Captulo 1 Introduccin a las Redes Wan. DTE: equipo terminal de datos.

Equipo del cliente; se comunica con el bucle local a travs del DCE. CPE: cableado local del cliente DCE: equipo de comunicacin de datos o de terminacin de circuitos. Dispositivos-interfaz que pone datos en el bucle local. Bucle local: cable telefnico de cobre o fibra ptica Punto de demarcacin: punto de conexin del CPE con el bucle local. Separa responsabilidades. PoP, point-of-presence: punto geogrfico donde un proveedor de servicios ofrece salida a Internet. Diseo jerrquico de la red: capas ncleo, distribucin y acceso. Protocolos de enlace de datos WAN: o Privada Dedicada: Lneas arrendadas: la ms segura y costosa (ej T1, E1) HDLC: predeterminado en Cisco PPP: basado en HDLC. Conmutado: por circuitos, menos costosa pero necesario configurar la llamada (ej. conexiones dialup). PPP PSTN ISDN o RDSI. Antiguo, todava en uso para VoIP con enlaces PRI. por paquetes, enlace compartido que puede ser permanente (PVC) o no (conmutado o SVC) Frame Relay. Basado en X.25, pero capa de enlace de datos. Orientado a la conexin. X.25. Capa de red. Antiguo, todava en uso en paises subdesarrollados para transaciones con tarjetas de crdito en tiendas minoristas. ATM usa celdas en lugar de tramas, de tamao fijo, ms pequeas: 53 bytes. Todos los dems protocolos de enlace de datos WAN usan tamao variable. Para video. o Pblica Internet: la menos segura pero menos costosa tambin. Banda ancha VPN: conexin encriptada entre redes privadas mediante tneles VPN DSL Cable Acceso inalmbrico de banda ancha Metro Ethernet Repaso: VLAN (Virtual Local Area Network): grupo de dispositivos en el mismo dominio broadcast lgico; los dispositivos pueden estar lejos geogrficamente pero se comunican dentro de la misma LAN. VTP (VLAN Trunking Protocol): permite configurar un switch para que propague la configuracin de las VLAN a los otros switches. STP (Spanning Tree Protocol): estndar para proporcionar caminos alternativos pero evitando bucles.

Captulo 2 PPP (Point-to-Point protocol, conexin serial o en lnea arrendada). Estndares de comunicacin serial: RS-232 (usado por los conectores RJ-45), V.35 y HSSI. TDM (Multiplexacin por divisin temporal): enva datos distintos sncronamente por el mismo canal. Usan TDM: ISDN, SONET, SDH. STDM (Multiplexacin estadstica por divisin temporal): mejora TDM permitiendo que si fuente no transmite, su parcela puede usarse por otra fuente. Para ello se usa un buffer.

Ejemplo de configuracin: DTE (PC) -> DCE (modem cliente) -> DCE (modem remoto) -> DTE (remoto) Modem nulo: nombre que se le da a la conexin entre dos DTE sin hacer uso de ningn DCE. HDCL: transmisin sncrona con control de errores mediante acusos de recibo. HDCL de Cisco o cHDCL permite multiprocolo aadiendo un campo donde se indica el protocolo. Comandos: encapsulation hdlc, show interfaces serial, show controllers PPP Funciona con cualquier interfaz DTE-DCE siempre que el circuito sea Dplex (conmutado o dedicado). Para conectar a routers que no sean cisco (frente HDCL, PPP no est patentado). Monitoriza la calidad y desactiva el enlace si muchos errores Autentificacin PAP (Protocolo de Autentificacin de Contrasea, pero sin cifrar, en dos pasos) y CHAP (Protocolo de Autentificacin de Intercambio de seales, hay encriptacin mediante nmero hash MD5 generado a partir de password, id y un nmero aleatorio cambiante en cada comprobacin realizada peridicamente). LCP (Link Control Protocol): establece conexin, detecta errores, acuerda encapsulacin (autentificacin, compresin, deteccin de errores). NCP (Network Control Protocol): permite configurar varios protocolos de capa superior Comandos: encapsulation ppp, compress [predictor | stac], ppp quality 80, no ppp quality, ppp multilink (ppp permite multienlace: MPPP, MLP, MP), debug ppp [packet | negotiation | error | authentification | compression, cbcp], ppp authentification {chap | pap | chap pap}..,

Captulo 3 Frame Relay. Creado para superar la lentitud del X.25 al no tener control de flujo o errores en cada trama. Tecnologa WAN ms utilizada del mundo. Econmica: cliente paga bucle local y ancho de banda. Ms ancho de banda, fiabilidad y resistencia a las fallas que las lneas privadas o arrendadas. ISDN (frente a FrameRelay) costo inicial ms bajo pero mensual mucho mayor. Pagamos por duracin de la llamada. Interconexin de redes locales. En cada red local un Router hace de DTE, y ste se conecta al Swich Frame Relay de la empresa que hace de DCE, el cual estar conectado al PoP ms cercano de proveedor de comunicaciones. Se pueden multiplexar varios VC mediante un FRAD (dispositivo de acceso Frame Relay). Una WAN Frame Relay son switches conectados por enlaces troncales (Frame Relay opera en la capa 2 mientras X.25 tambin utiliza la 3). VC (Virtual Circuit). SVC (Switched=permutados Virtual Circuits). PVC (Permanent Virtual Circuit) o VC privados: DLCI (Data Link Connection Identifier): identifica un VC al equipo en un punto final. Tiene significado local y no es nico en toda la WAN Frame Relay. De hecho. Los dos equipos extremos del VC pueden darle distintos DLCI al mismo VC. Formato de la trama Frame Relay: sealador de principio y fin de trama, datos, direccin y FCS (determina si hubo errores en el campo direccin de la trama; si los hubo la trama se descarta: el control de errores se deja a la capa 3). El campo direccin contiene los DLCI, los bits FECN (buffer del enlace de recepcin de datos congestionado, notifiacin indirecta), BECN (buffer de envo congestionado, notificacin directa) y DE (transmisin superior al CBIR). LMI (Local Management Interface): mensajes que actan como keepalives entre routers (DTE) y switches Frame Relay (DCE). Tambin permiten descubrir nuevos PVCs dinmicamente. El campo de direccin lleva uno de los DLCI reservados.Usa ARP inverso (protocolo de resolucin de direcciones inverso): extrae direcciones de la capa 3 a partir de las tramas recibidas como respuesta. Se espera que el DTE considere los problemas de congestin (pues trabaja en la capa 3)

Topologa en estrella o Hub and Spoke. Mnimo nmero de VC: uno de los nodos hace de hub y el resto de nodos (spoke) se conectan a ste (a travs de un VC suministrado por el proveedor de la red Frame Relay). ARP inverso no funciona entre spokes: el VC requiere asignacin esttica. El problema del horizonte divido (no permite reenvo de la actualizacin de estado a otro nodo por la misma interfaz) se arregla con subinterfaces. Topologa de malla completa: se contrata un VC distinto entre cada par de extremos. Alta seguridad. Topologa de malla parcial: intermedio entre los dos anteriores. Comandos: o encapsulation frame-relay, frame-relay map protocol protocol-address dlci [broadcast] [ietf | cisco], show frame-relay lmi, show frame-relay map, show interfaces, show frame-relay pvc [particular dlci], clear frame-relay-inarp, debug frame-relay lmi o interface serial 0/0/0.103 [point-to-point | multipoint]: se recomienda que la subinterfaz (103) = dlci frame-relay interface-dlci 103 NBMA (non-broadcast multiple access) es uno de los cuatro tipos del protocolo OSPF (Open Shortest Path First). En contraste con broadcast o multicast, enva paquetes individuales de comprobacin de estado individualmente a cada router. Horizonte dividido: evita routing loop en redes que usan enrutamiento de vector distancia, al no permitir que una actualizacin de enrutamiento recibida en una interfaz sea reenviada por la misma interfaz. Rfagas o envos superiores al CIR Bc (velocidad de informacin suscrita rfaga suscrita) se permiten. Tambin superiores al CBIR (Committed Burst Information Rate), pero no pueden ser superiores a la velocidad del puerto o de acceso. Si lo hacemos el bit DE se marcar a 1 y si la red est congestionada la trama se descartar. La cantidad de datos que podemos sobrepasar como mximo: EIR Be (Excess Information Rate Excess Burst Size) = Mximo permitido (normalmente la velocidad del puerto) - Bc (rfaga suscrita). Captulo 4 Seguridad de la Red. Agresores a la seguridad: hacker (de sombrero blanco bueno, o negro malo cracker), phreaker (para hacer llamadas telefnicas), spammer, estafador (suplantador de identidad). 3 tipos de vulnerabilidades o debilidades: tecnolgicas, en la configuracin o en la poltica de seguridad. Amenazas a la infraestructura fsica: apagones elctricos, temperatura, etc. Amenazas a la red: estructuradas (hechas por expertos) o no, internas y externas. Ingeniera social (estafadores). Tipos de ataques a las redes o Reconocimiento (bsqueda de vulnerabilidades). Herramientas como fping o gping pueden hacer un barrido de pings a un intervalo de ips. Tras conocer las IPs activas se usa algn software que escana los puertos abiertos. Infiltracin en la red o recopilacin y robo de informacin; por ejemplo robo de datos de las cadenas comunitarias SNMPv1 o usuarios y passwords sin cifrar con un analizador de protocolos como Wireshark. Soluciones: usar switches (redes conmutadas) en lugar de hubs para que el trfico particular no est en todas las partes de la red, encriptacin o polticas de seguridad que prohban los protocolos no seguros. o Acceso (entrar en un dispositivo sin permiso), usando vulnerabilidades conocidas. Ataques a las contraseas: diccionario, tabla arcoiris o fuerza bruta. Explotacin de confianza (suplanta a un servidor de confianza externo a la red y ataca desde all). Redireccin de puertos (se pasa el firewall haciendo que un host de la misma red a la del host al que se ataca, redirija la comunicacin con dicho host atacado). Al host que se encuentra en el segmento de servicios pblicos (y podemos acceder) se le suele llamar zona desmilitarizada (DMZ). Se puede realizar con netcat y evitar con un sistema de deteccin de intrusin (IDS).

 MITM (Ataque Man-In-The-Middle) (captura de datos de una comunicacin entre host). Estos datos pueden robarse o alterarse con distintos fines. Evitable cifrando todos los datos. o Denegacin de servicio o DoS (daa o desactiva algo para que los usuarios de ese algo no pueden usarlo). Son los ms temidos por su facilidad de ejecucin y la dificultad de eliminar. Son ejemplos las bombas de correo electrnico y la saturacin SYN (Peticiones TCP masivas). Ataques DDoS o DoS distribuida (el ataque se realiza de mltiples fuentes). Normalmente el cliente (persona que ataca) usa un host manipulador que usa host agentes (los que lanzan los ataques). Son ejemplos el ataque Smurf (peticiones masivas de eco ICMP broadcast que el router reenva a todos los host). Una solucin a DoS y DDoS es limitar trfico no esencial (ej:ICMP). o Ataques de cdigo malicioso (software malicioso instalado en un host): Gusanos (capaces de propagarse por otros host por s slos) Virus (modifica y/o modifica otro software; necesita interaccin humana para propagarse) y caballos de troya (parecen otra cosa, por ejemplo un juego, pero tienen incluido el cdigo malicioso). Seguridad en host y servidores: modificar configuracin por defecto (passwords, servicios), antivirus, firewall, parches del SSOO, HIDS (sistemas de deteccin de intrusiones basada en hosts, que avisan al administrador) e HIPS (que adems previenen, capaces de apagar la red o detener lo afectado, por ejemplo el agente de seguridad de Cisco). La rueda de seguridad de la red asegura que las medidas de seguridad se apliquen y funcionen con la repeticin continua de pruebas y otras medidas de seguridad. 1: asegurar seguridad en host y servicores y el cumplimiento de polticas. 2: controlar con auditoras e IDS. 3: Probar con herramientas como SATAN, Nessus o Nmap. 4: mejorar. Proteccin de los routers Cisco. Los routers filtran a quien puede usar la red y no. Medidas de proteccin: copia de seguridad de la IOS, contraseas difciles de adivinar, usar SHH en lugar de Telnet (sin cifrar). SDM de Cisco: interfaz web para configurar el router accesible escribiendo su ip en un explorador web. Comandos: global [username] username secret [password], security passwords min-length, service timestamps ?, show ip route, passive-interface default (desactiva envo de RIP, slo recibe), auto secure o Desactivar totalmente el uso de puertos vty, aux o tty: Line aux 0 + no password + login o Admite slo SSH: line vty 0 4 + no transport input + transport input ssh + exit o Configuracin de SSH: hostname [name] + ip domain-name [name] + crypto key generate rsa [opcional] ip ssh time-out [seconds] authentication-retries [integer] o Desactivar servicios vulnerables: no snmp-server, no service finger, no ip classless, shutdown o Encriptacin de RIP: key chain KEY + key 1 + key-string [password], int s0/0/0 + ip rip authentification mode md5 + ip rip authentication key-chain KEY De EIGRP: + ip authentification mode aigrp 1 md5 + ip authentification key-chain eigrp 1 KEY De OSPF: + ip ospf message-digest-key 1 md5 cisco + o Manipulacin de IOS: show file systems, cd, pwd, dir, copy running-config startup-config, copy running-config tftp:, copy tftp: running-config, tftpdnld y xmodem (usados en modo ROMmom, cuando no hay IOS; este modo tambin se usa para recuperar una contrasea olvidada). o Resolucin de problemas: show y debug: debug ip rip, no debug all, show processes, service timestamps, terminal monitor (necesario para que se muestre informacin de debug en sesin telnet).

Captulo 5 ACL (Listas de Control de Acceso) Sentencias secuenciales de permiso o denegacin (u otros menesteres, como dar prioridades) que se aplican a direcciones IP o protocolos de capa superior, tras leer la cabecera del paquete. Puede actuar como un firewall pero tambin tiene ms funciones, como evitar el trfico de video por rendimiento o bloquear el trfico Telnet. Por defecto los routers dejan pasar todo el trfico.

La primera sentencia de la secuencia que coincida ser la que se ejecute. Por tanto, la primera es la que tiene mayor prioridad y decrece hasta la ltima, que debe cubrir el resto de casos sin cubrir y suele llamarse "deny all traffic" o "implicit deny any". Regla de las 3 p: se puede filtrar por protocolo, por direccin (deben crearse por separado las reglas del trfico de salida y las de entrada) o por interfaz. Interface s0/0/0 + ip access-group 103 out + ip access-group 104 in o Esto es distinto a si la ACL acta antes o despus de ser enrutado: diferenciamos ACL de entrada (antes de ser enrutados a la interfaz de salida) y ACL de salida (despus). Tipos de ACL de Cisco: ACL estndar, 1-99 & 1300-1999. Slo filtran segn ips origen: situarlas lo ms cercano al destino. Ejemplo access-list 10 permit 192.168.30.0 0.0.0.255 ACL extendidas, 100-199 & 2000-2699. Situarlas lo ms cerca posible del origen del trfico denegado. Pueden utilizarse operaciones lgicas, como igual (eq), desigual (neq), mayor que (gt) y menor que (lt). established permite que la respuesta del servidor a una peticin pase el filtro. any significa desde cualquier lado o hacia cualquier lado. Ejemplos: access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80 access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq telnet access-list extended BROWSING + permit tcp any 192.168.10.0 0.0.0.255 established access-list 101 permit ip any any Mscara wildcard (indica qu parte del nmero de la subred observar). Tambin llamadas mscaras inversas porque 1 ignora una coincidencia (y en una mscara de subred signifca coincidencia) y vicerversa. Para calcularla restar 255.255.255.255 menos la mscara de subred. Palabras clave: host = wildcard 0.0.0.0 y any = 255.255.255.255. Ejemplos: access-list 1 permit any, access-list 1 permit host 192.168.10.10 192.168.3.32 /28 (255.255.255.240 = 14 host) -> access-list 10 permit 192.168.3.32 0.0.0.15 Dos redes: 192.168.10.0 y 192.168.11.0 -> mscara de subred regular 255.255.252.0. -> 0.0.3.255 Si no podemos usar SSH (conexin cifrada) para acceder a la administracin del router, entonces restringir el acceso VTY (Telnet) slo a ciertas IPs: access-classaccess-list-number {in | out} Editar ACL. (borrarla primero o aadiramos nuevas sentencias; en ACL nombradas en lugar de numerdas s podramos en nuevas IOS; es mejor tenerlos en ficheros de texto y cortar y pegar): show running-config | include access-list + no access-list {nombre} + access-list 20 permit + acce... Comentarios + nombrado. Aadir comentario a secuencia antes de la misma: access-list 1 remark comentario1 + access-list 1 permit 192.168.10.13 ip access-list standard NOMBRE1 + remark comentario1 + deny 192.168.10.12 Mostrar informacin (para resolucin de problemas): show access-list [nmero | nombre] Asignacin de ACL a interfaz. Tras configurar una ACL estndar, usamos el comando ip access-group: [no] ip access-group {nmero de lista de acceso | nombre de lista de acceso} {in | out} o [no] desvincula de la interfaz; para eliminar la ACL: no access-list {nmero de lista} Tipos de ACL complejas (no se estudian en profundidad en este curso) ACL dinmicas (de bloqueo). Hasta que los usuarios hacen Telnet al router y se identifican, no pueden atravesarlo. Slo para trfico IP. ACL reflexivas. Slo permiten trfico entrante como respuesta al mismo host que envi una peticin saliente. Como el parmetro established pero con ms posibilidades: tambin permite UDP, ICMP; adems de verificar las direcciones origen y destino. ACL basadas en tiempo. Acceso segn hora y da de la semana.

Captulo 6 Servicios de Trabajadores a Distancia. SOHO (Small Office Home Office): trabajar desde casa. Se necesita router VPN o cliente software VPN. Para VoIP y videoconferencia, los routers deben tener funcionalidad QoS (calidad de servicio, permite dar distintas prioridades al trfico). VPN, a pesar de usar la red pblica, es seguro gracias a: o Confidencialidad de datos: datos son encriptados y encapsulados. Suele usarse tunneling (encapsulacin de un paquete en otro paquete) y el protocolo de encapsulacin suele ser IPSec (ms abajo se explica). Protocolos de tunneling: Protocolo portador: por donde viaja la informacin (Frame Relay, ATM, MPLP). Protocolo de encapsulacin: encapsula datos originales (GRE, IPSec, L2F, PPTP, L2TP). Protocolo pasajero: transporta datos originales (IPX, AppleTalk, IPv4, IPv6). Algoritmos de encriptacin comunes: Clave simtrica (misma clave para cifrar que para descifrar; host deben conocer la clave previamente): DES (estndar de cifrado de datos), 3DES y AES (estndar de encriptacin avanzada). Clave asimtrica (una clave de cifrado y otra de descifrado; ms seguro y fcil que la simtrica). La encriptacin de clave pblica es una variante en la ambos tienen una clave pblica y otra privada; el emisor cifra con la clave pblica del receptor y el receptor puede desencriptar con su clave privada. RSA (claves asimtricas de 512, 1024 o superior). o Integridad de datos gracias al hash o message digest (generacin de un nmero muy poco probable de que se repita a partir de ciertos datos). HMAC (cdigo de autentificacin de mensajes de hash): adems del mensaje de entrada se utiliza una clave secreta; algoritmos comunes: MD5 (Message Digest 5, que utiliza clave de 128 bits y hash generado 128 bits) y SHA-1 (algoritmo de hash seguro 1, 150 bits). o Autentificacin: contraseas, certificados digitales, tarjetas inteligentes, etc. Dos posibilidades: PSK (clave asimtrica previamente compartida) Firma RSA (la firma digital es el hash del mensaje encriptado con su clave privada; sta se enva al receptor junto al mensaje, quien puede descifrarlo con la clave pblica del emisor, y lo compara con el hash del mensaje, que tambin tiene que ser calculado por el receptor) IPSec: conjunto de protocolos que da integridad y autentificacin a paquetes IP. Usa algoritmos ya conocidos como DES, AES, MD5, etc. Dos protocolos de estructura: AH (Authentication Header). No encripta los datos sino que nicamente crea un hash con una clave y las partes del paquete que no deben ser modificadas durante la ruta. ESP (contenido de seguridad encapsulado). Puede encriptar, autentificar o ambos pero, en contraste con AH, la cabecera no est protegida. IPsec proporciona una estructura de cuatro apartados y el administrador elige los algoritmos utilizados en cada una. Ejemplo, 1) protocolo Ipsec: ESP + AH, 2) encriptacin: 3DES, 3) autentificacin: MD5, 4) DH (para establecer claves pblicas en medio no seguro): DH5. Tipos de VPN. VPN de sitio a sitio. Host envan y reciben a travs de un gateway VPN, que puede ser un router, aplicacin firewall PIX o ASA (aplicacin de seguridad adaptable), que encapsula, desencapsula, cifra y descifra. Servicios de banda ancha: Acceso dial-up. Usa la lnea telefnica. Lento, se usa si no es posible usar otro. DSL. Usa la lnea telefnica (cables de cobre). Conexin continua y rpida. El transceptor al que se conecta el cliente es normalmente un mdem y ste se conecta mediante un cable no compartido al DSLAM (que separa seal POTS en DSL y voz;

previamente el cliente habr usado microfiltros para que la voz vaya en frecuencias bajas y datos en altas, o habr un divisor de seal POTS) en la oficina del proveedor de servicios. o ADSL (DSL asimtrica: mayor ancho de banda descendiente). Frecuencias 20kHz-1MHz. o SDSL (DSL simtrica: igual ancho ascenciente que descendiente). Mdem por cable. Cable coaxial, en general HFC (fibra coaxial hbrida). Normalmente tambin transporta televisin. CM (cable mdem) separa seales, y ste se conecta al CMTS (Sistema de Terminacin de Cablemdems) que es la cabecera de la compaa de cable. El mismo cable transporta seales ascendentes (del suscriptor al operador) usando RF (radio frecuencias) entre 5-42 MHz y descendentes 50-860 MHz. o DOCSIS (de CableLabs). Estndar de certificacin para proveedores y equipos de cable. Especifica capas fsica y MAC (define TDMA o divisin por tiempo; y S-CDMA o divisin por frecuencias). Son variantes de DOCSIS: PAL, NTSC o SECAM. Conexin inalmbrica de banda ancha. 802.11 es un estndar de comunicaciones inalmbricas y WiFi es una certificacin basada en este protocolo. o Wi-Fi municipal, o Estndar 802.16 o WiMAX (interoperatividad mundial para el acceso por microondas). o Internet satelital. Disponible cualquier parte del mundo. Tres formas de conectarse: multicast unidireccional (satlite enva datos pero el usuario no puede responder?), retorno terrestre unidireccional (dial-up tradicional mediante un mdem) y bidireccional (satlite hace de hub intermediario con el ISP).

Captulo 7 Servicios de Direccionamiento IP. DNS (Domain Name System) DHCP. Asignaciones manual (DHCP slo informa al dispositivo de su IP, previamente asignada), automtica (asigna automticamente IP de forma permanente) y dinmica (asigna de forma temporal). Pasos: cliente enva DHCPDISCOVER broadcast (para que algn servidor DHCP responda), servidor responde DHCPOFFER unicast, cliente confirma que est usando esa IP con DHCPREQUEST broadcast, servidor responde con un DHCPACK unicast; por ltimo cliente hace bsqueda ARP para saber si la IP ya ha sido asignada y si no recibe respuesta empieza a utilizarla. Usa el protocolo UDP, el servidor escucha en el puerto 67 y el cliente en el 68. Comandos en router Cisco: ip dhcp excluded-address{ips} (excluir IPs especficas), ip dhcp pool {nombre} (crea pool DHCP), network {ip mscara} (para seleccionar rango de direcciones disponibles), default-router (define gateway/s predeterminado), dns-server, lease (modifica el tiempo predeterminado de arrendamiento de un da), [no] service dhcp, show ip dhcp binding (informacin de IPs asignadas con DHCP), show ip dhcp server (cantidad de mensajes DHCP transmitidos). Comandos en un entorno SOHO o routers domsticos: interface fa0/0 + ip address dhcp + no shut Relay DHCP. Configura el router (que no deja pasar broadcast) para que las peticiones broadcast del cliente sean enviadas al servidor DHCP correspondiente: ip helper-address {ip_servidor} (tambin reenva de forma predeterminada DNS en puerto 53, TFTP 69), ip forward-protocol (para especificar puertos adicionales) Resolucin de conflictos: show ip dhcp conflict (muestra conflictos detetectados por el servidor como dos ips repetidas), show interface (para comprobar si est activa), show running-config (ayuda a comprobar que relay DHCP est asignado correctamente). Depuracin: o access-list 100 permit ip host 0.0.0.0 host 255.255.255.255 + debug ip packet detail 100 o debug ip dhcp server packet, debug ip dhcp server events BOOTP: protocolo anterior a DHCP qu nicamente haca la funcin de asignacin manual de DHCP.

NAT (Network Address Translation). Para escalamiento de redes como solucin a corto plazo del insuficiente nmero de direcciones. Antes del desarrollo de NAT, un host con direccin privada no poda acceder a Internet. Tiene desventajas como que los sistemas que usen un hash que tome como datos las IP fallarn (firmas digitales, IPsec) o la prdida de tiempo en traducir unas direcciones en otras. Direcciones: local interna y externa, y global interna y externa. Funcionamiento: cuando un host hace una peticin a un servidor, el router cambia la ip local interna por la externa y deja documentado el cambio en la tabla NAT. Cuando reciba la respuesta mirar la tabla NAT y har la operacin inversa. o Traduccin NAT esttica: la direccin privada siempre tiene la misma direccin pblica (esto permite tener una direccin privada sin perder su visibilidad en internet): ip nat inside source static {ip_privada} {ip_publica} + interface serial 0/0/0 + ip nat inside (asigna interfaz a la conexin interior) + exit + interface serial 0/1/0 + ip nat outside o Traduccin NAT dinmica: cuando un host pida acceso a internet, su IP privada (debe estar permitida en una ACL) se mapea con una de las pblicas que todava no est en uso por otra IP privada. Omitidos comandos de puesta en funcionamientoo Sobrecarga NAT o PAT (Port Address Translation). Puede asignar varias direcciones IP privadas una pblicas. NAT asigna a cada host de la red privada y al paquete que enva un puerto distinto. Omitidos comandos de puesta en funcionamientoReenvo de puertos (a veces tambin llamado tunneling): permite alcanzar un puerto de una direccin privada. NAT no permite solicitudes iniciadas desde el exterior, el reenvo o apertura manual de los puertos es necesario para que ciertos programas, como p2p, servidores Web o FTP funcionen. Comandos: show ip nat translations [verbose] ([informacin adicional]), show ip nat statistics, show run, ip nat translation timeout {timeout_ seconds} (modifica las 24 horas predeterminadas que una entrada aparece en la tabla NAT), clear ip nat translation * | {algo_en_concreto}, debug ip nat [detailed] IPv6. Mayor diferencia y motivo de su implantacin: espacio de direcciones de 128bits, frente a IPv4: 32bits. Ejemplo de IP (hexadecimal): 2031:0000:130F:0000:0000:09C0:876A:130B = (quitamos ceros) 2031:0:130F::9C0:876A:130B. Comando: ipv6 unicast-routing (activa IPv6 en interfaz). Se necesita ms memoria pues las direcciones y los paquetes son mayores y mejor hardware para procesar mayores direcciones. RIPng similar al rip de IPv4, pero usa multicast a los enlaces troncales en lugar de broadcast. Comandos: ipv6 router rip [nombre1] + (en cada interfaz) ipv6 rip {name} enable Resolucin de problemas: show ipv6 interface | neighbors | route | traffic (estadsticas).., debug ipv6 packet | rip | routing Otros comandos: clear ipv6 rip | route * | route {ruta} Ms mejoras: Direccionamiento IP mejorado. Plug-and-play, multiconexin (host puede tener varias IPs por el mismo enlace fsico)... Direccin unicast global permite la agrupacin ascendente hasta llegar al ISP. 1/256 son ips reservadas; entre ellas las ip privadas (que empiezan por FE seguido por un valor entre 8 y F), direcciones locales de un sitio (asignadas a una organizacin en particular), direcciones unicast de enlace troncal (referencian a enlace fsico), direccin de loopback (::1 = todas a cero menos el ltimo dgito que es 1), direccin no especificada (:: = todos a cero). Asignacin de IDs: o Asignacin esttica con un ID de interfaz manual (manualmente escribimos el prefijode red como la porcin de ID que corresponde al host). Comando: ipv6 address 2001:DB8:2222:7272::72/64 o Asignacin esttica con un ID de interfaz EUI-64 (crea ip nica a partir de la MAC): Comando: ipv6 address 2001:DB8:2222:7272::/64 eui-64 o Autoconfiguracin sin estado y DHCP para IPv6 (DHCPv6) con estado (que da ms opciones de configuracin, como especificar las DNS a usar). Ambas pueden coexistir. Simplificacin de encabezados. No broadcast ni checksums, extensin de encabezado ms sencillo Movilidad y seguridad integrada. Estndar IETF de IP mvil es dinmico (no hay que configurar manualmente ip actual y de respaldo), uso de IPsec es obligatorio. Intensidad de transicin. Usar stack doble cuando pueda y tunneling cuando no tenga otra opcin: o Stack doble (nodos soportan simultneamente IPv4 e IPv6). o Tunneling (paquete IPv6 se encapsula dentro de IPv4 con el campo protocolo a 41 para atravesar red IPv4).Los principales son el tunneling manual (se introduce a mano en el router stack doble origen la IPv4 del router stack doble destino) y el dinmico 6to4 (la direccin IPv6 tiene embebido la direccin IPv4 previo a un prefijo especfico). No se recomiendan el tunneling ISATAP, el tunneling Teredo o NAT-PT.

Captulo 8 Resolucion de Problemas de Red. Lnea de base de rendimiento de la red (cmo se ha diseado una red y cul es el rendimiento esperado para dicha red en condiciones normales de funcionamiento). Debemos medir cmo funciona la red durante un da promedio, partes utlizadas en exceso, dnde suele ocurrir errores, poltica de errores, etc. Documentacin de la red (diagrama lgico de la red e informacin detallada acerca de cada componente) o Tabla de configuracin de la red (switches y routers): imagen IOS usada, lugar donde se encuentra el dispositivo, si se le puede aadir algn mdulo, IP, o Tabla de configuracin del sistema final (host como pcs, impresoras): IP, SSOO, etc. o Diagrama de topologa de la red (representacin grfica de la red) Lgico (se visualiza como se transmiten los datos): IPs, identificadores de dispositivos y de interfaz, protocolos de enrutamiento, etc. Fsico: especificaciones de cables, conectores, SSOO, IOS, etc. Proceso de documentacin de la red. Pueden ser tiles los siguientes comandos para obtener informacin del dispositivo o de sus vecinos: ping, telnet, show ip interface brief, show ip route, show cdp neighbor detail. Software de medicin automtico sofisticado: SuperAgent de Fluke Networks Modelo en capa OSI: 7.Aplicacin > 6.Presentacin > 5.Sesin > 4.Transporte (TCP) > 3.Red (IP) > 2.Enlace de datos > 1.Fsica; modelo en capa TCP/IP: Aplicacin > Transporte (TCP) > Internet (IP) > Acceso a la red. Resolucin de problemas: Proceso sistemtico: 1. Recopilacin de sntomas, bsqueda de diferencias con la lnea base o alertas recibidas 2. Aislamiento del problema, identificacin del problema/s concreto. 3. Correccin del problema, que se documenta; podra crearse otro nuevo problema Mtodos: Ascendente (se empieza a buscar el problema por la capa fsica y se asciende en el modelo OSI). La desventaja es que necesitamos comprobar cada dispositivo por separado. Descendente (se empieza por las aplicaciones del usuario). Dificultad de descubrir qu aplicacin produce el problema. Divide y vencers (tras documentar el problema se decide en qu capa est probablemente; si la capa funciona correctamente verificamos la capa superior, y si no verificaramos la capa inferior). Herramientas de resolucin de problemas software. o Herramientas de NMS: CiscoView, HP Openview, Solar Winds y What's Up, Gold o Bases de conocimientos: Google, foros o Herramientas de lnea de base (crean automticamente documentacin y lnea de base): SolarWinds LANsurveyor, CyberGauge o Analizadores de protocolo: Wireshark Herramientas de resolucin de problemas hardware. o NAM (Mdulo de anlisis de red): es posible instalar uno en los switches de la serie Cisco Catalyst 6500 y en los routers de la serie Cisco 7600 a fin de obtener una representacin grfica del trfico. o DMM (Multmetros digitales). Mide valores elctricos como el voltaje. o Probadores de cable. Pueden detectar cables daados, etc. TDR (reflectmetros de dominio de tiempo): adems miden en qu punto del cable est el problema, pero son caros. OTDR (igual pero para fibra ptica). o Analizadores de red. Suelen incluir software para ver los resultados en un PC. Las herramientas ms sofisticadas pueden identificar las acciones correctivas, analizar el trfico de la red, etc. Pasos en el diseo de las WAN: 1. Ubicar las LAN (o puntos fnales); 2. Analizar el trfico (ancho de banda necesario, latencia, etc); 3. Planificar topologa. Mayor nmero de enlaces es ms seguro pero ms caro. Cuando deben unirse muchas ubicaciones, se recomienda una solucin jerrquica, ya que ofrece una mejor escalabilidad de la red. 4. Calcular el ancho de banda; 5. Seleccionar la tecnologa de WAN. Segn necesitamos una lnea arrendada, FrameRelay, VPN 6. Evaluar los costos

Perspectiva de un ISP. Cuando un cliente llama los problemas a veces se basan en el PC del usuario, la LAN, tambin pueden hacer ping desde el backbone del ISP al router de cliente, etc. Resolucin de problemas de la capa fsica Sntomas de los problemas de capa fsica: rendimiento menor a la lnea de base, prdida de conectividad, altos conteos de colisin, cuellos de botella o congestin en la red, alto uso de CPU, mensajes de error de consola. Causas: por la energa, por fallos de hardware o cableado, interfaz mal configurada (seal de reloj incorrecta), configuracin de dispositivo superior a la adecuada, sobrecarga de CPU. Atenuacin de un cable (la amplitud de la seal se reduce al avanzar por el mismo): si el cable es muy largo o la conexin mala (cable flojo) puede no reconocerse la seal correctamente. Ruido de un cable. 4 tipos: de impulso (por cambio de voltaje del mismo cable), aleatorio o blanco (por seales de radio, etc), acoplamiento de crosstalk (por cables que siguen la misma ruta), paradiafona o NEXT (corsstalk de extremo cercano, debido a otros cables o transmisores cercanos) Resolucin de problemas de la capa de enlace de datos Sntomas: fallos de conectividad en la capa de red o superiores, funcionamiento por debajo de la lnea base (porque alguna tramas se descartan o no van por la ruta ptima), exceso de broadcasts (software mal configurado, dominos de broadcast demasiado grandes, bucles STP), mensajes de consola (el ms comn: inactividad del protocolo de lnea). Causas: Errores de encapsulacin (distinta en sendos extremos), de asignacin de direcciones (manual, ARP inverso no activado, respuestas ARP no vlidas por un ataque a la seguridad), de entramado (no queda claro donde termina la trama por exceso de ruido o reloj mal configurado), bucles o fallos en STP (enlaces de menor ancho de banda congestionado, puede deberse a un ato ndice de cambios en la topologa). Resolucin: con show interfaces serial, 1: verificar encapsulacin adecuada). 2: confirmar negociaciones del LCP (protocolo de control de enlace) se realizaron bien. 3: debug pp authentification para verificar autentificacin en sendos lados del enlace. Para FrameRelay: 1: verificar enlace que probador de cables. 2: show frame-relay lmi (verifica que router y proveedor de Frame Relay intercambia informacin LMI). 3: show frame-relay pvc (verificar que est activo). 4: show interfaces serial (misma encapsulacin en sendos routers) Con bucles STP. show spanning-tree (comprobar que STP est activado en cada interfaz) y spanning-tree {vlan} {ID} (para activarlo). Desactivar los puertos comprometidos de uno en uno con el objetivo de restablecer el trfico lo antes posible. Resolucin de problemas de la capa de red Sntomas: fallas en la red o un rendimiento subptimo. Resolucin: comprobar IP estticas correctas y/o DHCP activado, usar comando debug Problemas frecuentes de las listas de acceso: o ACL: seleccin de la interfaz o direccin de flujo incorrecta, orden de sentencias incorrecto, mala colocacin de la ACL al trabjar junto a NAT, puerto o protocolo de la sentencia incorrecto (UDP en lugar de TCP, VPN, protocolos de encriptacin), no usar la palabra clave established. La palabra clave log ayuda en la resolucin de problemas. o NAT: funcionamiento simultneo de BOOTP y DHCP, aplicaciones o funciones que necesiten de puertos de los hosts (SMTP, encriptacin), temporizadores muy largos o cortos (saturacin de la tabla NAT). Resolucin de problemas de la capa de aplicacin (modelo TCP/IP). Adems de las aplicaciones de los usuarios, hay protocolos que entran dentro de esta capa: Telnet, http, FTP, SMPT, POP, DNS Sintomas: aplicacin no funciona bien Resolucin: 1. Ping al gateway predeterminado. 2. Ping extendido al extremo con el que queremos comunicarnos. 3a. Verificar que no hay problemas con ACL: show access-list, clear access-list counters + ver si los contadores se incrementan al reintentar una conexin. 3b. NAT: show ip nat translations, clear ip nat translation * + acceder al recurso de nuevo + debug ip nat, comprobar si ip nat inside e ip nat outside estn ubicados en las interfaces correctas. 4. Se trata de un protocolo de la capa superior como FTP, HTTP o Telnet: mirar documentacin especfica del protocolo. No olvidar hacer una copia de seguridad de los dispositivos implicados y documentar el proceso. c.helder 2012 http://estiloasertivo.blogspot.com.es/ http://estiloasertivo.16mb.com/