10 REDES DE AREA AMPLIA 10.

1 INTRODUCCIN A LAS WAN Dentro de las nubes WAN es posible aceptar 4 tipos de conexiones: * Lineas Alquiladas: - Llamadas punto a punto o lineas dedicadas. - Una unica opcin de comunicacin por un medio exclusivo para el cl iente. - Eliminar un problema de conexin/desconexin de llamada, brindando a su vez mayor privacidad y seguridad. - Son lineas dedicadas y costosas. * Circuitos Conmutados: - Solo establece conexin durante el tiempo que dure la transmisin. - La sucesivas conexiones pueden o no utilizar la misma ruta que la anterior vez. - Suelen emplearse en conexiones que se utilicen de forma espora dica. Ejm: enlaces de respaldo. * Paquetes Conmutados: - Los dispositivos comparten un unico enlace punto a punto o pun to-multipunto para transportar paquetes. - Utiliza circuitos virtuales para ofrecer conectividad de forma permanente o conmutada (PVC o SVC). - Una vez entregada la trama al proveedor este puede compartirlo con otros clientes. Ejm: Frame-Relay * Celdas Conmutadas: - Metodo similar el de conmutacin de paquetes, solo que en lugar de paquetes de longitud variable, se utilizan celdas de longitud fija que se tra nsporta por circuitos virtuales (VC). Ejm: ATM. 10.1.2 TERMINOLOGIA WAN * CPE: Dispositivos ubicados en el cliente. * Demarcacin: Punto en el que finaliza el CPE y comienza el bucle local. * Bucle Local: Tambin llamada ultima milla (UM), es el cableado desde la demarcacin hasta la oficina del proveedor. * CO: Oficina central del proveedor. * Red de Pago: Grupo de dispositivos y recursos que se encuentran dentro de la nube. 10.1.4 ENCAPSULACIN DE CAPA 2 DE WAN * HDLC (HIGH-LEVEL-LINK-CONTROL): - Propietario de cisco. - Sincrono. * PPP (POINT-TO-POINT PROTOCOL): - Ofrece conexiones de Router-Router y de Host-Red. - Utiliza enlaces sincronos y asincronos. - Mecanismos de autenticacin como PAP y CHAP. * SLIP (Serial Link Internet Protocol): - Antecesor de PPP, ya casi en deuso. * Frame-Relay: - Protocolo de enlaces conmutados y estandar que maneja que Circ uitos Virtuales (CV) para establecer conexiones. - Posee correccin de errores y control de flujo.

* X.25/LAPB (Link Access Procedure Balanced): - Antecesor de Frame-Relay y menos confiable que este. * ATM (Asynchonous Transfer Mode): - Estandar para las celdas de longitud de transmisin fija. - Se utiliza indistintamente para voz, video y datos. 10.2 PROTOCOLO POINT-TO-POINT * Protocolo abierto con varios protocolos de capa de red, como : IP, IPX y Apple Talk. * Se puede considerar como la versin propietaria de HDLC. * Funciona con encapsulacin sincrona como asincrona, porque usa identific acin (bit entramado) para detonar el inicio o el final de la trama. * Su direccionamiento en broadcast ya que PPP no identifica estaciones i ndividuales. * Se basa en el protocolo de enlaces LCP, que establece, configura y pon de a prueba las conexiones de enlace que utiliza PPP. * El NCP (Network Control Protocol) es un conjunto de protocolos (uno po r cada capa de red compatible con PPP) que establece y configura diferentes capa s de red que funcionen a traves de PPP. Para IP, IPX y Apple Talk, las designaciones NCP s on IPCP, IPXCP y ATALKCP, respectivamente. * Provee mecanismos de control de errores y soporta los siguientes tipos de interfaces fisicas: - Series sincrinas. - Series asincronas. - RDSI. - HSSI. 10.2.1 ESTABLECIMIENTO DE UNA CONEXIN PPP * Tiene 3 fases: 1 - Establecimiento de enlace: cada dispositivo PPP envia un paq uete LCP para configurar y verificar el enlace de datos. 2 - Autenticacin: Fase opcional, una vez establecido el enlace es elegido el medio de autenticacin. Normalmente es PAP o CHAP. 3 - Protocolo de Capa de Red: El router envia paquetes NCP para elegir o configurar uno o mas protocolos de capa de red. A partir de esar fase l os datagramas pueden ser enviados. 10.2.2 AUTENTICACIN PAP (Protocolo de Autenticacin de Contrasea) * Proporciona un metodo de autenticacin simple utilizando el intercambio de seales de dos vias. * El proceso de autenticacin solo se realiza durante el establecimiento i nicial del enlace. * Una vez completada la fase de establecimiento PPP, el nodo remoto envi a repetidas veces al router extremo su usuario y contrasea hasta que acepta la au tenticacin o corta la conexin. NOTA: PAP es un metodo de autenticacin poco seguro, las contraseas se envian en mo do abierto y no existen proteccin contra el regitro de las mismas o los ataques e xternos. 10.2.3 CONFIGURACIN DE PPP CON PAP * Defina el nombre de usuario y la contrasea que espera recibir del route r remoto: R(config)#username "nombre" password "contrasea"

* Para activar la encapsulacin PPP con autenticacin PAP en una interfaz, s e debe cambiar la encapsulacin de dicha interfaz serial, el tipo de autenticacin y la IP: R(config)#interface "serial n/n" R(config-if)#encapsulation ppp R(config-if)#ppp authentication pap R(config-if)#ip address "direccin ip" "msk" R(config-if)#no shutdown * Opcional, se puede configurar la compresin de un software punto a punto en interfaces seriales desde de que se haya activado la encapsulacin PPP. R(config-if)#compress (predictor/stac) * Para garantizar que el enlace satisfaga los requisitos de calidad que establecio, es necesario aplicar: R(config-if)#ppp quality 1-100 10.2.4 AUTENTICACIN CHAP (Protocolo de Autenticacin por Intercambio de Seales por D esafio) * Es un metodo mas seguro que PAP. * Se emplea durante el establecimiento del enlace y posteriormente se ve rifica periodicamente para comprobar la identidad del Router Remoto utilizando s eales de 3 vias. * La contrasea es encriptada utilizando MD5, una vez establecido el enlac e el router agrega un mnj de desafio que es verificado por ambos routers, si amb os coinciden, se acepta la autenticacin, de lo contrario, la conexin se cierra automaticame nte. NOTA: CHAP ofrece proteccin contra ataques externos, mediante el uso del valor de desafio que es unico e indecifrable, el uso de esta, limita la posibilidad de a taques. 10.2.5 CONFIGURACIN DE PPP CON CHAP * Defina el nombre de usuario y la contrasea que espera recibir del route r remoto: R(config)#username "nombre" password "contrasea" * Para activar la encapsulacin PPP con autenticacin PAP en una interfaz, s e debe cambiar la encapsulacin de dicha interfaz serial, el tipo de autenticacin y la IP: R(config)#interface "serial n/n" R(config-if)#encapsulation ppp R(config-if)#ppp authentication chap R(config-if)#ip address "direccin ip" "msk" R(config-if)#no shutdown * Para autenticarse frente a un host desconocido debe configurar en la i nterfaz correspondientela contrasea que sera enviada a los host que quieran auten ticar con el router: R(config-if)#ppp chap password "contrasea" 10.4 TRADUCCIN DE DIRECCIONES DE RED - NAT * Permite acceder a internet traduciendo las direcciones privadas en dir ecciones IP registradas. * Incrementa la seguridad y la privacidad de la red local al traducir el direccionamiento interno en uno externo.

* Tiene varias formas de trabajar segun los requisitos y la flexibilidad de la que se disponga, cualquiera de ellas es sumamente importante a la hora de controlar el trafico hacia el exterior: - Estaticamente: Permite la asignacin de una a una entre las dire cciones locales y las exteriores o globales. - Dinmicamente: Permite asignar a una red IP interna a varias ext ernas incluidas en un grupo o pool de direcciones. - PAT (Port Address Translation): Es una forma de NAT dinmica, co munmente llamada NAT sobrecargado, que asigna varias direcciones IP internas a u na sola direccin IP externa. Utiliza numeros de puerto de origen unicos en la direcc in global interna para distinguie entre las diferentes traducciones. 10.4.1 TERMINOLOGIA NAT * Direccin Local Interna: Es la direccin IP asignada a un host en la red i nterna. * Direccin Global Interna: Es la direccin IP asignada por el proveedor de servicio que representa la direccin local ante el mundo. * Direccin Local Externa: Es la direccin IP de un host externo tal como lo ve la red interna. * Direccin Global Externa: Es una direccin IP asignada por el propietario a un host en la red externa. 10.4.2 CONFIGURACIN DE NAT ESTATICO * Se utiliza el siguiente comando: R(config)#ip nat inside source static (ip interna) (ip externa) * Definir las interfaces de salida y entrada con su correspondiente IP: R(config)#interface "tipo n/n" R(config-if)#ip address "direccin ip de la int interna" "msk" R(config-if)#ip nat inside R(config-if)#no shutdown R(config)#interface "tipo n/n" R(config-if)#ip address "direccin ip de la int externa" "msk" R(config-if)#ip nat outside R(config-if)#no shutdown 10.4.3 CONFIGURACIN DE NAT DINAMICO * Se debe crear un POOL de direcciones: R(config)#ip nat pool (nombre) (ip de inicio) (ip de final) netmask (msk ) * Definir una lista de acceso que permita solo las direcciones que deban traducirse: R(config)#access-list (numero) permit (ip interna permitida) (wilcard) * Asociar la lista de acceso al POOL: R(config)#ip nat inside source list (numero) pool (nombre del pool) * Definir las interfaces de salida y entrada con su correspondiente IP: R(config)#interface "tipo n/n" R(config-if)#ip address "direccin ip de la int interna" "msk" R(config-if)#ip nat inside R(config-if)#no shutdown R(config)#interface "tipo n/n" R(config-if)#ip address "direccin ip de la int externa" "msk"

R(config-if)#ip nat outside R(config-if)#no shutdown 10.4.4 CONFIGURACIN DE PAT * Se define una lista de acceso que permita solo la direcciones que debe n traducirse: R(config)#access-list (numero) permit (ip interna permitida) (wilcard) * Asociamos la lista a la interfaz de salida agregando al final el coman do OVERLOAD: R(config)#ip nat inside source list (numero) interface (tipo n/n) overlo ad * Definir las interfaces de salida y entrada con su correspondiente IP: R(config)#interface "tipo n/n" R(config-if)#ip address "direccin ip de la int interna" "msk" R(config-if)#ip nat inside R(config-if)#no shutdown R(config)#interface "tipo n/n" R(config-if)#ip address "direccin ip de la int externa" "msk" R(config-if)#ip nat outside R(config-if)#no shutdown 10.5.2 VERIFICACIN DE NAT * Muestra las traslaciones de direcciones IP: R#show ip nat traslations * Muestra las estadisticas NAT: R#show ip nat statistics * Muestra los procesos de traslacin de direccin: R#debug ip nat NOTA: Las listas de acceso asociadas a NAT deben permitir solo el acceso a la re des que se van a convertir, no hay que utilizar ANY.