay un router
de reserva en el mismo grupo que empieza a reenviar el tráfico del
grupo SEP. Dado que los routers deciden por si mismos cuál reenvía el
trafico a la dirección virtual y dado que las estaciones de trabajo de
un segmento sólo conocen la dirección Ip virtual como su gateway
predeterminado, un fallo del router de reenvío principal es
prácticamente indetectable por parte de los usuarios de estaciones de
trabajo y no requiere intervención por parte del usuario o del
administrador de la red.
HSRP es muy flexible. El administrador de red puede controlar
todo el comportamiento de los routers de un grupo SEP (incluyendo que
router es el router de reenvío principal, cuales son los routers de
reserva, si éstos conservan la función de reenvío cuando pueda volver
a utilizarse el router de reenvío principal, y la capacidad de otra
interfaz del router para conducir el trafico al router de reserva).
La presencia de dos o más routers que pueden actuar como gateway
predeterminados en el mismo segmento de LAN es la primera parte de los
criterios para configurar el protocolo SEP. La otra parte de los
criterios es tener dispositivos IP en la red que sólo puedan admitir
una sola dirección IP como gateway predeterminado. En este caso, las
impresoras, los servidores y las estaciones de trabajo se ajustan a
los criterios.
La configuración básica de SEP requiere solamente el subcomando
de configuración de interfaz de IOS standby ip. Este comando utiliza
como parámetro la dirección IP que se utiliza como dirección virtual
del gateway predeterminado. El comando se aplica a todos los routers
de la misma red IP lógica que participen en el mismo grupo HSRP.
Una vez que este configurada la dirección de reserva de HSRP,
los routers negocian cuál de ellos será el router de reenvío
principal, y cual el de reserva. Además, ambos routers introducen en
la tabla ARP la dirección IP y la dirección MAC de la dirección
virtual. El router de reenvío principal comienza el reenvío del
tráfico enviado a la dirección IP virtual de reserva, así como la
respuesta a pings y la aceptación de las sesiones de los terminales
virtuales de dicha dirección. Observe que la dirección MAC de la
dirección IP virtual de las interfaces Ethernet, Fast Ethernet,
Gigabit Ethernet y FDI tiene la forma 0000.0c07.acXX donde XX es un
identificador de grupos HSRP. La dirección MAC de la dirección IP
virtual de Token Ring es una dirección funcional con la forma
1000.xxxx.xxxx.
Sugerencia_
Algunos dispositivos de Token Ring no aceptan la dirección MAC
de un dispositivo IP como dirección funcional de grupo. En este caso
utilice el subcomando de configuración de interfaz de IOS standby usebia
para obligar a la dirección IP virtual de HSRP a utilizar la
dirección impresa en el hardware de la interfaz, que limita el número
de grupos HSRP de la interfaz a una.
Como ya se ha indicado, el administrador de red tiene varias
opciones de configuración que controlan el comportamiento de HSRP.
Para controlar cuál es el router de reenvío principal, se utiliza el
subcomando de configuración de interfaz de IOS standby priority. El
comando adopta como parámetro un valor entre 0 y 255. El router del
grupo HSRP que tenga la prioridad más alta se convierte en el router
de reenvío.
Si el router de reserva tiene que convertirse en el activo,
asume automáticamente dicho papel. Es posible controlar si el primer
router principal reanuda su papel de reenvío activo cuando pueda
volver a utilizarse. El subcomando de interfaz de IOS standby preempt
hace que el router reanude la función de reenvío activo a partir de
otro router con prioridad más baja.
En algunas situaciones, el estado operacional de una interfaz
afecta directamente al router que se elige como router de reenv ío
activo. Esto ocurre en particular cuando cada uno de los routers del
grupo HSRP tiene una ruta de acceso distinta a otras partes de la red.
El software IOS ofrece una característica de HSRP para que un
router pueda ajustarse a la prioridad HSRP de un grupo HSRP de forma
que se pueda convertir en el router de reenvío activo. Esta
funcionalidad, recibe el nombre de seguimiento de interfaces, se
activa con el subcomando de configuración de interfaz de IOS standby
trac. Este comando adopta como parámetro la interfaz a la que se le va
a realizar el seguimiento y opcionalmente, la cantidad que hay que
reducir de la prioridad HSRP en la interfaz configurada. Si no se
especifica ningún valor de reducción de prioridad, el router deduce la
cantidad estándar de diez de la prioridad HSRP.
El funcionamiento de HSRP puede verificarse con el comando
ejecutable de IOS show standby. El comando adopta como parámetro
opcional la interfaz específica en la que se va ha mostrar la
información la información de HSRP. Sin dicho parámetro la información
de HSRP aparece en todas las interfaces.
El comando show standby muestra la información de HSRP, que
incluye el estado de los reenvíos, la prioridad HSRP y las interfaces
a las que realizan seguimientos del router al que se realizan
consultas. También muestra información acerca de la dirección IP de
reserva configurada y las direcciones IP de los posibles routers de
reserva de cada grupo HSRP.
Una de las desventajas del HSRP original era que no permitía al
administrador de red compartir la carga del tráfico que cruza ambos
routers del grupo de reserva. Básicamente, el router de reserva
estaría inactivo a menos que fallará el router de reenvío activo.
Para solucionar este problema, se añadió al software IOS la
capacidad para admitir varios grupos HSRP en la misma interfaz. En la
misma interfaz se pueden crear varios grupos HSRP, cada uno de ellos
con una dirección IP virtual distinta, para respaldarse unos a otros.
Con dos grupos HSRP y dos direcciones IP virtuales definidas, el
administrador de red puede configurar el gateway predeterminado en
algunos de los host con una de las direcciones virtuales de HSRP, y en
los host restantes, con la otra. Aunque no consigue un equilibrado de
la carga exactamente igual, esta configuración comparte la carga entre
los dos routers en lugar de sobrecargar sustancialmente uno de ellos
mientras el otro se queda completamente inactivo.
Mediante la especificación de un número de grupo en todos los
comandos standby, se pueden crear varios grupos HSRP. Por ejemplo,
standby 1 ip address [dirección IP] y standby 1 priority 100
especifican que estos comando HSRP se aplican al grupo de reserva 1.
Los comandos standby 2 ip address [dirección IP] y standby 2 priority
100 especifican que estos comando HSRP se aplican al grupo de reserva
RESUMEN DE COMANDOS EJECUTABLES PARA IP
clear host
Elimina las entradas temporales de la tabla de host IP.
Clear ip access-list counters
Borra el cómputo del número de veces que ha coincidido cada una de las
líneas de una lista de acceso IP.
Clear ip route
Borra toda la tabla de enrutamiento o, si se especifica, una ruta en
particular.
Ping ip-address
Realiza pruebas para determinar si se puede comunicar con la direcci ón
IP que se indica y si ésta responde.
Show {frame-relay | atm | x25 | dialer} map
Muestra las asignaciones de direcciones IP a direcciones de enlace de
datos en el tipo de medios de WAN especificado.
Show access-list
Muestra todas las listas de acceso definidas en el router
Show host
Verifica la configuración DNS de un router y muestra una lista de host
que han resuelto sus nombres a direcciones IP.
Show interface[interfaz]
Proporciona información general acerca de una interfaz, incluyendo la
dirección IP y la máscara de red.
Show ip access-list
Muestra todas las listas de acceso IP definidas en el router.
Show ip arp
Muestra todas las direcciones IP que el router ha podido resolver a
direcciones MAC.
Show ip dchp binding
Muestra información acerca de las asignaciones de direcciones de
direcciones del servidor DCHP de IOS.
Show ip dchp conflict
Muestra la información acerca de los conflictos de direcciones IP que
detecta el servidor DCHP de IOS durante el proceso de asignaci ón.
Show ip dchp database
Muestra información acerca de la ubicación y estado de la base de
datos que ha utilizado el servidor DCHP de IOS para registrar las
asociaciones y conflictos de DCHP.
Show ip dchp server statistics
Muestra información sobre el estado y los contadores relacionados con
el funcionamiento del servidor DCHP de IOS.
Show ip interface brief
Muestra un pequeño resumen de la información de las direcciones IP y
el estado de todas las interfaces disponibles en el dispositivo.
Show ip interface[interfaz]
Muestra todos los parámetros asociados con la configuración de una
interfaz IP.
Show ip mask [dirección de red]
Muestra las máscaras de red que se han aplicado a la red designada y
el número de rutas que utiliza cada máscara.
Show ip protocols
Muestra los protocolos de enrutamiento que están ejecutando y varios
de sus atributos. Si se utiliza con la palabra clave summary, muestra
solamente los nombres de los protocolos y los números de los
identificadores de los procesos.
Show ip route
Muestra la tabla de enrutamiento IP del router.
Show ip route connected
Muestra las rutas asociadas con las interfaces del router
operacionales conectadas directamente.
Show ip route[dirección IP]
Muestra la información de enrutamiento de la ruta especificada.
Show ip route static
Muestra las rutas que se derivan de los comandos de rutas de red
configurados manualmente.
Show ip traffic
Presenta las estadísticas globales de funcionamiento de IP en el
router.
Show standby
Muestra información sobre el funcionamiento de HSRP.
Terminal ip netmask-format{decimal | bit-count | hexadecimal}
Especifica el formato de visualización de las máscaras de red que se
van a utilizar durante la sesión de la consola o del terminal virtual
existente.
Trace[dirección IP]
Muestra todos los pasos de ruta de acceso a la red por los que viajan
los paquetes para llegar a la dirección IP indicada.
RESUMEN DE COMANDOS DE CONFIGRACIÓN PARA IP
aaa authentication ppp [método de lista]
especifica que ppp debe autenticarse a través del método aaa de la
lista.
aaa authorization network [método]
especifica que los servicios de red deben autenticarse a trav és del
método de aaa de la lista.
access-list
crea una lista de acceso numerada y sus criterios de filtros
asociados.
arp-server
identifica el servidor arp de atm que pueden resolver direcciones ip
en direcciones nsap de atm.
async-bootp dns-server[dirección ip]
especifica direcciones ip de un servidor dns proporcionadas a los
clientes de acceso telefónico durante el establecimiento de llamadas
de forma global.
async-bootp nbns-server[dirección ip]
especifica las direcciones ip de un servidor de nombres netbios/wins
proporcionadas a los clientes de acceso telefónico durante el
establecimiento de llamadas de forma global.
async mode{interactive | dedicated}
especifica el método de interacción del usuario en una interfaz
asíncrona para los usuarios de acceso telefónico.
autoselect ppp
especifica que el proceso de selección automático debe realizarse
durante el proceso de autenticación.
compress
especifica que el algoritmo de compresión debe intentar negociarse
durante la negociación del acceso telefónico por ppp.
default-metric
asigna la métrica de enrutamiento que se va a utilizar durante la
redistribución de rutas entre los protocolos de enrutamiento
dinámicos.
defaul-router[dirección]
define una o varias direcciones ip predeterminadas del router que
ofrece a los clientes dchp el servidor dchp de ios.
dialer-group[entero]
especifica el grupo de marcadores al que pertenece una interfaz y
específica qué lista de marcadores se utiliza para definir el tráfico
de interés.
dialer-list[número de lista]protocol[método de tipo]
Define una lista de marcadores que especifica los protocolos de red y
métodos que se utilizan para definir el tráfico como interesante para
las sesiones de acceso telefónico.
dialer map ip
Asigna una dirección ip al nombre de sistema y al número de teléfono
para las llamadas rdsi.
dialer rotary-group[entero]
Asigna una interfaz rdsi a la estructura del grupo de la interfaz de
quien realiza la llamada.
distribute-list
Aplica una lista de acceso a la tares de filtrar la recepci ón y la
publicación de las rutas de red.
dns-server[dirección]
Define una o varias direcciones ip del servidor dns que ofrece a los
clientes dchp el servidor dchp de ios.
domain-name[dominio]
Define un nombre de dominio dns que ofrece a los clientes dchp el
servidor dchp de ios.
flowcontrol{hardware | software}
Especifica el método de control de flujos en una línea asíncrona.
Frame-relay map ip
Asigna una dirección IP a un DLCI Frame Realy
Group-range [principio fin]
Específica que interfaces asíncronas se incluyen en las estructuras de
interfaces del grupo asíncrono.
Ip access-group list{in | out}
Aplica la lista de acceso indicada a la tarea de filtrar paquetes
entrantes o salientes en una interfaz.
Ip access-list{extended | standard}[nombre]
Crea una lista de acceso IP con nombre y sus criterios de filtrado
asociado.
Ip address [dirección ip][máscara de red]
Asigna una dirección IP y una máscara de red a las interfaces de LAN y
de WAN.
Ip classless
Activa el router para que funcione en modo sin clase, en el que las
direcciones IP de destino coinciden con las rutas de la superred y de
los bloques CIDR.
Ip default-information originate
Hace que OSPF genere la ruta predeterminada desde el router l ímite de
sistema autónomo para el resto del dominio OSPF.
Ip default-network[dirección de red]
Configura la dirección de red especificada como red de resumen o
predeterminada.
{no}ip dchp conflict logging
Activa o desactiva el registro de la información de los conflictos de
direcciones por parte del servidor DCHP de IOS.
ip dchp database[dirección URL]
Define la ubicación y método para registrar la información de las
asociaciones y de los conflictos de direcciones por parte del servidor
DCHP de IOS.
ip dchp exclude-address
Especifica una o varias direcciones IP que deben excluirse de las
ofertas de DCHP a los clientes DCHP por parte del cliente DCHP de IOS.
ip dchp poll[nombre]
Crea un conjunto de direcciones DCHP que se puede configurar con otros
subcomandos de configuración DCHP.
ip dchp-server[dirección IP]
Especifica la dirección IP de un servidor DCHP que puede asignar
dinámicamente direcciones IP a los clientes de acceso telefónico.
ip domain-list[nombre]
Establece una lista de nombres de dominios que añadir a los nombres de
host no cualificados.
ip domain-lookup
Activa el DNS.
domain-name[nombre]
Configura el nombre del dominio principal que añadir a los nombres de
host no cualificados.
ip forward-protocol udp type
Controla que tipo de difusiones UDP se reenvían.
ip helper-address[dirección IP]
Reenvía difusiones UDP a la dirección IP especificada.
ip host
Configura la asignación estática de un nombre de host a las
direcciones IP.
ip local pool{default | poll-name}[dirección IP de inicio y dirección
IP de final]
Crea un conjunto de direcciones IP para asignar dinámicamente
direcciones IP a los clientes de acceso telefónico.
ip dchp-server[dirección ip]
Configura servidore de nombres DNS.
ip netmask-format{decimal | bit-count | hexidecimal}
Configura el formato de visualización de las máscaras de red que se va
a utilizar durante las sesiones de las consolas o de los terminales
virtuales.
ip ospf network{broadcast | non-broadcast | point-to-multipoint}
Configura el tipo de red(difusión, no difusión o punto a multipunto)
que OSPF cree que está conectada ala interfaz.
ip rip {send | receive} versión
Especifica que versión de RIP se envía y recibe en una interfaz
específica.
ip route 0.0.0.0 0.0.0.0 [dirección ip de destino]
Configura una ruta predeterminada de 0.0.0.0.
ip route [dirección de red][máscara de red][dirección ip de destino]
Configura una ruta estática
ip route [dirección de red][máscara de red][dirección ip de subred]
Configura un ruta resumen, adoptando como parámetros la ruta resumen,
la máscara de red y la subred no conectada.
ip routing
Activa el enrutamiento IP del router.
Ip subnet-zero
Permite asignar una interfaz a la primera subred del conjunto de
direcciones de red(subred cero).
Ip unnumbered [interfaz]
Configura una interfaaz IP de WAN punto a punto no numerada
Map-group
Asigna un grupo de asignación con nombres a una interfaz para que lo
use a la hora de asignar direcciones IP a las direcciones de enlace de
datos ATM en una interfaz.
Map-list
Crea un lista de asignación con nombres para configurar la asignación
de direcciones IP a los PVC o SVC en el direccionamiento ATM.
modem autoconfigure{discover | tipo de módem}
Especifica que un módem conectado a una línea asíncrona debe
configurarse automáticamente por descubrimiento por el uso de los
parámetros del tipo de módem con nombre.
modem {dialin | inout}
Especifica la dirección permitida de las llamadas asíncronas.
neighbor[dirección IP]
Especifica la dirección IP de un router vecino con el que intercambiar
información de enrutamiento dinámico.
neighbor[dirección IP]description
Permite añadir comentarios al comando neighbor de BGP.
neighbor[dirección IP]distribute-list
Permite el filtro de rutas BGP a igual BGP.
neighbor[dirección IP]remote-as asn
Configura el router vecino con la dirección indicada en el sistema
autónomo indicado como igual BGP.
neighbor[dirección IP]update-source[interfaz]
Especifica que la dirección IP de origen para establecer la sesión de
igual BGP debe derivarse de la interfaz con nombre.
netbios-name-server[dirección]
Define una o varias direcciones IP del servidor NetBIOS/WINS que
ofrece a los clientes DCHP el servidor DCHP de IOS.
netbios-node-type[tipo]
Define el modo de comportamiento de NetBIOS que ofrece a los clientes
DCHP el servidor DCHP de IOS.
network[dirección de red]
Especifica que las direcciones conectadas que coincidan con la
dirección de red indicada deben incluirse en las publicaciones del
enrutamiento.
network[dirección de red]area [número de área]
Especifica que las interfaces conectadas que coincidan con la
dirección de red indicada deben incluirse en las publicaciones del
enrutamiento OSPF y que las interfaces deben asignarse al área
especificada.
network[número de red][máscara | longitud del prefijo]
Especifica el conjunto de direcciones IP que se ofrecerán a los
clientes DCHP de un conjunto de direcciones DCHP determinado por parte
del servidor DCHP de IOS.
no autosummary
Evita el resumen automatico de direcciones en los limites de la red
con clase y permite la propagación de la información de la subred.
no inverse-arp
Desactiva la función de asignación de la dirección IP a DLCI de Frame
Relay.
passive-interface[interfaz]
Configura el router para escuchar pero no publicar la informaci ón de
enrutamiento en la interfaz indicada.
peer default ip address{pool | dchp | dirección IP}
Especifica el método que se ha utilizado para asignar una dirección IP
a una estación de trabajo cliente de acceso telefónico.
Ppp authentication[método]
Especifica que debe realizarse la autenticación PPP antes de permitir
que den comienzo los servicios de red. Entre el servidor de acceso y
el cliente de acceso telefónico se utiliza el protocolo de
autenticación de nombre.
Ppp ipcp{dns | wins}
Especifica las direcciones IP de los servidores DNS o NetBIOS/WINS que
se proporcionan a los clientes de acceso telefónico durante el
establecimiento de sesiones PPP a través de interfaz.
Ppp multilink
Especifica que debe activarse la multiplexión de canales basada en
software en una interfaz.
Redistribute protocol
Permite la redistribución de rutas desde el protocolo indicado.
Router{rip | igrp | ospf | eigrp |bgp}
Permite al router ejecutar el protocolo de enrutamiento din ámico.
Speed [bits por segundo]
Especifica la velocidad de transmisión de una línea asíncrona.
Stanby ip[dirección ip]
Configura la dirección IP indicada como dirección IP virtual de un
grupo HSRP.
Standby preempt
Hace que un router HSRP de mayor prioridad reanude el reenv ío activo
cuando vuelva a estar disponible.
Standby priority[prioridad]
Asigna un valor de prioridad a un router HSRP para controlar la
selección del router de reenvío principal.
Standby track[interfaz]
Activa el ajuste dinámico de la prioridad HSRP basándose en el estado
operacional de la interfaz especificada.
Standby use-bia
Obliga a la dirección IP virtual de HSRP a asociarse con la dirección
MAC impresa en el hardware de una interfaz.
{no}synchronization
Activa o desactiva el requisito de que las rutas se conozcan a trav és
del proceso de enrutamiento de IGP antes de publicarlas a los vecinos
EBGP.
username[nombre][password][palabra]
Define la pareja nombre de usuario local/contraseña que se va a
utilizar para autenticar a los usuarios de acceso telefónico.
versión[versión de RIP]
Especifica la versión de RIP que se utiliza en un router con RIP
activo.
x25 map ip
Asigna una dirección IP a una dirección X.121.
La siguiente tabla define muchos de los elementos sobre los que
se informa cuando se usa el comando show interfaces:
Five-minutes rates(input or output)(Intervalos de cinco
minutos)(entrada o salida)
El promedio de bits y paquetes que pasan por la interfaz cada
segundo, muestreados durante los últimos cinco minutos.
Aborts(Cancelaciones)
Terminación repentina de los paquetes de transmisión de un
mensaje.
Buffer failures(Fallos del buffer)
Paquetes desechados por falta de disponibilidad de memoria b úfer
del enrutador.
BW
Ancho de banda de la interfaz en kilobits por segundo(Kbps).
Esto se puede utilizar como una métrica de protocolo de enrutamiento.
Bytes
Número total de bytes trasmitidos a través de la interfaz.
Carrier transitions(Transacciones de portadora)
Una portadora es la señal electromagnética modulada por las
transmisiones de datos sobre líneas serie(como el sonido que emite el
módem). Las transiciones de portadora son eventos donde se interrumpe
la señal, a menudo cuando se reinicia la NIC remota.
Collisions(Colisiones)
Número de mensajes retransmitidos debido a una colisión
Ethernet.
CRC
Comprobación de redundancia cíclica, una técnica común para
detectar errores de transmisión. CRC funciona dividiendo el tamaño del
contenido de una trama por un número primo y comprobando el resto con
el que hay almacenado en la trama por el nodo emisor.
DLY
Demora del tiempo de respuesta de la interfaz, medido en
microsegundos(ns), no en milisegundos(ms).
Dibble conditions(Condiciones de exceso)
Tramas que son ligeramente demasiado largas, pero que las sigue
procesando la interfaz.
Drops(Caídas)
Número de paquetes desechados por falta de espacio en la cola.
Encapsulation(Encapsulación)
Método de encapsulación asignado a una interfaz(si existe).
Funciona ajustando los datos en la cabecera de un protocolo para
los datos que de otra forma serían incompatibles a través
de redes externas. Por ejemplo, Inter.-Switch Link de Cisco ISL;
Enlace entre conmutadores encapsula tramas de muchos protocolos.
Errors(input or output) Errores entrada o salida
Una condición en la que se descubre que una transmisión no
coincide con lo que se esperaba, normalmente está relacionado con el
tamaño de la trama o del paquete. Los errores se detectan usando
varias técnicas, como CRC.
Frame(Trama)
Número de paquetes que tienen un error de CRC y un tamaño de
trama parcial. Suele indicar que el dispositivo Ethernet funciona
incorrectamente.
Giants(Gigantes)
Paquete mayor que el paquete de tamaño máximo que permite la
tecnología, 1.518 bytes o más en las redes Ethernet. Todos los
paquetes gigantes se desechan.
Ignored(Ignorado)
Número de paquetes desechado por la interfaz por falta de búfer
de memoria del búfer de la interfaz(en contraposición con la memoria
búfer del enrutador).
Interface resets(Reinicios de Interfaz)
Cuando la interfaz se deshace de todos los paquetes y comienza
con uno nuevo. El reinicio suele ocurrir cuando el nodo emisor tarda
demasiado en transmitir los paquetes.
Keepalives(Mensajes de supervivencia)
Mensajes enviados por un dispositivo de red a otro para
notificarle que el circuito virtual entre ellos sigue activo.
Last input or output(Última entrada o salida)
Horas, minutos, y segundos desde que la interfaz transmitió o
recibió con éxito el ultimo paquete. Es una buena herramienta para
determinar cuándo ha comenzado el problema.
Load(Carga)
Carga de la interfaz como una fracción del número 255. Por
ejemplo, 64/255 representa un 25 por 100 de la carga. Se puede
utilizar este contador como una métrica del protocolo de enrutamiento.
Loopback(Ciclo invertido)
Si se ha activado el ciclo invertido. Loopback es donde env ían
las señales desde la interfaz y, luego, se devuelvan a ella desde
algún punto de la ruta de comunicaciones; se utiliza para probar el
uso del enlace.
MTU
Unidad de transmisión máxima para paquetes que pasan a través de
la interfaz, expresado en bytes.
Output hang(Bloqueo de salida)
Tiempo transcurrido desde el último reinicio de la interfaz.
Toma su nombre del hecho de que la interfaz porque la
transmisión tarda demasiado tiempo.
Overruns(Saturaciones)
Número de veces que la interfaz del enrutador satura el nodo
receptor enviando más paquetes de los que pueden manejar el búfer del
nodo. Toma su nombre del hecho de que la interfaz del enrutador
al emisor.
Queues(input and output) Colas(entrada y salida)
Número de paquetes en la cola. El número a continuación de la
barra invertida es el tamaño máximo de la cola.
Queuing strategy(Estrategia de encolamiento)
FIFO significa First In, First Out(Primero en entrar primero en
salir), que significa que el enrutador maneja paquetes en ese orden
LIFO significa Last In, First Out(Último en entrar, primero en salir).
FIFO es la estrategia predeterminada.
Rely(Confianza)
Fiabilidad de la interfaz como una fracción del número 255. Por
ejemplo, 255/255 equivale al 100 por 100 de fiabilidad. Se puede
utilizar este contador como una métrica del protocolo de enrutamiento.
Runts(Diminutos)
Paquete menor que el tamaño del paquete mínimo que permite la
tecnología, 64 bytes o menos en las redes Ethernet. Todos los paquetes
diminutos se desechan.
Throttles(Aceleradores)
Número de veces que una interfaz avisa a una NIC emisora que
está siendo saturada por los paquetes que se envían y para reducir el
ritmo de envío. Toma su nombre del hecho de que la interfaz pregunta a
la NIC que .
Underruns(Agotamientos)
Número de veces que el nodo emisor satura la interfaz enviando
más paquetes de los que puede manejar el búfer. Toma su nombre del
hecho de que la interfaz del enrutador al emisor.
CONECTARSE A TERMINALES VIRTUALES UTILIZANDO TELNET Y SSH.
Los métodos más habituales para acceder a cualquier dispositivo
en el que se ejecuta IOS son a través del puerto de la consola o a
través de líneas de terminales virtuales(virtual terminal lines, vty).
Estas líneas son un tipo de software que permiten conectarse a un
router a través de una red de datos. Los dispositivos IOS admiten
cinco sesiones simultáneas a través de líneas de terminales virtuales.
Los dos métodos más frecuentes para conectarse a una línea de
terminal virtual son el uso de un cliente Telnet o el uso de un
cliente Secure Shell(SSH). Los clientes Telnet utilizan un protocolo
estándar definido en RFC 854 para proporcionar una conexión no segura
al software de servidor que se ejecuta en una línea de terminal
virtual. Por defecto, todos los dispositivos con IOS tienen un
servidor Telnet habilitado en todas las líneas de terminales
virtuales.
SSH es un protocolo que proporciona una conexión cifrada segura
entre un cliente y un servidor SSH que funcionen en una línea de
terminal virtual con funciones que sean similares a una conexi ón
Telnet. En contraste al servidor Telnet, los servidores SSH no est án
habilitados por defecto en las líneas terminales virtuales.
Ciertos dispositivos IOS pueden ser clientes Telnet o clientes
SSH, para lo que se utilizan los comandos Telnet o SSH.
Nota_
Actualmente, hay dos versiones de SSH: SSH versión 1 y SSH
versión 2. En estos momentos, Cisco IOS sólo admite la primera de
ellas.
Los clientes y servidores SSH pueden realizar la autenticaci ón
de usuarios a través de un sistema criptográfico con claves públicas
que inventaron Rivest, Shamir y Adelman (RSA). La autenticaci ón de
usuarios RSA de los clientes SSH no es compatible con el servidor SSH
de Cisco IOS. Cisco IOS autentica a los usuarios utilizando solamente
una combinación de ID de usuario y contraseña. El servidor SSH de IOS
utiliza RSA para generar la pareja de claves que se utiliza para
configurar sesiones cifradas en el cliente.
SSH asegura la conexión entre el cliente y el servidor SSH
utilizando el algoritmo de cifrado DES(56bits) o Triple DES(168bits).
Sin embargo, no todas las versiones de IOS admiten DES o Triple DES y,
a veces hay que utilizar el comando show versión para ver si la
versión de IOS que se utiliza admite estos algoritmos de cifrado.
Nota_
Algunos algoritmos de cifrado (entre los que se incluye el
cifrado de datos de 56 bits) están sujetos a los controles de
exportación del gobierno de Estados Unidos. El uso de estos algoritmos
(y de la versión de IOS que los admite) fuera de Estados Unidos
requiere una licencia de exportación.
ACTIVACIÓN DEL SERVIDOR SSH
Para activar el servidor SSH y permitir a los clientes SSH
conectarse a líneas de terminales virtuales, el dispositivo con IOS
debe tener un nombre de host y nombre de dominio configuran con los
comandos de configuración global hostname e ip domain-name, que ya se
han explicado.
Para configurar el servidor SSH, hay que generar una pareja de
claves de RSA que se utiliza para cifrar la sesión entre y el
servidor. En el dispositivo con IOS, la pareja de claves de RSA se
genera utilizando el comando de configuración global crypto key
generate rsa. Al generar una pareja de claves de RSA para el
dispositivo con IOS, se activa automáticamente el servidor SSH en las
líneas de terminales virtuales. Para suprimir una clave de RSA se
utiliza comando de configuración global crypto key zeroize rsa, que
desactiva automáticamente el servidor SSH.
Nota_
El comando de configuración global crypto key generate rsa no
aparecerá en la salida por pantalla de show running-config ni de
startup-config.
Router#configure t
Router(config)#crypto key generate rsa
Router(config)#ip ssh
Router(config)#ctrl.+Z
VERIFICACIÓN DE LA CONFIGURACIÓN DE SSH
La clave de RSA pública que utiliza SSH se puede ver con el
comando ejecutable show crypto key mypubkey rsa:
Además es posible ver las sesiones de SSH activas de cualquier
dispositivo con IOS utilizando el comando show ip ssh:
CÓMO ASEGURAR EL PUERTO DE LA CONSOLA Y LOS TERMINALES
VIRTUALES
En el nivel de los dispositivos individuales con IOS, es posible
definir una contraseña de acceso a través del puerto de la consola
utilizando el comando principal de IOS line console 0 y el subcomando
de IOS password. En las líneas de terminales virtuales, se pueden
agregar contraseñas utilizando el comando principal vty 04 y el
subcomando password.
Con el subcomando de línea access-list, es posible especificar
una lista de direcciones IP que sean capaces de conectarse a las
líneas de terminales o a las que sea posible acceder desde las l íneas
de terminales de cualquier dispositivo con IOS. Es posible especificar
si se utiliza una clase de acceso para las sesiones entrantes o
salientes mediante el uso de una palabra clave in u out. Este
subcomando utiliza una lista de acceso IP para habilitar las
direcciones IP antes de que se inicie cualquier sesión entrante o
saliente. El subcomando access-list se puede utilizar para permitir
que solamente las estaciones de trabajo del administrador de red
puedan acceder a las líneas de terminales virtuales de los
dispositivos con IOS, que es un método adicional para asegurar el
acceso a los dispositivos.
Las contraseñas de consola y de los terminales virtuales se
guardan en texto sin formato en la configuración activa y en la de
inicio. Si desea cifrar todas las contraseñas que muestran los
comandos ejecutables(como show running-config o show startup-config),
puede utilizar el comando de configuración global service passwordencryption.
Como resultado de este comando, las versiones cifradas de
las contraseñas dejan de poder verse a través de ningún comando
ejecutable. No se preocupe si olvida la contraseña, Cisco ha
documentado varios procedimientos de recuperación de contraseñas para
cada tipo de dispositivo.
Una alternativa a la configuración de contraseñas dispositivo a
dispositivo para el control de acceso es utilizar un protocolo de
control de acceso en la red. Estos protocolos de control de acceso
realizan tres funciones: autenticación, autorización y contabilidad,
que en conjunto se conocen como AAA. La autenticación es el proceso de
identificación y verificación de los usuarios. En Cisco IOS, se pueden
utilizar varios métodos para autenticar a los usuarios, entre los que
se incluyen una combinación de un nombre de usuario t contraseña, o el
paso de una clave única. La autorización determina lo que pueden hacer
los usuarios una vez que han sido autenticados, como, por ejemplo,
obtener acceso y realizar tareas en determinados dispositivos de la
red o host de acceso. La contabilidad es el método de grabación de los
que los usuarios hacen o han hecho.
AAA requiere dos componentes: un cliente dos componentes: un
cliente que funcione un dispositivo con Cisco IOS y el software
relacionado del servidor de control de acceso, que suelen utilizarse
en las estaciones de trabajo de la red. Remote Authentication Dial-In
User Service(RADIUS) y Terminal Access Controller Access Control
System (TACACS+) son dos de los protocolos que suelen utilizarse para
proporcionar comunicación entre el cliente AAA de un dispositivo Cisco
y el software del servidor de control de acceso.
Piense en un usuario que utiliza la aplicación Telnet para
conectarse a un router en el que no se ha configurado ningún protocolo
de control de acceso. Inmediatamente, se solicita al usuario la
contraseña de la línea de terminal virtual:
% telnet router
Trying...
Password:
Si el usuario escribe la contraseña correcta, recibe acceso al
modo ejecutable del router.
Este usuario no está sujeto a ningún proceso de autenticación y
autorización, y es libre para realizar cualquier tipo de
tares(incluyendo la entrada al modo privilegiado, siempre que se
conozca la contraseña)
Además, el usuario que realiza esta acción no está registrado.
Sin duda alguna, dicha directiva abierta no es aceptable en la inmensa
mayoría de las redes. Una excepción puede encontrarse en aquellos
entornos de laboratorio o de pruebas en los que el acceso no
contabilizado a un dispositivo por parte de muchos usuarios no afecta
a la seguridad, configuración o rendimiento de la red.
Si se configura un dispositivo Cisco IOS para utilizar algún
protocolo de control de acceso, el dispositivo solicita al usuario un
nombre de usuario y una contraseña.
% telnet router
Trying...
Username: Usuario
Password:
Con un protocolo de control de acceso, el dispositivo con Cisco IOS
realiza las siguientes tareas:
1. El cliente de control de acceso del dispositivo solicita el
nombre de usuario y la contraseña al recibir la solicitud
entrante de conexión por Telnet.
2. El cliente de control de acceso consulta al usuario y env ía la
combinación de nombre de usuario y contraseña del mensaje de
solicitud de autenticación al servidor de control de acceso.
3. El servidor de control de acceso autentica la combinación de
nombre de usuario y contraseña. La combinación otorga o deniega
la combinación, y devuelve el mensaje apropiado al cliente. El
servidor puede proporcionar al cliente información acerca de su
autorización. El servidor acaba con la transacción.
4. El cliente de control de acceso permite o deniega la combinaci ón
de nombre de usuario y contraseña. Si se permite, el usuario
consigue acceder al sistema y está autorizado para realizar las
acciones especificadas en la información de autorización que
pasa el servidor.
ACTIVACIÓN DE AAA
Para activar los servicios de AAA en Cisco IOS, hay que utilizar
el comando de configuración aaa new-model.
Seguidamente, se puede activar el cliente AAA para una
configuración específica de autenticación, autorización y contabilidad
utilizando los siguientes comandos de configuración global: aaa
authentication, aaa authorization y aaa accounting. Todos los comando
AAA se configuran utilizando listas de métodos. Una lista de métodos
es una lista configurada que describe los métodos AAA que se van a
intentar, en la secuencia ordenada, para autenticar a un usuario,
autorizar una actividad o contabilizar una acción. Por ejemplo, con
listas de métodos se pueden especificar varios mecanismos de
autenticación en un intento de autenticar a un usuario en caso de que
falle el método inicial. Un dispositivo con IOS intenta utilizar el
primer método que aparece en la lista para autenticar a los usuarios;
si dicho método no responde, el dispositivo prueba con el siguiente
método de autenticación de la lista de métodos. El proceso continua
hasta que s produce una comunicación correcta con un método de
autenticación de la lista o hasta que hayan utilizado todos los
métodos de la lista. Las listas de métodos de autorización y
contabilidad funcionan de forma parecida a las descritas anteriormente
por la autenticación.
Nota_
Los dispositivos con IOS intentan utilizar el siguiente método
de una lista de métodos solamente si el dispositivo no puede
comunicarse con el método anterior. Por ejemplo, si algún método de
autenticación responde pero no autentica al usuario, no se utiliza el
siguiente método de autenticación.
Dos protocolos de AAA habituales son RADIUS y TACACS+. Con los
comandos de configuración global aaa authentication, aaa authorization
y aaa accounting se puede especificar el método que hay que utilizar
cuando RADIUS utiliza el método group radius TACACS+ utiliza el método
group tacacs+.
El comando aaa authentication especifica los protocolos de
autenticación en una lista de métodos ordenada, que el dispositivo
puede intentar para verificar el acceso. El comando aaa authorization
permite especificar si se realiza la autorización en los comandos
ejecutables o al comienzo de las sesiones ejecutables o de la red(como
las sesiones PPP). También permite especificar el protocolo que se
utiliza para realizar estas tareas. El comando aaa accounting permite
especificar cuándo se envían mensajes de contabilidad al servidor AAA,
como, por ejemplo, al principio o al final de las sesiones de cada uno
de los usuarios o después de cada comando. Este comando también
especifica el tipo de contabilidad que realiza el cliente AAA. Puede
justificar la actividad del sistema IOS, los servicios relacionados
con la red (como PPP o ARAP) y las sesiones ejecutables. Puede
utilizar TACACS+ y RADIUS para enviar información contable desde un
cliente AAA a un servidor AAA.
La autenticación AAA se activa en las sesiones de conexión
mediante el uso del comando de configuración global aaa authentication
login. El primer protocolo de autenticación de la lista de métodos es
TACACS+.
Si el agente TACACS+ no es capaz de ponerse en contacto con el
servidor para realizar la autenticación, el dispositivo realiza la
autenticación a través de un segundo método(a saber, mediante el uso
del comando de configuración global enable secret o enable password).
Esta lista de métodos se ve en el comando aaa authentication login
como la opción group tacacs+, seguida de la opción enable.
Sugerencia_
Es aconsejable que no utilice un solo protocolo de AAA para la
autenticación de las sesiones de conexión en los dispositivos con IOS.
Un segundo método de autenticación de las sesiones de conexión
garantiza que siempre se puede obtener acceso a cualquier dispositivo
si no está disponible algún servidor AAA.
Al configurar los comandos aaa accounting y aaa authorization,
se aplica la misma lógica que con los comandos aaa authentication. Es
posible especificar otros métodos de autorización para las sesiones
ejecutables y las sesiones de red(como PPP) utilizando las opciones
exec y network en el comando de configuración global aaa
authorization. La palabra clave del método if-authenticated indica al
cliente AAA que otorgue autorización si la autenticación ha pasado por
la sesión.
Para finalizar, se contabilizan todas las sesiones ejecutables
cuando han dejado de utilizar el protocolo TACACS+ utilizando el
comando de configuración global aaa accounting.
Opcionalmente, puede definir sus propios grupos de servidores
AAA utilizando el comando de configuración global aaa server group y
el subcomando server. Los grupos de servidores AAA definidos por los
usuarios son útiles cuando se tiene un grupo de usuarios que utilizan
un servidor AAA y otro grupo de usuarios que utilizan otro servidor
AAA. Estos dos grupos pueden utilizar o no el mismo protocolo de
AAA(como RADIUS). Antes de la invención de los grupos de servidores
AAA, solamente podía utilizarse un solo conjunto de servidores AAA
para cada método para todos los usuarios. Un ejemplo frecuente del uso
de grupos de servidores AAA es la autenticación de usuarios de acceso
telefónico utilizando un servidor RADIUS.
En las secciones siguientes podrá ver como especificar los
servidores RADIUS y TACACS+ en el cliente AAA.
RADIUS
El protocolo RADIUS lo publicó originalmente la empresa
Livingston Enterprises,Inc., como un protocolo estándar que
intercambia información de AAA entre un cliente y un servidor RADIUS.
RADIUS es un protocolo abierto; varios dispositivos de red tienen un
cliente RADIUS.
Un servidor RADIUS es una estación de trabajo en la que se
ejecuta el software de servidor RADIUS de un fabricante u organizaci ón
como Livingston, Merit o Microsoft. Para especificar la direcci ón IP
del servidor RADIUS con el que se comunica el cliente con IOS se
utiliza el comando de configuración global radius-server host.
Al realizar la autenticación, el protocolo RADIUS cifra las
contraseñas enviadas entre el cliente y el servidor. Para que se
realice el cifrado de contraseñas hay que configurar una cadena
secreta tanto en el servidor RADIUS como en Cisco IOS. Para configurar
esta cadena en el cliente con Cisco IOS, utilice el comando de
configuración global radius-server key.
TACACS+
TACACS+ es un protocolo de AAA que es conceptualmente parecido a
RADIUS.
TACACS+ es la tercera revisión del protocolo TACACS. La segunda
revisión se llama Extended TACACS o XTACACS. TACACS+ es un procoloco
patentado de Cisco y todos los dispositivos con IOS tienen un cliente
TACACS+ nativo.
El software del servidor TACACS+ se puede obtener de varios
lugares, incluyendo Cisco(en el producto CiscoSecure) y otros
fabricantes, en muchas estaciones de trabajo.
Para especificar la dirección IP del servidor TACACS+ con el que se
cominica el cliente con IOS se utiliza el comando de configuraci ón
global tacacs-server key.
COMPARACIÓN ENTRE RADIUS Y TACACS+
Hay muchas diferencias entre RADIUS y TACACS+, pero su
funcionalidad es esencialmente la misma. RADIUS, que es un est ándar,
utiliza la capa de transporte UDP.
TACACS+, que está patentado, utiliza la capa de transporte TCP. RADIUS
funciona bien en entornos sólo con IP, mientras que TACACS+ es útil en
entornos multiprotocolo.
Actualmente, Radius admite más atributos en el protocolo y permite que
el cliente y el servidor pasen más información que TACACS+. RADIUS
cifra solamente la contraseña enviada entre el cliente y el servidor,
mientras que TACACS+ cifra toda la comunicación.
Muchos fabricantes admiten uno de estos protocolos o el otro
discuten vehementemente los méritos del protocolo de AAA que utilizan.
Cisco admite ambos protocolos. Si la red es en mayor parte
heterogénea, RADIUS es quizás el protocolo de AAA correcto, ya que
actualmente muchos fabricantes lo admiten. Sin embargo, si la red
utiliza principalmente dispositivos Cisco, es muy probable que TACACS+
sea la solución adecuada.
PREVENCIÓN BÁSICA CONTRA ATAQUES
Las características de intercepción de TCP (TCP intercept) y de
envío de ruta inversa de unidifusión (unicast reverse path fowarding)
de IOS permiten configurar una cierta seguridad contra dos tipos de
ataques de denegación de servicio: desbordamiento de SYN de TCP y
falsificación de la dirección IP de origen.
Un ataque de denegación de servicio es aquel en el que un pirata
informático (hacker) sobrecarga un recurso de red con trafico cuya
intención no es dañar datos, sino utilizar suficientes recursos de la
red para que no pueda realiza su función. Por ejemplo un ataque de
desbordamiento de SYN(sincronización) de TCP se produce cuando un
pirata informático desborda un servidor con un gran número de
solicitudes de SYN de TCP (que se utiliza para iniciar una conexi ón
TCP) desde una dirección IP de origen inválida. Todas estas
solicitudes tienen una dirección IP de origen a la que no se puede
acceder, lo que significa que no se pueden establecer las conexiones.
El gran número de conexiones abiertas que no se establece desborda al
servidor y puede provocar que deniegue el servicio a las peticiones
válidas, impidiendo que los usuarios se conecten al servidor y, por
consiguiente, realizando las tareas deseadas.
INTERCEPCIÓN DE TCP
La característica de intercepción de TCP facilita la prevención
de desbordamientos de SYN, ya que intercepta y valida las solicitudes
de conexiones por TCP cuando atraviesan un router. Esta caracter ística
también puede interceptar los mensajes SYN de TCP entrantes o vigilar
las conexiones TCP cuando el router los reenvía.
En el modo de intercepción, el router intercepta activamente
todas las SYN de TCP y responde por el servidor destino real con un
ACK y una SYN de TCP. Éste es el primer paso de un proceso de
establecimiento de conexiones TCP estándar llamado saludo a tres
bandas (three-way handshake). Seguidamente, el router espera un ACK de
TCP de la segunda SYN de TCP del origen. Cuando se recibe dicho ACK,
el router ha establecido una conexión TCP válida con el origen y se ha
completado el saludo a tres bandas. A continuación el router envía la
SYN de TCP original al servidor destino real y realiza un segundo
saludo a tres bandas. Después, el router une las dos conexiones TCP de
forma transparente y reenvía paquetes entre ellas mientras la conexión
esté activa.
En el modo de intercepción, la característica de intercepción de
TCP facilita la prevención del ataque de DoS a la SYN de TCP, ya que
los paquetes de aquellos host a los que no se pueda acceder nunca
llegarán al servidor destino. El router puede configurarse para que
intercepte solicitudes en función de una lista de acceso IP ampliada,
lo que permite especificar las peticiones que debe interceptar.
Una alternativa a la interceptación de todas las conexiones TCP
es que esta característica vigile las peticiones de conexión cuando
las reenvía el router. Si una conexión TCP no consigue iniciarse en un
intervalo configurable, el software IOS interceptará y terminará el
intento de conexión.
La característica de intercepción de TCP se configura con el
comando de configuración global de IOS ip tcp intercept mode. El
comando de configuración global ip tcp intercept list asigna una lista
de acceso IP ampliada para especificar qué solicitudes debe
interceptar el router. El comando ip tcp intercept watch-timeout
especifica el número de segundos que debe permitir el router antes de
restablecer cualquier conexión TCP que no haya completado un saludo a
tres bandas válido con el servidor destino. Por defecto, un router
restablecerá una conexión TCP si no se completa un saludo a tres
bandas en treinta segundos.
El comando ejecutable show tcp intercept connections muestra
todas las conexiones TCP incompletas y establecidas. El comando
ejecutable show tcp intercept statistics muestra estadísticas
relativas al comportamiento de la característica de intercepción de
TCP.
ENVÍO DE RUTA INVERSA DE UNIDIFUSIÓN
La característica de envío de ruta inversa (Reverse Path
Forwarding, RPF) de unidifusión puede ayudar a impedir el ataque de
DoS mediante falsificación de la dirección IP de origen (a veces
llamado simulación IP o IP spoofing). El ataque mediante
falsificación dela dirección IP de origen utiliza direcciones IP de
origen mal formadas o una IP de origen en constante cambio para atacar
a una red. Si su red recibe el ataque de una dirección IP de origen
mal formada o de un conjunto de direcciones IP de origen en constante
cambio, es fácil que sea imposible configurar una lista de acceso IP
para detener el ataque.
Nota_
La característica de RPF de unidifusión sólo está disponible en
los dispositivos con IOS si se utiliza Cisco Express Forwarding (CEF).
CEF es un mecanismo avanzado que se utiliza para reenviar paquetes y
para crear tablas de enrutamiento IP. Actualmente, CEF sólo funciona
en ciertos dispositivos de gama alta con IOS.
La característica de RPF de unidifusión ayuda a resolver este
problema mediante el descarte automático de aquellos paquetes IP que
no tengan una cuenta IP de origen que se pueda verificar. El router
verifica las direcciones IP viendo todos los paquetes recibidos en la
interfaz para asegurarse de que la dirección de origen y la interfaz
de origen del router aparece en la tabla de enrutamiento IP y
coinciden con la interfaz en la que se ha recibido el paquete. La ruta
recibida y la ruta hacia atrás, tal como se ve en la tabla de
enrutamiento con la dirección IP de origen, deben ser simétricas. Una
ruta es simétrica si un paquete llega a la interfaz de un router en
una de las rutas con mejor retorno con el origen del paquete, sin
limitarse a la interfaz exacta del router de origen, lo que permite
utilizar las técnicas de enrutamiento, como un balanceo de cargas del
mismo costo.
Si no hay ninguna ruta inversa en la misma interfaz de origen ni
ninguna ruta de retorno desde donde se recibió el paquete, podría
significar que se ha modificado la dirección de origen o que se ha
descartado el paquete. La verificación de que es posible acceder a la
dirección de origen a través de la ruta inversa en la que se reenviará
el paquete ayuda a evitar la falsificación de direcciones IP de
origen.
La característica de RPF de unidifusión se puede utilizar en
cualquier configuración de la red en la que haya una sola ruta de
conectividad desde la red. Si se tiene una sola ruta de conectividad,
incluso con varias rutas con reparto de carga, el enrutamiento de la
red es casi siempre simétrico. Esta configuración suele producirse en
el punto de salida de flujo ascendente a Internet de la red. La
característica de RPF de unidifusión no debe utilizarse en la red
interna cuando existen varias rutas diferentes a los destinos IP.
La configuración de la característica de RPF de unidifusión se
realiza mediante un solo subcomando de la interfaz, ip verify unicast
reverse-path. En un entorno común, este comando sólo se aplicaría a la
interfaz (o interfaces en los entornos de reparto de cargas) de flujo
ascendente del router que se conecta a Internet.
Los dispositivos con Cisco IOS tienen la capacidad de registrar
mensajes acerca de la actividad del sistema. Estos mensajes de
registro pueden ser útiles para hacer seguimientos de la actividad del
sistema, de los errores y de las notificaciones. El registro utiliza
ocho niveles de mensajes de notificación:
Nivel 0: Emergencias
El sistema no puede utilizarse.
Nivel 1: Alertas
Hace falta una acción inmediata para restaurar la estabilidad del
sistema.
Nivel 2: Criticas
Se han producido condiciones críticas que pueden necesitar atención.
Nivel 3: Errores
Se han producido condiciones de error que pueden ayudar a hacer
seguimientos de los problemas.
Nivel 4: Avisos
Se han producido condiciones de aviso que no son graves.
Nivel 5: Notificaciones
Condiciones normales pero significativas que exigen notificaci ón.
Nivel 6: Informativo
Estos mensajes informativos no requieren ninguna acción.
Nivel 7: Depuración
Son mensajes de depuración que solamente se utilizan para solucionar
los problemas del sistema.
En IOS, el usuario define el nivel mínimo de mensajes de
registro (en términos de gravedad) que desee que se registren. Para
ello hay que identificar el nivel por nombre en el comando de
configuración. Emergencias (Nivel 0) es el nivel más grave, mientras
que depuración(Nivel 7) es el menos grave. Todos los mensajes de nivel
que identifique y de los niveles más graves se envían a uno de estos
cuatro lugares:
Un servidor syslog, que se configura con el comando loogging
trap.
Un búfer interno del dispositivo, que se configura con el
comando logging buffered.
El puerto de la consola de un dispositivo, que se configura con
el comando loogging console.
Las líneas terminales de un dipositivo, que se configura con el
comando logging monitor.
Los anteriores comandos logging son comandos de configuración
global que le permiten especificar el nivel de los mensajes enviados a
cada ubicación de registro. Un servidor syslog es una excelente
ubicación de registro, ya que el sistema suele guardar los mensajes en
un disco. Además, dado que syslog es un programa de uso general que
utilizan muchos programas distintos, puede tener un origen central
para registrar mensajes de diferentes dispositivos.
El búfer interno del dispositivo es un útil programa de registro
si no se tiene ningún servidor syslog o si se desea que cada uno de
los dispositivos mantenga un registro de eventos independiente. El
tamaño predeterminado de este búfer es de 4.096 bytes. Dicho tamaño se
puede modificar con el comando logging buffered.
En algunas situaciones el búfer interno del dispositivo esta en la
memoria RAM del dispositivo, por lo que se pierde con cada recarga del
dispositivo.
El registro de mensajes en la consola o en las líneas terminales
de un dispositivo(incluyendo sesiones de terminales virtuales) es útil
para la notificación inmediata de los eventos críticos. Las cuatro
ubicaciones de registro distintas no son mutuamente exclusivas y se
pueden utilizar varios programas de registro al mismo tiempo.
Nota_
Para ver los mensajes de registro en una línea terminal o en una
sesión de terminal virtual debe utilizar el comando ejecutable
terminal monitor. Este comando se puede ejecutar en modo privilegiado.
Los mensajes del servidor syslog pueden configurarse con el
comando logging trap.
Para activar el registro sysloog en IOS hay que utilizar el
comando de configuración global logging para especificar la dirección
IP del host que realiza el registro.
Es posible registrar mensajes en más de una de las ubicaciones.
Nota_
El programa syslog registra los mensajes del sistema en un
archivo de texto en UNIX y en otros tipos de estaciones de trabajo.
Para registrar los mensajes de dispositivos con IOS en un servidor
syslog, debe configurar el proceso de syslog. Para activar el programa
syslog local7, el programa que utilizan todos los dispositivos con
IOS, hay que ser superusuario en una estación de trabajo UNIX. Como
superusuario (acceso raiz), debe añadir la siguiente línea al archivo
/etc/syslog.conf:
Local7.debug /var/adm/router.log
A continuación reinicie el demonio de syslog en la estación de
trabajo UNIX, lo que se suele hacer con el siguiente comando:
%kill –HUP `cat /etc/syslog.pid`
Si todo funciona bien, ya está listo para que los dispositivos
con IOS se registren en esta estación UNIX.
Si un dispositivo con IOS está configurado para registrarse en
un búfer interno, los resultados del registro se pueden ver con el
comando ejecutable show logging.
Sugerencia_
Es aconsejable activar el registro a nivel de depuración en, al
menos una ubicación de registro, ya que eso permite garantizar que se
graban todos los mensajes de error que envía el dispositivo con IOS.
La mayor parte de los administradores de redes tienden a establecer
logging trap debug para activar syslog, a fin de que registre todos
los mensajes de los dispositivos con IOS.
ADMINISTRACIÓN BASICA DE REDES.
La administración de redes es el proceso de gestión de fallos,
control de configuraciones, supervisión de rendimiento, aseguramiento
de la seguridad y contabilidad de actividades en una red de datos. Es
necesario que todas estas tareas tengan un control absoluto sobre
algún entorno de la red de datos, que es uno de los componentes
esenciales de cualquier organización. El ISO Network Management Forum
ha definido la administración de redes como la suma de todas las
actividades necesarias para realizar la administración de los fallos,
la configuración, el rendimiento, la seguridad y la contabilidad de
una red de datos.
Las plataformas de administración de redes son sistemas de
software diseñados para realizar las actividades de administración de
red. Algunos ejemplos de plataformas de administración de redes son:
Hewlett-Packard OpenView, Cabletron Spectrum, Sun Solstice Enterprise
Manager, IBM NetView/ AIX y CiscoWorks2000. Estas plataformas
proporcionan la arquitectura de software para las aplicaciones de
administración de redes que realizan una gran variedad de tareas.
No se pueden agrupar en una sola categoría. Algunas presentan un
mapa de la red y comprueban el estado de todos los dispositivos de la
red, lo que proporciona una función de administración de fallos.
Algunas herramientas de administración del rendimiento diseñan la
utilización de los enlaces de la red y envían advertencias si se
producen errores en alguna interfaz de LAN. Sin embargo, otras vigilan
la seguridad de la red y envían advertencias a través del correo
electrónico o de buscapersonas.
Las aplicaciones de administración de redes se comunican con el
software de los dispositivos de la red llamados agentes. La
comunicación entre el administrador y el agente permite el primero
recopilar un conjunto estándar de información, que se define en una
base de información de administración(Management Information Base,
MIB). Cada dato que hay en una MIB recibe el nombre de objeto. Una MIB
contiene objetos útiles para que los administradores realicen las
tareas de administración de red.
Los dos tipos de MIB son estándar y están patentados. Las MIB
estándar, como MIB-II (RFC 1213), proporcionan objetos básicos
aplicables a casi todos los dispositivos de una red de datos. Por
ejemplo, MIB-II contiene la información del sistema acerca de un
dispositivo, como su tiempo de actividad y nombre, los contadores de
errores y del trafico específico de la interfaz, y la información del
protocolo de IP. Las MIB específicas de la tecnología, que son
estándar son para protocolos como Frame Relay(RFC 1285) o Token
Ring(RFC 1315). Contienen objetos que se relacionan con una tecnolog ía
específica de un dispositivo de red. Las MIB específicas de los
fabricantes, que están patentadas, definen objetos específicos de los
dispositivos de red de un solo fabricante.
Las aplicaciones de administración de redes recogen la
información de la MIB de los dispositivos y cambian el comportamiento
de dichos dispositivos de red mediante el uso de un protocolo de
administración de redes. El Protocolo simple de gestión de
redes(Simple Network Management Protocol, SNMP), definido en la RFC
1157, es el protocolo estándar de administración de redes más
profusamente utilizado. SNMP usa UDP en la capa de transporte e IP en
la capa de red. También existen protocolos patentados de
administración de redes y algunos fabricantes los han implementado en
sus dispositivos de red.
La comunicación entre un agente SNMP y un administrador se
produce con cinco tipos de paquetes:
Get-Request.
Get-Next-Request.
Set-Request.
Get-Reponse.
Trap.
Un Get-Request es un mensaje del administrador a un agente en el
que se solicita un conjunto de objetos de MIB especificos, como el
nombre de un dispositivo, su ubicación, su número de interfaces
físicas, etc.
Un Get-Next-Request es un mensaje del administrador a un agente
en el que se solicita algún dato tabular. Este tipo de mensajes es
útil en la eliminación de las tablas de la MIB y en la recuperación de
una tabla como la tabla de enrutamiento IP. Un Set-Request es un
mensaje en el que se solicita al agente que cambie el valor de un
objeto de MIB específico, como, por ejemplo, que cambie el estado de
una interfaaz de un dispositivo. Los agentes responden a cada Get-
Requet, Get-Next-Request o Set_Request enviando al administrador un
Get-Response que contenga los valores solicitados de los objetos de
MIB o que muestre el valor de un objeto de MIB que se ha cambiado. Un
mensaje Trap es un mensaje no solicitado del agente al administrador
relativo a un evento.
Todos los agentes SNMP se configuran con una cadena de
verificación llamada cadena de comunidad. Esta cadena se incluye en
todas las solicitudes del administrador para obtener o definir la
información de MIB. El agente la verifica antes de responder. Una
cadena de comunidad tiene una autenticación débil codificada en ASCII,
por lo que no es conveniente utilizar solamente este método para
asegurar el acceso SNMP a un agente.
El comando de configuración global de Cisco IOS snmp-server
community configura el agente con la cadena de comunidad. Una opción
de este comando permite estipular que la cadena de comunidad se puede
aplicar a los mensajes de sólo lectura-escritura dirigidos al agente.
Los mensajes Get-Request y Get-Next-Request son de sólo lectura,
mientras que los Set-Request son de lectura y escritura. Las palabras
clave utilizadas para establecer sólo lectura y escritura son RO y RW,
respectivamente. La cadena de comunidad de sólo lectura
predeterminada para muchas aplicaciones de administración de redes es
public, mientras que la de lectura y escritura suele ser private. Una
opción final de este comando global es especificar una lista de acceso
IP estándar de aquellos host a los que se les permite realizar
consultas al agente utilizando cadenas de comunidad válidas.
Nota_
Para aumentar la seguridad del agente SNMP en cualquier
dispositivo con IOS, es aconsejable configurar varias cadenas de
comunidad para el acceso RO y RW. Además, es recomendable limitar los
host que pueden realizar consultas al dispositivo con IOS a trav és de
SNMP mediante el uso de la opción access-list del comando snmp-server
community.
Para enviar mensajes Trap SNMP, hay que configurar el
dispositivo con Cisco IOS. Los seis mensajes Trap SNMP estándar que
envían todos los agentes se definen en la RFC 1157:
ColtStart.
WarmStart.
LinkUp.
LinkDown.
AuthenticationFailure.
EgpNeighborLoss.
Un coldStart significa que el agente acaba de iniciarse. La trap
warmStart indica que el propio software del agente se acaba de
restablecer. En la practica, la mayor parte de los agentes s ólo envían
Traps coldStart, ya que el agente se suele reiniciar cuando se
enciende el dispositivo en el que el agente se está ejecutando. Las
Traps linkUp y linkDown alertan a un administrador acerca del cambio
de estado de algún enlace del dispositivo. Un authenticationFailure
indica que un administrador ha enviado al agente una solicitud SNMP
con una cadena de comunidad incorrecta. Finalmente, la Trap
egpNeighborLoss indica al administrador que no se puede acceder a un
vecino con el protocolo External Gateway Protocol (EGP). Este ultimo
Trap casi nunca se utiliza, ya que EGP se ha reemplazado por BGP4.
Los seis anteriores mensajes trap son los Traps SNMP estándar,
pero no son los únicos que pueden evitar los agente. Muchas MIB
definen Traps especificos de los protocolos, como traps espec íficos de
RDSI(ISDN), Frame Relay o BGP$. Actualmente IOS admite los traps para
una variedad de protocolos y para funciones de IOS, entre los que se
incluyen BGP, Frame Relay, RDSI, X.25, monitor de entorno y cambios en
la configuración de IOS.
Cisco IOS puede configurarse para enviar Traps SNMP a cualquier
número de administradores. Para especificar la dirección IP y la
cadena de comuidad del administrador al que debe enviarse las Traps,
hay que utilizar el comando snmp-server host. Los parámetros
opcionales del comando snmp-server host tambien sirven para
especificar que queremos que el agente envíe Traps SNMP.
Sugerencia_
Es conveniente configurar el agente SNMP para que envíe Traps
relativos a todas las tecnologías que están activas en el dispositivo.
Los mensajes Traps SNMP no suelen consumir mucho ancho de banda y
pueden proporcionar información útil para diagnosticar problemas de
red.
Es posible configurar manualmente el agente SNMP en IOS con la
ubicación física y la persona de contacto del dispositivo. A
continuación, las aplicaciones de administración de red pueden
recuperar esta información. Para configurar esta información hay que
utilizar los comandos de configuración global snmp-server loction y
snmp-server contact. Ambos comandos permiten escribir una cadena de
texto de 255 caracteres para describir la ubicación o la persona de
contacto.
El comando ejecutable show snmp muestra las estadísticas SNMP de
un dispositivo dado.
Este comando es útil para ayudarle a supervisar la actividad de
SNMP en el dispositivo.
CONTROL DE TIEMPO BÁSICO
Cisco IOS permite a los dispositivos hacer un seguimiento de la
fecha y hora actuales utilizando un reloj del sistema. Este reloj se
inicia cuando enciende el dispositivo y puede distribuir el tiempo a
varios sistemas internos, como la grabación de la fecha y hora de los
cambios en la configuración, la visualización del tiempo en los
mensajes de registro en el búfer y el envío de la fecha y la hora en
los mensajes de SNMP. En los router Cisco 7000, el tiempo del reloj
del sistema se define a través de hardware. En los restantes modelos,
el reloj del sistema se define de forma predeterminada con el valor de
medianoche del 1 de marzo de 1993.
Una vez definido, el reloj del sistema determina si la fecha y
la hora son de un origen fiable. Si el origen de la hora es fiable, se
redistribuye a otros procesos IOS; en caso contrario, la hora solo se
utiliza para la visualización. En las próximas secciones se explicara
como asegurarse de que el origen de la hora definida, como un reloj
atómico, es un origen fiable.
Los routers de la serie 7000 contienen un calendario que hace un
seguimiento de la fecha y la hora en los recintos del sistema y los
cortes eléctricos. En un recinto del sistema, el calendario siempre se
utiliza inicialmente para definir el reloj del sistema. A continuaci ón
es posible que otro protocolo modifique o actualice el reloj. En una
red en la que no exista ningún otro origen de hora con autoridad, se
puede utilizar el calendario como origen de hora con autoridad y puede
pasarse a otros procesos(como el protocolo Network Time Protocol).
Para ver el valor actual del sistema del calendario se utiliza el
comando ejecutable show calendar.
Nota_
Si desea que algún dispositivo con IOS indique la fecha y hora
actual en los mensajes de depuración y de registro, utilice el comando
de configuración global service timestamps. Puede mostrar el tiempo
que ha transcurrido desde que se reinició el dispositvo, la fecha y
hora utilizando GMT o la zona hararia local y la hora con una
precisión que llega hasta los milisegundos. Es recomendable utilizar
los comandos de configuración service timestamps log datetime
localtime y service timestamps debug datatime localtime. El comando
service timestamps log datetime localtime añade la fecha y hora a los
mensajes de registro, mientras que service timestamps debug datatime
localtime las añade a los de depuración.
Para fijar el reloj del sistema puede utilizar varias fuentes.
Éstas son las tres más utilizadas:
Manualmente.
NTP.
SNMP.