Captulo 1 Introduccin a las Redes Wan.

DTE: equipo terminal de datos. Equipo del cliente; se comunica con el bucle local a travs del DCE.
CPE: cableado local del cliente
DCE: equipo de comunicacin de datos o de terminacin de circuitos. Dispositivos-interfaz que pone datos en el bucle local.
Bucle local: cable telefnico de cobre o fibra ptica
Punto de demarcacin: punto de conexin del CPE con el bucle local. Separa responsabilidades.
PoP, point-of-presence: punto geogrfico donde un proveedor de servicios ofrece salida a Internet.
Diseo jerrquico de la red: capas ncleo, distribucin y acceso.
Protocolos de enlace de datos WAN:
o Privada
Dedicada:
Lneas arrendadas: la ms segura y costosa (ej T1, E1)
HDLC: predeterminado en Cisco
PPP: basado en HDLC.
Conmutado:
por circuitos, menos costosa pero necesario configurar la llamada (ej. conexiones dialup).
PPP
PSTN
ISDN o RDSI. Antiguo, todava en uso para VoIP con enlaces PRI.
por paquetes, enlace compartido que puede ser permanente (PVC) o no (conmutado o SVC)
Frame Relay. Basado en X.25, pero capa de enlace de datos. Orientado a la conexin.
X.25. Capa de red. Antiguo, todava en uso en paises subdesarrollados para transaciones con tarjetas de
crdito en tiendas minoristas.
ATM usa celdas en lugar de tramas, de tamao fijo, ms pequeas: 53 bytes. Todos los dems protocolos de
enlace de datos WAN usan tamao variable. Para video.
o Pblica
Internet: la menos segura pero menos costosa tambin.
Banda ancha VPN: conexin encriptada entre redes privadas mediante tneles VPN
DSL
Cable
Acceso inalmbrico de banda ancha
Metro Ethernet
Repaso:
VLAN (Virtual Local Area Network): grupo de dispositivos en el mismo dominio broadcast lgico; los dispositivos pueden
estar lejos geogrficamente pero se comunican dentro de la misma LAN.
VTP (VLAN Trunking Protocol): permite configurar un switch para que propague la configuracin de las VLAN a los otros
switches.
STP (Spanning Tree Protocol): estndar para proporcionar caminos alternativos pero evitando bucles.

Captulo 2 PPP (Point-to-Point protocol, conexin serial o en lnea arrendada).

Estndares de comunicacin serial: RS-232 (usado por los conectores RJ-45), V.35 y HSSI.
TDM (Multiplexacin por divisin temporal): enva datos distintos sncronamente por el mismo canal. Usan TDM: ISDN,
SONET, SDH.
STDM (Multiplexacin estadstica por divisin temporal): mejora TDM permitiendo que si fuente no transmite, su parcela
puede usarse por otra fuente. Para ello se usa un buffer.

Ejemplo de configuracin: DTE (PC) -> DCE (modem cliente) -> DCE (modem remoto) -> DTE (remoto)
Modem nulo: nombre que se le da a la conexin entre dos DTE sin hacer uso de ningn DCE.
HDCL: transmisin sncrona con control de errores mediante acusos de recibo.
HDCL de Cisco o cHDCL permite multiprocolo aadiendo un campo donde se indica el protocolo.
Comandos: encapsulation hdlc, show interfaces serial, show controllers
PPP
Funciona con cualquier interfaz DTE-DCE siempre que el circuito sea Dplex (conmutado o dedicado).
Para conectar a routers que no sean cisco (frente HDCL, PPP no est patentado).
Monitoriza la calidad y desactiva el enlace si muchos errores
Autentificacin PAP (Protocolo de Autentificacin de Contrasea, pero sin cifrar, en dos pasos) y CHAP (Protocolo de
Autentificacin de Intercambio de seales, hay encriptacin mediante nmero hash MD5 generado a partir de password, id
y un nmero aleatorio cambiante en cada comprobacin realizada peridicamente).
LCP (Link Control Protocol): establece conexin, detecta errores, acuerda encapsulacin (autentificacin, compresin,
deteccin de errores).
NCP (Network Control Protocol): permite configurar varios protocolos de capa superior
Comandos: encapsulation ppp, compress [predictor | stac], ppp quality 80, no ppp quality, ppp multilink (ppp permite
multienlace: MPPP, MLP, MP), debug ppp [packet | negotiation | error | authentification | compression, cbcp], ppp
authentification {chap | pap | chap pap}..,

Captulo 3 Frame Relay.

Creado para superar la lentitud del X.25 al no tener control de flujo o errores en cada trama.
Tecnologa WAN ms utilizada del mundo. Econmica: cliente paga bucle local y ancho de banda. Ms ancho de banda,
fiabilidad y resistencia a las fallas que las lneas privadas o arrendadas.
ISDN (frente a FrameRelay) costo inicial ms bajo pero mensual mucho mayor. Pagamos por duracin de la llamada.
Interconexin de redes locales. En cada red local un Router hace de DTE, y ste se conecta al Swich Frame Relay de la empresa
que hace de DCE, el cual estar conectado al PoP ms cercano de proveedor de comunicaciones. Se pueden multiplexar
varios VC mediante un FRAD (dispositivo de acceso Frame Relay). Una WAN Frame Relay son switches conectados por
enlaces troncales (Frame Relay opera en la capa 2 mientras X.25 tambin utiliza la 3).
VC (Virtual Circuit).
SVC (Switched=permutados Virtual Circuits).
PVC (Permanent Virtual Circuit) o VC privados:
DLCI (Data Link Connection Identifier): identifica un VC al equipo en un punto final. Tiene significado local y no es nico en
toda la WAN Frame Relay. De hecho. Los dos equipos extremos del VC pueden darle distintos DLCI al mismo VC.
Formato de la trama Frame Relay: sealador de principio y fin de trama, datos, direccin y FCS (determina si hubo errores en
el campo direccin de la trama; si los hubo la trama se descarta: el control de errores se deja a la capa 3). El campo
direccin contiene los DLCI, los bits FECN (buffer del enlace de recepcin de datos congestionado, notifiacin indirecta),
BECN (buffer de envo congestionado, notificacin directa) y DE (transmisin superior al CBIR).
LMI (Local Management Interface): mensajes que actan como keepalives entre routers (DTE) y switches Frame Relay (DCE).
Tambin permiten descubrir nuevos PVCs dinmicamente. El campo de direccin lleva uno de los DLCI reservados.Usa
ARP inverso (protocolo de resolucin de direcciones inverso): extrae direcciones de la capa 3 a partir de las tramas
recibidas como respuesta. Se espera que el DTE considere los problemas de congestin (pues trabaja en la capa 3)

Topologa en estrella o Hub and Spoke. Mnimo nmero de VC: uno de los nodos hace de hub y el resto de nodos (spoke) se
conectan a ste (a travs de un VC suministrado por el proveedor de la red Frame Relay). ARP inverso no funciona entre
spokes: el VC requiere asignacin esttica. El problema del horizonte divido (no permite reenvo de la actualizacin de
estado a otro nodo por la misma interfaz) se arregla con subinterfaces. Topologa de malla completa: se contrata un VC
distinto entre cada par de extremos. Alta seguridad. Topologa de malla parcial: intermedio entre los dos anteriores.
Comandos:
o encapsulation frame-relay, frame-relay map protocol protocol-address dlci [broadcast] [ietf | cisco], show frame-relay lmi,
show frame-relay map, show interfaces, show frame-relay pvc [particular dlci], clear frame-relay-inarp, debug frame-relay
lmi
o interface serial 0/0/0.103 [point-to-point | multipoint]: se recomienda que la subinterfaz (103) = dlci
frame-relay interface-dlci 103
NBMA (non-broadcast multiple access) es uno de los cuatro tipos del protocolo OSPF (Open Shortest Path First). En contraste
con broadcast o multicast, enva paquetes individuales de comprobacin de estado individualmente a cada router.
Horizonte dividido: evita routing loop en redes que usan enrutamiento de vector distancia, al no permitir que una
actualizacin de enrutamiento recibida en una interfaz sea reenviada por la misma interfaz.
Rfagas o envos superiores al CIR Bc (velocidad de informacin suscrita rfaga suscrita) se permiten. Tambin
superiores al CBIR (Committed Burst Information Rate), pero no pueden ser superiores a la velocidad del puerto o de
acceso. Si lo hacemos el bit DE se marcar a 1 y si la red est congestionada la trama se descartar. La cantidad de datos
que podemos sobrepasar como mximo: EIR Be (Excess Information Rate Excess Burst Size) = Mximo permitido
(normalmente la velocidad del puerto) - Bc (rfaga suscrita).
Captulo 4 Seguridad de la Red.
Agresores a la seguridad: hacker (de sombrero blanco bueno, o negro malo cracker), phreaker (para hacer llamadas
telefnicas), spammer, estafador (suplantador de identidad).
3 tipos de vulnerabilidades o debilidades: tecnolgicas, en la configuracin o en la poltica de seguridad.
Amenazas a la infraestructura fsica: apagones elctricos, temperatura, etc.
Amenazas a la red: estructuradas (hechas por expertos) o no, internas y externas.
Ingeniera social (estafadores).
Tipos de ataques a las redes
o Reconocimiento (bsqueda de vulnerabilidades).
Herramientas como fping o gping pueden hacer un barrido de pings a un intervalo de ips. Tras conocer las IPs activas se usa
algn software que escana los puertos abiertos. Infiltracin en la red o recopilacin y robo de informacin; por ejemplo
robo de datos de las cadenas comunitarias SNMPv1 o usuarios y passwords sin cifrar con un analizador de protocolos como
Wireshark. Soluciones: usar switches (redes conmutadas) en lugar de hubs para que el trfico particular no est en todas las
partes de la red, encriptacin o polticas de seguridad que prohban los protocolos no seguros.
o Acceso (entrar en un dispositivo sin permiso), usando vulnerabilidades conocidas.
Ataques a las contraseas: diccionario, tabla arcoiris o fuerza bruta.
Explotacin de confianza (suplanta a un servidor de confianza externo a la red y ataca desde all).
Redireccin de puertos (se pasa el firewall haciendo que un host de la misma red a la del host al que se ataca,
redirija la comunicacin con dicho host atacado). Al host que se encuentra en el segmento de servicios pblicos (y
podemos acceder) se le suele llamar zona desmilitarizada (DMZ). Se puede realizar con netcat y evitar con un
sistema de deteccin de intrusin (IDS).

 MITM (Ataque Man-In-The-Middle) (captura de datos de una comunicacin entre host). Estos datos pueden robarse o
alterarse con distintos fines. Evitable cifrando todos los datos.
o Denegacin de servicio o DoS (daa o desactiva algo para que los usuarios de ese algo no pueden usarlo). Son los ms
temidos por su facilidad de ejecucin y la dificultad de eliminar. Son ejemplos las bombas de correo electrnico y la
saturacin SYN (Peticiones TCP masivas).
Ataques DDoS o DoS distribuida (el ataque se realiza de mltiples fuentes). Normalmente el cliente (persona que ataca)
usa un host manipulador que usa host agentes (los que lanzan los ataques). Son ejemplos el ataque Smurf (peticiones
masivas de eco ICMP broadcast que el router reenva a todos los host). Una solucin a DoS y DDoS es limitar trfico no
esencial (ej:ICMP).
o Ataques de cdigo malicioso (software malicioso instalado en un host): Gusanos (capaces de propagarse por otros host por
s slos) Virus (modifica y/o modifica otro software; necesita interaccin humana para propagarse) y caballos de troya
(parecen otra cosa, por ejemplo un juego, pero tienen incluido el cdigo malicioso).
Seguridad en host y servidores: modificar configuracin por defecto (passwords, servicios), antivirus, firewall, parches del
SSOO, HIDS (sistemas de deteccin de intrusiones basada en hosts, que avisan al administrador) e HIPS (que adems
previenen, capaces de apagar la red o detener lo afectado, por ejemplo el agente de seguridad de Cisco).
La rueda de seguridad de la red asegura que las medidas de seguridad se apliquen y funcionen con la repeticin continua de
pruebas y otras medidas de seguridad. 1: asegurar seguridad en host y servicores y el cumplimiento de polticas. 2:
controlar con auditoras e IDS. 3: Probar con herramientas como SATAN, Nessus o Nmap. 4: mejorar.
Proteccin de los routers Cisco. Los routers filtran a quien puede usar la red y no. Medidas de proteccin: copia de seguridad
de la IOS, contraseas difciles de adivinar, usar SHH en lugar de Telnet (sin cifrar).
SDM de Cisco: interfaz web para configurar el router accesible escribiendo su ip en un explorador web.
Comandos: global [username] username secret [password], security passwords min-length, service timestamps ?, show ip
route, passive-interface default (desactiva envo de RIP, slo recibe), auto secure
o Desactivar totalmente el uso de puertos vty, aux o tty: Line aux 0 + no password + login
o Admite slo SSH: line vty 0 4 + no transport input + transport input ssh + exit
o Configuracin de SSH: hostname [name] + ip domain-name [name] + crypto key generate rsa
[opcional] ip ssh time-out [seconds] authentication-retries [integer]
o Desactivar servicios vulnerables: no snmp-server, no service finger, no ip classless, shutdown
o Encriptacin de RIP: key chain KEY + key 1 + key-string [password], int s0/0/0 + ip rip authentification mode md5 + ip rip
authentication key-chain KEY
De EIGRP: + ip authentification mode aigrp 1 md5 + ip authentification key-chain eigrp 1 KEY
De OSPF: + ip ospf message-digest-key 1 md5 cisco +
o Manipulacin de IOS: show file systems, cd, pwd, dir, copy running-config startup-config, copy running-config tftp:, copy
tftp: running-config, tftpdnld y xmodem (usados en modo ROMmom, cuando no hay IOS; este modo tambin se usa para
recuperar una contrasea olvidada).
o Resolucin de problemas: show y debug: debug ip rip, no debug all, show processes, service timestamps, terminal monitor
(necesario para que se muestre informacin de debug en sesin telnet).

Captulo 5 ACL (Listas de Control de Acceso)

Sentencias secuenciales de permiso o denegacin (u otros menesteres, como dar prioridades) que se aplican a direcciones IP
o protocolos de capa superior, tras leer la cabecera del paquete. Puede actuar como un firewall pero tambin tiene ms
funciones, como evitar el trfico de video por rendimiento o bloquear el trfico Telnet. Por defecto los routers dejan
pasar todo el trfico.

La primera sentencia de la secuencia que coincida ser la que se ejecute. Por tanto, la primera es la que tiene mayor
prioridad y decrece hasta la ltima, que debe cubrir el resto de casos sin cubrir y suele llamarse "deny all traffic" o
"implicit deny any".
Regla de las 3 p: se puede filtrar por protocolo, por direccin (deben crearse por separado las reglas del trfico de salida y las
de entrada) o por interfaz.
Interface s0/0/0 + ip access-group 103 out + ip access-group 104 in
o Esto es distinto a si la ACL acta antes o despus de ser enrutado: diferenciamos ACL de entrada (antes
de ser enrutados a la interfaz de salida) y ACL de salida (despus).
Tipos de ACL de Cisco:
ACL estndar, 1-99 & 1300-1999. Slo filtran segn ips origen: situarlas lo ms cercano al destino.
Ejemplo access-list 10 permit 192.168.30.0 0.0.0.255
ACL extendidas, 100-199 & 2000-2699. Situarlas lo ms cerca posible del origen del trfico denegado. Pueden utilizarse
operaciones lgicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt). established permite que la respuesta
del servidor a una peticin pase el filtro. any significa desde cualquier lado o hacia cualquier lado. Ejemplos:
access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80
access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq telnet
access-list extended BROWSING + permit tcp any 192.168.10.0 0.0.0.255 established
access-list 101 permit ip any any
Mscara wildcard (indica qu parte del nmero de la subred observar). Tambin llamadas mscaras inversas porque 1 ignora
una coincidencia (y en una mscara de subred signifca coincidencia) y vicerversa. Para calcularla restar 255.255.255.255
menos la mscara de subred. Palabras clave: host = wildcard 0.0.0.0 y any = 255.255.255.255. Ejemplos:
access-list 1 permit any, access-list 1 permit host 192.168.10.10
192.168.3.32 /28 (255.255.255.240 = 14 host) -> access-list 10 permit 192.168.3.32 0.0.0.15
Dos redes: 192.168.10.0 y 192.168.11.0 -> mscara de subred regular 255.255.252.0. -> 0.0.3.255
Si no podemos usar SSH (conexin cifrada) para acceder a la administracin del router, entonces restringir el acceso VTY
(Telnet) slo a ciertas IPs: access-classaccess-list-number {in | out}
Editar ACL. (borrarla primero o aadiramos nuevas sentencias; en ACL nombradas en lugar de numerdas s podramos en
nuevas IOS; es mejor tenerlos en ficheros de texto y cortar y pegar):
show running-config | include access-list + no access-list {nombre} + access-list 20 permit + acce...
Comentarios + nombrado. Aadir comentario a secuencia antes de la misma:
access-list 1 remark comentario1 + access-list 1 permit 192.168.10.13
ip access-list standard NOMBRE1 + remark comentario1 + deny 192.168.10.12
Mostrar informacin (para resolucin de problemas): show access-list [nmero | nombre]
Asignacin de ACL a interfaz. Tras configurar una ACL estndar, usamos el comando ip access-group:
[no] ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out}
o [no] desvincula de la interfaz; para eliminar la ACL: no access-list {nmero de lista}
Tipos de ACL complejas (no se estudian en profundidad en este curso)
ACL dinmicas (de bloqueo). Hasta que los usuarios hacen Telnet al router y se identifican, no pueden atravesarlo. Slo
para trfico IP.
ACL reflexivas. Slo permiten trfico entrante como respuesta al mismo host que envi una peticin saliente. Como el
parmetro established pero con ms posibilidades: tambin permite UDP, ICMP; adems de verificar las direcciones origen
y destino.
ACL basadas en tiempo. Acceso segn hora y da de la semana.

Captulo 6 Servicios de Trabajadores a Distancia.

SOHO (Small Office Home Office): trabajar desde casa. Se necesita router VPN o cliente software VPN.
Para VoIP y videoconferencia, los routers deben tener funcionalidad QoS (calidad de servicio, permite dar distintas
prioridades al trfico).
VPN, a pesar de usar la red pblica, es seguro gracias a:
o Confidencialidad de datos: datos son encriptados y encapsulados. Suele usarse tunneling (encapsulacin de un paquete en
otro paquete) y el protocolo de encapsulacin suele ser IPSec (ms abajo se explica).
Protocolos de tunneling:
Protocolo portador: por donde viaja la informacin (Frame Relay, ATM, MPLP).
Protocolo de encapsulacin: encapsula datos originales (GRE, IPSec, L2F, PPTP, L2TP).
Protocolo pasajero: transporta datos originales (IPX, AppleTalk, IPv4, IPv6).
Algoritmos de encriptacin comunes:
Clave simtrica (misma clave para cifrar que para descifrar; host deben conocer la clave previamente): DES
(estndar de cifrado de datos), 3DES y AES (estndar de encriptacin avanzada).
Clave asimtrica (una clave de cifrado y otra de descifrado; ms seguro y fcil que la simtrica). La encriptacin de
clave pblica es una variante en la ambos tienen una clave pblica y otra privada; el emisor cifra con la clave
pblica del receptor y el receptor puede desencriptar con su clave privada. RSA (claves asimtricas de 512, 1024 o
superior).
o Integridad de datos gracias al hash o message digest (generacin de un nmero muy poco probable de que se repita a
partir de ciertos datos). HMAC (cdigo de autentificacin de mensajes de hash): adems del mensaje de entrada se utiliza
una clave secreta; algoritmos comunes: MD5 (Message Digest 5, que utiliza clave de 128 bits y hash generado 128 bits) y
SHA-1 (algoritmo de hash seguro 1, 150 bits).
o Autentificacin: contraseas, certificados digitales, tarjetas inteligentes, etc. Dos posibilidades:
PSK (clave asimtrica previamente compartida)
Firma RSA (la firma digital es el hash del mensaje encriptado con su clave privada; sta se enva al receptor junto al
mensaje, quien puede descifrarlo con la clave pblica del emisor, y lo compara con el hash del mensaje, que tambin
tiene que ser calculado por el receptor)
IPSec: conjunto de protocolos que da integridad y autentificacin a paquetes IP. Usa algoritmos ya conocidos como DES, AES,
MD5, etc. Dos protocolos de estructura:
AH (Authentication Header). No encripta los datos sino que nicamente crea un hash con una clave y las partes del paquete
que no deben ser modificadas durante la ruta.
ESP (contenido de seguridad encapsulado). Puede encriptar, autentificar o ambos pero, en contraste con AH, la cabecera no
est protegida.
IPsec proporciona una estructura de cuatro apartados y el administrador elige los algoritmos utilizados en cada una. Ejemplo,
1) protocolo Ipsec: ESP + AH, 2) encriptacin: 3DES, 3) autentificacin: MD5, 4) DH (para establecer claves pblicas en medio
no seguro): DH5.
Tipos de VPN.
VPN de sitio a sitio. Host envan y reciben a travs de un gateway VPN, que puede ser un router, aplicacin firewall PIX o ASA
(aplicacin de seguridad adaptable), que encapsula, desencapsula, cifra y descifra.
Servicios de banda ancha:
Acceso dial-up. Usa la lnea telefnica. Lento, se usa si no es posible usar otro.
DSL. Usa la lnea telefnica (cables de cobre). Conexin continua y rpida. El transceptor al que se conecta el cliente es
normalmente un mdem y ste se conecta mediante un cable no compartido al DSLAM (que separa seal POTS en DSL y voz;

previamente el cliente habr usado microfiltros para que la voz vaya en frecuencias bajas y datos en altas, o habr un
divisor de seal POTS) en la oficina del proveedor de servicios.
o ADSL (DSL asimtrica: mayor ancho de banda descendiente). Frecuencias 20kHz-1MHz.
o SDSL (DSL simtrica: igual ancho ascenciente que descendiente).
Mdem por cable. Cable coaxial, en general HFC (fibra coaxial hbrida). Normalmente tambin transporta televisin. CM
(cable mdem) separa seales, y ste se conecta al CMTS (Sistema de Terminacin de Cablemdems) que es la cabecera de
la compaa de cable. El mismo cable transporta seales ascendentes (del suscriptor al operador) usando RF (radio
frecuencias) entre 5-42 MHz y descendentes 50-860 MHz.
o DOCSIS (de CableLabs). Estndar de certificacin para proveedores y equipos de cable. Especifica capas fsica
y MAC (define TDMA o divisin por tiempo; y S-CDMA o divisin por frecuencias). Son variantes de DOCSIS:
PAL, NTSC o SECAM.
Conexin inalmbrica de banda ancha. 802.11 es un estndar de comunicaciones inalmbricas y WiFi es una certificacin
basada en este protocolo.
o Wi-Fi municipal,
o Estndar 802.16 o WiMAX (interoperatividad mundial para el acceso por microondas).
o Internet satelital. Disponible cualquier parte del mundo. Tres formas de conectarse: multicast unidireccional
(satlite enva datos pero el usuario no puede responder?), retorno terrestre unidireccional (dial-up
tradicional mediante un mdem) y bidireccional (satlite hace de hub intermediario con el ISP).

Captulo 7 Servicios de Direccionamiento IP.

DNS (Domain Name System)
DHCP.
Asignaciones manual (DHCP slo informa al dispositivo de su IP, previamente asignada), automtica (asigna
automticamente IP de forma permanente) y dinmica (asigna de forma temporal).
Pasos: cliente enva DHCPDISCOVER broadcast (para que algn servidor DHCP responda), servidor responde DHCPOFFER
unicast, cliente confirma que est usando esa IP con DHCPREQUEST broadcast, servidor responde con un DHCPACK unicast;
por ltimo cliente hace bsqueda ARP para saber si la IP ya ha sido asignada y si no recibe respuesta empieza a utilizarla.
Usa el protocolo UDP, el servidor escucha en el puerto 67 y el cliente en el 68.
Comandos en router Cisco: ip dhcp excluded-address{ips} (excluir IPs especficas), ip dhcp pool {nombre} (crea pool DHCP),
network {ip mscara} (para seleccionar rango de direcciones disponibles), default-router (define gateway/s
predeterminado), dns-server, lease (modifica el tiempo predeterminado de arrendamiento de un da), [no] service dhcp,
show ip dhcp binding (informacin de IPs asignadas con DHCP), show ip dhcp server (cantidad de mensajes DHCP
transmitidos).
Comandos en un entorno SOHO o routers domsticos: interface fa0/0 + ip address dhcp + no shut
Relay DHCP. Configura el router (que no deja pasar broadcast) para que las peticiones broadcast del cliente sean enviadas
al servidor DHCP correspondiente: ip helper-address {ip_servidor} (tambin reenva de forma predeterminada DNS en
puerto 53, TFTP 69), ip forward-protocol (para especificar puertos adicionales)
Resolucin de conflictos: show ip dhcp conflict (muestra conflictos detetectados por el servidor como dos ips repetidas),
show interface (para comprobar si est activa), show running-config (ayuda a comprobar que relay DHCP est asignado
correctamente). Depuracin:
o access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 + debug ip packet detail 100
o debug ip dhcp server packet, debug ip dhcp server events
BOOTP: protocolo anterior a DHCP qu nicamente haca la funcin de asignacin manual de DHCP.

NAT (Network Address Translation). Para escalamiento de redes como solucin a corto plazo del insuficiente nmero de
direcciones. Antes del desarrollo de NAT, un host con direccin privada no poda acceder a Internet. Tiene desventajas
como que los sistemas que usen un hash que tome como datos las IP fallarn (firmas digitales, IPsec) o la prdida de
tiempo en traducir unas direcciones en otras.
Direcciones: local interna y externa, y global interna y externa.
Funcionamiento: cuando un host hace una peticin a un servidor, el router cambia la ip local interna por la externa y deja
documentado el cambio en la tabla NAT. Cuando reciba la respuesta mirar la tabla NAT y har la operacin inversa.
o Traduccin NAT esttica: la direccin privada siempre tiene la misma direccin pblica (esto permite tener una
direccin privada sin perder su visibilidad en internet):
ip nat inside source static {ip_privada} {ip_publica} + interface serial 0/0/0 + ip nat inside (asigna interfaz a la
conexin interior) + exit + interface serial 0/1/0 + ip nat outside
o Traduccin NAT dinmica: cuando un host pida acceso a internet, su IP privada (debe estar permitida en una ACL) se
mapea con una de las pblicas que todava no est en uso por otra IP privada. Omitidos comandos de puesta en
funcionamientoo Sobrecarga NAT o PAT (Port Address Translation). Puede asignar varias direcciones IP privadas una pblicas. NAT
asigna a cada host de la red privada y al paquete que enva un puerto distinto. Omitidos comandos de puesta en
funcionamientoReenvo de puertos (a veces tambin llamado tunneling): permite alcanzar un puerto de una direccin privada. NAT no
permite solicitudes iniciadas desde el exterior, el reenvo o apertura manual de los puertos es necesario para que ciertos
programas, como p2p, servidores Web o FTP funcionen.
Comandos: show ip nat translations [verbose] ([informacin adicional]), show ip nat statistics, show run, ip nat translation
timeout {timeout_ seconds} (modifica las 24 horas predeterminadas que una entrada aparece en la tabla NAT), clear ip nat
translation * | {algo_en_concreto}, debug ip nat [detailed]
IPv6.
Mayor diferencia y motivo de su implantacin: espacio de direcciones de 128bits, frente a IPv4: 32bits. Ejemplo de IP
(hexadecimal): 2031:0000:130F:0000:0000:09C0:876A:130B = (quitamos ceros) 2031:0:130F::9C0:876A:130B. Comando: ipv6
unicast-routing (activa IPv6 en interfaz). Se necesita ms memoria pues las direcciones y los paquetes son mayores y mejor
hardware para procesar mayores direcciones.
RIPng similar al rip de IPv4, pero usa multicast a los enlaces troncales en lugar de broadcast. Comandos: ipv6 router rip
[nombre1] + (en cada interfaz) ipv6 rip {name} enable
Resolucin de problemas: show ipv6 interface | neighbors | route | traffic (estadsticas).., debug ipv6 packet | rip | routing
Otros comandos: clear ipv6 rip | route * | route {ruta}
Ms mejoras:
Direccionamiento IP mejorado. Plug-and-play, multiconexin (host puede tener varias IPs por el mismo enlace fsico)...
Direccin unicast global permite la agrupacin ascendente hasta llegar al ISP. 1/256 son ips reservadas; entre ellas las ip
privadas (que empiezan por FE seguido por un valor entre 8 y F), direcciones locales de un sitio (asignadas a una
organizacin en particular), direcciones unicast de enlace troncal (referencian a enlace fsico), direccin de loopback (::1 =
todas a cero menos el ltimo dgito que es 1), direccin no especificada (:: = todos a cero). Asignacin de IDs:
o Asignacin esttica con un ID de interfaz manual (manualmente escribimos el prefijode red como la porcin de ID
que corresponde al host). Comando: ipv6 address 2001:DB8:2222:7272::72/64
o Asignacin esttica con un ID de interfaz EUI-64 (crea ip nica a partir de la MAC): Comando: ipv6 address
2001:DB8:2222:7272::/64 eui-64
o Autoconfiguracin sin estado y DHCP para IPv6 (DHCPv6) con estado (que da ms opciones de configuracin, como
especificar las DNS a usar). Ambas pueden coexistir.
Simplificacin de encabezados. No broadcast ni checksums, extensin de encabezado ms sencillo
Movilidad y seguridad integrada. Estndar IETF de IP mvil es dinmico (no hay que configurar manualmente ip actual y de
respaldo), uso de IPsec es obligatorio.
Intensidad de transicin. Usar stack doble cuando pueda y tunneling cuando no tenga otra opcin:
o Stack doble (nodos soportan simultneamente IPv4 e IPv6).
o Tunneling (paquete IPv6 se encapsula dentro de IPv4 con el campo protocolo a 41 para atravesar red IPv4).Los
principales son el tunneling manual (se introduce a mano en el router stack doble origen la IPv4 del router stack
doble destino) y el dinmico 6to4 (la direccin IPv6 tiene embebido la direccin IPv4 previo a un prefijo especfico).
No se recomiendan el tunneling ISATAP, el tunneling Teredo o NAT-PT.

Captulo 8 Resolucion de Problemas de Red.

Lnea de base de rendimiento de la red (cmo se ha diseado una red y cul es el rendimiento esperado para dicha red en
condiciones normales de funcionamiento). Debemos medir cmo funciona la red durante un da promedio, partes
utlizadas en exceso, dnde suele ocurrir errores, poltica de errores, etc.
Documentacin de la red (diagrama lgico de la red e informacin detallada acerca de cada componente)
o Tabla de configuracin de la red (switches y routers): imagen IOS usada, lugar donde se encuentra el
dispositivo, si se le puede aadir algn mdulo, IP,
o Tabla de configuracin del sistema final (host como pcs, impresoras): IP, SSOO, etc.
o Diagrama de topologa de la red (representacin grfica de la red)
Lgico (se visualiza como se transmiten los datos): IPs, identificadores de dispositivos y de interfaz,
protocolos de enrutamiento, etc.
Fsico: especificaciones de cables, conectores, SSOO, IOS, etc.
Proceso de documentacin de la red. Pueden ser tiles los siguientes comandos para obtener informacin del dispositivo o
de sus vecinos: ping, telnet, show ip interface brief, show ip route, show cdp neighbor detail. Software de medicin
automtico sofisticado: SuperAgent de Fluke Networks
Modelo en capa OSI: 7.Aplicacin > 6.Presentacin > 5.Sesin > 4.Transporte (TCP) > 3.Red (IP) > 2.Enlace de datos > 1.Fsica;
modelo en capa TCP/IP: Aplicacin > Transporte (TCP) > Internet (IP) > Acceso a la red.
Resolucin de problemas:
Proceso sistemtico:
1. Recopilacin de sntomas, bsqueda de diferencias con la lnea base o alertas recibidas
2. Aislamiento del problema, identificacin del problema/s concreto.
3. Correccin del problema, que se documenta; podra crearse otro nuevo problema
Mtodos:
Ascendente (se empieza a buscar el problema por la capa fsica y se asciende en el modelo OSI). La desventaja es que
necesitamos comprobar cada dispositivo por separado.
Descendente (se empieza por las aplicaciones del usuario). Dificultad de descubrir qu aplicacin produce el problema.
Divide y vencers (tras documentar el problema se decide en qu capa est probablemente; si la capa funciona
correctamente verificamos la capa superior, y si no verificaramos la capa inferior).
Herramientas de resolucin de problemas software.
o Herramientas de NMS: CiscoView, HP Openview, Solar Winds y What's Up, Gold
o Bases de conocimientos: Google, foros
o Herramientas de lnea de base (crean automticamente documentacin y lnea de base): SolarWinds
LANsurveyor, CyberGauge
o Analizadores de protocolo: Wireshark
Herramientas de resolucin de problemas hardware.
o NAM (Mdulo de anlisis de red): es posible instalar uno en los switches de la serie Cisco Catalyst 6500 y en
los routers de la serie Cisco 7600 a fin de obtener una representacin grfica del trfico.
o DMM (Multmetros digitales). Mide valores elctricos como el voltaje.
o Probadores de cable. Pueden detectar cables daados, etc. TDR (reflectmetros de dominio de tiempo):
adems miden en qu punto del cable est el problema, pero son caros. OTDR (igual pero para fibra ptica).
o Analizadores de red. Suelen incluir software para ver los resultados en un PC. Las herramientas ms
sofisticadas pueden identificar las acciones correctivas, analizar el trfico de la red, etc.
Pasos en el diseo de las WAN:
1. Ubicar las LAN (o puntos fnales);
2. Analizar el trfico (ancho de banda necesario, latencia, etc);
3. Planificar topologa. Mayor nmero de enlaces es ms seguro pero ms caro. Cuando deben unirse muchas ubicaciones,
se recomienda una solucin jerrquica, ya que ofrece una mejor escalabilidad de la red.
4. Calcular el ancho de banda;
5. Seleccionar la tecnologa de WAN. Segn necesitamos una lnea arrendada, FrameRelay, VPN
6. Evaluar los costos

Perspectiva de un ISP. Cuando un cliente llama los problemas a veces se basan en el PC del usuario, la LAN, tambin pueden
hacer ping desde el backbone del ISP al router de cliente, etc.
Resolucin de problemas de la capa fsica
Sntomas de los problemas de capa fsica: rendimiento menor a la lnea de base, prdida de conectividad, altos conteos de
colisin, cuellos de botella o congestin en la red, alto uso de CPU, mensajes de error de consola.
Causas: por la energa, por fallos de hardware o cableado, interfaz mal configurada (seal de reloj incorrecta),
configuracin de dispositivo superior a la adecuada, sobrecarga de CPU. Atenuacin de un cable (la amplitud de la seal se
reduce al avanzar por el mismo): si el cable es muy largo o la conexin mala (cable flojo) puede no reconocerse la seal
correctamente. Ruido de un cable. 4 tipos: de impulso (por cambio de voltaje del mismo cable), aleatorio o blanco (por
seales de radio, etc), acoplamiento de crosstalk (por cables que siguen la misma ruta), paradiafona o NEXT (corsstalk de
extremo cercano, debido a otros cables o transmisores cercanos)
Resolucin de problemas de la capa de enlace de datos
Sntomas: fallos de conectividad en la capa de red o superiores, funcionamiento por debajo de la lnea base (porque alguna
tramas se descartan o no van por la ruta ptima), exceso de broadcasts (software mal configurado, dominos de broadcast
demasiado grandes, bucles STP), mensajes de consola (el ms comn: inactividad del protocolo de lnea).
Causas: Errores de encapsulacin (distinta en sendos extremos), de asignacin de direcciones (manual, ARP inverso no
activado, respuestas ARP no vlidas por un ataque a la seguridad), de entramado (no queda claro donde termina la trama
por exceso de ruido o reloj mal configurado), bucles o fallos en STP (enlaces de menor ancho de banda congestionado,
puede deberse a un ato ndice de cambios en la topologa).
Resolucin: con show interfaces serial, 1: verificar encapsulacin adecuada). 2: confirmar negociaciones del LCP (protocolo
de control de enlace) se realizaron bien. 3: debug pp authentification para verificar autentificacin en sendos lados del
enlace.
Para FrameRelay: 1: verificar enlace que probador de cables. 2: show frame-relay lmi (verifica que router y proveedor
de Frame Relay intercambia informacin LMI). 3: show frame-relay pvc (verificar que est activo). 4: show
interfaces serial (misma encapsulacin en sendos routers)
Con bucles STP. show spanning-tree (comprobar que STP est activado en cada interfaz) y spanning-tree {vlan} {ID}
(para activarlo). Desactivar los puertos comprometidos de uno en uno con el objetivo de restablecer el trfico lo
antes posible.
Resolucin de problemas de la capa de red
Sntomas: fallas en la red o un rendimiento subptimo.
Resolucin: comprobar IP estticas correctas y/o DHCP activado, usar comando debug
Problemas frecuentes de las listas de acceso:
o ACL: seleccin de la interfaz o direccin de flujo incorrecta, orden de sentencias incorrecto, mala colocacin de la ACL al
trabjar junto a NAT, puerto o protocolo de la sentencia incorrecto (UDP en lugar de TCP, VPN, protocolos de
encriptacin), no usar la palabra clave established. La palabra clave log ayuda en la resolucin de problemas.
o NAT: funcionamiento simultneo de BOOTP y DHCP, aplicaciones o funciones que necesiten de puertos de los hosts (SMTP,
encriptacin), temporizadores muy largos o cortos (saturacin de la tabla NAT).
Resolucin de problemas de la capa de aplicacin (modelo TCP/IP). Adems de las aplicaciones de los usuarios, hay protocolos
que entran dentro de esta capa: Telnet, http, FTP, SMPT, POP, DNS
Sintomas: aplicacin no funciona bien
Resolucin: 1. Ping al gateway predeterminado. 2. Ping extendido al extremo con el que queremos comunicarnos. 3a.
Verificar que no hay problemas con ACL: show access-list, clear access-list counters + ver si los contadores se incrementan al
reintentar una conexin. 3b. NAT: show ip nat translations, clear ip nat translation * + acceder al recurso de nuevo + debug
ip nat, comprobar si ip nat inside e ip nat outside estn ubicados en las interfaces correctas. 4. Se trata de un protocolo de
la capa superior como FTP, HTTP o Telnet: mirar documentacin especfica del protocolo. No olvidar hacer una copia de
seguridad de los dispositivos implicados y documentar el proceso.
c.helder 2012
http://estiloasertivo.blogspot.com.es/
http://estiloasertivo.16mb.com/